信息系统管理制度精编3篇

网友 分享 时间:

【导读】阿拉题库网友为您分享整理的“信息系统管理制度精编3篇”工作范文资料,供您参考学习,希望这篇工作文档对您有所帮助,喜欢就下载分享给朋友吧!

信息系统管理制度1

第一章 总则

第一条 为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。

第二条 本制度适用于场建设和管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的网络设备、网站系统等。

第三条 信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。

第四条 场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。所有信息系统须指定系统管理员负责用户和权限管理的具体操作。

第五条 信息系统用户和权限管理的基本原则是:

(一)用户、权限和口令设置由系统管理员全面负责。

(二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。

(三)用户、权限和口令管理采用实名制管理模式。

(四)严禁杜绝一人多账号登记注册。

第二章 管理职责

第七条 系统管理员职责

负责本级用户管理以及对下一级系统管理员管理。包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的。业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。

第八条 业务管理员职责

负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。

第九条 用户职责

用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。系统内所有用户信息均必须采用真实信息,即实名制登记。

第三章 用户管理

第十条 用户申请和创建

(一)申请人在《用户账号申请和变更表》上填写基本情况,提交本部门负责人;

(二)部门负责人确认申请业务用户的身份权限,并在《用户账号申请和变更表》上签字确认。

(三)信息系统管理部门经理进行审批后,由系统管理员和业务员创建用户或者变更权限。

(四)系统管理员和业务管理员将创建的用户名、口令告知申请人本人,并要求申请人及时变更口令;

(五)系统管理员和业务管理员将《用户账号申请和变更表》存档管理。

第十一条 用户变更和停用

(一)人力资源部主管确认此业务用户角色权限或变更原因,并在《用户账号申请和变更表》上签字确认;

(二)执行部门主管确认此业务用户角色权限或变更原因,并在《用户账号申请和变更表》上签字确认;

(三)系统管理员变更

系统管理员变更,应及时向上级系统管理员报告,并核对其账户信息、密码以及当时系统中的各类用户信息及文档,核查无误后方可进行工作交接。新任系统管理员应及时变更账户信息及密码。

(四)业务管理员变更

业务管理员变更应及时向本级系统管理员及上级业务管理员报告,上级业务管理员和系统管理员及时变更业务管理员信息。

(五)用户注销

用户因工作岗位变动,调动、离职等原因导致使用权限发生变化或需要注销其分配账号时,应填写《用户账号申请和变更表》,按照用户账号停用的相关流程办理,由系统管理员和业务管理员对其权限进行注销。

第四章 安全管理

第十二条 使用各信息系统应严格执行国家有关法律、法规,遵守公司的规章制度,确保国家秘密和企业利益安全。

第十三条 口令管理

(一)系统管理员创建用户时,应为其分配独立的初始密码,并单独告知申请人。

(二)用户在初次使用系统时,应立即更改初始密码。

(三)用户应定期变更登陆密码。

(四)用户不得将账户、密码泄露给他人。

第十四条 帐号审计

账号审计工作由信息系统管理部门的负责人或者主管进行审计,并应定期向其领导进行汇报,由场信息系统管理部门负责人定期和不定期检查。

第十五条 应急管理

(一)用户及业务管理员账户信息泄露遗失

用户及业务管理员账户信息泄露遗失时,应在24小时内通知本级系统管理员。本级系统管理员在查明情况前,应暂停该用户的使用权限,并同时对该账户所报数据进行核查,待确认没有造成对报告数据的破坏后,通过修改密码,恢复该账户的报告权限,同时保留书面情况记录。

(二)系统管理员账户信息泄露遗失

系统管理员账户信息泄露遗失时,应立即向上级系统管理员报告,暂停其系统管理员账户权限,同时对系统账户管理及数据安全进行核查,采取必要的补救措施,在最终确认系统安全后,方可恢复其系统管理员账户功能。

