項目及信息系統(tǒng)建設管理系統(tǒng)規(guī)章制度

1、«*單位安全管理制度匯編項目與信息系統(tǒng)建設管理制度編制說明2第一章總?cè)绱?第二章安全要求3第一節(jié)項目建設安全管理的總體要求 3第二節(jié)項目申報安全管理標準 4第三節(jié)系統(tǒng)定級管理6第四節(jié)方案論證和審批安全管理標準6第五節(jié) 項目實施方案和實施過程安全管理標準7第六節(jié)安全方案設計管理 10 第七節(jié)產(chǎn)品采購和使用管理10第八節(jié)自行軟件開發(fā)管理 11 第九節(jié)夕卜包軟件開發(fā)管理 11 第十節(jié)工程實施管理12 第十一節(jié)測試驗收管理12 第十二節(jié)系統(tǒng)交付管理13 第十三節(jié)系統(tǒng)備案管理13 第十四節(jié)等級測評管理13 第十五節(jié)安全服務商選擇管理14第十六節(jié) 項目驗收與投產(chǎn)安全管理標準15第三章評估和論證安

2、全管理 18第四章附如此19第一節(jié)文擋信息19 第二節(jié)版本控制19 第三節(jié)其他信息19文件名稱項目與信息系統(tǒng)建設管理管理制度密級內(nèi)部文件編號版本號編寫部門網(wǎng)絡室編寫人審批人發(fā)布時間2010-8-29編制說明為進一步貫徹黨中央和國務院批準的國家信息化領導小組關于加強信 息安全保障工作的意見與其“重點保護根底信息網(wǎng)絡和重要信息系統(tǒng)安全 的思想、貫徹信息產(chǎn)業(yè)部“積極預防、與時發(fā)現(xiàn)、快速反響、確?；謴偷?方針和“同步規(guī)劃、同步建設、同步運行的要求，特制定本制度。本制度依據(jù)我國信息安全的有關法律法規(guī)，結(jié)合*單位的自身業(yè)務特點、并參考國際有關信息安全標準制定的。*單位安全管理制度匯編項目與信息系統(tǒng)建設管理

3、制度，是針對所 有IT建設項目，主要用于在IT項目立項過程中安全局部的方案規(guī)劃、評估 和安全管理。第一章總?cè)绱说谝粭l 制度目標：為了加強*單位信息安全保障能力，建立健全的安全 管理體系，提高整體的網(wǎng)絡與信息安全水平，保證網(wǎng)絡通信暢通和業(yè)務系統(tǒng)的正 常運營，提高網(wǎng)絡服務質(zhì)量，在安全體系框架下，本制度旨在提高IT項目信息安全建設質(zhì)量，加強IT項目建設安全管理工作。第二條 適用X圍：本制度適用于所有TCP/IP網(wǎng)絡IT建設項目，主要用于 IT項目立項過程中方案設計、規(guī)劃的安全要求參考。第三條 使用人員與角色職責：本制度適用于全體人員。第二章安全要求第一節(jié)項目建設安全管理的總體要求第四條 項目建設安全

4、管理目標一個項目的生命周期包括：項目申報、項目審批和立項、項目實施、項目 驗收和投產(chǎn)；從項目建設的角度來看，這些生命周期的階段如此包括以下 子階段：需求分析、總體方案設計、概要設計、詳細設計、系統(tǒng)實施、系統(tǒng)測試和試運行，如下表所示項目管理生命周期項目申報系統(tǒng)定級 需求分析 總體方案設計項目審批和立項項目實施概要設計、詳細設計、系統(tǒng)實施項目驗收和投產(chǎn)系統(tǒng)測試、試運行和投產(chǎn)項目建設安全管理的目標就是保證整個項目管理和建設過程中系統(tǒng)的安全。為了達到這個目標，信息安全INFOSEC必須融合在項目管理和項 目建設過程中，與組織的業(yè)務需求、環(huán)境要求、項目計劃、本錢效益以與 國家和地方的政策、標準、指令相一

