午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、公司項(xiàng)目及信息系統(tǒng)建設(shè)安全工程實(shí)施管理制度編 制： 審 核： 批 準(zhǔn)： 版 本 號(hào): 目錄編制說明3第一章總則4第二章安全要求4第一節(jié)項(xiàng)目建設(shè)安全管理的總體要求4第二節(jié)項(xiàng)目巾報(bào)安全笛理標(biāo)準(zhǔn)5第三節(jié)系統(tǒng)定級(jí)管理7第四節(jié)方案論證和審批安全管理標(biāo)準(zhǔn)7第五節(jié)項(xiàng)目實(shí)施方案和實(shí)施過程安全管理標(biāo)準(zhǔn)8第六節(jié)安全方案設(shè)計(jì)管理11第七節(jié)產(chǎn)品釆購(gòu)和使用管理12第八節(jié)口行軟件開發(fā)管理12第九節(jié)外包軟件開發(fā)管理13第十節(jié) 工程實(shí)施管理13第十一節(jié) 測(cè)試驗(yàn)收管理14第十二節(jié)系統(tǒng)交付管理14第十三節(jié) 系統(tǒng)備案管理14第十四節(jié) 等級(jí)測(cè)評(píng)管理15第十五節(jié)安全服務(wù)商選擇管理15第十六節(jié)項(xiàng)目驗(yàn)收與投產(chǎn)安全管理標(biāo)準(zhǔn)16第三章 評(píng)估和2、論證安全管理19第四章附則21第一節(jié)文擋信息21第二節(jié)版本控制21第三節(jié)其他信息21編制說明為進(jìn)一步貫徹黨中央和國(guó)務(wù)院批準(zhǔn)的國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信 息安全保障工作的意見及其“重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全” 的思想、貫徹信息產(chǎn)業(yè)部“積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速反應(yīng)、確保恢復(fù)”的方 針和“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”的要求，特制定木制度。本制度依據(jù)我國(guó)信息安全的有關(guān)法律法規(guī)，結(jié)合*單位的口身業(yè)務(wù)特 點(diǎn)、并參考國(guó)際有關(guān)信息安全標(biāo)準(zhǔn)制定的。郴*單位安全管理制度匯編項(xiàng)目及信息系統(tǒng)建設(shè)管理制度，是針對(duì)所 有IT建設(shè)項(xiàng)口，主要用于在IT項(xiàng)口立項(xiàng)過程屮安全部分的方案規(guī)劃、評(píng)估 和安全管理。第一章3、總則第一條制度目標(biāo)：為了加強(qiáng)*單位信息安全保障能力，建立健全的安全 管理體系，捉高整體的網(wǎng)絡(luò)與信息安全水平，保證網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正 常運(yùn)營(yíng)，提高網(wǎng)絡(luò)服務(wù)質(zhì)量，在安全體系框架廠 本制度旨在提高IT項(xiàng)目信息 安全建設(shè)質(zhì)量，加強(qiáng)IT項(xiàng)口建設(shè)安全管理工作。第二條適用范:本制度適用于所有TCP/IP網(wǎng)絡(luò)IT建設(shè)項(xiàng)目，主要用于IT項(xiàng)目立項(xiàng)過程中方案設(shè)計(jì)、規(guī)劃的安全耍求參考。第三條 使用人員及角色職責(zé)：本制度適用于全體人員。第二章安全要求第一節(jié) 項(xiàng)目建設(shè)安全管理的總體要求第四條項(xiàng)目建設(shè)安全管理目標(biāo)一個(gè)項(xiàng)口的生命周期包括：項(xiàng)口申報(bào)、項(xiàng)口審批和立項(xiàng)、項(xiàng)口實(shí)施、 項(xiàng)目驗(yàn)收和投產(chǎn)；從項(xiàng)目建設(shè)的角度來看，這些4、生命周期的階段則包括以 下子階段：需求分析、總體方案設(shè)計(jì)、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、系統(tǒng)實(shí)施、 系統(tǒng)測(cè)試和試運(yùn)行，如下表所示。項(xiàng)目管理生命周期項(xiàng)口申報(bào)系統(tǒng)定級(jí) 需求分析 總體方案設(shè)計(jì)項(xiàng)目審批和立項(xiàng)項(xiàng)目實(shí)施概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、系統(tǒng)實(shí)施項(xiàng)目驗(yàn)收和投產(chǎn)系統(tǒng)測(cè)試、試運(yùn)行和投產(chǎn)項(xiàng)目建設(shè)安全管理的H標(biāo)就是保證整個(gè)項(xiàng)口管理和建設(shè)過程中系統(tǒng)的 安全。為了達(dá)到這個(gè)目標(biāo)，信息安全（INFOSEC）必須融合在項(xiàng)目管理和項(xiàng) 目建設(shè)過程中，與組織的業(yè)務(wù)需求、環(huán)境要求、項(xiàng)目計(jì)劃、成本效益以及國(guó)家和地方的政策、標(biāo)準(zhǔn)、指令相一致。這種融合應(yīng)該產(chǎn)生一個(gè)信息系統(tǒng) 安全工程（ISSE）項(xiàng)廿，它要確認(rèn)、評(píng)估、并11消除或控制住系統(tǒng)對(duì)已知 5、或假定的威脅的脆弱點(diǎn)，最終得到一個(gè)可以接受水平的安全風(fēng)險(xiǎn)。