基層單位信息系統(tǒng)安全等級保護(hù)三級管理制度

1、版本號：1.(). xxxx信息系統(tǒng)生存周期管理規(guī)定第一章總那么第一條為了進(jìn)一步規(guī)范我單位信息系統(tǒng)生存周期管理工作，根據(jù)信息安 全等級保護(hù)管理方法、信息系統(tǒng)安全管理要求(GBT 20269-2006)和其他有 關(guān)法律法規(guī)的規(guī)定，結(jié)合本單位實際，特制定本規(guī)定。第二條本規(guī)定適用于我單位信息系統(tǒng)安全管理人員和技術(shù)人員進(jìn)行信息系 統(tǒng)生存周期管理工作，包括規(guī)劃和立項管理、建設(shè)過程管理、系統(tǒng)啟用和終止管 理等工作。第三條信息系統(tǒng)生存周期管理工作的責(zé)任部門為單位信息中心。第二章規(guī)劃和立項管理第四條規(guī)劃和立項管理的內(nèi)容包括三個方面：系統(tǒng)規(guī)劃、系統(tǒng)需求、系統(tǒng) 開發(fā)的立項。第五條制定包括信息系統(tǒng)的總體安全策略、安

2、全保障體系的安全技術(shù)框架 和安全管理策略的安全策略規(guī)劃并得到信息安全領(lǐng)導(dǎo)小組的批準(zhǔn)；根據(jù)安全策略 規(guī)劃制定安全建設(shè)和安全改造的規(guī)劃，以及近期和遠(yuǎn)期的開展制定工作計劃，并 得到信息安全領(lǐng)導(dǎo)小組的批準(zhǔn)。第六條信息系統(tǒng)應(yīng)用部門或業(yè)務(wù)部門需要開發(fā)新的業(yè)務(wù)應(yīng)用系統(tǒng)或更改 已運(yùn)行的業(yè)務(wù)應(yīng)用系統(tǒng)時，應(yīng)分析該新業(yè)務(wù)將會產(chǎn)生的經(jīng)濟(jì)效益和社會效益，確 定其重要性，并以書面形式提出申請；第七條對于一般的系統(tǒng)開發(fā)工程，接到系統(tǒng)需求的書面申請，必須經(jīng)過主 管領(lǐng)導(dǎo)的審批，或者經(jīng)過管理層的討論批準(zhǔn)，才能正式立項。第三章建設(shè)過程管理第八條 建設(shè)過程管理的內(nèi)容包括五個方面：建設(shè)工程準(zhǔn)備、工程工程外包 要求、自行開發(fā)環(huán)境控制、安

3、全產(chǎn)品使用要求、建設(shè)工程測試驗收。第九條對信息系統(tǒng)建設(shè)和改造工程應(yīng)明確指定工程負(fù)責(zé)人，監(jiān)督和管理項 目的全過程；應(yīng)制定詳細(xì)的工程實施計劃，作為工程管理過程的依據(jù)；要求將安 全工程工程過程有效程序化；建立工程實施監(jiān)理管理制度；應(yīng)明確指定工程實施 監(jiān)理負(fù)責(zé)人。第十條對信息系統(tǒng)工程工程外包，應(yīng)選擇具有服務(wù)資質(zhì)的信譽(yù)較好的廠商, 要求其已獲得國家主管部門的資質(zhì)認(rèn)證并取得許可證書、能有效實施安全工程過 程、有成功的實施案例；第十一條對自行開發(fā)信息系統(tǒng)的建設(shè)和改造工程時，應(yīng)明確要求開發(fā)環(huán)境 與實際運(yùn)行環(huán)境做到物理分開，建立完全獨(dú)立的兩個環(huán)境；開發(fā)及測試活動也應(yīng) 盡可能分開；第十二條信息安全產(chǎn)品包括構(gòu)成信息

4、系統(tǒng)安全保護(hù)功能的信息技術(shù)硬件、 軟件、固件設(shè)備，以及安全檢查、檢測驗證工具等，信息系統(tǒng)使用的信息安全產(chǎn) 品應(yīng)按照相應(yīng)的安全保護(hù)等級的要求選擇相應(yīng)等級的產(chǎn)品。第十三條信息系統(tǒng)建設(shè)和改造工程的安全系統(tǒng)需要進(jìn)行安全測試驗收，并 規(guī)定安全測試驗收負(fù)責(zé)人；測試驗收前，應(yīng)制訂測試和接收標(biāo)準(zhǔn)，并在接收前對 系統(tǒng)進(jìn)行測試；應(yīng)確保新系統(tǒng)的接收要求和標(biāo)準(zhǔn)被清晰定義并文檔化。對安全系 統(tǒng)的測試包括：對組成系統(tǒng)的所有部件進(jìn)行安全性測試；對系統(tǒng)進(jìn)行集成性安全 測試；對業(yè)務(wù)應(yīng)用進(jìn)行安全測試等；第四章系統(tǒng)啟用和終止管理第十四條系統(tǒng)啟用和終止管理的內(nèi)容包括二個方面：新系統(tǒng)啟用管理、終 止運(yùn)行管理。第十五條在新的信息系統(tǒng)或子

5、系統(tǒng)、信息系統(tǒng)設(shè)備在啟用以前.，應(yīng)經(jīng)過正 式測試驗收，進(jìn)行一定期限的試運(yùn)行，經(jīng)過管理者、技術(shù)負(fù)責(zé)人、用戶和安全專 家對試運(yùn)行進(jìn)行專項安全評估后，由使用者提出申請，得到安全管理人員和技術(shù) 負(fù)責(zé)人認(rèn)可，并經(jīng)過信息安全領(lǐng)導(dǎo)小組組長批準(zhǔn)，形成文檔備案，才能正式投入 使用。第十六條任何現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備需要終止運(yùn)行時，應(yīng) 由使用者或管理者提出申請并說明原因，采取必要的安全措施，并進(jìn)行數(shù)據(jù)和軟 件備份，對終止運(yùn)行的設(shè)備進(jìn)行不可恢復(fù)的數(shù)據(jù)清除，如果存儲設(shè)備損壞那么必須 采取銷毀措施，得到安全管理人員和技術(shù)負(fù)責(zé)人認(rèn)可，并經(jīng)過主管單位領(lǐng)導(dǎo)批準(zhǔn), 并形成文檔備案，才能正式終止運(yùn)行。第五章附那么第十七條本規(guī)定由單位信