5、致。這種融合應該產(chǎn)生一個信息系統(tǒng) 安全工程ISSE項目，它要確認、評估、并且消除或控制住系統(tǒng)對或假 定的威脅的脆弱點，最終得到一個可以承受水平的安全風險。第五條 項目建設安全管理原如此信息建設項目建設安全管理應遵循如下原如此：（一）全生命周期安全管理：信息安全管理必須貫穿信息系統(tǒng)建設項目 建設的整個生命周期；（二）本錢-效益分析：進展信息安全建設和管理應考慮投入產(chǎn)出比；（三）明確職責：每個參與項目建設和項目管理的人員都應該明確安全 職責，應進展安全意識和職責培訓，并落實到位；（四）管理公開：應保證每個項目參與人員都知曉和理解安全管理的模 式和方法；（五）科學制衡：進展適當?shù)穆氊焺e離，將業(yè)務的不

6、同責任分配給不同 的責任人；（六）最小特權：人員對項目資產(chǎn)的訪問權限制到最低限度，即僅賦予 其執(zhí)行授權任務所必需的權限。第六條 項目建設安全管理要求項目安全管理工作由信息安全管理部門負責， 在項目的申報、審批、立項、實施、 驗收等關鍵環(huán)節(jié)中，必須有信息安全管理部門的參與和評審意見。 應在項目規(guī)劃 中明確信息安全責任、義務與管理程序。第二節(jié)項目申報安全管理標準項目申報階段應對信息系統(tǒng)建設項目各個環(huán)節(jié)進展統(tǒng)一的安全管理規(guī)劃，確定項目的等級保護系統(tǒng)保護級別、安全需求、安全目標、安全建設方案，以與生 命周期各階段的安全需求、安全目標、安全管理措施。由項目開發(fā)單位協(xié)同用戶單位進展項目需求分析、確定總體目

7、標和建設方 案。第七條挖掘安全需求在需求分析報告中除了描述系統(tǒng)業(yè)務需求之外，還應進展系統(tǒng)的安全 性需求分析，應盡可能包括以下信息安全方面的內(nèi)容：（一）等級保護等級：從信息系統(tǒng)自身對于國家、社會公共秩序、法人 與其它合法權益的侵害與侵害程度，判別系統(tǒng)的等級保護級別。（二）安全威脅分析報告：應分析待建計算機系統(tǒng)在生命周期的各個階 段中可能遭受的自然威脅或者人為威脅故意或無意，具體包括威 脅列表、威脅可能性分析、威脅嚴重性分析等；（三）系統(tǒng)脆弱性分析報告：包括對系統(tǒng)造成問題的脆弱性的定性或定 量的描述，這些問題是被攻擊的可能性、被攻擊成功的可能性；（四）影響分析報告：描述威脅利用系統(tǒng)脆弱性可能導致不

8、良影響。影 響可能是有形的，例如資金的損失或收益的減少，或可能是無形的，例如聲譽和信譽的損失；（五）風險分析報告：安全風險分析的目的在于識別出一個給定環(huán)境中 涉與到對某一系統(tǒng)有依賴關系的安全風險。它取決于上面的威脅 分析、脆弱性分析和影響分析，應提供風險清單以與風險優(yōu)先級 列表；（六）系統(tǒng)安全需求報告：針對安全風險，應提出安全需求，對于每個 不可承受的安全風險，都至少有一個安全需求與其對應。第八條安全可行性在信息系統(tǒng)建設項目可行性研究報告 的以下條目中應增加相應的信息 安全方面的內(nèi)容：（一）項目目標、主要內(nèi)容與關鍵技術：增加信息系統(tǒng)建設項目的總體 安全目標，并在主要內(nèi)容后面增加針對前面分析出的

