1、项目及信息系统建设管理制度 *单位安全管理制度汇编项目及信息系统建设管理制度文件名称项目及信息系统建设管理管理制度密级内部文件编号版 本 号V1.0编写部门网络室编 写 人审 批 人发布时间2010-8-29编制说明为进一步贯彻党中央和国务院批准的国家信息化领导小组关于加强信息安全保障工作的意见及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求,特制定本制度。本制度依据我国信息安全的有关法律法规,结合*单位的自身业务特点、并参考国际有关信息安全标准制定的。*单位安全管理制度汇编项目及信息系
2、统建设管理制度,是针对所有IT建设项目,主要用于在IT项目立项过程中安全部分的方案规划、评估和安全管理。第一章 总则第一条制度目标:为了加强*单位信息安全保障能力,建立健全的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度旨在提高IT项目信息安全建设质量,加强IT项目建设安全管理工作。第二条适用范围:本制度适用于所有TCP/IP网络IT建设项目,主要用于IT项目立项过程中方案设计、规划的安全要求参考。第三条使用人员及角色职责:本制度适用于全体人员。第二章 安全要求第一节 项目建设安全管理的总体要求第四条项目建设安全管理
3、目标 一个项目的生命周期包括:项目申报、项目审批和立项、项目实施、项目验收和投产;从项目建设的角度来看,这些生命周期的阶段则包括以下子阶段:需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行,如下表所示。项目管理生命周期项目申报系统定级需求分析总体方案设计项目审批和立项项目实施概要设计、详细设计、系统实施项目验收和投产系统测试、试运行和投产 项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标,信息安全(INFOSEC)必须融合在项目管理和项目建设过程中,与组织的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标准、指令相一致。这种
4、融合应该产生一个信息系统安全工程(ISSE)项目,它要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点,最终得到一个可以接受水平的安全风险。第五条项目建设安全管理原则 信息建设项目建设安全管理应遵循如下原则:(一)全生命周期安全管理:信息安全管理必须贯穿信息系统建设项目建设的整个生命周期;(二)成本-效益分析:进行信息安全建设和管理应考虑投入产出比;(三)明确职责:每个参与项目建设和项目管理的人员都应该明确安全职责,应进行安全意识和职责培训,并落实到位;(四)管理公开:应保证每个项目参与人员都知晓和理解安全管理的模式和方法;(五)科学制衡:进行适当的职责分离,将业务的不同责任分配给不
5、同的责任人;(六)最小特权:人员对项目资产的访问权限制到最低限度,即仅赋予其执行授权任务所必需的权限。第六条项目建设安全管理要求 项目安全管理工作由信息安全管理部门负责,在项目的申报、审批、立项、实施、验收等关键环节中,必须有信息安全管理部门的参与和评审意见。应在项目规划中明确信息安全责任、义务与管理程序。第二节 项目申报安全管理标准项目申报阶段应对信息系统建设项目各个环节进行统一的安全管理规划,确定项目的等级保护系统保护级别、安全需求、安全目标、安全建设方案,以及生命周期各阶段的安全需求、安全目标、安全管理措施。由项目开发单位协同用户单位进行项目需求分析、确定总体目标和建设方案。第七条挖掘安
6、全需求在需求分析报告中除了描述系统业务需求之外,还应进行系统的安全性需求分析,应尽可能包括以下信息安全方面的内容: (一)等级保护等级:从信息系统自身对于国家、社会公共秩序、法人及其它合法权益的侵害及侵害程度,判别系统的等级保护级别。(二)安全威胁分析报告:应分析待建计算机系统在生命周期的各个阶段中可能遭受的自然威胁或者人为威胁(故意或无意),具体包括威胁列表、威胁可能性分析、威胁严重性分析等;(三)系统脆弱性分析报告:包括对系统造成问题的脆弱性的定性或定量的描述,这些问题是被攻击的可能性、被攻击成功的可能性;(四)影响分析报告:描述威胁利用系统脆弱性可能导致不良影响。影响可能是有形的,例如资