第五條 項(xiàng)0建設(shè)安全管理原則 信息建設(shè)項(xiàng)0建設(shè)安全管理應(yīng)遵循如 下原則：（-）全生命周期安全管理：信息安全管理必須貫穿信息系統(tǒng)建設(shè)項(xiàng)口 建設(shè)的整個(gè)生命周期；（-）成木-效益分析：進(jìn)行信息安全建設(shè)和管理應(yīng)考慮投入產(chǎn)出比；（三）明確職責(zé)：每個(gè)參與項(xiàng)目建設(shè)和項(xiàng)目管理的人員都應(yīng)該明確安全 職責(zé)，應(yīng)進(jìn)行安全意識(shí)和職責(zé)培訓(xùn)，并落實(shí)到位；（四）管理公開：應(yīng)保證每個(gè)項(xiàng)口參與人員都知曉和理解安全管理的模 式和方法；（五）科學(xué)制衡：進(jìn)行適當(dāng)?shù)穆氊?zé)分離，將業(yè)務(wù)的不同責(zé)任分配給不同 的責(zé)任人；（六）最小特權(quán)：人員對(duì)項(xiàng)目資產(chǎn)的訪問權(quán)限制到最低限度，即僅賦予 其執(zhí)6、行授權(quán)任務(wù)所必需的權(quán)限。第六條項(xiàng)目建設(shè)安全管理耍求項(xiàng)目安全管理工作由信息安全管理部門負(fù)責(zé)，在項(xiàng)目的巾報(bào)、審批、立項(xiàng)、 實(shí)施、驗(yàn)收等關(guān)鍵環(huán)節(jié)中，必須有信息安全管理部門的參與和評(píng)審意見。應(yīng)在項(xiàng) 目規(guī)劃中明確信息安全責(zé)任、義務(wù)與管理程序。第二節(jié)項(xiàng)目申報(bào)安全管理標(biāo)準(zhǔn)項(xiàng)目中報(bào)階段應(yīng)對(duì)信息系統(tǒng)建設(shè)項(xiàng)目各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一的安全管理規(guī)劃，確 定項(xiàng)目的等級(jí)保護(hù)系統(tǒng)保護(hù)級(jí)別、安全需求、安全目標(biāo)、安全建設(shè)方案，以及生 命周期各階段的安全需求、安全目標(biāo)、安全管理措施。由項(xiàng)口開發(fā)單位協(xié)同用戶單位進(jìn)行項(xiàng)口需求分析、確定總體口標(biāo)和建設(shè)方 案。第七條挖掘安全需求在需求分析報(bào)告中除了描述系統(tǒng)業(yè)務(wù)需求Z外，還應(yīng)進(jìn)行系統(tǒng)的安全 性需7、求分析，應(yīng)盡可能包括以下信息安全方面的內(nèi)容：（-）等級(jí)保護(hù)等級(jí)：從信息系統(tǒng)口身對(duì)于國(guó)家、社會(huì)公共秩序、法人 及其它合法權(quán)益的侵害及侵害程度，判別系統(tǒng)的等級(jí)保護(hù)級(jí)別。（二）安全威脅分析報(bào)告：應(yīng)分析待建計(jì)算機(jī)系統(tǒng)在生命周期的各個(gè)階 段屮可能遭受的自然威脅或者人為威脅（故意或無意），具體包括威 脅列表、威脅可能性分析、威脅嚴(yán)重性分析等；（三）系統(tǒng)脆弱性分析報(bào)告：包括對(duì)系統(tǒng)造成問題的脆弱性的定性或定 量的描述，這些問題是被攻擊的可能性、被攻擊成功的可能性；（四）影響分析報(bào)告：描述威脅利用系統(tǒng)脆弱性可能導(dǎo)致不良影響。影 響口J能是冇形的，例如資金的損失或收益的減少，或口J能是無形 的，例如聲譽(yù)和信譽(yù)的損8、失；（五）風(fēng)險(xiǎn)分析報(bào)告：安全風(fēng)險(xiǎn)分析的目的在丁識(shí)別岀一個(gè)給定環(huán)境中 涉及到對(duì)某一系統(tǒng)有依賴關(guān)系的安全風(fēng)險(xiǎn)。它取決于上面的威脅 分析、脆弱性分析和影響分析，應(yīng)提供風(fēng)險(xiǎn)清單以及風(fēng)險(xiǎn)優(yōu)先級(jí) 列表;（六）系統(tǒng)安全需求報(bào)告：針對(duì)安全風(fēng)險(xiǎn)，應(yīng)捉岀安全需求，對(duì)于每個(gè) 不可接受的安全風(fēng)險(xiǎn)，都至少有一個(gè)安全需求與其對(duì)應(yīng)。第八條安全可行性在信息系統(tǒng)建設(shè)項(xiàng)口可行性研究報(bào)告的以下條口中應(yīng)增加相應(yīng)的信息 安全方面的內(nèi)容：（一）項(xiàng)目目標(biāo)、主要內(nèi)容與關(guān)鍵技術(shù)：增加信息系統(tǒng)建設(shè)項(xiàng)目的總休 安全目標(biāo)，并在主要內(nèi)容后而增加針對(duì)前而分析出的安全需求所捉 出的相應(yīng)安全對(duì)策，每個(gè)安全需求都至少對(duì)應(yīng)一個(gè)安全對(duì)策，安全 對(duì)策的強(qiáng)度應(yīng)根據(jù)相9、應(yīng)資產(chǎn)的重要性來選擇；（-）項(xiàng)目采用的技術(shù)路線或者技術(shù)方案：增加描述如何從技術(shù)、運(yùn)作、 組織以及制度四個(gè)方面來實(shí)現(xiàn)所有的安全對(duì)策，并形成安全方 案；（三）項(xiàng)目的承擔(dān)單位及人員情況介紹：增加項(xiàng)目各承擔(dān)單位的信息安 全方面的資質(zhì)和經(jīng)驗(yàn)介紹，并增加介紹項(xiàng)FI主要參與人員的信息安全背景；（四）項(xiàng)目安全管理：安全級(jí)別達(dá)到重要級(jí)以上的項(xiàng)H應(yīng)增加項(xiàng)H建設(shè) 中的安全管理模式、安全組織結(jié)構(gòu)、人員的安全職責(zé)、建設(shè)實(shí)施 中的安全操作程序和相應(yīng)安全管理要求，項(xiàng)目安全管理人員由 xxx部主管及信息安全管理部門人員擔(dān)任，信息安全管理部門人 員具體對(duì)項(xiàng)口安全進(jìn)行監(jiān)管；（五）成本效益分析：對(duì)安全方案進(jìn)行成本-效益分析。（六）10、對(duì)投入使用的應(yīng)用軟件需要升級(jí)改造的，雖不需另行立項(xiàng)，但仍 需參照上述方法進(jìn)行一定的安全性分析，并針對(duì)可能發(fā)生的安全 問題提出和實(shí)現(xiàn)相應(yīng)安全對(duì)策。