9、安全需求所提 出的相應安全對策，每個安全需求都至少對應一個安全對策，安全 對策的強度應根據(jù)相應資產(chǎn)的重要性來選擇；（二）項目采用的技術路線或者技術方案：增加描述如何從技術、運作、 組織以與制度四個方面來實現(xiàn)所有的安全對策，并形成安全方案；（三）項目的承當單位與人員情況介紹：增加項目各承當單位的信息安 全方面的資質(zhì)和經(jīng)驗介紹，并增加介紹項目主要參與人員的信息 安全背景；（四）項目安全管理：安全級別達到重要級以上的項目應增加項目建設 中的安全管理模式、安全組織結(jié)構、人員的安全職責、建設實施 中的安全操作程序和相應安全管理要求，項目安全管理人員由 XXX部主管與信息安全管理部門人員擔任，信息安全管理

10、部門人 員具體對項目安全進展監(jiān)管；（五）本錢效益分析：對安全方案進展本錢-效益分析。（六）對投入使用的應用軟件需要升級改造的，雖不需另行立項，但仍 需參照上述方法進展一定的安全性分析，并針對可能發(fā)生的安全 問題提出和實現(xiàn)相應安全對策。第三節(jié)系統(tǒng)定級管理單位應根據(jù)信息系統(tǒng)等級保護管理方法和信息系統(tǒng)安全保護等級定 級指南以與上級定級指導意見，初步確定系統(tǒng)安全保護等級。定級工作需要符 合如下要求：（一）應明確信息系統(tǒng)的邊界和安全保護等級；（二）應以書面的形式說明確定信息系統(tǒng)為某個安全保護等級的方法 和理由；（三）定級結(jié)果有本單位信息安全主管領導的批準；（四）定級結(jié)果有上級主管單位批準；（五）應組織相

11、關部門和有關安全技術專家對信息系統(tǒng)定級結(jié)果的合 理性和正確性進展論證和審定；（六）應確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關部門的批準。第四節(jié) 方案論證和審批安全管理標準本階段主要是XXX部主管組織人員對項目申報內(nèi)容中的信息安全需求與解 決方案局部進展論證，必要時可以聘請外單位的專家參與論證工作。第九條安全性論證和審批安全性論證應著重對項目的安全需求分析、 安全對策以與總體安全方案進展本錢-效益、合理性、可行性和有效性分析，給出明確的結(jié)論：（一）適當（二）不適宜否決（三）需作復議對論證結(jié)論為“需作復議的項目，通知申報單位對有關內(nèi)容進展必要的 補充或者修改后，再次提交復審。第十條 項目安全立項審批后，項目

12、審批單位將對項目進展立項， 以下條目中應增加相應的計算 機安全方面的內(nèi)容：（一）項目的管理模式、組織結(jié)構和責任：增加項目建設中的安全管理模式、安全組織結(jié)構以與人員的安全職責；（二）項目實施的根本程序和相應的管理要求：增加項目建設實施中的 安全操作程序和相應安全管理要求；（三）項目設計目標、主要內(nèi)容和關鍵技術：增加總體安全目標、安全 對策以與用于實現(xiàn)安全對策的總體安全方案；（四）項目實現(xiàn)功能和性能指標：增加描述系統(tǒng)擁有的具體安全功能以 與安全功能的強度；（五）項目驗收考核指標：增加安全性測試和考核指標。（六）立項的項目，如采用引進、合作開發(fā)或者外包開發(fā)等形式，如此 需與第三方簽訂安全某某協(xié)議。第

13、五節(jié) 項目實施方案和實施過程安全管理信息系統(tǒng)建設項目實施階段包括 3個子階段：概要設計、詳細設計和項目 實施，本階段的主要工作由項目實施單位來完成， 項目審批單位負責監(jiān)視工作。 概要設計子階段的安全要求。在概要設計階段，系統(tǒng)層次上的設計要求和功能指標都被分配到了子系統(tǒng) 層次上，這個子階段的安全目標是保證各子系統(tǒng)設計實現(xiàn)了總體安全方案中的 安全功能。因此，概要設計說明書中應盡可能達到以下安全要求：（一）應當按子系統(tǒng)來描述系統(tǒng)的安全體系結(jié)構；（二）應當描述每一個子系統(tǒng)所提供的安全功能；（三）應當標識所要求的任何根底性的硬件、固件或軟件，和在這些硬 件、固件或軟件中實現(xiàn)的支持性保護機制提供的功能表示

