信息系統(tǒng)建設管理制度-等保制度模板

1、xxxx信息系統(tǒng)建設管理制度（一）采購和安裝.軟件的采購和安裝.信息系統(tǒng)所使用的操作系統(tǒng)、應用軟件、數(shù)據(jù)庫、平安軟件、工具軟件必 須是正式版本，嚴禁使用測試版和盜版軟件.重要的操作系統(tǒng)和主要應用軟件必須在平安管理員的監(jiān)督之下進行安裝。.設備的采購和安裝.設備符合系統(tǒng)選型要求并獲得批準后，方可購置。.凡購回的設備均應在測試環(huán)境下經(jīng)過連續(xù)72小時以上的單機運行測試和 聯(lián)機48小時的應用系統(tǒng)兼容性運行測試。.通過上述測試后，設備才能進入試運行階段。試運行時間的長短可根據(jù)需 要自行確定。.通過試運行的設備，才能投入系統(tǒng)，正式運行。（二）軟件開發(fā)管理.軟件自行開發(fā)管理.系統(tǒng)應用軟件的開發(fā)必須根據(jù)信息密級

2、和平安等級，同步進行相應的平安 設計，并制定各階段平安目標，按目標進行管理和實施。.系統(tǒng)應用軟件的開發(fā)，必須有平安管理專業(yè)的技術(shù)人員參加，其主要任務 是：對系統(tǒng)方案與開發(fā)進行平安審查和監(jiān)督，負責系統(tǒng)平安設計和實施。.開發(fā)環(huán)境和現(xiàn)場必須與辦公環(huán)境和工作現(xiàn)場分開，軟件設計方案、數(shù)據(jù)結(jié) 構(gòu)、平安管理、操作監(jiān)控手段、數(shù)據(jù)加密形式、原代碼等，只能在有關(guān)開 發(fā)人員及有關(guān)管理機構(gòu)中流動，嚴禁散失或外泄；開發(fā)人員和測試人員分 離，測試數(shù)據(jù)和測試結(jié)果受到控制。.應用軟件開發(fā)必須符合軟件工程規(guī)范GB8566-88, GB1526-89。.制定代碼編寫平安規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；.確保提供軟件設計的相關(guān)

3、文檔和使用指南，并由專人負責保管；.確保對程序資源庫的修改、更新、發(fā)布進行授權(quán)和批準。.外包軟件開發(fā)管理.應要求開發(fā)單位提供軟件設計的相關(guān)文檔和使用指南；.在委托開發(fā)過程中，應加強開發(fā)過程中的平安管理和監(jiān)控，重點考慮資質(zhì)、 許可證、代碼所有權(quán)和知識產(chǎn)權(quán)；審核工作質(zhì)量和訪問權(quán)限，代碼質(zhì)量和安 全功能到達合同要求。特殊情況應測試惡意代碼和特洛伊木馬。.應要求軟件開發(fā)商在所開發(fā)的信息系統(tǒng)內(nèi)設計實現(xiàn)了平安控制措施，確保信 息在系統(tǒng)中得到了正確處理。.在開發(fā)過程中，應采取控制措施，減少信息泄露的可能性，重點考慮：規(guī)范 開發(fā)過程中的通信行為，以減少第三方從這些行為中推斷信息的可能性；在 現(xiàn)有法律或法規(guī)允許

4、的情況下，定期監(jiān)視個人和系統(tǒng)的活動；監(jiān)視計算機系 統(tǒng)的資源使用；防止非授權(quán)的網(wǎng)絡訪問；對程序源代碼的防護管理；.應要求軟件開發(fā)商對程序源代碼進行管理與控制。程序源代碼應集中保存在 代碼庫中，對代碼庫實施平安保護。保護措施主要包括：建立程序源代碼和 源程序庫管理規(guī)范；對訪問源程序庫人員進行授權(quán)管制；程序列表應保存在 平安的環(huán)境中；建立對源程序庫所有訪問的審核日志；維護和拷貝源程序庫 應受嚴格的限制；.測試數(shù)據(jù)的管理。對于開發(fā)過程中涉及的測試數(shù)據(jù)。在測試數(shù)據(jù)選擇過程中， 應防止使用包含個人信息或其它敏感信息的運行數(shù)據(jù)庫用于測試。其控制措 施包括：運行信息每次被拷貝到測試系統(tǒng)時應有獨立的授權(quán)；測試完

5、成后， 應立即從測試系統(tǒng)中清除運行信息或進行授權(quán)訪問控制：記錄運行信息的拷 貝和使用日志；.信息系統(tǒng)平安整體測試。組織信息系統(tǒng)使用單位（部門）在離線測試環(huán)境下 對所開發(fā)信息系統(tǒng)進行平安測試。經(jīng)過測試確認后，方可轉(zhuǎn)入正式環(huán)境，并 組織評估測試結(jié)果的平安符合性。（三）工程實施.指定或授權(quán)專門的部門或人員負責工程實施過程的管理，必要時可引入外 部信息工程監(jiān)理機構(gòu)進行工程實施的監(jiān)理。.由實施方制定詳細的工程實施方案控制實施過程，由XXXX認可并要求工 程實施單位能按計劃執(zhí)行工程實施；.由實施方制定工程實施方面的管理規(guī)范，明確說明實施過程的控制方法和 人員行為準那么，及時向XXXX提交相關(guān)表單文檔。（四

6、）測試驗收.委托第三方測試單位對系統(tǒng)進行平安性測試，并出具平安性測試報告，要 求建設單位根據(jù)測試結(jié)果及時進行整改；.在測試前應根據(jù)設計方案或合同要求等制訂測試方案，在測試過程中應詳 細記錄測試結(jié)果，并形成測試報告，測試通過后方可進行驗收；.對系統(tǒng)測試驗收的控制方法和人員行為準那么進行書面規(guī)定；.指定或授權(quán)專門的部門或人員負責系統(tǒng)測試驗收的管理，并按照管理規(guī)定 的要求完成系統(tǒng)測試驗收工作；.組織相關(guān)人員對系統(tǒng)測試驗收報告進行審定，并簽字確認。（五）系統(tǒng)交付.對系統(tǒng)交付的控制方法和人員行為準那么進行書面規(guī)定；.應指定或授權(quán)專門的部門負責系統(tǒng)交付的管理工作，并按照管理規(guī)定的要 求完成系統(tǒng)交付工作。.制定詳細的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設備、軟件和文檔 等進行清點和確認；.對負責系統(tǒng)運行維護的技術(shù)人員進行相應的技能培訓，以及對系統(tǒng)最終用 戶的操作進行相應的培訓。（六）系統(tǒng)建設服務商選擇.確保系統(tǒng)建設服務商的選擇符合國家信息平