《***单位安全管理制度汇编》项目及信息系统建设管理制度文件名称项目及信息系统建设管理管理制度密级内部文件编号版本号V1.0编写部门网络室编写人审批人发布时间2010-8-29目录编制说明3第一章总则4第二章安全要求4第一节项目建设安全管理的总体要求4第二节项目申报安全管理标准5第三节系统定级管理7第四节方案论证和审批安全管理标准7第五节项目实施方案和实施过程安全管理标准8第六节安全方案设计管理11第七节产品采购和使用管理12第八节自行软件开发管理12第九节外包软件开发管理12第十节工程实施管理13第十一节测试验收管理13第十二节系统交付管理13第十三节系统备案管理14第十四节等级测评管理14第十五节安全服务商选择管理14第十六节项目验收与投产安全管理标准15第三章评估和论证安全管理18第四章附则20第一节文挡信息20第二节版本控制20第三节其他信息20编制说明为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求，特制定本制度。本制度依据我国信息安全的有关法律法规，结合***单位的自身业务特点、并参考国际有关信息安全标准制定的。《***单位安全管理制度汇编项目及信息系统建设管理制度》，是针对所有IT建设项目，主要用于在IT项目立项过程中安全部分的方案规划、评估和安全管理。总则制度目标：为了加强***单位信息安全保障能力，建立健全的安全管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在安全体系框架下，本制度旨在提高IT项目信息安全建设质量，加强IT项目建设安全管理工作。适用范围：本制度适用于所有TCP/IP网络IT建设项目，主要用于IT项目立项过程中方案设计、规划的安全要求参考。使用人员及角色职责：本制度适用于全体人员。安全要求项目建设安全管理的总体要求项目建设安全管理目标一个项目的生命周期包括：项目申报、项目审批和立项、项目实施、项目验收和投产；从项目建设的角度来看，这些生命周期的阶段则包括以下子阶段：需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行，如下表所示。项目管理生命周期项目申报系统定级需求分析总体方案设计项目审批和立项项目实施概要设计、详细设计、系统实施项目验收和投产系统测试、试运行和投产项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标，信息安全（INFOSEC）必须融合在项目管理和项目建设过程中，与组织的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标准、指令相一致。这种融合应该产生一个信息系统安全工程（ISSE）项目，它要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点，最终得到一个可以接受水平的安全风险。项目建设安全管理原则信息建设项目建设安全管理应遵循如下原则：全生命周期安全管理：信息安全管理必须贯穿信息系统建设项目建设的整个生命周期；成本-效益分析：进行信息安全建设和管理应考虑投入产出比；明确职责：每个参与项目建设和项目管理的人员都应该明确安全职责，应进行安全意识和职责培训，并落实到位；管理公开：应保证每个项目参与人员都知晓和理解安全管理的模式和方法；科学制衡：进行适当的职责分离，将业务的不同责任分配给不同的责任人；最小特权：人员对项目资产的访问权限制到最低限度，即仅赋予其执行授权任务所必需的权限。项目建设安全管理要求项目安全管理工作由信息安全管理部门负责，在项目的申报、审批、立项、实施、验收等关键环节中，必须有信息安全管理部门的参与和评审意见。应在项目规划中明确信息安全责任、义务与管理程序。项目申报安全管理标准项目申报阶段应对信息系统建设项目各个环节进行统一的安全管理规划，确定项目的等级保护系统保护级别、安全需求、安全目标、安全建设方案，以及生命周期各阶段的安全需求、安全目标、安全管理措施。由项目开发单位协同用户单位进行项目需求分析、确定总体目标和建设方案。挖掘安全需求在《需求分析报告》中除了描述系统业务需求之外，还应进行系统的安全性需求分析，应尽可能包括以下信息安全方面的内容：等级保护等级：从信息系统自身对于国家、社会公共秩序、法人及其它合法权益的侵害及侵害程度，判别系统的等级保护级别。安全威胁分析报告：应分析待建计算机系统在生命周期的各个阶段中可能遭受的自然威胁或者人为威胁（故意或无意），具体包括威胁列表、威胁可能性分析、威胁严重性分析等；系统脆弱性分析报告：包括对系统造成问题的脆弱性的定性或定量的描述，这些问题是被攻击的可能性、被攻击成功的可能性；影响分析报告：描述威胁利用系统脆弱性可能导