第三節(jié)系統(tǒng)定級(jí)管理單位應(yīng)根據(jù)信息系統(tǒng)等級(jí)保護(hù)管理辦法和信息系統(tǒng)安全保護(hù)等級(jí)定 級(jí)指南以及上級(jí)定級(jí)指導(dǎo)意見，初步確定系統(tǒng)安全保護(hù)等級(jí)。定級(jí)工作需要符 合如下要求：（一）應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)；（-）應(yīng)以書面的形式說明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法 和理由；（三）定級(jí)結(jié)果有本單位信息安全主管領(lǐng)導(dǎo)的批準(zhǔn)；（四）定級(jí)結(jié)果有上級(jí)主管單位批準(zhǔn)；（五）應(yīng)組織相關(guān)部門和冇關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合 理性和止確性進(jìn)行論證和審定；（六）應(yīng)確保信11、息系統(tǒng)的定級(jí)結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。第四節(jié)方案論證和審批安全管理標(biāo)準(zhǔn)本階段主要是XXX部主管組織人員對(duì)項(xiàng)目中報(bào)內(nèi)容中的信息安全需求與解 決方案部分進(jìn)行論證，必要時(shí)可以聘請(qǐng)外單位的專家參與論證工作。第九條安全性論證和審批安全性論證應(yīng)著重對(duì)項(xiàng)R的安全需求分析、安全對(duì)策以及總體安全方案進(jìn) 行成本-效益、合理性、可行性和有效性分析，給出明確的結(jié)論：（一）適當(dāng)（-）不合適（否決）（三）需作復(fù)議對(duì)論證結(jié)論為“需作復(fù)議”的項(xiàng)口，通知申報(bào)單位對(duì)有關(guān)內(nèi)容進(jìn)行必要的 補(bǔ)充或者修改后，再次提交復(fù)審。第十條項(xiàng)目安全立項(xiàng)審批后，項(xiàng)目審批單位將對(duì)項(xiàng)目進(jìn)行立項(xiàng)，以下條目中應(yīng)增加和應(yīng)的計(jì)算 機(jī)安全方面的內(nèi)容：（一）項(xiàng)目的管理12、模式、組織結(jié)構(gòu)和責(zé)任：增加項(xiàng)目建設(shè)中的安全管理 模式、安全組織結(jié)構(gòu)以及人員的安全職責(zé)；（-）項(xiàng)目實(shí)施的基本程序和相應(yīng)的管理耍求：增加項(xiàng)目建設(shè)實(shí)施中的 安全操作程序和相應(yīng)安全管理耍求；（三）項(xiàng)口設(shè)計(jì)口標(biāo)、主要內(nèi)容和關(guān)鍵技術(shù)：增加總體安全口標(biāo)、安全 對(duì)策以及用于實(shí)現(xiàn)安全對(duì)策的總體安全方案；（四）項(xiàng)目實(shí)現(xiàn)功能和性能指標(biāo)：增加描述系統(tǒng)擁有的具體安全功能以 及安全功能的強(qiáng)度；（五）項(xiàng)目驗(yàn)收考核指標(biāo)：增加安全性測(cè)試和考核指標(biāo)。（六）立項(xiàng)的項(xiàng)口，如釆用引進(jìn)、合作開發(fā)或者外包開發(fā)等形式，則需 與第三方簽訂安全保密協(xié)議。第五節(jié) 項(xiàng)目實(shí)施方案和實(shí)施過程安全管理信息系統(tǒng)建設(shè)項(xiàng)目實(shí)施階段包括3個(gè)子階段：概要設(shè)計(jì)、詳細(xì)13、設(shè)計(jì)和項(xiàng)目 實(shí)施，本階段的主要工作由項(xiàng)目實(shí)施單位來完成，項(xiàng)目審批單位負(fù)責(zé)監(jiān)督工作。 概要設(shè)計(jì)子階段的安全要求。在概要設(shè)計(jì)階段，系統(tǒng)層次上的設(shè)計(jì)要求和功能指標(biāo)都被分配到了子系統(tǒng) 層次上，這個(gè)子階段的安全口標(biāo)是保證各子系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)了總體安全方案屮的 安全功能。因此，概要設(shè)計(jì)說明書中應(yīng)盡可能達(dá)到以下安全要求：（一）應(yīng)當(dāng)按了系統(tǒng)來描述系統(tǒng)的安全體系結(jié)構(gòu)；（二）應(yīng)當(dāng)描述每一個(gè)子系統(tǒng)所提供的安全功能；（三）應(yīng)當(dāng)標(biāo)識(shí)所要求的任何基礎(chǔ)性的碩件、固件或軟件，和在這些碩 件、固件或軟件中實(shí)現(xiàn)的支持性保護(hù)機(jī)制捉供的功能表示；（四）應(yīng)當(dāng)標(biāo)識(shí)子系統(tǒng)的所冇接口，并說明哪些接口是外部可見的；（五）描述子系統(tǒng)所有接口的用途與14、使用方法，并適當(dāng)提供影響、例外 情況和錯(cuò)謀消息的細(xì)節(jié)；（六）確證子系統(tǒng)（不論是開發(fā)的，還是買來的）的安全功能指標(biāo)滿足 系統(tǒng)安全需求。第十一條詳細(xì)設(shè)計(jì)子階段的安全要求無論是新開發(fā)一個(gè)系統(tǒng)，或是對(duì)一個(gè)系統(tǒng)進(jìn)行修改，本階段的任務(wù)是完成 那些不能買到現(xiàn)成品的軟硬件模塊的設(shè)計(jì)。先要完成每個(gè)模塊的詳細(xì)設(shè)計(jì)方案, 最后根據(jù)每個(gè)模塊的詳細(xì)設(shè)計(jì)得到整個(gè)系統(tǒng)的詳細(xì)設(shè)計(jì)。