7、金的损失或收益的减少,或可能是无形的,例如声誉和信誉的损失;(五)风险分析报告:安全风险分析的目的在于识别出一个给定环境中涉及到对某一系统有依赖关系的安全风险。它取决于上面的威胁分析、脆弱性分析和影响分析,应提供风险清单以及风险优先级列表;(六)系统安全需求报告:针对安全风险,应提出安全需求,对于每个不可接受的安全风险,都至少有一个安全需求与其对应。第八条安全可行性在信息系统建设项目可行性研究报告的以下条目中应增加相应的信息安全方面的内容: (一)项目目标、主要内容与关键技术:增加信息系统建设项目的总体安全目标,并在主要内容后面增加针对前面分析出的安全需求所提出的相应安全对策,每个安全需求都至
8、少对应一个安全对策,安全对策的强度应根据相应资产的重要性来选择;(二)项目采用的技术路线或者技术方案:增加描述如何从技术、运作、组织以及制度四个方面来实现所有的安全对策,并形成安全方案; (三)项目的承担单位及人员情况介绍:增加项目各承担单位的信息安全方面的资质和经验介绍,并增加介绍项目主要参与人员的信息安全背景;(四)项目安全管理:安全级别达到重要级以上的项目应增加项目建设中的安全管理模式、安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求,项目安全管理人员由XXX部主管及信息安全管理部门人员担任,信息安全管理部门人员具体对项目安全进行监管; (五)成本效益分析:对安全
9、方案进行成本-效益分析。(六)对投入使用的应用软件需要升级改造的,虽不需另行立项,但仍需参照上述方法进行一定的安全性分析,并针对可能发生的安全问题提出和实现相应安全对策。第三节 系统定级管理 单位应根据信息系统等级保护管理办法和信息系统安全保护等级定级指南以及上级定级指导意见,初步确定系统安全保护等级。定级工作需要符合如下要求:(一)应明确信息系统的边界和安全保护等级; (二)应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由;(三)定级结果有本单位信息安全主管领导的批准;(四)定级结果有上级主管单位批准;(五)应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论
10、证和审定;(六)应确保信息系统的定级结果经过相关部门的批准。第四节 方案论证和审批安全管理标准本阶段主要是XXX部主管组织人员对项目申报内容中的信息安全需求与解决方案部分进行论证,必要时可以聘请外单位的专家参与论证工作。第九条安全性论证和审批安全性论证应着重对项目的安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析,给出明确的结论: (一)适当(二)不合适(否决)(三)需作复议对论证结论为“需作复议”的项目,通知申报单位对有关内容进行必要的补充或者修改后,再次提交复审。第十条项目安全立项审批后,项目审批单位将对项目进行立项,以下条目中应增加相应的计算机安全方面的内
11、容: (一)项目的管理模式、组织结构和责任:增加项目建设中的安全管理模式、安全组织结构以及人员的安全职责;(二)项目实施的基本程序和相应的管理要求:增加项目建设实施中的安全操作程序和相应安全管理要求;(三)项目设计目标、主要内容和关键技术:增加总体安全目标、安全对策以及用于实现安全对策的总体安全方案;(四)项目实现功能和性能指标:增加描述系统拥有的具体安全功能以及安全功能的强度;(五)项目验收考核指标:增加安全性测试和考核指标。(六)立项的项目,如采用引进、合作开发或者外包开发等形式,则需与第三方签订安全保密协议。第五节 项目实施方案和实施过程安全管理信息系统建设项目实施阶段包括3个子阶段:概
12、要设计、详细设计和项目实施,本阶段的主要工作由项目实施单位来完成,项目审批单位负责监督工作。概要设计子阶段的安全要求。在概要设计阶段,系统层次上的设计要求和功能指标都被分配到了子系统层次上,这个子阶段的安全目标是保证各子系统设计实现了总体安全方案中的安全功能。因此,概要设计说明书中应尽可能达到以下安全要求: (一)应当按子系统来描述系统的安全体系结构;(二)应当描述每一个子系统所提供的安全功能;(三)应当标识所要求的任何基础性的硬件、固件或软件,和在这些硬件、固件或软件中实现的支持性保护机制提供的功能表示;(四)应当标识子系统的所有接口,并说明哪些接口是外部可见的;(五)描述子系统所有接口的用
13、途与使用方法,并适当提供影响、例外情况和错误消息的细节;(六)确证子系统(不论是开发的,还是买来的)的安全功能指标满足系统安全需求。第十一条详细设计子阶段的安全要求无论是新开发一个系统,或是对一个系统进行修改,本阶段的任务是完成那些不能买到现成品的软硬件模块的设计。先要完成每个模块的详细设计方案,最后根据每个模块的详细设计得到整个系统的详细设计。本子阶段的安全目标是保证各模块设计实现了概要设计中的安全功能,因此在这一阶段的详细设计说明书中至少要包括以下信息安全内容:(一)详细设计中应提出相应的具体安全方案,标明实现的安全功能,并应检查其技术原理;(二)对系统层面上的和模块层面上的安全设计进行审
