系统建设安全管理规定.docx

《系统建设安全管理规定.docx》由会员分享，可在线阅读，更多相关《系统建设安全管理规定.docx（5页珍藏版）》请在第一文库网上搜索。

1、系统建设安全管理规定文档信息单位名称烟台市教育装备与技术研究中心文档名称系统建设安全管理规定文档编号YTEDU-CS-3.4受控状态受控文件扩散范围内部使用制作人尹磊审核人姜静批准人冷作福页数共5页发布日期2018.10.10生效日期2018.10.10版本历史版本日期说明修订人1.02018.10.10创建文件尹磊2.02019.07.17修订尹磊系统建设安全管理规定第一章总则第一条为加强网络安全管理工作，防范计算机信息技术风险，保障烟台市教育城域网网络安全、稳定运行，保障信息化建设的稳步发展，参照国家有关规定，制定本规定。第二条本规定适用于接入烟台市教育城域网的信息系统的建设安全管理。第二

2、章系统规划与立项的安全管理第三条建立总体建设规划书，计算机信息系统的规划和建设应同步做好系统安全保护工作，以确保系统安全目标的实现。第四条计算机信息系统应采取与业务安全等级要求相应的安全机制，在安全防护方面应符合下列基本安全要求：（一）采取必要的技术手段，建立严密的安全管理控制机制，保证数据信息在处理、存储和传输过程中的完整性和安全性，防止数据信息被非法使用、修改和复制；（二）提供完整的数据备份和恢复功能，能方便的根据系统和数据的备份介质进行灾难恢复；（三）具有严格的用户和密码管理，能对不同级别的用户进行有限授权，特别应严格限制和分流特权用户的权限，防止非法用户的侵入和破坏；（四）重要计算机信

3、息系统应设置审计监控程序，具有身份识别和实体认证功能。能够自动记录操作人员的重要操作，具有防止抵赖机制；（五）涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。第五条重要计算机信息系统立项的安全管理实行审批制度。各部门重要计算机信息系统项目应提交烟台市教育装备与技术研究中心进行安全性专项审查。第六条项目申报材料在符合管理规定有关要求的同时，还应包括以下与信息系统安全有关的内容：（一）业务主管部门对保证业务正常开展的安全需求；（二）系统的安全性指标；（三）系统运行平台的安全性要求；（四）系统采取的安全策略、安全保护措施及其安全功能设计。第七条对没有通过烟台市教育装备与技术研究中心审查的项目

4、，不得予以立项。第三章系统开发的安全管理第八条计算机信息系统的开发必须符合软件工程规范，并在软件开发的各阶段按照安全管理目标进行管理和实施。第九条计算机信息系统参加开发的协作单位应经过严格资格审查，并签订保密协议书，承诺其负有的安全保密责任和义务。第十条计算机信息系统的开发环境和现场应当与生产环境和现场隔离，测试数据不得直接使用生产环境数据。第十一条计算机信息系统开发完成后，参加开发的外部单位应及时移交程序源代码及其相关技术文档，填写系统交付清单。第十二条计算机信息系统采用的关键安全技术措施和核心安全功能设计不得进行公开学术交流或发表。第十三条计算机信息系统软件开发完成后，须提交业务部门进行整

5、体功能性测试。第十四条计算机信息系统软件开发实行安全审计制度，由烟台市教育装备与技术研究中心牵头组织安全审计。第十五条对计算机信息系统实行外包开发的，除了明确知识产权、保密、服务等责任外,还应对软件程序进行必要的代码检查和安全审计。第四章系统安全的评估与审批第十六条计算机信息系统投入运行前，应向烟台市教育装备与技术研究中心提出安全评估和审批申请，并报送下列材料：（一）系统的用途、总体结构及软硬件配置等基本情况；（二）关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明；（三）系统安全性测试提纲和测试报告。第十七条烟台市教育装备与技术研究中心按照测试验收管理制度对计算

6、机信息系统开发单位报送的书面材料进行安全性测试、认证。第十八条对信息系统的安全评估应当包括以下内容：（一）系统的安全策略；（二）系统的安全措施：（三）系统安全功能的实现程度；（四）系统运行的稳定性、可靠性；（五）系统运行平台的安全可靠性。第十九条烟台市教育装备与技术研究中心对测试、认证的信息系统提出安全评估报告。第二十条对符合安全运行要求的信息系统，方可投入运行。对不能保证安全运行的，经修改完善后另行申报评估。第二十一条对尚未经过安全审批但已经投入使用的计算机信息系统，主管部门应报送系统安全建设情况书面材料，并按照上述程序进行安全评估和审批。第五章系统使用与废止的安全管理第二十二条计算机信息系

7、统投入使用时应建立相应的操作规程和安全管理制度，以防止各类安全事故的发生。第二十三条计算机信息系统使用人员应严格按照操作规程和有关安全管理制度进行操作，保证系统安全运行。第二十四条对计算机信息系统在运行过程中出现的异常现象，以及有关安全制度在执行过程中出现的问题，操作人员有责任向科室负责人报告。第二十五条计算机信息系统的使用部门应加强对计算机系统运行环境的管理，加强对计算机病毒的防治，保证系统安全运行。第二十六条计算机信息系统的使用部门应严格用户和密码（口令）的管理，严格控制各级用户对数据的访问权限。第二十七条计算机信息系统应定期进行数据备份，对备份介质应按有关规定指定专人妥善保管，重要业务系

8、统的备份介质必须异地保存。第二十八条重要计算机信息系统应当制定网络安全保护的应急计划，保证业务的不间断运行。第二十九条重要计算机信息系统应严格执行保密管理的有关规定，确保国家秘密的安全。第三十条对计算机信息系统使用部门及有关操作人员报告的安全问题，烟台市教育装备与技术研究中心反馈处理意见。第三十一条计算机信息系统的废止实行备案制度，退出使用应向烟台市教育装备与技术研究中心报告并备案。第三十二条对废止的计算机信息系统，在业务规定的保存期限内应当对软硬件和数据备份媒体妥善加以保管。超过保存期限后需要销毁的，予以不可恢复性销毁。第六章特别规定第三十三条网络安全产品采购具体参照软硬件采购管理制度，从采购申请、评估与审批、到货验收及文档管理的方面要求产品采购过程。第三十四条对于工程实施的内容严格按照工程实施管理制度实施。笫六章附则第三十五条本规定由烟台市教育装备与技术研究中心负责解释和修订。第三十六条本规定自发布之日起执行。