14、；（四）應當標識子系統(tǒng)的所有接口，并說明哪些接口是外部可見的；（五）描述子系統(tǒng)所有接口的用途與使用方法，并適當提供影響、例外 情況和錯誤消息的細節(jié)；（六）確證子系統(tǒng)不論是開發(fā)的，還是買來的的安全功能指標滿足 系統(tǒng)安全需求。第十一條詳細設計子階段的安全要求無論是新開發(fā)一個系統(tǒng)，或是對一個系統(tǒng)進展修改，本階段的任務是完成 那些不能買到現(xiàn)成品的軟硬件模塊的設計。先要完成每個模塊的詳細設計方案， 最后根據(jù)每個模塊的詳細設計得到整個系統(tǒng)的詳細設計。本子階段的安全目標 是保證各模塊設計實現(xiàn)了概要設計中的安全功能，因此在這一階段的詳細設 計說明書中至少要包括以下信息安全內(nèi)容：（一）詳細設計中應提出相應的具體

15、安全方案，標明實現(xiàn)的安全功能， 并應檢查其技術原理；（二）對系統(tǒng)層面上的和模塊層面上的安全設計進展審查；（三）完成安全測試和評估要求通常包括完整的系統(tǒng)的、軟件的、硬 件的安全測試方案，至少是相關測試程序的一個草案；（四）確認各模塊的設計，以與模塊間的接口設計能滿足系統(tǒng)層面的安 全要求。第十二條 項目實施子階段的安全要求無論是新開發(fā)一個系統(tǒng)或是進展系統(tǒng)修改， 本階段的主要目的是將所有的 模塊軟硬件集成為完整的系統(tǒng)，并且檢查確認集成以后的系統(tǒng)符合要求。本階段中，應完成以下具體信息安全工作：（一）更新系統(tǒng)安全威脅評估，預測系統(tǒng)的使用壽命；（二）找出并描述實現(xiàn)安全方案后系統(tǒng)和模塊的安全要求和限制，以與

16、 相關的系統(tǒng)驗證機制與檢查方法；（三）完善系統(tǒng)的運行程序和全生命期支持的安全計劃，如密鑰的分發(fā) 等；（四）在系統(tǒng)集成操作手冊中，應制定安全集成的操作程序；（五）在系統(tǒng)修改操作手冊中，應制定系統(tǒng)修改的安全操作程序；（六）對項目參與人員進展信息安全意識培訓；（七）并對參加項目建設的安全管理和技術人員的安全職責進展檢查。（八）在軟件的開發(fā)被外包的地方，應當考慮如下幾點：a. 檢查代碼的所有權和知識產(chǎn)權情況；b. 質(zhì)量合格證和所進展的工作的準確度；c. 在第三方發(fā)生故障的情況下，有第三方備份保存；d. 進展質(zhì)量審核；e. 在合同上有代碼質(zhì)量方面的要求；f. 在安裝之前進展測試以檢測特洛伊代碼；g. 提

17、供源代碼以與相關設計、實施文檔；h. 重要的項目建設中還要對源代碼進展審核。（九）如果軟件是自主開發(fā)的，如此需注意上述的 d、f、g、h點要求。（十） 計算機系統(tǒng)集成的信息技術產(chǎn)品如操作系統(tǒng)、數(shù)據(jù)庫等或安 全專用產(chǎn)品如防火墻、IDS等應達到以下要求：1. 對項目實施所需的計算機與配套設備、 網(wǎng)絡設備、重要機具、計 算機軟件產(chǎn)品的購置，計算機應用系統(tǒng)的合作開發(fā)或者外包開發(fā) 確實定，按現(xiàn)有制度中的相關規(guī)定執(zhí)行；2. 安全專用產(chǎn)品應具有國家職能部門頒發(fā)的信息安全專用產(chǎn)品的 銷售許可證；3. 密碼產(chǎn)品符合國家密碼主管部門的要求， 來源于國家主管部門批 準的密碼研制單位；4. 關鍵安全專用產(chǎn)品應獲得國家