14、查;(三)完成安全测试和评估要求(通常包括完整的系统的、软件的、硬件的安全测试方案,至少是相关测试程序的一个草案);(四)确认各模块的设计,以及模块间的接口设计能满足系统层面的安全要求。第十二条项目实施子阶段的安全要求无论是新开发一个系统或是进行系统修改,本阶段的主要目的是将所有的模块(软硬件)集成为完整的系统,并且检查确认集成以后的系统符合要求。本阶段中,应完成以下具体信息安全工作:(一)更新系统安全威胁评估,预测系统的使用寿命;(二)找出并描述实现安全方案后系统和模块的安全要求和限制,以及相关的系统验证机制及检查方法;(三)完善系统的运行程序和全生命期支持的安全计划,如密钥的分发等;(四)
15、在系统集成操作手册中,应制定安全集成的操作程序;(五)在系统修改操作手册中,应制定系统修改的安全操作程序;(六)对项目参与人员进行信息安全意识培训;(七)并对参加项目建设的安全管理和技术人员的安全职责进行检查。(八)在软件的开发被外包的地方,应当考虑如下几点:a.检查代码的所有权和知识产权情况;b.质量合格证和所进行的工作的精确度;c.在第三方发生故障的情况下,有第三方备份保存;d.进行质量审核;e.在合同上有代码质量方面的要求;f.在安装之前进行测试以检测特洛伊代码;g.提供源代码以及相关设计、实施文档;h.重要的项目建设中还要对源代码进行审核。(九)如果软件是自主开发的,则需注意上述的d、
16、f、g、h点要求。(十)计算机系统集成的信息技术产品(如操作系统、数据库等)或安全专用产品(如防火墙、IDS等)应达到以下要求:1.对项目实施所需的计算机及配套设备、网络设备、重要机具、 计算机软件产品的购置,计算机应用系统的合作开发或者外包开发的确定,按现有制度中的相关规定执行;2.安全专用产品应具有国家职能部门颁发的信息安全专用产品的销售许可证;3.密码产品符合国家密码主管部门的要求,来源于国家主管部门批准的密码研制单位;4.关键安全专用产品应获得国家相关安全认证,在选型中根据实际需要制定安全产品选型的标准;5.关键信息技术产品的安全功能模块应获得国家相关安全认证,在选型中根据实际需要制定
17、信息技术产品选型的标准。(十一)产品和服务供应商应达到以下要求:1.系统集成商的资质要求:至少要拥有国家权威部门认可的系统一级集成资质,对于较为重要的系统应有更高级别的集成资质;2.工商要求:a.产品、系统或服务提供单位的营业执照和税务登记在合法期限内;b.产品、系统或服务提供商的产品、系统或服务的提供资格;c.连续赢利期限要求;d.连续无相关法律诉讼年限要求;e.没有发生重大管理、技术人员变化和流动的期限要求;f.没有发生主业变化期限要求。3.安全服务商资质:至少应具有国家一级安全服务资质,对于较为重要的系统应有更高级别的安全服务资质;4.人员资质要求:系统集成人员、安全服务人员以及相关管理
18、人员应获得国家权威部门颁发的信息安全人员资质认证;5.其它要求:系统符合国家相关法律、法规,按照相关主管部门的技术管理规定对非法信息和恶意代码进行有效控制,按照有关规定对设备进行控制,使之不被作为非法攻击的跳板。第六节 安全方案设计管理(一)应根据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施;(二)单位指定和授权XXX部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;(三)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;(四)应组织相关部门和有关安全技术
19、专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;(五)应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。第七节 产品采购和使用管理(一)应确保安全产品采购和使用符合国家的有关规定;(二)应确保密码产品采购和使用符合国家密码主管部门的要求;(三)应指定或授权专门的部门负责产品的采购; (四)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。(五)对项目实施所需的计算机及配套设备、网络设备、重要