本子階段的安全目標(biāo) 是保證各模塊設(shè)計(jì)實(shí)現(xiàn)了概要設(shè)計(jì)中的安全功能，因此在這一階段的詳細(xì)設(shè) 計(jì)說明書中至少要包括以下信息安全內(nèi)容：（一）詳細(xì)設(shè)計(jì)中應(yīng)提出相應(yīng)的具體安全方案，標(biāo)明實(shí)現(xiàn)的安全功能， 并應(yīng)檢查其技術(shù)原理；（-）對(duì)系統(tǒng)層面上的和模塊層面上的安全15、設(shè)計(jì)進(jìn)行審查；（三）完成安全測(cè)試和評(píng)佔(zhàn)要求（通常包括完整的系統(tǒng)的、軟件的、硬 件的安全測(cè)試方案，至少是相關(guān)測(cè)試程序的一個(gè)草案）；（四）確認(rèn)各模塊的設(shè)計(jì)，以及模塊間的接口設(shè)計(jì)能滿足系統(tǒng)層面的安 全要求。第十二條項(xiàng)目實(shí)施子階段的安全耍求無論是新開發(fā)一個(gè)系統(tǒng)或是進(jìn)行系統(tǒng)修改，本階段的主要0的是將所有的 模塊（軟硬件）集成為完整的系統(tǒng)，并H檢查確認(rèn)集成以后的系統(tǒng)符合要求。本階段中，應(yīng)完成以下具體信息安全工作：（一）更新系統(tǒng)安全威脅評(píng)估，預(yù)測(cè)系統(tǒng)的使用壽命；（-）找出并描述實(shí)現(xiàn)安全方案后系統(tǒng)和模塊的安全要求和限制，以及 相關(guān)的系統(tǒng)驗(yàn)證機(jī)制及檢查方法；（三）完善系統(tǒng)的運(yùn)行程序和全生命期支持的安全計(jì)劃，如密16、鑰的分發(fā)等；（四）在系統(tǒng)集成操作手冊(cè)中，應(yīng)制定安全集成的操作程序；（五）在系統(tǒng)修改操作手冊(cè)中，應(yīng)制定系統(tǒng)修改的安全操作程序；（六）對(duì)項(xiàng)目參與人員進(jìn)行信息安全意識(shí)培訓(xùn)；（七）并對(duì)參加項(xiàng)目建設(shè)的安全管理和技術(shù)人員的安全職責(zé)進(jìn)行檢查。（A）在軟件的開發(fā)被外包的地方，應(yīng)當(dāng)考慮如下幾點(diǎn)：a. 檢查代碼的所有權(quán)和知識(shí)產(chǎn)權(quán)情況；b. 質(zhì)量合格證和所進(jìn)行的工作的精確度；c. 在第三方發(fā)生故障的情況下，有第三方備份保存；d. 進(jìn)行質(zhì)量審核；e. 在合同上有代碼質(zhì)量方面的要求；f. 在安裝之前進(jìn)行測(cè)試以檢測(cè)特洛伊代碼；g. 捉供源代碼以及相關(guān)設(shè)計(jì)、實(shí)施文檔；h重耍的項(xiàng)目建設(shè)中還耍對(duì)源代碼進(jìn)行審核。（九）如果軟件是17、自主開發(fā)的，則需注意上述的d、f、g、h點(diǎn)要求。（十）計(jì)算機(jī)系統(tǒng)集成的信息技術(shù)產(chǎn)品（如操作系統(tǒng)、數(shù)據(jù)庫(kù)等）或安 全專用產(chǎn)品（如防火墻、IDS等）應(yīng)達(dá)到以下要求：1. 對(duì)項(xiàng)目實(shí)施所需的計(jì)算機(jī)及配套設(shè)備、網(wǎng)絡(luò)設(shè)備、重耍機(jī)具、計(jì) 算機(jī)軟件產(chǎn)品的購(gòu)置，計(jì)算機(jī)應(yīng)用系統(tǒng)的合作開發(fā)或者外包開發(fā) 的確定，按現(xiàn)有制度屮的相關(guān)規(guī)定執(zhí)行；2. 安全專用產(chǎn)品應(yīng)具有國(guó)家職能部門頒發(fā)的信息安全專用產(chǎn)品的 銷售許可證；3. 密碼產(chǎn)品符合國(guó)家密碼主管部門的耍求，來源于國(guó)家主管部門批 準(zhǔn)的密碼研制單位；4. 關(guān)鍵安全專用產(chǎn)品應(yīng)獲得國(guó)家相關(guān)安全認(rèn)證，在選型屮根據(jù)實(shí)際 需耍制定安全產(chǎn)品選型的標(biāo)準(zhǔn)；5. 關(guān)鍵信息技術(shù)產(chǎn)品的安全功能模18、塊應(yīng)獲得國(guó)家相關(guān)安全認(rèn)證，在 選型中根據(jù)實(shí)際需要制定信息技術(shù)產(chǎn)品選型的標(biāo)準(zhǔn)。（十一）產(chǎn)品和服務(wù)供應(yīng)商應(yīng)達(dá)到以下要求：1.系統(tǒng)集成商的資質(zhì)要求：至少要擁有國(guó)家權(quán)威部門認(rèn)可的系統(tǒng)一級(jí)集成資質(zhì)，對(duì)丁較為重要的系統(tǒng)應(yīng)有更高級(jí)別的集成資質(zhì)；2. 工商要求：a. 產(chǎn)品、系統(tǒng)或服務(wù)提供單位的營(yíng)業(yè)執(zhí)照和稅務(wù)登記在合法期 限內(nèi)；b. 產(chǎn)品、系統(tǒng)或服務(wù)提供商的產(chǎn)品、系統(tǒng)或服務(wù)的提供資格；c. 連續(xù)贏利期限要求；d. 連續(xù)無相關(guān)法律訴訟年限耍求；e. 沒有發(fā)生重大管理、技術(shù)人員變化和流動(dòng)的期限要求；f. 沒有發(fā)生主業(yè)變化期限要求。3. 安全服務(wù)商資質(zhì)：至少應(yīng)具有國(guó)家一級(jí)安全服務(wù)資質(zhì)，對(duì)于較為 重要的系統(tǒng)應(yīng)冇更高級(jí)別19、的安全服務(wù)資質(zhì)；4. 人員資質(zhì)要求：系統(tǒng)集成人員、安全服務(wù)人員以及相關(guān)管理人員 應(yīng)獲得國(guó)家權(quán)威部門頒發(fā)的信息安全人員資質(zhì)認(rèn)證；5. 其它耍求：系統(tǒng)符合國(guó)家相關(guān)法律、法規(guī)，按照相關(guān)主管部門的 技術(shù)管理規(guī)定對(duì)非法信息和惡意代碼進(jìn)行有效控制，按照有關(guān)規(guī) 定對(duì)設(shè)備進(jìn)行控制，使之不被作為非法攻擊的跳板。