18、相關安全認證， 在選型中根據(jù)實際 需要制定安全產(chǎn)品選型的標準；5. 關鍵信息技術產(chǎn)品的安全功能模塊應獲得國家相關安全認證，在 選型中根據(jù)實際需要制定信息技術產(chǎn)品選型的標準。（十一）產(chǎn)品和服務供給商應達到以下要求：1. 系統(tǒng)集成商的資質(zhì)要求：至少要擁有國家權威部門認可的系統(tǒng)一 級集成資質(zhì)，對于較為重要的系統(tǒng)應有更高級別的集成資質(zhì)；2. 工商要求：a. 產(chǎn)品、系統(tǒng)或服務提供單位的營業(yè)執(zhí)照和稅務登記在合法期 限內(nèi)；b. 產(chǎn)品、系統(tǒng)或服務提供商的產(chǎn)品、系統(tǒng)或服務的提供資格；c. 連續(xù)贏利期限要求；d. 連續(xù)無相關法律訴訟年限要求；e. 沒有發(fā)生重大管理、技術人員變化和流動的期限要求；f. 沒有發(fā)生主業(yè)

19、變化期限要求。3. 安全服務商資質(zhì)：至少應具有國家一級安全服務資質(zhì)，對于較為重要的系統(tǒng)應有更高級別的安全服務資質(zhì)；4. 人員資質(zhì)要求：系統(tǒng)集成人員、安全服務人員以與相關管理人員 應獲得國家權威部門頒發(fā)的信息安全人員資質(zhì)認證；5. 其它要求：系統(tǒng)符合國家相關法律、法規(guī)，按照相關主管部門的 技術管理規(guī)定對非法信息和惡意代碼進展有效控制，按照有關規(guī) 定對設備進展控制，使之不被作為非法攻擊的跳板。第六節(jié)安全方案設計管理（一） 應根據(jù)系統(tǒng)的安全保護等級選擇根本安全措施，并依據(jù)風險分析 的結(jié)果補充和調(diào)整安全措施；（二）單位指定和授權XXX部門對信息系統(tǒng)的安全建設進展總體規(guī)劃， 制定近期和遠期的安全建設工作

20、計劃；（三）應根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體 安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設 計方案，并形成配套文件；（四）應組織相關部門和有關安全技術專家對總體安全策略、安全技術 框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的合理性和正確性進展論證和審定，并且經(jīng)過批準后，才能正式 實施；（五）應根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策 略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案 等相關配套文件。第七節(jié) 產(chǎn)品采購和使用管理（一）應確保安全產(chǎn)品采購和使用符合國家的有關規(guī)定；（二）應確某某碼產(chǎn)品采購和使用符合國家密碼主

21、管部門的要求；（三）應指定或授權專門的部門負責產(chǎn)品的采購；（四）應預先對產(chǎn)品進展選型測試，確定產(chǎn)品的候選X圍，并定期審定和更新候選產(chǎn)品（五） 對項目實施所需的計算機與配套設備、 網(wǎng)絡設備、重要機具、計 算機軟件產(chǎn)品的購置，計算機應用系統(tǒng)的合作開發(fā)或者外包開發(fā)確 實定，按現(xiàn)有制度中的相關規(guī)定執(zhí)行；（六）安全專用產(chǎn)品應具有國家職能部門頒發(fā)的信息安全專用產(chǎn)品的 銷售許可證；（七）密碼產(chǎn)品符合國家密碼主管部門的要求， 來源于國家主管部門批 準的密碼研制單位；（八）關鍵安全專用產(chǎn)品應獲得國家相關安全認證， 在選型中根據(jù)實際 需要制定安全產(chǎn)品選型的標準；（九） 關鍵信息技術產(chǎn)品的安全功能模塊應獲得國家相關

