基层单位信息系统安全等级保护三级管理制度.docx

版本号：1.0.xxxx信息系统生存周期管理规定第一章总则第一条为了进一步规范我单位信息系统生存周期管理工作，根据信息安全等级保护管理办法、信息系统安全管理要求(GBT20269-2006)和其他有关法律法规的规定，结合本单位实际，特制定本规定。第二条本规定适用于我单位信息系统安全管理人员和技术人员进行信息系统生存周期管理工作，包括规划和立项管理、建设过程管理、系统启用和终止管理等工作。第三条信息系统生存周期管理工作的责任部门为单位信息中心。第二章规划和立项管理第四条规划和立项管理的内容包括三个方面：系统规划、系统需求、系统开发的立项。第五条制定包括信息系统的总体安全策略、安全保障体系的安全技术框架和安全管理策略的安全策略规划并得到信息安全领导小组的批准；根据安全策略规划制定安全建设和安全改造的规划，以及近期和远期的发展制定工作计划，并得到信息安全领导小组的批准。第六条信息系统应用部门或业务部门需要开发新的业务应用系统或更改已运行的业务应用系统时，应分析该新业务将会产生的经济效益和社会效益，确定其重要性，并以书面形式提出申请；第七条对于一般的系统开发项目，接到系统需求的书面申请，必须经过主管领导的审批，或者经过管理层的讨论批准，才能正式立项。第三章建设过程管理第八条建设过程管理的内容包括五个方面：建设项目准备、工程项目外包要求、自行开发环境控制、安全产品使用要求、建设项目测试验收。第九条对信息系统建设和改造项目应明确指定项目负责人，监督和管理项目的全过程；应制定详细的项目实施计划，作为项目管理过程的依据；要求将安全工程项目过程有效程序化；建立工程实施监理管理制度；应明确指定项目实施监理负责人。第十条对信息系统工程项目外包，应选择具有服务资质的信誉较好的厂商，要求其已获得国家主管部门的资质认证并取得许可证书、能有效实施安全工程过程、有成功的实施案例；第十一条对自行开发信息系统的建设和改造项目时，应明确要求开发环境与实际运行环境做到物理分开，建立完全独立的两个环境；开发及测试活动也应尽可能分开；第十二条信息安全产品包括构成信息系统安全保护功能的信息技术硬件、软件、固件设备，以及安全检查、检测验证工具等，信息系统使用的信息安全产品应按照相应的安全保护等级的要求选择相应等级的产品。第十三条信息系统建设和改造项目的安全系统需要进行安全测试验收，并规定安全测试验收负责人；测试验收前，应制订测试和接收标准，并在接收前对系统进行测试；应确保新系统的接收要求和标准被清晰定义并文档化。对安全系统的测试包括：对组成系统的所有部件进行安全性测试；对系统进行集成性安全测试；对业务应用进行安全测试等；第四章系统启用和终止管理第十四条系统启用和终止管理的内容包括二个方面：新系统启用管理、终止运行管理。第十五条在新的信息系统或子系统、信息系统设备在启用以前，应经过正式测试验收，进行一定期限的试运行，经过管理者、技术负责人、用户和安全专家对试运行进行专项安全评估后，由使用者提出申请，得到安全管理人员和技术负责人认可，并经过信息安全领导小组组长批准，形成文档备案，才能正式投入使用。第十六条任何现有信息系统或子系统、信息系统设备需要终止运行时，应由使用者或管理者提出申请并说明原因，采取必要的安全措施，并进行数据和软件备份，对终止运行的设备进行不可恢复的数据清除，如果存储设备损坏则必须采取销毁措施,得到安全管理人员和技术负责人认可，并经过主管单位领导批准,并形成文档备案，才能正式终止运行。第五章附则第十七条本规定由单位信息安全领导小组负责解释。第十八条违反本规定，发生信息安全事件的，按照事件造成的损失和后果,依据国家有关法律法规进行处罚。第十九条本规定自发布之日起施行。