第六節(jié)安全方案設(shè)計(jì)管理（-）應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析 的結(jié)果補(bǔ)充和調(diào)整安全措施；（-）單位指定和授權(quán)XXX部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃， 制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；（三）應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)i考慮安全保障體系的總體 安全策略、安全技術(shù)框架、安全管20、理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè) 計(jì)方案，并形成配套文件；（四）應(yīng)組織相關(guān)部門和冇關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù) 框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文 件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式 實(shí)施；（五）應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)杲定期調(diào)整和修訂總體安全策 略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案 等相關(guān)配套文件。第七節(jié)產(chǎn)品采購(gòu)和使用管理（-）應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定；（-）應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門的耍求；（三）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的釆購(gòu)；（四）應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的21、候選范圍，并定期審定 和更新候選產(chǎn)品名單。（五）對(duì)項(xiàng)目實(shí)施所需的計(jì)算機(jī)及配套設(shè)備、網(wǎng)絡(luò)設(shè)備、重要機(jī)具、計(jì) 算機(jī)軟件產(chǎn)品的購(gòu)置，計(jì)算機(jī)應(yīng)用系統(tǒng)的合作開發(fā)或者外包開發(fā)的 確定，按現(xiàn)冇制度中的相關(guān)規(guī)定執(zhí)行；（六）安全專用產(chǎn)品應(yīng)具有國(guó)家職能部門頒發(fā)的信息安全專用產(chǎn)品的 銷售許可證；（七）密碼產(chǎn)品符合國(guó)家密碼主管部門的耍求，來源于國(guó)家主管部門批 準(zhǔn)的密碼研制單位；（A）關(guān)鍵安全專用產(chǎn)品應(yīng)獲得國(guó)家相關(guān)安全認(rèn)證，在選型中根據(jù)實(shí)際 需要制定安全產(chǎn)品選型的標(biāo)準(zhǔn)；（九）關(guān)鍵信息技術(shù)產(chǎn)品的安全功能模塊應(yīng)獲得國(guó)家相關(guān)安全認(rèn)證，在 選型屮根據(jù)實(shí)際需耍制定信息技術(shù)產(chǎn)品選型的標(biāo)準(zhǔn)。第八節(jié)自行軟件開發(fā)管理（-）應(yīng)確保開發(fā)環(huán)境22、與實(shí)際運(yùn)行環(huán)境物理分開，開發(fā)人員和測(cè)試人員 分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制；（二）應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員 行為準(zhǔn)則；（三）應(yīng)制定代碼編寫安全規(guī)范，耍求開發(fā)人員參照規(guī)范編寫代碼;（四）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保（五）應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。第九節(jié)外包軟件開發(fā)管理（-）應(yīng)根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量；（-）應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；（三）應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；（四）應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件小可能存在的后 門。（五）檢查代碼的所有權(quán)和知識(shí)產(chǎn)權(quán)情況；（23、六）質(zhì)量合格證和所進(jìn)行的工作的精確度；（七）在第三方發(fā)生故障的情況下，有第三方備份保存；（A）進(jìn)行質(zhì)量審核；（九）在合同上冇代碼質(zhì)量方而的要求；（十）在安裝2而進(jìn)行測(cè)試以檢測(cè)特洛伊代碼；（十一） 提供源代碼以及相關(guān)設(shè)計(jì)、實(shí)施文檔；（十二） 重要的項(xiàng)目建設(shè)中還要對(duì)源代碼進(jìn)行審核。第十節(jié)工程實(shí)施管理（-）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理；（二）應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位 能正式地執(zhí)行安全工程過程；（三）應(yīng)制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。