22、安全認證，在 選型中根據(jù)實際需要制定信息技術產(chǎn)品選型的標準。第八節(jié)自行軟件開發(fā)管理（一）應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，開發(fā)人員和測試人員 別離，測試數(shù)據(jù)和測試結(jié)果受到控制；（二）應制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員 行為準如此；（三）應制定代碼編寫安全規(guī)X,要求開發(fā)人員參照規(guī)X編寫代碼；（四）應確保提供軟件設計的相關文檔和使用指南，并由專人負責保 管；（五）應確保對程序資源庫的修改、更新、發(fā)布進展授權和批準。第九節(jié)外包軟件開發(fā)管理（一）應根據(jù)開發(fā)需求檢測軟件質(zhì)量；（二）應在軟件安裝之前檢測軟件包中可能存在的惡意代碼；（三）應要求開發(fā)單位提供軟件設計的相關文檔和使用指

23、南；（四）應要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后 門。（五）檢查代碼的所有權和知識產(chǎn)權情況；（六）質(zhì)量合格證和所進展的工作的準確度；（七）在第三方發(fā)生故障的情況下，有第三方備份保存;（八）進展質(zhì)量審核；（九）在合同上有代碼質(zhì)量方面的要求；（十）在安裝之前進展測試以檢測特洛伊代碼；（十一）提供源代碼以與相關設計、實施文檔；（十二）重要的項目建設中還要對源代碼進展審核。第十節(jié)工程實施管理（一）應指定或授權專門的部門或人員負責工程實施過程的管理；（二）應制定詳細的工程實施方案控制實施過程，并要求工程實施單位 能正式地執(zhí)行安全工程過程；（三）應制定工程實施方面的管理制度，明確說明實施過

24、程的控制方法 和人員行為準如此。第一節(jié)測試驗收管理（一） 應委托公正的第三方測試單位對系統(tǒng)進展安全性測試，并出具安 全性測試報告；（二）在測試驗收前應根據(jù)設計方案或合同要求等制訂測試驗收方案， 在測試驗收過程中應詳細記錄測試驗收結(jié)果，并形成測試驗收報告；（三）應對系統(tǒng)測試驗收的控制方法和人員行為準如此進展書面規(guī)疋；（四）應指定或授權專門的部門負責系統(tǒng)測試驗收的管理，并按照管 理規(guī)定的要求完成系統(tǒng)測試驗收工作；（五） 應組織相關部門和相關人員對系統(tǒng)測試驗收報告進展審定，并簽字確認第十二節(jié)系統(tǒng)交付管理（一）應制定詳細的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設備、 軟件和文檔等進展清點；（二）應對負

25、責系統(tǒng)運行維護的技術人員進展相應的技能培訓；（三）應確保提供系統(tǒng)建設過程中的文檔和指導用戶進展系統(tǒng)運行維護的文檔;（四）應對系統(tǒng)交付的控制方法和人員行為準如此進展書面規(guī)定;（五）應指定或授權專門的部門負責系統(tǒng)交付的管理工作， 并按照管理規(guī)定的要求完成系統(tǒng)交付工作第十三節(jié)系統(tǒng)備案管理（一）指定XXX部門或人員負責管理系統(tǒng)定級的相關材料， 并控制這些 材料的使用；（二）應將系統(tǒng)等級與相關材料報系統(tǒng)主管部門備案；（三）應將系統(tǒng)等級與其他要求的備案材料報相應公安機關備案。第十四節(jié)等級測評管理（一）在系統(tǒng)運行過程中，至少每年對3級系統(tǒng)進展一次等級測評，發(fā) 現(xiàn)不符合相應等級保護標準要求的與時整改；（二）應

26、在系統(tǒng)發(fā)生變更時與時對系統(tǒng)進展等級測評，發(fā)現(xiàn)級別發(fā)生變 化的與時調(diào)整級別并進展安全改造，發(fā)現(xiàn)不符合相應等級保護標準 要求的與時整改；（三）應選擇具有國家相關技術資質(zhì)和安全資質(zhì)的測評單位進展等級 測評；（四）要求技術測評機構提供相關材料。包括營業(yè)執(zhí)照、聲明、證明與資質(zhì)材料等;（五）與測評機構簽訂某某協(xié)議；（六）要求測評機構制定技術檢測方案；（七）具體項目將指定具體人員負責等級測評的管理第十五節(jié)安全服務商選擇管理（一）應確保安全服務商的選擇符合國家的有關規(guī)定；（二）應與選定的安全服務商簽訂與安全相關的協(xié)議，明確約定相關責 任；（三） 應確保選定的安全服務商提供技術培訓和服務承諾，必要的與其 簽訂服