第五章 附则

第十六条 本制度自20xx年xx月xx日起施行。

第十七条 本制度由场办公室负责制定、修改和解释。

信息系统管理制度2

第一条 为规范全院信息系统的运行维护管理工作,确保信息系统的安全可靠运行,切实提高效率和服务质量,使信息系统更好地服务于运营和管理,特制定本管理办法。

第二条 运行维护管理的基本任务:

1、 进行信息系统的日常运行和维护管理,实时监控系统运行状态,保证系统各类运行指标符合相关规定;

2、 迅速而准确地定位和排除各类故障,保证信息系统正常运行,确保所承载的各类应用和业务正常;

3、 进行系统安全管理,保证信息系统的运行安全和信息的完整、准确;

4、 在保证系统运行质量的情况下,提高维护效率,降低维护成本。

第三条 网络中心负责全院范围内信息系统运行维护管理、监督检查和质量考核评定工作,掌握运行质量情况,制定质量指标,并对信息系统各级维护部门进行定期检查考核;

第四条 负责全院范围内信息系统的计算机硬件平台、基础软件、应用软件、配套网络和的监控和日常维护工作,制定日常维护作业计划并认真执行,保证信息系统正常运行; 对于系统的所有维护(包括日常作业计划、故障处理、系统改进、数据变更、数据的备份与恢复、功能完善增加)都必须填写维护记录;负责所辖范围内信息系统数据的备份与恢复,负责落实系统安全运行措施;每年至少组织一次全行范围内的信息系统运维管理巡回检查,全面检查各维护作业计划管理、技术档案和资料管理、备份及日志管理、机房管理、安全保密管理等制度的落实情况。

第五条 系统出现故障,信息系统维护部门或维护人员首先进行处理,同时判断系统类型和故障级别,根据系统类型和故障级别,故障处理应在要求的时限内完成,并同时向院部报告。对无法解决的故障,应立即向软硬件最终提供商、代理商或维保服务商(以下简称厂商)提出技术支持申请,督促厂商安排技术支持,必要时进行跟踪处理,与厂商一起到现场进行解决。

第六条 厂商技术人员现场处理故障时,当地维护人员应全程陪同并积极协助,并在故障解决后进行书面确认。

第七条 参与故障处理的'各方必须如实、及时填写故障处理单,现场技术支持还须当地维护人员予以签字确认或维护部门盖章。

第八条 建立重要紧急信息上报渠道,对于发生的重要紧急情况,应该立即逐级向院部主管领导报告,对业务影响较大的还应及时通知业务部门。

第九条 信息系统维护管理部门负责技术档案和资料的管理,应建立健全必要的技术资料和原始记录等。

第十条 软件资料管理应包含以下内容:

1、所有软件的介质、许可证、版本资料及补丁资料;

2、所有软件的安装手册、操作使用手册、应用开发手册等技术资料;

3、上述资料的变更记录。

第十一条 无关人员未经管理维护人员的批准严禁进入机房。

第十二条 机房内严禁吸烟、饮食、睡觉、闲谈等,严禁携带易燃易爆、腐蚀性等污染物和强磁物品及其它与机房工作无关的物品进入机房。

信息系统管理制度3

第一章 总则

第一条 为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。

第二条 本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分:

1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则;

2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案;

3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批;

4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等;

5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。

第三条 规范性引用文件

下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。

第四条 术语和定义

本规范引用GB/T -20xx中的术语和定义,还采用了以下术语和定义:

1)信息安全 infosec

信息的机密性、完整性和可用性的保护。

注释: 机密性定义为确保信息仅仅被那些被授权了的人员访问。

完整性定义为保护信息和处理方法的准确性和完备性。

可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。

2)计算机系统安全工程 ISSE(Information Systems Security Engineering)

计算机系统安全工程(ISSE)是发掘用户信息安全保护需求,然后以经济、精确和简明的方法来设计和建造计算机系统的一门技巧和科学,ISSE识别出安全风险,并使这些风险减至最少或使之受到遏制。

