系统建设管理制度
一、系统定级
1.根据此系统的整体规划和设计运行需要,按照《信息系统安全等级保护定
级指南》,此系统的安全保护等级拟定为三级。
2.以书面的形式定义确定了安全保护等级的信息系统的属性,包括使命、业
务、网络、硬件、软件、数据、边界、人员等。
3.确保信息系统的定级结果经过相关部门的批准。
二、安全方案设计和审定
1.根据此系统的安全等级保护级别选择安全措施,依据风险评估的结果补充
和调整相应的安全措施。
2.以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成
系统的安全方案。
3.对安全方案进行细化,形成能指导安全系统建设和安全产品采购的详细设
计方案。
4.组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进
行论证和审定。
5.在项目正式开始实施之前,应确保安全设计方案经过相关部门和有关技术
专家批准。
三、产品采购
1.确保采购的所有产品(包括网络产品、安全产品等)都符合国家的有关规
定和信息安全等级保护对应等级的相关标准。
2.确保所采购的所有密码产品都符合国家密码主管部门的要求。
3.指定或授权专门的部门负责产品的采购。
四、自行软件开发
1.确保开发环境与实际运行环境物理分开。
2.确保提供软件设计的相关文档和使用指南。
3.在软件安装之前检测软件包中可能存在的恶意代码,并制定恶意软件代码
检测文档。
4.确保系统开发文档由专人负责保管,系统开发文档的使用受到控制,并对
系统开发文档的使用进行认证的书面记录。
五、外包软件开发
1.与软件开发单位签订相应的软件开发协议,明确知识产权的归属和安全方
面的要求。
2.根据软件开发协议的要求检测软件质量,或者请第三方软件测试单位对软
件质量进行检测。
3.在软件安装之前和应用系统正式上线之前检测软件包中可能存在的恶意
代码。
4.要求软件设计开发单位提供软件设计的相关文档和使用指南。
5.要求软件开发单位针对软件的安装、使用和注意事项进行相关培训。
六、工程实施
6.项目开始实施之前,应与工程实施单位签订与安全相关的协议,以约束工
程实施单位的行为和工程实施的质量。
7.在项目实施的过程中,应指定或授权专门的人员或部门负责工程实施整个
过程的管理,必要时可引入外部信息工程监理机构进行工程实施的监理。
8.应制定详细的工程实施方案控制实施过程,确保工程的进度和工程的完成
质量。
9.应制定工程实施方面的管理规范,明确说明实施过程的控制方法和人员行
为准则,及时提交相关表单文档。
七、测试验收
4.系统建设完成之后,应组织对系统进行软件运行测试、系统应用测试、系
统安全性测试等。
5.在测试验收前根据系统设计方案和合同要求等制订测试验收方案,测试验
收过程中详细记录测试验收结果,形成测试验收报告。
6.对系统测试验收的控制方法和人员行为准则进行书面规定。
7.指定或授权专门的部门或人员负责系统测试验收的管理,并按照管理规定
的要求完成系统测试验收工作。系统测试验收过程中,要重视系统安全性
测试,应针对安全性测试专门设计测试方案,形成测试报告。
8.组织相关部门和相关人员对系统测试验收报告进行审定,没有疑问后由双
方签字。
八、系统交付
5.对系统交付的控制方法和人员行为准则进行书面规定。
6.明确系统的交接手续,形成书面系统交接流程,并按照交接流程完成交接
工作。
4.制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档
等进行清点和确认;
5.系统交付后,应敦促系统建设方完成对委托建设方的运维技术人员的相关
培训工作。
6.系统交付后,应敦促系统建设方提交系统建设过程中的相关文档和指导用
户进行系统运行维护的技术文档。
7.系统交付后,系统建设方应进行一定期限的服务承诺,并提交服务承诺书,
及时的对系统运行维护提供技术支持,以确保系统能够安全、稳定、高效
的运行。
九、安全服务商选择和运维
10.在选择安全服务商时,确保该服务商能够符合国家信息安全的有关规定。
11.与选定的安全服务商签订安全服务协议。