27、務合同。（四）系統(tǒng)集成商的資質(zhì)要求：至少要擁有國家權威部門認可的系統(tǒng)一 級集成資質(zhì)，對于較為重要的系統(tǒng)應有更高級別的集成資質(zhì)；（五）工商要求：g. 產(chǎn)品、系統(tǒng)或服務提供單位的營業(yè)執(zhí)照和稅務登記在合法期 限內(nèi)；h. 產(chǎn)品、系統(tǒng)或服務提供商的產(chǎn)品、系統(tǒng)或服務的提供資格；i. 連續(xù)贏利期限要求；j. 連續(xù)無相關法律訴訟年限要求；k. 沒有發(fā)生重大管理、技術人員變化和流動的期限要求；l. 沒有發(fā)生主業(yè)變化期限要求。（六）安全服務商資質(zhì)：至少應具有國家一級安全服務資質(zhì)， 對于較為 重要的系統(tǒng)應有更高級別的安全服務資質(zhì)；（七）人員資質(zhì)要求：系統(tǒng)集成人員、安全服務人員以與相關管理人員 應獲得國家權威部門頒發(fā)

28、的信息安全人員資質(zhì)認證；（八）其它要求：系統(tǒng)符合國家相關法律、法規(guī)，按照相關主管部門的 技術管理規(guī)定對非法信息和惡意代碼進展有效控制，按照有關規(guī)定 對設備進展控制，使之不被作為非法攻擊的跳板。第十六節(jié)項目驗收與投產(chǎn)安全管理標準第十三條安全測評應制定研發(fā)、投產(chǎn)與驗收等過程中的安全測試與驗收大綱， 在項目實施完 成后，由項目用戶單位、項目開發(fā)單位共同組織進展測試。在測試大綱中應至 少包括以下安全性測試和評估要求：（一）配置管理：項目實施單位應使用配置管理系統(tǒng)，并提供配置管理 文檔；（二）交付程序：應將把系統(tǒng)與其局部交付給用戶的程序文檔化；（三）安裝、生成和啟動程序：應制定安裝、生成和啟動程序，并保

29、證 最終產(chǎn)生了安全的配置；（四）安全功能測試：對系統(tǒng)的安全功能進展測試，以保證其符合詳細 設計并對詳細設計進展檢查，保證其符合概要設計以與總體安全（五）系統(tǒng)管理員指南：應提供如何安全地管理系統(tǒng)和如何高效地利用 系統(tǒng)安全功能的優(yōu)點和保護功能等詳細準確的信息；（六）系統(tǒng)用戶指南：必須包含兩方面的內(nèi)容：首先，它必須解釋那些 用戶可見的安全功能的用途以與如何使用它們，這樣用戶可以持 續(xù)有效地保護他們的信息；其次，它必須解釋在維護系統(tǒng)的安全 時用戶所能起的作用；（七）安全功能強度評估：功能強度分析應說明以概率或排列機制 如, 口令字或哈希函數(shù)實現(xiàn)的系統(tǒng)安全功能。例如，對口令機制的 功能強度分析可以通過說

30、明口令空間是否有足夠大來指出口令 字功能是否滿足強度要求；（八）脆弱性分析：應分析所采取的安全對策的完備性安全對策是否 可以滿足所有的安全需求以與安全對策之間的依賴關系。通常 可以使用穿透性測試來評估上述內(nèi)容，以判斷它們在實際應用中 是否會被利用來削弱系統(tǒng)的安全。（九） 測試完成后，項目測試小組應提交測試報告，其中應包括安 全性測試和評估的結(jié)果。不能通過安全性測試評估的，由測試小 組提出修改意見，項目實施單位應作進一步修改。第十四條安全試運行測試通過后，由項目用戶單位組織進入試運行階段， 應有一系列的安全措 施來維護系統(tǒng)安全，它包括處理系統(tǒng)在現(xiàn)場運行時的安全問題和采取措施保證 系統(tǒng)的安全水平在