20、机具、 计算机软件产品的购置,计算机应用系统的合作开发或者外包开发的确定,按现有制度中的相关规定执行;(六)安全专用产品应具有国家职能部门颁发的信息安全专用产品的销售许可证;(七)密码产品符合国家密码主管部门的要求,来源于国家主管部门批准的密码研制单位;(八)关键安全专用产品应获得国家相关安全认证,在选型中根据实际需要制定安全产品选型的标准;(九)关键信息技术产品的安全功能模块应获得国家相关安全认证,在选型中根据实际需要制定信息技术产品选型的标准。第八节 自行软件开发管理(一)应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制;(二)应制定软件开发管理制度
21、,明确说明开发过程的控制方法和人员行为准则;(三)应制定代码编写安全规范,要求开发人员参照规范编写代码;(四)应确保提供软件设计的相关文档和使用指南,并由专人负责保管;(五)应确保对程序资源库的修改、更新、发布进行授权和批准。第九节 外包软件开发管理(一)应根据开发需求检测软件质量;(二)应在软件安装之前检测软件包中可能存在的恶意代码;(三)应要求开发单位提供软件设计的相关文档和使用指南;(四)应要求开发单位提供软件源代码,并审查软件中可能存在的后门。(五)检查代码的所有权和知识产权情况;(六)质量合格证和所进行的工作的精确度;(七)在第三方发生故障的情况下,有第三方备份保存;(八)进行质量审
22、核;(九)在合同上有代码质量方面的要求;(十)在安装之前进行测试以检测特洛伊代码;(十一)提供源代码以及相关设计、实施文档;(十二)重要的项目建设中还要对源代码进行审核。第十节 工程实施管理(一)应指定或授权专门的部门或人员负责工程实施过程的管理;(二)应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程;(三)应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。第十一节 测试验收管理(一)应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告;(二)在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录
23、测试验收结果,并形成测试验收报告;(三) 应对系统测试验收的控制方法和人员行为准则进行书面规定;(四) 应指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作;(五)应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。第十二节 系统交付管理(一)应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;(二)应对负责系统运行维护的技术人员进行相应的技能培训;(三)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档;(四)应对系统交付的控制方法和人员行为准则进行书面规定;(五)应指定或授权专门的部门负责系统交付的管理工作
24、,并按照管理规定的要求完成系统交付工作。第十三节 系统备案管理(一)指定XXX部门或人员负责管理系统定级的相关材料,并控制这些材料的使用;(二)应将系统等级及相关材料报系统主管部门备案;(三)应将系统等级及其他要求的备案材料报相应公安机关备案。第十四节 等级测评管理(一)在系统运行过程中,至少每年对3级系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改;(二)应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;(三)应选择具有国家相关技术资质和安全资质的测评单位进行等级测评;(四)要求技术测评机构提供相关
25、材料。包括营业执照、声明、证明及资质材料等;(五)与测评机构签订保密协议;(六)要求测评机构制定技术检测方案;(七)具体项目将指定具体人员负责等级测评的管理。第十五节 安全服务商选择管理(一)应确保安全服务商的选择符合国家的有关规定;(二)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;(三)应确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同。(四)系统集成商的资质要求:至少要拥有国家权威部门认可的系统一级集成资质,对于较为重要的系统应有更高级别的集成资质;(五)工商要求:g.产品、系统或服务提供单位的营业执照和税务登记在合法期限内;h.产品、系统或服务提供商的产
