4基层单位信息系统安全等级保护三级管理制度信息系统系统建设管理规定.pdf

版本号:1、0、0423

信息系统建设管理规定

第一章总则

第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管

理,提升信息系统建设与管理水平,保障信息系统工程项目建设安全,特制定本规

范。

第二条本规范主要对聚蓝金融信息服务有限公司(以下简称“公司”)信息

系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同

时更要有全面动态的安全策略与良好的内部管理机制,本规范包括五个部分:

1)项目建设安全管理的总体要求:明确项目建设安全管理的目标与原则;

2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,

确定各个环节的安全需求、目标与建设方案;

3)方案论证与审批安全管理:由安全管理部门组织行内外专家对项目建设安

全方案进行论证,确保安全方案的合理性、有效性与可行性。标明参加项目建设

的安全管理与技术人员及责任,并按规定安全内容与审批程序进行审批;

4)项目实施方案与实施过程安全管理:包括确定项目实施的阶段的安全管理

目标与实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等;

5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安

全管理规范,以及相关依据。

第三条规范性引用文件

下列文件中的条款通过本规范的引用而成为本规范的条款。凡就是注日期的

引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,

但鼓励研究就是否可使用这些文件的最新版本。凡就是不注日期的引用文件,其

最新版本适用于本规范。GB/T5271、8－2001信息技术词汇第8部分安全

第四条术语与定义

本规范引用GB/T5271、8－2001中的术语与定义,还采用了以下术语与定义:

1)信息安全infosec

信息的机密性、完整性与可用性的保护。

注释:机密性定义为确保信息仅仅被那些被授权了的人员访问。

完整性定义为保护信息与处理方法的准确性与完备性。

可用性定义为保证被授权用户在需要时能够访问到信息与相关资产。

2)计算机系统安全工程ISSE(InformationSystemsSecurity

Engineering)

计算机系统安全工程(ISSE)就是发掘用户信息安全保护需求,然后以经济、

精确与简明的方法来设计与建造计算机系统的一门技巧与科学,ISSE识别出安

全风险,并使这些风险减至最少或使之受到遏制。

3)风险分析riskanalysis

对信息与信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其

发生的可能性的分析评估。

4)安全目标securityobjective

本规范中特指公司项目建设信息安全管理中需要达成到的目标。

5)安全测试securitytesting

用于确定系统的安全特征按设计要求实现的过程。这一过程通常包括现场功

能测试、渗透测试与验证。

第五条本规范遵照国家相关政策法规与条例,结合各种信息化项目建设的

具体情况,依据各种标准、规范以及安全管理规定而制定。

第二章项目建设安全管理的总体要求

第六条项目建设安全管理目标

一个项目的生命周期包括:项目申报、项目审批与立项、项目实施、项目验

收与投产;从项目建设的角度来瞧,这些生命周期的阶段则包括以下子阶段:需求

分析、总体方案设计、概要设计、详细设计、系统实施、系统测试与试运行,如

下表所示。

项目建设安全管理的目标就就是保证整个项目管理与建设过程中系统的安

全。为了达到这个目标,信息安全(INFOSEC)必须融合在项目管理与项目建设过程

中,与公司的业务需求、环境要求、项目计划、成本效益以及国家与地方的政策、

标准、指令相一致。这种融合应该产生一个计算机系统安全工程(ISSE)项目,它

要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点,最终得到

一个可以接受水平的安全