系統(tǒng)建設(shè)管理制度

1、系統(tǒng)建設(shè)管理制 度系統(tǒng)定級(jí)1. 根據(jù)此系統(tǒng)的整體規(guī)劃和設(shè)計(jì)運(yùn)行需要，按照信息系統(tǒng)安全等級(jí)保 護(hù)定級(jí)指南，此系統(tǒng)的安全保護(hù)等級(jí)擬定為三級(jí)。2. 以書面的形式定義確定了安全保護(hù)等級(jí)的信息系統(tǒng)的屬性，包括使 命、業(yè)務(wù)、網(wǎng)絡(luò)、硬件、軟件、數(shù)據(jù)、邊界、人員等。3. 確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門的批準(zhǔn)。安全方案設(shè)計(jì)和審定1. 根據(jù)此系統(tǒng)的安全等級(jí)保護(hù)級(jí)別選擇安全措施，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果 補(bǔ)充和調(diào)整相應(yīng)的安全措施。2. 以書面的形式描述對(duì)系統(tǒng)的安全保護(hù)要求和策略、安全措施等內(nèi)容， 形成系統(tǒng)的安全方案。3. 對(duì)安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)和安全產(chǎn)品采購(gòu)的詳 細(xì)設(shè)4、f 、亠計(jì)方案。5.組織相

2、關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性 進(jìn)行論證和審定。三、產(chǎn)品采購(gòu)1. 確保采購(gòu)的所有產(chǎn)品（包括網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品等）都符合國(guó)家的 有關(guān)規(guī)定和信息安全等級(jí)保護(hù)對(duì)應(yīng)等級(jí)的相關(guān)標(biāo)準(zhǔn)。2確保所采購(gòu)的所有密碼產(chǎn)品都符合國(guó)家密碼主管部門的要求。指定.或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)。四、自行軟件開(kāi)發(fā)1. 確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)。2. 確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南。3. 在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼，并制定惡意軟件 代碼檢測(cè)文檔。確保系統(tǒng)開(kāi)發(fā)文檔由專人負(fù)責(zé)保管，系統(tǒng)開(kāi)發(fā)文檔的使用受到控制， 并對(duì)系統(tǒng)開(kāi)發(fā)文檔的使用進(jìn)行認(rèn)證的書面記錄。五、外包軟件開(kāi)發(fā)1.

3、與軟件開(kāi)發(fā)單位簽訂相應(yīng)的軟件開(kāi)發(fā)協(xié)議，明確知識(shí)產(chǎn)權(quán)的歸屬和安 全方面的要求。2. 根據(jù)軟件開(kāi)發(fā)協(xié)議的要求檢測(cè)軟件質(zhì)量，或者請(qǐng)第三方軟件測(cè)試單位 對(duì)軟件質(zhì)量進(jìn)行檢測(cè)。3. 在軟件安裝之前和應(yīng)用系統(tǒng)正式上線之前檢測(cè)軟件包中可能存在的惡 意代碼。4. 要求軟件設(shè)計(jì)開(kāi)發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南。5. 要求軟件開(kāi)發(fā)單位針對(duì)軟件的安裝、使用和注意事項(xiàng)進(jìn)行相關(guān)培訓(xùn)。六、工程實(shí)施1. 項(xiàng)目開(kāi)始實(shí)施之前，應(yīng)與工程實(shí)施單位簽訂與安全相關(guān)的協(xié)議，以 約束工 程實(shí)施單位的行為和工程實(shí)施的質(zhì)量。2. 在項(xiàng)目實(shí)施的過(guò)程中，應(yīng)指定或授權(quán)專門的人員或部門負(fù)責(zé)工程實(shí)施 整個(gè) 過(guò)程的管理，必要時(shí)可引入外部信息工程監(jiān)理

4、機(jī)構(gòu)進(jìn)行工程實(shí)施 的監(jiān)理。3. 應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程，確保工程的進(jìn)度和工程的 完成質(zhì)量。4應(yīng)制定工程實(shí)施方面的管理規(guī)范，明確說(shuō)明實(shí)施過(guò)程的控制方法和人 員行 為準(zhǔn)則，及時(shí)提交相關(guān)表單文檔。七、測(cè)試驗(yàn)收1. 系統(tǒng)建設(shè)完成之后，應(yīng)組織對(duì)系統(tǒng)進(jìn)行軟件運(yùn)行測(cè)試、系統(tǒng)應(yīng)用測(cè) 試、系統(tǒng)安全性測(cè)試等。2. 在測(cè)試驗(yàn)收前根據(jù)系統(tǒng)設(shè)計(jì)方案和合同要求等制訂測(cè)試驗(yàn)收方案，測(cè) 試驗(yàn) 收過(guò)程中詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，形成測(cè)試驗(yàn)收?qǐng)?bào)告。3. 對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定。4指定或授權(quán)專門的部門或人員負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理 規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作。系統(tǒng)測(cè)試驗(yàn)收過(guò)程中，

5、要重視 系統(tǒng)安全性 測(cè)試，應(yīng)針對(duì)安全性測(cè)試專門設(shè)計(jì)測(cè)試方案，形成測(cè)試報(bào) 告。5.組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，沒(méi)有疑問(wèn)后 由雙方簽字。八、系統(tǒng)交付1. 對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定。2. 明確系統(tǒng)的交接手續(xù)，形成書面系統(tǒng)交接流程，并按照交接流程完 成交接工作。3. 制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件 和文檔 等進(jìn)行清點(diǎn)和確認(rèn)；4. 系統(tǒng)交付后，應(yīng)敦促系統(tǒng)建設(shè)方完成對(duì)委托建設(shè)方的運(yùn)維技術(shù)人員的 相關(guān)培訓(xùn)工作。5系統(tǒng)交付后，應(yīng)敦促系統(tǒng)建設(shè)方提交系統(tǒng)建設(shè)過(guò)程中的相關(guān)文檔和指 導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的技術(shù)文檔。6系統(tǒng)交付后，系統(tǒng)建設(shè)方應(yīng)進(jìn)行一定期限的服務(wù)承諾，并提交服務(wù)承 諾書，及時(shí)的對(duì)系統(tǒng)運(yùn)行維護(hù)提供技術(shù)支持，以確保系統(tǒng)能夠安全