第十一節(jié)測(cè)試驗(yàn)收管理（-）應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出24、具安 全性測(cè)試報(bào)告；（二）在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案， 在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)杲，并形成測(cè)試驗(yàn)收?qǐng)?bào)告;（三）應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；（四）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管 理規(guī)定的耍求完成系統(tǒng)測(cè)試驗(yàn)收工作；（五）應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽 字確認(rèn)。第十二節(jié)系統(tǒng)交付管理（-）應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、 軟件和文檔等進(jìn)行清點(diǎn)；（二）應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；（三）應(yīng)確保捉供系統(tǒng)建設(shè)過程屮的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維 護(hù)的25、文檔；（四）應(yīng)對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；（五）應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理 規(guī)定的要求完成系統(tǒng)交付工作。第十三節(jié)系統(tǒng)備案管理（-）指定XXX部門或人員負(fù)責(zé)管理系統(tǒng)定級(jí)的相關(guān)材料，并控制這些 材料的使用；（-）應(yīng)將系統(tǒng)等級(jí)及相關(guān)材料報(bào)系統(tǒng)主管部門備案；（三）應(yīng)將系統(tǒng)等級(jí)及其他要求的備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。第十四節(jié)等級(jí)測(cè)評(píng)管理（-）在系統(tǒng)運(yùn)行過程中，至少每年對(duì)3級(jí)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng)，發(fā) 現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；（二）應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)級(jí)別發(fā)生變 化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)26、標(biāo)準(zhǔn) 要求的及時(shí)整改；（三）應(yīng)選擇具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行等級(jí) 測(cè)評(píng);（四）耍求技術(shù)測(cè)評(píng)機(jī)構(gòu)提供相關(guān)材料。包括營(yíng)業(yè)執(zhí)照、聲明、證明及 資質(zhì)材料等；（五）與測(cè)評(píng)機(jī)構(gòu)簽訂保密協(xié)議；（六）要求測(cè)評(píng)機(jī)構(gòu)制定技術(shù)檢測(cè)方案；（七）具體項(xiàng)目將指定具體人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管理。第十五節(jié)安全服務(wù)商選擇管理（-）應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的冇關(guān)規(guī)定；（二）應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé) 任；（三）應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其 簽訂服務(wù)合同。（四）系統(tǒng)集成商的資質(zhì)要求：至少要擁有國(guó)家權(quán)威部門認(rèn)可的系統(tǒng)一 級(jí)集成資質(zhì)，對(duì)于較為重要的系統(tǒng)應(yīng)右更27、高級(jí)別的集成資質(zhì)；（五）工商要求：g. 產(chǎn)品、系統(tǒng)或服務(wù)提供單位的營(yíng)業(yè)執(zhí)照和稅務(wù)登記在合法期 限內(nèi)；h. 產(chǎn)品、系統(tǒng)或服務(wù)提供商的產(chǎn)品、系統(tǒng)或服務(wù)的提供資格； i連續(xù)贏利期限要求；J.連續(xù)無相關(guān)法律訴訟年限要求；k.沒有發(fā)生重大管理、技術(shù)人員變化和流動(dòng)的期限耍求；l. 沒冇發(fā)生主業(yè)變化期限要求。（六）安全服務(wù)商資質(zhì)：至少應(yīng)具有國(guó)家一級(jí)安全服務(wù)資質(zhì)，對(duì)于較為 重要的系統(tǒng)應(yīng)冇更高級(jí)別的安全服務(wù)資質(zhì)；（七）人員資質(zhì)要求：系統(tǒng)集成人員、安全服務(wù)人員以及相關(guān)管理人員 應(yīng)獲得國(guó)家權(quán)威部門頒發(fā)的信息安全人員資質(zhì)認(rèn)證；（八）其它耍求：系統(tǒng)符合國(guó)家相關(guān)法律、法規(guī)，按照相關(guān)主管部門的 技術(shù)管理規(guī)定對(duì)非法信息和惡意28、代碼進(jìn)行有效控制，按照有關(guān)規(guī)定 對(duì)設(shè)備進(jìn)行控制，使Z不被作為非法攻擊的跳板。第十六節(jié)項(xiàng)目驗(yàn)收與投產(chǎn)安全管理標(biāo)準(zhǔn)第十三條安全測(cè)評(píng)應(yīng)制定研發(fā)、投產(chǎn)與驗(yàn)收等過程中的安全測(cè)試與驗(yàn)收人綱，在項(xiàng)目實(shí)施完 成后，由項(xiàng)口用戶單位、項(xiàng)口開發(fā)單位共同組織進(jìn)行測(cè)試。