3)风险分析 risk analysis

对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其发生的可能性的分析评估。

4)安全目标 security objective

本规范中特指公司项目建设信息安全管理中需要达成到的目标。

5)安全测试 security testing

用于确定系统的安全特征按设计要求实现的过程。这一过程通常包括现场功能测试、渗透测试和验证。

第五条 本规范遵照国家相关政策法规和条例,结合各种信息化项目建设的具体情况,依据各种标准、规范以及安全管理规定而制定。

第二章 项目建设安全管理的总体要求

第六条 项目建设安全管理目标

一个项目的生命周期包括:项目申报、项目审批和立项、项目实施、项目验收和投产;从项目建设的角度来看,这些生命周期的阶段则包括以下子阶段:需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行,如下表所示。

项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标,信息安全(INFOSEC)必须融合在项目管理和项目建设过程中,与公司的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标准、指令相一致。这种融合应该产生一个计算机系统安全工程(ISSE)项目,它要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点,最终得到一个可以接受水平的安全风险。

计算机系统安全工程(ISSE)并不意味着存在一个单独独立的过程。它支持项目管理和建设过程,而且是后者不可分割的一部分。第三章到第六章将以项目管理过程为主轴,并结合项目建设过程,规定了在每个阶段中应达到哪些计算机系统安全工程要求。

第七条 项目建设安全管理原则

信息系统项目建设安全管理应遵循如下原则:

1)等级

2)全生命周期安全管理:信息安全管理必须贯穿信息化项目建设的整个生命周期;

3)成本-效益分析:进行信息安全建设和管理应考虑投入产出比;

4)明确职责:每个参与项目建设和项目管理的人员都应该明确安全职责,应进行安全意识和职责培训,并落实到位;

5)管理公开:应保证每个项目参与人员都知晓和理解安全管理的模式和方法;

6)科学制衡:进行适当的职责分离,保证没有人可以单独完成一项业务活动,以避免出现相应的安全问题;

7)最小特权:人员对项目资产的访问权限制到最低限度,即仅赋予其执行授权任务所必需的权限。

第八条 项目建设安全管理要求

项目安全管理工作应强化责任机制、规范管理程序,在项目的申报、审批、立项、实施、验收等关键环节中,必须依照规定的职能行使职权,并在规定的时限内完成各个环节的安全管理行为,否则应承担相应的行政责任。

第三章 项目申报

第九条 项目申报阶段应对信息系统项目及其建设的各个环节进行统一的安全管理规划,确定项目的安全需求、安全目标、安全建设方案,以及生命周期各阶段的安全需求、安全目标、安全管理措施。

第十条 应由项目应用主管单位进行项目需求分析、确定总体目标和建设方案。项目应用主管单位进行项目申报时应填写《信息系统项目立项申请表》,并提交《业务需求书》和《信息系统项目可行性研究报告》。

第十二条 系统定级

1)依据国家信息系统安全等级保护定级指南(GBT 22240-20xx)对项目中的系统进行定级,明确信息系统的边界和安全保护等级;

2)以书面的形式说明确定信息系统为某个安全保护等级的方法和理由,形成信息系统定级报告;

3)组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定,上报上级主管单位和安全监控单位进行审定;

4)信息系统的定级结果向本地公安机关进行备案。

第十三条 挖掘安全需求

在《业务需求书》中除了描述系统业务需求之外,还应进行系统的安全性需求分析,应至少包括以下信息安全方面的内容:

1)安全威胁分析报告:应分析待建计算机系统在生命周期的各个阶段中可能遭受的自然威胁或者人为威胁(故意或无意),具体包括威胁列表、威胁可能性分析、威胁严重性分析等;

2)系统脆弱性分析报告:包括对系统造成问题的脆弱性的定性或定量的描述,这些问题是被攻击的可能性、被攻击成功的可能性; 3)影响分析报告:描述威胁利用系统脆弱性可能导致不良影响。影响可能是有形的,例如资金的损失或收益的减少,或可能是无形的,例如声誉和信誉的损失;

4)风险分析报告:安全风险分析的目的在于识别出一个给定环境中涉及到对某一系统有依赖关系的安全风险。它取决于上面的威胁分析、脆弱性分析和影响分析,应提供风险清单以及风险优先级列表;

