还剩4页未读,继续阅读
文本内容:
公司信息安全管理系统建设管理
(一)规划设计
1.总体安全规划阶段的工作流程>近期、远期的安全需求分析>近期、远期的总体安全设计>安全管理员负责制定安全建设项目规划.安全需求分析>基本安全需求的确定>额外/特殊安全需求的确定>形成安全需求分析报告.总体安全设计>总体安全策略设计根据系统安全等级选定安全策略、基本安全措施,依据风险评估补充和调整安全措施>安全技术体系结构设计>整体安全管理体系结构设计>设计结果文档化.安全建设项目规划>安全建设目标确定>安全建设内容规划>形成安全建设项目计划
(二)设备选型信息系统采取有关信息安全技术措施和采购装备相应的设备时,应遵循下列原则.应确保产品采购和使用符合国家信息安全的有关规定;.应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单;.尽量采用我国自主开发研制的信息安全技术和设备;.采用境外信息安全产品时,产品必须通过国家信息安全测评机构的认可.严禁使用未经国家密码管理部门批准和未通过国家信息安全质量认证的密码设备
(三)采购和安装软件的采购和安装.信息系统所使用的操作系统、应用软件、数据库、安全软件、工具软件必须是正式版本,严禁使用测试版和盗版软件.重要的操作系统和主要应用软件必须在安全管理员的监督之下进行安装.设备的采购和安装.设备符合系统选型要求并获得批准后,方可购置.选型的设备进行系统适用性测试,确保选型的设备符合系统技术性能指标要求.凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试.通过上述测试后,设备才能进入试运行阶段试运行时间的长短可根据需要自行确定.通过试运行的设备,才能投入系统,正式运行
(四)软件开发管理软件自行开发管理.系统应用软件的开发必须根据信息密级和安全等级,同步进行相应的安全设计,并制定各阶段安全目标,按目标进行管理和实施.系统应用软件的开发,必须有安全管理专业的技术人员参加,其主要任务是对系统方案与开发进行安全审查和监督,负责系统安全设计和实施.开发环境和现场必须与办公环境和工作现场分开,软件设计方案、数据结构、安全管理、操作监控手段、数据加密形式、原代码等,只能在有关开发人员及有关管理机构中流动,严禁散失或外泄;开发人员和测试人员分离,测试数据和测试结果受到控制.应用软件开发必须符合软件工程规范[GB8566-88][GB1526-89].要求开发人员参照代码编写安全规范编写代码;.确保提供软件设计的相关文档和使用指南,并由专人负责保管;.确保对程序资源库的修改、更新、发布进行授权和批准外包软件开发管理.应要求开发单位提供软件设计的相关文档和使用指南;.在委托开发过程中,应加强开发过程中的安全管理和监控,重点考虑资质、许可证、代码所有权和知识产权;审核工作质量和访问权限,代码质量和安全功能达到合同要求特殊情况应测试恶意代码和特洛伊木马.应要求软件开发商在所开发的信息系统内设计实现了安全控制措施,确保信息在系统中得到了正确处理.在开发过程中,应采取控制措施,减少信息泄露的可能性,重点考虑规范开发过程中的通信行为,以减少第三方从这些行为中推断信息的可能性;在现有法律或法规允许的情况下,定期监视个人和系统的活动;监视计算机系统的资源使用;防止非授权的网络访问;对程序源代码的防护管理;.系统运维管理部门应要求软件开发商对程序源代码进行管理与控制程序源代码应集中保存在代码库中,对代码库实施安全保护保护措施主要包括建立程序源代码和源程序库管理规范;对访问源程序库人员进行授权管制;程序列表应保存在安全的环境中;建立对源程序库所有访问的审核日志;维护和拷贝源程序库应受严格的限制;.测试数据的管理系统运维管理部门对于开发过程中涉及的测试数据在测试数据选择过程中,应避免使用包含个人信息或其它敏感信息的运行数据库用于测试其控制措施包括运行信息每次被拷贝到测试系统时应有独立的授权;测试完成后,应立即从测试系统中清除运行信息或进行授权访问控制;记录运行信息的拷贝和使用日志;.信息系统安全整体测试系统运维管理部门组织信息系统使用单位(部门)在离线测试环境下对所开发信息系统进行安全测试经过测试确认后,方可转入正式环境,并组织评估测试结果的安全符合性
(五)工程实施.指定或授权专门的部门或人员负责工程实施过程的管理,必要时可引入外部信息工程监理机构进行工程实施的监理.由实施方制定详细的工程实施方案控制实施过程,由系统运维管理部门认可并要求工程实施单位能按计划执行工程实施;.由实施方制定工程实施方面的管理规范,明确说明实施过程的控制方法和人员行为准则,及时向计算机审计中心提交相关表单文档
(六)测试验收.委托第三方测试单位对系统进行安全性测试,并出具安全性测试报告,要求建设单位根据测试结果及时进行整改;.在测试前应根据设计方案或合同要求等制订测试方案,在测试过程中应详细记录测试结果,并形成测试报告,测试通过后方可进行验收;.对系统测试验收的控制方法和人员行为准则进行书面规定;.指定或授权专门的部门或人员负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作;.组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认
(七)系统交付.对系统交付的控制方法和人员行为准则进行书面规定;.应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作.制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点和确认;.对负责系统运行维护的技术人员进行相应的技能培训,以及对系统最终用户的操作进行相应的培训
(八)系统建设服务商选择.确保系统建设服务商的选择符合国家信息安全的有关规定,必要时应选择有安全集成的相关资质的服务商;.与选定的系统建设服务商签订与安全相关的保密协议,明确约定相关责任;.确保选定的系统建设服务商提供技术培训和服务承诺,必要的与其签订服务合同附表1运维人员联系方式一览表外包公司姓名职务。