在測(cè)試大綱屮應(yīng)至 少包括以下安全性測(cè)試和評(píng)估要求：（一）配置管理：項(xiàng)目實(shí)施單位應(yīng)使用配置管理系統(tǒng)，并提供配置管理 文檔；（二）交付程序：應(yīng)將把系統(tǒng)及其部分交付給用戶的程序文檔化；（三）安裝、生成和啟動(dòng)程序：應(yīng)制定安裝、生成和啟動(dòng)程序，并保證 最終產(chǎn)生了安全的配置；（四）安全功能測(cè)試：對(duì)系統(tǒng)的安全功能進(jìn)行測(cè)試，以保證其符合詳細(xì) 設(shè)計(jì)并對(duì)詳細(xì)設(shè)計(jì)進(jìn)行檢查，保29、證其符合概耍設(shè)計(jì)以及總體安全 方案；（五）系統(tǒng)管理員指南：應(yīng)提供如何安全地管理系統(tǒng)和如何高效地利用 系統(tǒng)安全功能的優(yōu)點(diǎn)和保護(hù)功能等詳細(xì)準(zhǔn)確的信息；（六）系統(tǒng)用戶指南：必須包含兩方面的內(nèi)容：首先，它必須解釋那些 用戶可見的安全功能的用途以及如何使用它們，這樣用戶可以持 續(xù)有效地保護(hù)他們的信息；其次，它必須解釋在維護(hù)系統(tǒng)的安全 時(shí)用戶所能起的作用；（七）安全功能強(qiáng)度評(píng)估：功能強(qiáng)度分析應(yīng)說明以概率或排列機(jī)制（如, 口令字或哈希函數(shù)）實(shí)現(xiàn)的系統(tǒng)安全功能。例如，對(duì)口令機(jī)制的 功能強(qiáng)度分析可以通過說明口令空間是否有足夠大來指出口令 字功能是否滿足強(qiáng)度要求；（A）脆弱性分析：應(yīng)分析所采取的安全對(duì)策的完備性（30、安全對(duì)策是否 可以滿足所有的安全需求）以及安全對(duì)策之間的依賴關(guān)系。通常 可以使用穿透性測(cè)試來評(píng)估上述內(nèi)容，以判斷它們?cè)趯?shí)際應(yīng)用中 是否會(huì)被利用來削弱系統(tǒng)的安全。（九）測(cè)試完成后，項(xiàng)目測(cè)試小組應(yīng)提交測(cè)試報(bào)告，其中應(yīng)包括安 全性測(cè)試和評(píng)估的結(jié)果。不能通過安全性測(cè)試評(píng)估的，由測(cè)試小 組提出修改意見，項(xiàng)目實(shí)施單位應(yīng)作進(jìn)一步修改。第十四條安全試運(yùn)行測(cè)試通過后，由項(xiàng)目用戶單位組織進(jìn)入試運(yùn)行階段，應(yīng)有一系列的安全措 施來維護(hù)系統(tǒng)安全，它包括處理系統(tǒng)在現(xiàn)場(chǎng)運(yùn)行時(shí)的安全問題和采取措施保證 系統(tǒng)的安全水平在系統(tǒng)運(yùn)行期間不會(huì)下降。具體工作如下：（一）監(jiān)測(cè)系統(tǒng)的安全性能，包括事故報(bào)告；（-）進(jìn)行用戶安全培訓(xùn)，并對(duì)培訓(xùn)31、進(jìn)行總結(jié)；（三）監(jiān)視與安全有關(guān)的部件的拆除處理；（四）監(jiān)測(cè)新發(fā)現(xiàn)的對(duì)系統(tǒng)安全的攻擊、系統(tǒng)所受威脅的變化以及其它 與安全風(fēng)險(xiǎn)有關(guān)的因素；（五）監(jiān)測(cè)安全部件的備份支持，支持與系統(tǒng)安全有關(guān)的維護(hù)培訓(xùn)；（六）評(píng)估大大小小的系統(tǒng)改動(dòng)對(duì)安全造成的影響；（七）監(jiān)測(cè)系統(tǒng)物理和功能配置，包括運(yùn)行過程，因?yàn)橐恍┎惶@限的 改變口J能影響系統(tǒng)的安全風(fēng)險(xiǎn)。（A）在試運(yùn)行情況報(bào)告屮應(yīng)對(duì)上述工作做總結(jié)性描述。第十五條安全驗(yàn)收在項(xiàng)H建設(shè)要求中規(guī)定的系統(tǒng)試運(yùn)行過程結(jié)束后，項(xiàng)口開發(fā)單位可以組織 用戶單位人員參加的項(xiàng)目驗(yàn)收組對(duì)項(xiàng)目進(jìn)行驗(yàn)收。驗(yàn)收應(yīng)增加以下安全內(nèi)容：（一）項(xiàng)目是否已達(dá)到項(xiàng)目任務(wù)I沖制定的總休安全目標(biāo)和安全指標(biāo)， 實(shí)32、現(xiàn)全部安全功能；（二）采用技術(shù)是否符合國(guó)家、行業(yè)有關(guān)安全技術(shù)標(biāo)準(zhǔn)及規(guī)范；（三）是否實(shí)現(xiàn)驗(yàn)收測(cè)評(píng)的安全技術(shù)指標(biāo)；（四）項(xiàng)目建設(shè)過程中的各種文檔資料是否規(guī)范、齊全；（五）在驗(yàn)收?qǐng)?bào)告屮也應(yīng)在以下條目屮反映對(duì)系統(tǒng)安全性驗(yàn)收的情況：（六）項(xiàng)目設(shè)計(jì)總體安全目標(biāo)及主要內(nèi)容；（七）項(xiàng)口釆用的關(guān)鍵安全技術(shù)；（A）驗(yàn)收專家組中的安全專家及安全驗(yàn)收評(píng)價(jià)意見。第十六條投產(chǎn)后的監(jiān)控與跟蹤項(xiàng)目投產(chǎn)后還應(yīng)進(jìn)行一段時(shí)間的監(jiān)控和跟蹤，應(yīng)用系統(tǒng)的管理人員負(fù)責(zé)監(jiān) 控和跟蹤工作，具體包描以下要求：（一）應(yīng)對(duì)系統(tǒng)關(guān)鍵安全性能的變化情況進(jìn)行監(jiān)控，了解其變化的原 因；（-）對(duì)系統(tǒng)安全事故的發(fā)生、應(yīng)急、處理、恢復(fù)、總結(jié)進(jìn)行全程跟蹤, 并編寫33、詳細(xì)的記錄；（三）監(jiān)控新增的安全部件對(duì)系統(tǒng)安全的影響；（四）跟蹤安全有關(guān)部件的拆除處理情況，并監(jiān)控隨后系統(tǒng)安全性的變 化；（五）對(duì)新發(fā)現(xiàn)的對(duì)系統(tǒng)安全的攻擊進(jìn)行監(jiān)控，記錄其發(fā)生的頻率以及 對(duì)系統(tǒng)的影響；（六）監(jiān)控系統(tǒng)所受威脅的變化，評(píng)估其發(fā)生的可能性以及可能造成的 影響；（七）監(jiān)控并跟蹤安全部件的備份情況；（八）監(jiān)控運(yùn)行程序的變化，并記錄這些變化對(duì)系統(tǒng)安全的影響；（九）監(jiān)控系統(tǒng)物理環(huán)境的變化情況，并記錄這些變化對(duì)系統(tǒng)安全的影 響；（十）監(jiān)控安全配置的變化情況，并記錄這些變化對(duì)系統(tǒng)安全的影響；（十一）對(duì)于上述所有監(jiān)控和跟蹤內(nèi)容，如果對(duì)系統(tǒng)安全有不良影響處，都應(yīng)在系統(tǒng)設(shè)計(jì)、配置、運(yùn)行管理上做和應(yīng)改進(jìn)34、，以保證系 統(tǒng)安全、正常運(yùn)行。