原创力文档- 1、本文档共15页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
版本号:1.0.0423
信息系统建设管理规定
第一章总则
第一条?为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提高信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。
第二条本规范重要对聚蓝金融信息服务有限公司(如下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运营必要依托强有力安全技术,同步更要有全面动态安全方略和良好内部管理机制,本规范涉及五个某些:
1)项目建设安全管理总体规定:明确项目建设安全管理目的和原则;
2)项目规划安全管理:对信息化项目建设各个环节规划提出安全管理规定,拟定各个环节安全需求、目的和建设方案;
3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,保证安全方案合理性、有效性和可行性。标明参加项目建设安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批;
4)项目实行方案和实行过程安全管理:涉及拟定项目实行阶段安全管理目的和实行办法,并完毕项目安全专用产品拟定、非安全产品安全性拟定等;
5)项目投产与验收安全管理:制定项目安全测评与验收办法、项目投产安全管理规范,以及有关根据。
第三条规范性引用文献
下列文献中条款通过本规范引用而成为本规范条款。凡是注日期引用文献,其随后所有修改单(不涉及勘误内容)或修订版均不合用于本规范,但勉励研究与否可使用这些文献最新版本。凡是不注日期引用文献,其最新版本合用于本规范。GB/T5271.8-信息技术词汇第8某些安全
第四条术语和定义
本规范引用GB/T5271.8-中术语和定义,还采用了如下术语和定义:
1)信息安全infosec
信息机密性、完整性和可用性保护。
注释:机密性定义为保证信息仅仅被那些被授权了人员访问。
完整性定义为保护信息和解决办法精确性和完备性。
可用性定义为保证被授权顾客在需要时可以访问到信息和有关资产。
2)计算机系统安全工程ISSE(InformationSystemsSecurityEngineering)
计算机系统安全工程(ISSE)是发掘顾客信息安全保护需求,然后以经济、精准和简要办法来设计和建造计算机系统一门技巧和科学,ISSE辨认出安全风险,并使这些风险减至至少或使之受到遏制。
3)风险分析riskanalysis
对信息和信息解决设施所面临威胁及其影响以及计算机系统脆弱性及其发生也许性分析评估。
4)安全目的securityobjective
本规范中特指公司项目建设信息安全管理中需要达到到目的。
5)安全测试securitytesting
用于拟定系统安全特性按设计规定实现过程。这一过程普通涉及现场功能测试、渗入测试和验证。
第五条本规范遵循国家有关政策法规和条例,结合各种信息化项目建设详细状况,根据各种原则、规范以及安全管理规定而制定。
第二章项目建设安全管理总体规定
第六条项目建设安全管理目的
一种项目生命周期涉及:项目申报、项目审批和立项、项目实行、项目验收和投产;从项目建设角度来看,这些生命周期阶段则涉及如下子阶段:需求分析、总体方案设计、概要设计、详细设计、系统实行、系统测试和试运营,如下表所示。
项目建设安全管理目的就是保证整个项目管理和建设过程中系统安全。为了达到这个目的,信息安全(INFOSEC)必要融合在项目管理和项目建设过程中,与公司业务需求、环境规定、项目筹划、成本效益以及国家和地方政策、原则、指令相一致。这种融合应当产生一种计算机系统安全工程(ISSE)项目,它要确认、评估、并且消除或控制住系统对已知或假定威胁脆弱点,最后得到一种可以接受水平安全风险。
计算机系统安全工程(ISSE)并不意味着存在一种单独独立过程。它支持项目管理和建设过程,并且是后者不可分割一某些。第三章到第六章将以项目管理过程为主轴,并结合项目建设过程,规定了在每个阶段中应达到哪些计算机系统安全工程规定。
第七条项目建设安全管理原则
信息系统项目建设安全管理应遵循如下原则:
1)级别
2)全生命周期安全管理:信息安全管理必要贯穿信息化项目建设整个生命周期;
3)成本-效益分析:进行信息安全建设和管理应考虑投入产出比;
4)明确职责:每个参加项目建设和项目管理人员都应当明确安全职责,应进行安全意识和职责培训,并贯彻到位;
5)管理公开:应保证每个项目参加人员都知晓和理解安全管理模式和办法;
6)科学制衡:进行恰当职责分离,保证没有人可以单独完毕一项业务活动,以避免浮现相应安全问题;
7)最小特权:人员对项目资产访问权限制到最低限度,即仅赋予其执行授权任务所必须权限。
第八条项目建设安全管理规定
项目安全管理工作应强化责任机制、规范管理程序,在项目申报、审批、立项、实行、验收等核心环节中,必要
文档评论(0)