26、品、系统或服务的提供资格;i.连续赢利期限要求;j.连续无相关法律诉讼年限要求;k.没有发生重大管理、技术人员变化和流动的期限要求;l.没有发生主业变化期限要求。(六)安全服务商资质:至少应具有国家一级安全服务资质,对于较为重要的系统应有更高级别的安全服务资质;(七)人员资质要求:系统集成人员、安全服务人员以及相关管理人员应获得国家权威部门颁发的信息安全人员资质认证;(八)其它要求:系统符合国家相关法律、法规,按照相关主管部门的技术管理规定对非法信息和恶意代码进行有效控制,按照有关规定对设备进行控制,使之不被作为非法攻击的跳板。第十六节 项目验收与投产安全管理标准第十三条安全测评应制定研发、投
27、产与验收等过程中的安全测试与验收大纲,在项目实施完成后,由项目用户单位、项目开发单位共同组织进行测试。在测试大纲中应至少包括以下安全性测试和评估要求: (一)配置管理:项目实施单位应使用配置管理系统,并提供配置管理文档;(二)交付程序:应将把系统及其部分交付给用户的程序文档化;(三)安装、生成和启动程序:应制定安装、生成和启动程序,并保证最终产生了安全的配置;(四)安全功能测试:对系统的安全功能进行测试,以保证其符合详细设计并对详细设计进行检查,保证其符合概要设计以及总体安全方案;(五)系统管理员指南:应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息;(六)
28、系统用户指南:必须包含两方面的内容:首先,它必须解释那些用户可见的安全功能的用途以及如何使用它们,这样用户可以持续有效地保护他们的信息;其次,它必须解释在维护系统的安全时用户所能起的作用;(七)安全功能强度评估:功能强度分析应说明以概率或排列机制(如,口令字或哈希函数)实现的系统安全功能。例如,对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求;(八)脆弱性分析:应分析所采取的安全对策的完备性(安全对策是否可以满足所有的安全需求)以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容,以判断它们在实际应用中是否会被利用来削弱系统的安全。(九)测试
29、完成后,项目测试小组应提交测试报告,其中应包括安全性测试和评估的结果。不能通过安全性测试评估的,由测试小组提出修改意见,项目实施单位应作进一步修改。第十四条安全试运行测试通过后,由项目用户单位组织进入试运行阶段,应有一系列的安全措施来维护系统安全,它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。具体工作如下:(一)监测系统的安全性能,包括事故报告;(二)进行用户安全培训,并对培训进行总结;(三)监视与安全有关的部件的拆除处理;(四)监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素;(五)监测安全部件的备份支持,支持与系统安全有
30、关的维护培训;(六)评估大大小小的系统改动对安全造成的影响;(七)监测系统物理和功能配置,包括运行过程,因为一些不太显眼的改变可能影响系统的安全风险。(八)在试运行情况报告中应对上述工作做总结性描述。第十五条安全验收在项目建设要求中规定的系统试运行过程结束后,项目开发单位可以组织用户单位人员参加的项目验收组对项目进行验收。验收应增加以下安全内容:(一)项目是否已达到项目任务书中制定的总体安全目标和安全指标,实现全部安全功能; (二)采用技术是否符合国家、行业有关安全技术标准及规范; (三)是否实现验收测评的安全技术指标;(四)项目建设过程中的各种文档资料是否规范、齐全;(五)在验收报告中也应在
31、以下条目中反映对系统安全性验收的情况:(六)项目设计总体安全目标及主要内容;(七)项目采用的关键安全技术;(八)验收专家组中的安全专家及安全验收评价意见。第十六条投产后的监控与跟踪项目投产后还应进行一段时间的监控和跟踪,应用系统的管理人员负责监控和跟踪工作,具体包括以下要求: (一)应对系统关键安全性能的变化情况进行监控,了解其变化的原因;(二)对系统安全事故的发生、应急、处理、恢复、总结进行全程跟踪,并编写详细的记录;(三)监控新增的安全部件对系统安全的影响;(四)跟踪安全有关部件的拆除处理情况,并监控随后系统安全性的变化;(五)对新发现的对系统安全的攻击进行监控,记录其发生的频率以及对系统的影响;(六)监控系统所受威胁的变化,评估其发生的可能性以及可能造成的影响;(七)监控并跟踪安全部件的备份情况;(八)监控运行程序的变化,并记录这些变化对系统安全的影响;(九)监控系统物理环境的变化情况,并记