5)系统安全需求报告:针对安全风险,应提出安全需求,对于每个不可接受的安全风险,都至少有一个安全需求与其对应。

第十四条 安全可行性

在可行性报告的以下条目中应增加相应的信息安全方面的内容:

1)项目目标、主要内容与关键技术:增加信息化项目的总体安全目标,并在主要内容后面增加针对前面分析出的安全需求所提出的相应安全对策,每个安全需求都至少对应一个安全对策,安全对策的强度应根据相应资产的重要性来选择;

2)项目采用的技术路线或者技术方案:增加描述如何从技术、运作、组织以及制度四个方面来实现所有的安全对策,并形成安全方案;

3)项目的承担单位及人员情况介绍:增加项目各承担单位的信息安全方面的资质和经验介绍,并增加介绍项目主要参与人员的信息安全背景;

4)项目安全管理:增加项目建设中的安全管理模式、安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求;

5)成本效益分析:对安全方案进行成本-效益分析。

第十五条 对投入使用的应用软件需要升级改造的,虽不需另行立项,但仍需参照上述方法进行一定的安全性分析,并针对可能发生的安全问题提出和实现相应安全对策。

第四章 安全方案设计

第十六条 本阶段主要是项目审批单位对项目申报内容进行安全方案的设计,对项目的安全性进行确定,必要时可以聘请外单位的专家参与论证工作。

第十七条 安全标准的确定

1)根据系统的安全保护等级选择基本安全措施,设计安全标准必须达到等级保护相关等级的基本要求,并依据风险分析的结果进行补充和调整必要的安全措施;

2)指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;

3)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件

4)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;

5)根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。

第五章 方案论证和审批

第十八条 本阶段主要是项目审批单位对项目申报内容进行审批,对项目进行安全性论证,必要时可以聘请外单位的专家参与论证工作。

第十九条 安全性论证和审批

安全性论证应着重对项目的安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析,并在《信息化项目立项审批表》上给出明确的结论:

1)适当

2)不合适(否决)

3)需作复议

对论证结论为“需作复议”的项目,通知申报单位对有关内容进行必要的补充或者修改后,再次提交复审。

第二十条 项目安全立项

审批后,项目审批单位将对项目进行立项,在《信息系统项目任务书》的以下条目中应增加相应的计算机安全方面的内容:

1)项目的管理模式、组织结构和责任:增加项目建设中的安全管理模式、安全组织结构以及人员的安全职责;

2)项目实施的基本程序和相应的管理要求:增加项目建设实施中的安全操作程序和相应安全管理要求;

3)项目设计目标、主要内容和关键技术:增加总体安全目标、安全对策以及用于实现安全对策的总体安全方案;

4)项目实现功能和性能指标:增加描述系统拥有的具体安全功能以及安全功能的强度;

5)项目验收考核指标:增加安全性测试和考核指标。

第二十一条 立项的项目,如采用引进、合作开发或者外包开发等形式,则需与第三方签订安全保密协议。

第六章 项目实施方案和实施过程安全管理标准

第二十二条 信息化项目实施阶段包括3个子阶段:概要设计、详细设计和项目实施,本阶段的主要工作由项目开发承担单位来完成,项目审批单位负责监督工作。

第二十三条 概要设计子阶段的安全要求

在概要设计阶段,系统层次上的设计要求和功能指标都被分配到了子系统层次上,这个子阶段的安全目标是保证各子系统设计实现了总体安全方案中的安全功能。因此,《概要设计说明书》中至少应达到以下安全要求:

1)应当按子系统来描述系统的安全体系结构;

2)应当描述每一个子系统所提供的安全功能;

3)应当标识所要求的任何基础性的硬件、固件或软件,和在这些硬件、固件或软件中实现的支持性保护机制提供的功能表示;

4)应当标识子系统的所有接口,并说明哪些接口是外部可见的;

5)描述子系统所有接口的用途与使用方法,并适当提供影响、例外情况和错误消息的细节;

