大学信息管理中心信息系统建设安全管理规定.docx

《大学信息管理中心信息系统建设安全管理规定.docx》由会员分享，可在线阅读，更多相关《大学信息管理中心信息系统建设安全管理规定.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、大学信息管理中心信息系统建设安全管理规定第一章总则第一条为进一步提高*大学信息管理中心（以下简称 中心）信息系统安全保障水平，确保信息系统建设的项目 立项、设计、实施、验收等各个环节与信息安全管理控制机 制的有机结合，实现项目工程管理过程和内容安全可控，特 制定本规定。第二条 本规定适用于中心信息系统建设中的安全管理。第二章信息系统规划安全管理第三条信息系统规划阶段安全管理包括项目立项、项 目需求与要求、项目审批和项目招标相关阶段的信息安全管 理要求。第四条信息系统建设项目申请部门立项申请时，应明 确信息系统的安全要求。第五条可行性分析中应确定信息系统的安全等级，进 一步明确安全目标和主要技术

2、路线：（一）根据信息系统安全等级保护定级指南确定信息 系统的安全等级；（二）描述信息系统业务信息的安全目标和业务服务的安 全目标；（三）结合中心现有信息安全平台，阐述实现安全目标的 可行性。第六条 项目需求分析过程中应包括信息系统安全性需 求分析的内容，至少包括以下信息安全方面的内容：（一）根据信息系统安全等级，参照信息系统安全等级 保护基本要求相应等级的安全控制要求进行选择；（二）分析信息系统可能面临安全威胁、风险和目前存在 的脆弱性，根据实际环境风险的风险情况对安全控制要求进 行调整；（三）应根据所选择的安全控制，根据现行的技术、产品、 管理流程的实际情况形成相应的安全可行性方案。（四）信

3、息系统可能需要的安全功能性需求，包括但不限 于用户身份、访问控制、数据和信息保密性、数据审计和跟 踪等。第七条中心安全主管对项目进行立项审批，并审核信 息系统中的安全需求、设计内容是否符合中心安全策略要求;第八条项目招标和采购应严格遵照政府采购流程，并 考虑以下信息安全要求：（一）重要信息系统和网络的安全建设应优先考虑国内 信息安全产品，安全产品采购和使用应符合国家有关规定， 具备安全产品销售许可、知识产权证明等资质；（二）密码产品采购和使用应符合国家密码主管部门的 要求；（三）信息安全集成、开发和服务提供商应具备符合国家 相关资质要求的证明。第三章信息系统实施安全管理第九条 信息系统实施阶段

4、安全管理包括项目签约、项 目计划、项目实施和试运行相关阶段的安全管理要求。第十条 信息系统开发在签署项目合约过程中，通过签 署保密协议书约束双方的安全保密行为。第十一条信息系统在详细设计阶段，应形成系统的安 全设计方案。方案中应描述对系统的安全保护要求、策略和 措施等，形成能够指导安全系统建设、安全产品采购和使用 的详细设计方案。第十二条信息系统在实施部署时，应全面评估信息系 统部署的网络环境、系统环境以及数据库的安全性能够确保 应用系统自身的安全需求。第十三条信息系统应在测试环境中进行测试，以避免 对已经运行信息系统产生影响，在测试过程中应进行测试汇 总和记录。第十四条 信息系统在自行进行信

5、息系统开发和实施时, 应确保开发环境与实际运行环境的物理分离，并制定软件开 发管理制度，明确开发过程的控制方法和人员行为准则。软 件设计相关文档和使用指南由开发项目组指定专人负责保 管。第十五条 选择外包人员进行软件开发时，应注意以下 安全控制：（一）应选择信誉与质量保证能力好的软件承包商。（二）应通过外包合同限制软件质量、安全性和适用性的 检验，并保留检查权利。（三）应通过外包合同明确软件许可权、代码以及相关产 品的知识产权。（四）应签署项目保密协议，对项目成果、数据、管理标 准以及相关的中心内部信息、敏感信息、重要信息进行保密 管理。（五）应通过合同明确代码存在后门、漏洞或安全隐患的 违约

6、或违法措施。第四章信息系统验收安全管理第十六条 系统建设负责人对信息系统进行验收，同时 对其中涉及的信息安全工程成果以及过程中的安全管理过 程进行验收确认。第十七条在测试验收前应根据设计方案、合同要求等 制订测试验收方案，在测试验收过程中应详细记录下测试验 收结果，形成测试验收报告。第十八条系统建设负责人组织相关部门和相关人员对 系统测试验收报告进行审定，并签字确认。第十九条信息系统交付验收时，应根据合同要求制定 系统交付的清单，依据交付清单进行清点，信息系统交付物 至少应包括：（一）信息系统运行所需要的全部设备；（二）信息系统运行所需要的全部软件；（三）信息系统文档，包括系统建设过程中的文档

7、，详细 的系统使用和维护文档；（四）信息系统应急方案；（五）信息系统使用培训教材。第二十条信息系统验收并移交后，信息系统运行人员 必须立即修改信息系统中所有账号的口令。第二十一条 信息系统在安全管理和控制方面存在以下 情况之一，不能通过验收：（一）信息系统未提交安全性测试报告；（二）信息系统的安全功能与安全需求、概要设计和详细 设计内容不一致；（三）通过第三方检测或测试发现信息系统存在安全隐患、 后门或漏洞；（四）信息系统的整体设计和实施不符合国家法律和相关 标准要求。第五章安全服务商选择第二十二条对安全服务商的选择，应对其经营声誉、 财务状况、相应的服务管理体制、责任承担能力、诚信历史、 安

8、全资质、技术服务水平和参与外包服务人员的素质进行审 核、评估。并确保安全服务商的选择符合国家的有关规定。第二十三条 所有安全服务项目都必须事先和安全服务 商签订书面合同，明确双方权利与职责，包括保密范围、安 全责任、违约责任等。第六章项目工程管理第二十四条 信息系统在建设过程的工程安全管理中应 至少包括如下管理内容：（一）信息系统建设的组织管理（二）信息系统建设的文档管理（三）信息系统建设的变更管理第二十五条信息系统建设的组织管理，应加强如下安 全控制：（一）应要求承建单位建立逐级解决问题的过程、提升信 息系统安全性的组织保障能力；（二）信息系统建设过程中应加强对于承建单位的监视和 评审工作，

9、定期组织对于信息系统承建单位和业务单位的协 商，建立稳定的问题管理、故障和安全事态追踪，确保信息 系统建设能够实现既定目标。第二十六条 信息系统建设的文档管理，应加强如下安 全控制：（一）信息系统建设各个阶段涉及的文档和交付应当符合 相关安全要求；（二）所有文档应设定密级、读者范围，以限定其访问范 围；（三）信息系统开发设计过程的所有相关文档应进行记录;第二十七条信息系统建设的变更管理，应加强对变更 本身的评估，在出现以下情况时可考虑变更：（一）评估现有信息系统建设是否对现有服务有所加强；（二）信息系统建设是否涉及新应用或系统功能的开发；（三）中心组织或控制程序是否发生变更；（四）解决信息安全事件或对信息安全措施有所改进。第七章附则第二十八条本规定由信息安全工作组负责解释和修订。 本规定自发布之日起执行。