信息系统建设管理制度.pdf

第一条为加快公司信息系统建设步伐，规范信息系统工程

项目建设安全管理，提升信息系统建设和管理水平，保障信息

系统工程项目建设安全，特制定本规范。

第二条本规范主要对XX公司（以下简称公司”）信息系

统建设过程提出安全管理规范。保证安全运行必须依靠强有力

的安全技术，同时更要有全面动态的安全策略和良好的内部管

理机制，本规范包括五个部分：

1）项目建设安全管理的总体要求：明确项目建设安全管

理的目标和原则；

2）项目规划安全管理：对信息化项目建设各个环节的规

划提出安全管理要求，确定各个环节的安全需求、目标和建设

方案；

3）方案论证和审批安全管理：由安全管理部门组织行内

外专家对项目建设安全方案进行论证，确保安全方案的合理性、

有效性和可行性。标明参加项目建设的安全管理和技术人员及

责任，并按规定安全内容和审批程序进行审批；

施的阶段的安全管理目标和实施办法，并完成项目安全专用产

品的确定、非安全产品安全性的确定等；

5）项目投产与验收安全管理：制定项目安全测评与验收

方法、项目投产的安全管理规范，以及相关依据。

第三条规范性引用文件

下列文件中的条款通过本规范的引用而成为本规范的条款。

凡是注日期的引用文件，其随后所有的修改单（不包孕勘误的

内容）或修订版均不适用于本规范，但鼓励研究是否可使用这

些文件的最新版本。凡是不注日期的引用文件，其最新版本适

用于本规范。

GB/T5271.8－2001信息技术词汇第8部分安全

第四条术语和定义

本规范引用GB/T5271.8－2001中的术语和定义，还采用

了以下术语和定义：

1）信息安全infosec

信息的机密性、完整性和可用性的保护。

注释：机密性定义为确保信息仅仅被那些被授权了的人员

访问。

完整性定义为保护信息和处理方法的准确性和完备性。

相关资产。

2)计算机系统安全工程ISSE（InformationSystems

Security

Engineering）

计算机系统安全工程（ISSE）是发掘用户信息安全保护

需求，然后以经济、精确和简明的方法来设计和建造计算机系

统的一门技巧和科学，ISSE识别出安全风险，并使这些风险

减至最少或使之受到遏制。

3)风险分析riskanalysis

对信息和信息处理设施所面临的威胁及其影响以及计算机

系统脆弱性及其发生的可能性的分析评估。

4)安全目标securityobjective

本规范中特指公司项目建设信息安全管理中需要达成到的

目标。

5)安全测试securitytesting

用于确定体系的安全特征按设计要务实现的过程。这一过

程通常包孕现场功能测试、渗透测试和验证。

各种信息化项目建设的具体情况，依据各种标准、规

范以及安全管理规定而制定。

第六条项目建设安全管理目标

一个项目的生命周期包括：项目申报、项目审批和立项、

项目实施、项目验收和投产；从项目建设的角度来看，这些生

命周期的阶段则包括以下子阶段：需求分析、总体方案设计、

概要设计、详细设计、系统实施、系统测试和试运行，如下表

所示。

项目建设安全管理的目标就是保证整个项目管理和建设过

程中系统的安全。为了达到这个目标，信息安全（INFOSEC）

必须融合在项目管理和项目建设过程中，与公司的业务需求、

环境要求、项目计划、成本效益以及国家和地方的政策、标准、

指令相一致。这种融合应该产生一个计算机系统安全工程

（ISSE）项目，它要确认、评估、并且消除或控制住系统对

已知或假定的威胁的脆弱点，最终得到一个可以接受水平的安

全风险。

）并不意味着存在一个单独

独立的过程。它支持项目管理和建设过程，而且是后者不可分

割的一部分。第三章到第六章将以项目管理过程为主轴，并结

合项目建设过程，规定了在每个阶段中应达到哪些计算机系统

安全工程要求。

第七条项目建设安全管理原则

信息系统项目建设安全管理应遵循如下原则：

1)等级