6)确证子系统(不论是开发的,还是买来的)的安全功能指标满足系统安全需求。

第二十四条 详细设计子阶段的安全要求

无论是新开发一个系统,或是对一个系统进行修改,本阶段的任务是完成那些不能买到现成品的软硬件模块的设计。先要完成每个模块的详细设计方案,最后根据每个模块的详细设计得到整个系统的详细设计。本子阶段的安全目标是保证各模块设计实现了概要设计中的安全功能,因此在这一阶段的《详细设计说明书》中至少要包括以下信息安全内容:

1)详细设计中应提出相应的具体安全方案,标明实现的安全功能,并应检查其技术原理;

2)对系统层面上的和模块层面上的安全设计进行审查;

3)完成安全测试和评估要求(通常包括完整的系统的、软件的、硬件的安全测试方案,至少是相关测试程序的一个草案);

4)确认各模块的设计,以及模块间的接口设计能满足系统层面的安全要求。

第二十五条 项目实施子阶段的安全要求

无论是新开发一个系统或是进行系统修改,本阶段的主要目的是将所有的模块(软硬件)集成为完整的系统,并且检查确认集成以后的系统符合要求。本阶段中,应完成以下具体信息安全工作:

1)更新系统安全威胁评估,预测系统的使用寿命;

2)找出并描述实现安全方案后系统和模块的安全要求和限制,以及相关的'系统验证机制及检查方法;

3)完善系统的运行程序和全生命期支持的安全计划,如密钥的分发等;

4)在《系统集成操作手册》中,应制定安全集成的操作程序;

5)在《系统修改操作手册》中,应制定系统修改的安全操作程序;

6)对项目参与人员进行信息安全意识培训;

7)并对参加项目建设的安全管理和技术人员的安全职责进行检查。

第二十六条 在系统实施阶段需要采购的网络安全设备必须由公司进行统一采购,并确保采购的设备至少符合下面的要求:

1)网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评或认证的产品。

2)所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。

3)通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。

第二十七条 在软件的开发被外包的地方,应当考虑如下几点:

1)检查代码的所有权和知识产权情况;

2)质量合格证和所进行的工作的精确度;

3)在第三方发生故障的情况下,有第三方备份保存;

4)进行质量审核;

5)在合同上有代码质量方面的要求;

6)在安装之前进行测试以检测特洛伊代码;

7)提供源代码以及相关设计、实施文档;

8)重要的项目建设中还要要对源代码进行审核。

第二十八条 计算机系统集成的信息技术产品(如操作系统、数据库等)或安全专用产品(如防火墙、IDS等)应达到以下要求:

1)对项目实施所需的计算机及配套设备、网络设备、重要机具(如ATM)、

计算机软件产品的购置,计算机应用系统的合作开发或者外包开发的确定,按现有制度中的相关规定执行;

2)安全产品的采购必须由公司进行统一采购;

3)安全专用产品应具有国家职能部分颁发的信息安全专用产品的销售许可证;

4)密码产品符合国家密码主管部门的要求,来源于国家主管部门批准的密码研制单位;

5)关键安全专用产品应获得国家相关安全认证,在选型中根据实际需要制定安全产品选型的标准;

6)关键信息技术产品的安全功能模块应获得国家相关安全认证,在选型中根据实际需要制定信息技术产品选型的标准。

7)所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。

8)通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。

第二十九条 产品和服务供应商应达到以下要求:

1)系统集成商的资质要求:至少要拥有国家权威部门认可的系统一级集成资质,对于较为重要的系统应有更高级别的集成资质;

2)工商要求:

①产品、系统或服务提供单位的营业执照和税务登记在合法期限内;

②产品、系统或服务提供商的产品、系统或服务的提供资格;

③连续赢利期限要求;

④连续无相关法律诉讼年限要求;

⑤没有发生重大管理、技术人员变化和流动的期限要求;

⑥没有发生主业变化期限要求。

3)信息安全产品的采购请参阅《信息安全产品采购、使用管理制度》

4)安全服务商资质:至少应具有国家一级安全服务资质,对于较为重要的系统应有更高级别的安全服务资质;

