创新路
我们一直在努力

学习-系统建设管理

 

   1.系统定级

  • 应明确信息系统的边界和安全保护等级;

  • 应以书面的形式说明确定信息系统为某个安全等级的方法和理由;

  • 应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证金和审定;

  • 应确保信息系统定级结果经过相关部门的批准;

   2.安全方案设计

  • 应根据系统的安全保护级别选择基本安全措施,并根据风险分析的结果补充和调整安全措施;

  • 应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作;

  • 应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略,安全技术框架,安全管理策略,总体建设划分和详细设计方案,并形成配套文件;

  • 应组织相关部门和有关安全技术专家对总体安全策略,安全技术框架,安全管理策略,总体建设规划,详细设计方案,并形成配套文件;

  • 应根据等级测评,安全评估的结果定期调整和修订总体安全策略,安全技术框架,安全管理策略,总体建设规划,详细设计方案等相关配套文件;

  3.产品采购和使用

  • 应确保安全产品采购和使用符合国家的有关规定;

  • 应确保密码产品采购和使用符合国家密码主管部门的要求;

  • 应指定和授权专门的部门负责产品的采购;

  • 应预先对产品选型测试,确定产品的候选范围,并定期审定和更新候选产品名单;

  4.自行软件开发

  • 应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制;

  • 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;

  • 应制定代码编写安全规范,要求开发人员参照规范编写代码;

  • 应确保提供软件设计的相关文档和使用指南,并由专人负责保管;

  • 应确保对程序资源库的修改,更新,发布进行授权和批准;

  5.外包软件开发

  • 应根据开发需求检测软件质量;

  • 应在软件安装之前检测软件包中可能存在的恶意代码;

  • 应要求开发单位提供软件设计的相关文档和使用指南;

  • 应要求开发单位提供软件源代码,并审查软件中可能存在的后门;

  6.工程实施

  • 应指定或授权专门的部门人员负责工程实施过程的管路;

  • 应制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式执行安全工程过程;

  • 应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员准则;

  7.测试验收

  • 应委托公正的第三方测试单位对系统进行安全性测试,并出具安全报告;

  • 在测试验收前根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;

  • 应对系统测试验收的控制方法和人员行为准则进行书面规定;

  • 应指定或授权专门的部门负责系统测试验收的管理,并按照管理的要求完成系统测试验收工作;

  • 应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认;

  8.系统交付

  • 应制定详细的系统交付清单,并根据交付清单对所交接的设备,软件和文档进行清点;

  • 应对负责系统运行维护的技术人员进行相应的技能培训;

  • 应确保提供建设过程中的文档和指导用户进行系统运行的维护的文档;

  • 应对系统交付的控制方法和人员行为准则进行书面规定;

  • 应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作;

  9.系统备案

  • 应指定专门的部门或人员负责管理系统定级的相关材料,并控制这些材料的使用;

  • 应将系统等级及相关材料报系统主管部门备案;

  • 应将系统等级及其它要求的备案材料报相应公安机关备案;

  10.等级测评

  • 在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改;

  • 应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;

  • 应选择具有国家相关技术资质和安全资质的测评单位进行等级测评;

  • 应指定或授权专门的部门或人员负责等级测评的管理;

  11.安全服务商选择

  • 应确保安全服务商的选择符合国家规定;

  • 应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;

  • 应确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同;

 

未经允许不得转载:天府数据港官方信息博客 » 学习-系统建设管理

客官点个赞呗! (0)
分享到:

评论 抢沙发

评论前必须登录!

天府云博 - 做有态度的开发&运维&设计学习分享平台!

联系我们百度云主机