信息系统建设管理制度-等保制度模板.docx

《信息系统建设管理制度-等保制度模板.docx》由会员分享，可在线阅读，更多相关《信息系统建设管理制度-等保制度模板.docx（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、xxxx信息系统建设管理制度（一）采购和安装1 .软件的采购和安装1 .信息系统所使用的操作系统、应用软件、数据库、平安软件、工具软件必 须是正式版本，严禁使用测试版和盗版软件2 .重要的操作系统和主要应用软件必须在平安管理员的监督之下进行安装。2 .设备的采购和安装1 .设备符合系统选型要求并获得批准后，方可购置。2 .凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和 联机48小时的应用系统兼容性运行测试。3 .通过上述测试后，设备才能进入试运行阶段。试运行时间的长短可根据需 要自行确定。4 .通过试运行的设备，才能投入系统，正式运行。（二）软件开发管理1 .软件自行开发管理

2、1 .系统应用软件的开发必须根据信息密级和平安等级，同步进行相应的平安 设计，并制定各阶段平安目标，按目标进行管理和实施。2 .系统应用软件的开发，必须有平安管理专业的技术人员参加，其主要任务 是：对系统方案与开发进行平安审查和监督，负责系统平安设计和实施。3 .开发环境和现场必须与办公环境和工作现场分开，软件设计方案、数据结 构、平安管理、操作监控手段、数据加密形式、原代码等，只能在有关开 发人员及有关管理机构中流动，严禁散失或外泄；开发人员和测试人员分 离，测试数据和测试结果受到控制。4 .应用软件开发必须符合软件工程规范GB8566-88, GB1526-89。5 .制定代码编写平安规范

3、，要求开发人员参照规范编写代码；6 .确保提供软件设计的相关文档和使用指南，并由专人负责保管；7 .确保对程序资源库的修改、更新、发布进行授权和批准。2 .外包软件开发管理1 .应要求开发单位提供软件设计的相关文档和使用指南；2 .在委托开发过程中，应加强开发过程中的平安管理和监控，重点考虑资质、 许可证、代码所有权和知识产权；审核工作质量和访问权限，代码质量和安 全功能到达合同要求。特殊情况应测试恶意代码和特洛伊木马。3 .应要求软件开发商在所开发的信息系统内设计实现了平安控制措施，确保信 息在系统中得到了正确处理。4 .在开发过程中，应采取控制措施，减少信息泄露的可能性，重点考虑：规范 开

4、发过程中的通信行为，以减少第三方从这些行为中推断信息的可能性；在 现有法律或法规允许的情况下，定期监视个人和系统的活动；监视计算机系 统的资源使用；防止非授权的网络访问；对程序源代码的防护管理；5 .应要求软件开发商对程序源代码进行管理与控制。程序源代码应集中保存在 代码库中，对代码库实施平安保护。保护措施主要包括：建立程序源代码和 源程序库管理规范；对访问源程序库人员进行授权管制；程序列表应保存在 平安的环境中；建立对源程序库所有访问的审核日志；维护和拷贝源程序库 应受严格的限制；6 .测试数据的管理。对于开发过程中涉及的测试数据。在测试数据选择过程中， 应防止使用包含个人信息或其它敏感信息

5、的运行数据库用于测试。其控制措 施包括：运行信息每次被拷贝到测试系统时应有独立的授权；测试完成后， 应立即从测试系统中清除运行信息或进行授权访问控制：记录运行信息的拷 贝和使用日志；7 .信息系统平安整体测试。组织信息系统使用单位（部门）在离线测试环境下 对所开发信息系统进行平安测试。经过测试确认后，方可转入正式环境，并 组织评估测试结果的平安符合性。（三）工程实施1 .指定或授权专门的部门或人员负责工程实施过程的管理，必要时可引入外 部信息工程监理机构进行工程实施的监理。2 .由实施方制定详细的工程实施方案控制实施过程，由XXXX认可并要求工 程实施单位能按计划执行工程实施；3 .由实施方制

6、定工程实施方面的管理规范，明确说明实施过程的控制方法和 人员行为准那么，及时向XXXX提交相关表单文档。（四）测试验收1 .委托第三方测试单位对系统进行平安性测试，并出具平安性测试报告，要 求建设单位根据测试结果及时进行整改；2 .在测试前应根据设计方案或合同要求等制订测试方案，在测试过程中应详 细记录测试结果，并形成测试报告，测试通过后方可进行验收；3 .对系统测试验收的控制方法和人员行为准那么进行书面规定；4 .指定或授权专门的部门或人员负责系统测试验收的管理，并按照管理规定 的要求完成系统测试验收工作；5 .组织相关人员对系统测试验收报告进行审定，并签字确认。（五）系统交付1 .对系统交付的控制方法和人员行为准那么进行书面规定；2 .应指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要 求完成系统交付工作。3 .制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档 等进行清点和确认；4 .对负责系统运行维护的技术人员进行相应的技能培训，以及对系统最终用 户的操作进行相应的培训。（六）系统建设服务商选择1 .确保系统建设服务商的选择符合国家信息平安的有关规定，必要时应选择 有平安集成的相关资质的服务商。2 .与选定的系统建设服务商签订与平安相关的保密协议，明确约定相关责任;3 .确保选定的系统建设服务商提供技术培训和服务承诺，必要的与其签订服 务合同。