返回
项目及信息系统建设管理制度

项目及信息系统建设管理制度

ID:23192357

大小:160.00 KB

页数:32页

时间:2018-11-05

项目及信息系统建设管理制度_第1页
项目及信息系统建设管理制度_第2页
项目及信息系统建设管理制度_第3页
项目及信息系统建设管理制度_第4页
项目及信息系统建设管理制度_第5页
资源描述:

《项目及信息系统建设管理制度》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、项目及信息系统建设管理制度《***单位安全管理制度汇编》安全管理制度汇编目录编制说日月3第一章总贝IJ4第二章安全要4第一节项目建设安全管理的总体要4第二节项目申报安全管理标5第三节系统定级管a7第四节方案论证和审批安全管理标7第五节项目实施方案和实施过程安全管理标8第六节安全方案设计管J111第七节产品采购和使用管12第八节自行软件开发管il12第九节外包软件开发管il13第十节工程实施管a13第十一节测试验收管a14第十二节系统交付管S14第十三节系统备案管il14第十四节等级测评管il15第十五节安全服务商选择管315針

2、六节项目验收与投产安全管理标第三章评估和论证安全管J119第四章附贝IJ21第一节文挡信……21第二节版本控制……21第三节其他信息……21安全管理制度汇编编制说明为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求,特制定本制度。本制度依据我国信息安全的有关法律法规,结合***单位的自身业务特点、并参考国际有关信息安全标准制定的。安全管理制

3、度汇编第一章总则第一条制度目标:为了加强***单位信息安全保障能力,建立健全的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度旨在提高IT项目信息安全建设质量,加强IT项目建设安全管理工作。第二条适用范围:本制度适用于所有TCP/IP网络IT建设项目,主要用于IT项目立项过程中方案设计、规划的安全要求参考。第三条使用人员及角色职责:木制度适用于全体人员。第二章安全要求第一节项目建设安全管理的总体要求第四条项0建设安全管理0标一个项目的生命周期包括:项目

4、申报、项目审批和立项、项目实施、项目验收和投产;从项目建设的角度来看,这些生命周期的阶段则包括以下子阶段:需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行,如下表所示。安全。为了达到这个冃标,信息安全(INFOSEC)必须融合在项冃管理和项目建设过程中,与组织的业务需求、环境要求、项目计划、成本效益以及安全管理制度汇编国家和地方的政策、标准、指令相一致。这种融合应该产生一个信息系统安全工程(ISSE)项目,它要确认、评估、并且消除或控制住系统对己知或假定的威胁的脆弱点,最终得到一个可以接受水平的安全风险。

5、第五条项冃建设安全管理原则信息建设项冃建设安全管理应遵循如下原则:(一)全生命周期安全管理:信息安全管理必须贯穿信息系统建设项目建设的整个生命周期;(二)成本-效益分析:进行信息安全建设和管理应考虑投入产出比;(三)明确职责:每个参与项目建设和项目管理的人员都应该明确安全职责,应进行安全意识和职责培训,并落实到位;(四)管理公开:应保证每个项目参与人员都知晓和理解安全管理的模式和方法;(五)科学制衡:进行适当的职责分离,将业务的不同责任分配给不同的责任人;(六)最小特权:人员对项冃资产的访问权限制到最低限度,即仅赋予其执行授权

6、任务所必需的权限。第六条项目建设安全管理要求项冃安全管理工作由信息安全管理部门负责,在项冃的申报、市批、立项、实施、验收等关键环节中,必须有信息安全管理部门的参与和评审意见。应在项目规划中明确信息安全责任、义务与管理程序。第二节项冃申报安全管理标准项目申报阶段应对信息系统建设项目各个环节进行统一的安全管理规划,确定项目的等级保护系统保护级别、安全需求、安全目标、安全建设方案,以及生命周期各阶段的安全需求、安全B标、安全管理措施。由项目开发单位协同用户单位进行项目需求分析、确定总体目标和建设方案。第七条挖掘安全需求安全管理制度汇

7、编在《需求分析报告》中除了描述系统业务需求之外,还应进行系统的安全性需求分析,应尽可能包括以下信息安全方面的内容:(一)等级保护等级:从信息系统自身对于国家、社会公共秩序、法人及其它合法权益的侵害及侵害程度,判别系统的等级保护级别。(二)安全威胁分析报告:应分析待建计算机系统在生命周期的各个阶段屮可能遭受的自然威胁或者人为威胁(故意或无意),具体包括威胁列表、威胁可能性分析、威胁严重性分析等;(三)系统脆弱性分析报告:包括对系统造成问题的脆弱性的定性或定量的描述,这些问题是被攻击的可能性、被攻击成功的可能性;(四)影响分析报告

8、:描述威胁利用系统脆弱性可能导致不良影响。影响可能是有形的,例如资金的损失或收益的减少,或可能是无形的,例如声誉和信誉的损失;(五)风险分析报告:安全风险分析的目的在于识别出一个给定环境中涉及到对某一系统有依赖关系的安全风险。它取决于上面的威胁分析、脆弱性分析和影响分析,应提

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。