31、系統(tǒng)運行期間不會下降。具體工作如下：（一）監(jiān)測系統(tǒng)的安全性能，包括事故報告；（二）進展用戶安全培訓，并對培訓進展總結(jié)；（三）監(jiān)視與安全有關的部件的拆除處理；（四）監(jiān)測新發(fā)現(xiàn)的對系統(tǒng)安全的攻擊、系統(tǒng)所受威脅的變化以與其它 與安全風險有關的因素；（五）監(jiān)測安全部件的備份支持，支持與系統(tǒng)安全有關的維護培訓；（六）評估大大小小的系統(tǒng)改動對安全造成的影響；（七）監(jiān)測系統(tǒng)物理和功能配置，包括運行過程，因為一些不太顯眼的 改變可能影響系統(tǒng)的安全風險。（八）在試運行情況報告中應對上述工作做總結(jié)性描述。第十五條安全驗收在項目建設要求中規(guī)定的系統(tǒng)試運行過程完畢后， 項目開發(fā)單位可以組織 用戶單位人員參加的項目驗收

32、組對項目進展驗收。驗收應增加以下安全內(nèi)容：（一）項目是否已達到項目任務書中制定的總體安全目標和安全指標， 實現(xiàn)全部安全功能；（二）采用技術是否符合國家、行業(yè)有關安全技術標準與規(guī) X；（三）是否實現(xiàn)驗收測評的安全技術指標；（四）項目建設過程中的各種文檔資料是否規(guī) X、齊全；（五）在驗收報告中也應在以下條目中反映對系統(tǒng)安全性驗收的情況：（六）項目設計總體安全目標與主要內(nèi)容；（七）項目采用的關鍵安全技術；（八）驗收專家組中的安全專家與安全驗收評價意見。第十六條投產(chǎn)后的監(jiān)控與跟蹤項目投產(chǎn)后還應進展一段時間的監(jiān)控和跟蹤， 應用系統(tǒng)的管理人員負責監(jiān)控和跟蹤工作，具體包括以下要求：（一）應對系統(tǒng)關鍵安全性能

33、的變化情況進展監(jiān)控，了解其變化的原 因；（二）對系統(tǒng)安全事故的發(fā)生、應急、處理、恢復、總結(jié)進展全程跟蹤, 并編寫詳細的記錄；（三）監(jiān)控新增的安全部件對系統(tǒng)安全的影響；（四）跟蹤安全有關部件的拆除處理情況，并監(jiān)控隨后系統(tǒng)安全性的變 化；（五）對新發(fā)現(xiàn)的對系統(tǒng)安全的攻擊進展監(jiān)控，記錄其發(fā)生的頻率以與 對系統(tǒng)的影響；（六）監(jiān)控系統(tǒng)所受威脅的變化，評估其發(fā)生的可能性以與可能造成的 影響；（七）監(jiān)控并跟蹤安全部件的備份情況；（八）監(jiān)控運行程序的變化，并記錄這些變化對系統(tǒng)安全的影響；（九）監(jiān)控系統(tǒng)物理環(huán)境的變化情況，并記錄這些變化對系統(tǒng)安全的影 響；（十） 監(jiān)控安全配置的變化情況，并記錄這些變化對系統(tǒng)安全的影響；（十一）對于上述所有監(jiān)控和跟蹤內(nèi)容，如果對系統(tǒng)安全有不良影響處，都應在系統(tǒng)設計、配置、運行管理上做相應改良，以保證系 統(tǒng)安全、正常運行。第十七條 各職能管理部門在進展 TCP/IP網(wǎng)絡和系統(tǒng)建設項目立項申請過 程中，應由信息安全工作組對項目提出安全建議。第十八條 根據(jù)項目立項中的項目立項申請、立項論證、立項評估和立項審 批四個程序，都應結(jié)合各類的安全技術規(guī) X。第十九條 各職能管理部門、