第十七條各職能管理部門在進(jìn)行TCP/IP網(wǎng)絡(luò)和系統(tǒng)建設(shè)項(xiàng)冃立項(xiàng)申請(qǐng)過 程中，應(yīng)由信息安全工作組對(duì)項(xiàng)目提出安全建議。第十八條 根據(jù)項(xiàng)目立項(xiàng)中的項(xiàng)目立項(xiàng)申請(qǐng)、立項(xiàng)論證、立項(xiàng)評(píng)估和立項(xiàng)審 批四個(gè)程序，都應(yīng)結(jié)合各類的安全技術(shù)規(guī)范。第十九條各職能管理部門、各直屈單位進(jìn)行項(xiàng)目立項(xiàng)申請(qǐng)時(shí)，在捉交項(xiàng) 目立項(xiàng)建議書等相關(guān)資料中應(yīng)增加以下安全方面的資料：（-） 系統(tǒng)安全需求分析說明書；（-） 系統(tǒng)安全功能說明書；（三） 系統(tǒng)中采用的安全設(shè)備以及性能指標(biāo)參數(shù)。第二十條對(duì)提交立項(xiàng)巾請(qǐng)的項(xiàng)目，在進(jìn)行項(xiàng)目立項(xiàng)論證和評(píng)佔(zhàn)的過程中， 應(yīng)包插項(xiàng)目安全建設(shè)的論證和評(píng)估，論證和評(píng)估的重點(diǎn)在本辦法第三章35、中詳述。第二十i條 通過項(xiàng)目安全建設(shè)的立項(xiàng)論證和評(píng)估，可作為公司審批項(xiàng)目 立項(xiàng)的重要依據(jù)之一。第三章評(píng)估和論證安全管理第二十二條 各職能管理部門進(jìn)行項(xiàng)目立項(xiàng)申請(qǐng)前，在進(jìn)行項(xiàng)目規(guī)劃和設(shè) 計(jì)的過程屮，應(yīng)參照各安全技術(shù)規(guī)范屮的相關(guān)技術(shù)要求進(jìn)行安全建設(shè)。第二十三條 項(xiàng)目安全性論證對(duì)項(xiàng)目的安全需求分析、安全功能說明、安 全設(shè)備、性能指標(biāo)以及技術(shù)方案的技術(shù)可行性進(jìn)行總體分析和審計(jì)。第二十四條 項(xiàng)口立項(xiàng)論證和評(píng)佔(zhàn)過程屮，信息安全工作組負(fù)責(zé)IT項(xiàng)口 安全性建設(shè)的技術(shù)部分論證和評(píng)估。第二十五條 在提交項(xiàng)目立項(xiàng)申請(qǐng)時(shí)，應(yīng)在技術(shù)方案中增加安全方面的說 明和文檔，內(nèi)容包括：（一）根據(jù)安全規(guī)范屮的要求，系統(tǒng)在建設(shè)過程屮36、進(jìn)行安全部署的說 明；（二）根據(jù)安全規(guī)范屮的要求，系統(tǒng)在建設(shè)過程屮無法實(shí)現(xiàn)的安全部署 的說明和論證；（三）系統(tǒng)在建設(shè)過程屮具體的安全功能以及安全功能的實(shí)現(xiàn)方法和 技術(shù)；（四）系統(tǒng)在建設(shè)過程中所采用的安全設(shè)備的品牌、型號(hào)、性能指標(biāo)說 明以及對(duì)于業(yè)務(wù)系統(tǒng)的影響分析。第二十六條 IT項(xiàng)目安全性的論證和評(píng)估主要關(guān)注以下方面的內(nèi)容：（）1T項(xiàng)目建設(shè)中網(wǎng)絡(luò)規(guī)劃中安全域的劃分、網(wǎng)絡(luò)兀余、網(wǎng)絡(luò)傳輸安 全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)邊界安全、遠(yuǎn)程訪問安全；（二）IT項(xiàng)口建設(shè)屮系統(tǒng)的性能、容量以及系統(tǒng)和業(yè)務(wù)的兼容性；（三）IT項(xiàng)口建設(shè)屮應(yīng)用系統(tǒng)屮身份驗(yàn)證、角色訪問控制、數(shù)據(jù)加密、 備份、志審計(jì)等安全功能；（四）IT項(xiàng)目建37、設(shè)中應(yīng)用系統(tǒng)是否有后門、漏洞和不安全的隱患。第四章附則第一節(jié)文擋信息第二十七條 木制度由網(wǎng)絡(luò)室制定，并負(fù)責(zé)解釋和修訂。由信息安全工作 組討論通過，發(fā)布執(zhí)行。第二十八條 本制度門發(fā)布Z日起執(zhí)行。第二節(jié)版本控制第二十九條對(duì)本制度所冇修改及審批、發(fā)布都按時(shí)間順序記錄在此。版本日期修改內(nèi)容修改人審批人VI. 02010 年 9 月 1 H文檔定稿第三節(jié)其他信息第三十條本制度小所稱的人員角色職責(zé)由齊部門人員分別擔(dān)任，可能現(xiàn)有 崗位的員工在不同時(shí)期所擔(dān)任的角色不同，甚至身兼多種角色，這種情況下該員 工應(yīng)該履行所兼每種角色的安全職責(zé)。第三十一條 秤*單位安全管理制度匯編定義了信息安全體系的整體 結(jié)構(gòu)、安全組織及各角色崗位的職責(zé)、以及覆蓋各項(xiàng)安全內(nèi)容的安全管理制度。 所有員工均應(yīng)把*單位安全管理制度匯編的規(guī)定作為信息安全工作的基木 要求，其內(nèi)容一經(jīng)頒布將在一定時(shí)間內(nèi)t期有效，其涉及的所有部門或個(gè)人均需 對(duì)其負(fù)責(zé)。