系统建设管理制度.docx

系统建设管理制度 系统定级 根据此系统的整体规划和设计运行需要，按照《信息系统安全等级保护定级指南》，此系统的安全保护等级拟定为三级。 以书面的形式定义确定了安全保护等级的信息系统的属性，包括使命、业务、网络、硬件、软件、数据、边界、人员等。 确保信息系统的定级结果经过相关部门的批准。 安全方案设计和审定 根据此系统的安全等级保护级别选择安全措施，依据风险评估的结果补充和调整相应的安全措施。 以书面的形式描述对系统的安全保护要求和策略、安全措施等内容，形成系统的安全方案。 对安全方案进行细化，形成能指导安全系统建设和安全产品采购的详细设计方案。 组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定。 在项目正式开始实施之前，应确保安全设计方案经过相关部门和有关技术专家批准。 产品采购 确保采购的所有产品（包括网络产品、安全产品等）都符合国家的有关规定和信息安全等级保护对应等级的相关标准。 确保所采购的所有密码产品都符合国家密码主管部门的要求。 指定或授权专门的部门负责产品的采购。 自行软件开发 确保开发环境与实际运行环境物理分开。 确保提供软件设计的相关文档和使用指南。 在软件安装之前检测软件包中可能存在的恶意代码，并制定恶意软件代码检测文档。 确保系统开发文档由专人负责保管，系统开发文档的使用受到控制，并对系统开发文档的使用进行认证的书面记录。 外包软件开发 与软件开发单位签订相应的软件开发协议，明确知识产权的归属和安全方面的要求。 根据软件开发协议的要求检测软件质量，或者请第三方软件测试单位对软件质量进行检测。 在软件安装之前和应用系统正式上线之前检测软件包中可能存在的恶意代码。 要求软件设计开发单位提供软件设计的相关文档和使用指南。 要求软件开发单位针对软件的安装、使用和注意事项进行相关培训。 工程实施 项目开始实施之前，应与工程实施单位签订与安全相关的协议，以约束工程实施单位的行为和工程实施的质量。 在项目实施的过程中，应指定或授权专门的人员或部门负责工程实施整个过程的管理，必要时可引入外部信息工程监理机构进行工程实施的监理。 应制定详细的工程实施方案控制实施过程，确保工程的进度和工程的完成质量。 应制定工程实施方面的管理规范，明确说明实施过程的控制方法和人员行为准则，及时提交相关表单文档。 测试验收 系统建设完成之后，应组织对系统进行软件运行测试、系统应用测试、系统安全性测试等。 在测试验收前根据系统设计方案和合同要求