5)人员资质要求:系统集成人员、安全服务人员以及相关管理人员应获得国家权威部门颁发的信息安全人员资质认证;

6)其它要求:系统符合国家相关法律、法规,按照相关主管部门的技术管理规定对非法信息和恶意代码进行有效控制,按照有关规定对设备进行控制,使之不被作为非法攻击的跳板;

7)服务供应商的选择还要参阅《安全服务外包管理制度》。

第七章 项目验收与投产

第三十条 系统建设完成后,项目承建方要依据项目合同的交付部分向应用主管部门进行项目交付,但交付的内容至少包括:

1)制定的系统交付清单,对交付的设备、软件和文档进行清点; 2)对系统运维人员进行技能培训,要求系统运维人员能进行日常的维护;

3)提供系统建设的过程文档,包括实施方案、实施记录等;

4)提供系统运行维护的帮助和操作手册

第三十一条 系统交付要项目实施和应用主管部门的相关项目负责人进行签字确认。

第三十二条 系统交付由项目应用系统主管部门负责,必须安照系统交付的要求完成交付工作。

第三十三条 应制定投产与验收测试大纲,在项目实施完成后,由项目应用主管单位和项目开发承担单位共同组织进行测试。在测试大纲中应至少包括以下安全性测试和评估要求:

1)配置管理:系统开发单位应使用配置管理系统,并提供配置管理文档;

2)安装、生成和启动程序:应制定安装、生成和启动程序,并保证最终产生了安全的配置;

3)安全功能测试:对系统的安全功能进行测试,以保证其符合详细设计并对详细设计进行检查,保证其符合概要设计以及总体安全方案;

4)系统管理员指南:应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息;

5)系统用户指南:必须包含两方面的内容:首先,它必须解释那些用户可见的安全功能的用途以及如何使用它们,这样用户可以持续有效地保护他们的信息;其次,它必须解释在维护系统的安全时用户所能起的作用;

6)安全功能强度评估:功能强度分析应说明以概率或排列机制(如,口令字或哈希函数)实现的系统安全功能。例如,对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求;

7)脆弱性分析:应分析所采取的安全对策的完备性(安全对策是否可以满足所有的安全需求)以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容,以判断它们在实际应用中是否会被利用来削弱系统的安全。

第三十四条 测试完成后,项目测试小组应提交《测试报告》,其中应包括安全性测试和评估的结果。不能通过安全性测试评估的,由测试小组提出修改意见,项目开发承担单位应作进一步修改。

第三十五条 测试通过后,由项目应用单位组织进入试运行阶段,应有一系列的安全措施来维护系统安全,它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。具体工作如下:

1)监测系统的安全性能,包括事故报告;

2)进行用户安全培训,并对培训进行总结;

3)监视与安全有关的部件的拆除处理;

4)监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素;

5)监测安全部件的备份支持,支持与系统安全有关的维护培训;

6)评估大大小小的系统改动对安全造成的影响;

7)监测系统物理和功能配置,包括运行过程,因为一些不太显眼的改变可能影响系统的安全风险。

第三十六条 系统安全试运行半年后,项目应用主管单位可以组织由项目开发承担单位和科技部门人员参加的项目验收组对项目进行验收。验收应增加以下安全内容:

1)项目是否已达到项目任务书中制定的总体安全目标和安全指标,实现全部安全功能;

2)采用技术是否符合国家、电力行业有关安全技术标准及规范;

3)是否实现验收测评的安全技术指标;

4)项目建设过程中的各种文档资料是否规范、齐全;

5)在验收报告中也应在以下条目中反映对系统安全性验收的情况:

6)项目设计总体安全目标及主要内容;

7)项目采用的关键安全技术;

8)验收专家组中的安全专家及安全验收评价意见。

第三十七条 系统备案

1)系统建设完成后,要向相应的公安机关进行备案,系统的备案,备案的相关材料有由公司进行统一管理,相应的系统应用、管理部门可以借阅;

2)系统等级及相关材料报系统主管部门进行备案;

3)系统待级及其它要求的备案材料报相应的公安机关备案。

第四十条 设备管理

1)设备的使用均应指定专人负责,均应设定严格的管理员身份鉴别和访问控制,严禁盗用帐号和密码,超越管理权限,非法操作安全设备。

2)设备的口令不得少于10位,须使用包含大小写字母、数字等在内的不易猜测的强口令,并遵循省电网公司统一的帐号口令管理办法。

3)设备的网络配置应遵循统一的规划和分配,相关网络配置应向信息管理部门备案。

4)设备的安全策略应进行统一管理,安全策略固化后的变更应经过安全管理人员审核批准,并及时更新策略配置库。

5)设备须有备机备件,由公司统一进行保管、分发和替换。

6)加强设备外联控制,严禁擅自接入国际互联网或其他公众信息网络。

7)工作需要,设备需携带出工作环境时,应递交申请并由相关责任人签字并留档。

8)存储介质(含磁盘、磁带、光盘和优盘)的管理应遵循:

①因工作原因需使用外来介质,应首先进行病毒检查。

②存储介质上粘贴统一标识,注明编号、部门、责任人。

③存储介质如有损坏或其他原因更换下来的,需交回处理。

9)安全设备的使用管理:

①安全设备每月详细检查一次,记录并分析相关日志,对可疑行为及时进行处理;

②关键安全设备媒体必需进行日常巡检;

③当设备的配置更改时,应做好配置的备份工作;

④安全设备出现故障要立即报告主管领导,并及时通知系统集成商或有关单位进行故障排除,应填写操作记录和技术文档。

10)设备相应责任人负责:

①建立详细的运行日志记录、备份制度;

②负责设备的使用登记,登记内容应包括运行起止时间、累计运行时数及运行状况等。

③负责进行设备的日常清洗及定期保养维护,做好维护记录,保障设备处于最佳状况;

④一旦设备出现故障,责任人应立即如实填写故障报告,通知有关人员处理;

⑤设备责任人应保证设备在其出厂标称的使用环境(如温度、湿度、电压、电磁干扰、粉尘度等)下工作;

11)及时关注下发的各类信息安全通告,关注最新的病毒防治信息和提示,根据要求调节相应设备参数配置;

12)安全管理员应界定重要设备,对重要设备的配置技术文档应考虑双份以上的备份,并存放一份于异地。

第四十一条 投产后的监控与跟踪

项目投产后还应进行一段时间的监控和跟踪,具体包括以下要求:

1)应对系统关键安全性能的变化情况进行监控,了解其变化的原因;

2)对系统安全事故的发生、应急、处理、恢复、总结进行全程跟踪,并编写详细的记录;

3)监控新增的安全部件对系统安全的影响;

4)跟踪安全有关部件的拆除处理情况,并监控随后系统安全性的变化;

5)对新发现的对系统安全的攻击进行监控,记录其发生的频率以及对系统的影响;

6)监控系统所受威胁的变化,评估其发生的可能性以及可能造成的影响;

7)监控并跟踪安全部件的备份情况;

8)监控运行程序的变化,并记录这些变化对系统安全的影响;

9)监控系统物理环境的变化情况,并记录这些变化对系统安全的影响;

10)监控安全配置的变化情况,并记录这些变化对系统安全的影响;

11)对于上述所有监控和跟踪内容,如果对系统安全有不良影响处,都应在系统设计、配置、运行管理上做相应改进,以保证系统安全、正常运行。

第四十二条 等级测评

1)系统进入运行过程后,三级的系统每年聘请第三方测评机构对系统进行一次等级测评,二级的系统由自已每年测评一次,发现不符合相应等级保护标准要求的及时整改;

2)系统发生变更时,及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;

3)测评机构要选择具有国家相关技术资质和安全资质的单位;

4)系统的等级测评由信息部负责管理。

第八章 附 则

第四十三条 本制度由公司XX部门负责解释。

第四十四条 本制度自颁布之日起实行。

221381