信息化建设项目管理制度

信息化建设项目管理制度

第一章 总 则

第一条 为进一步规范系统安全建设管理，保障信息化项目建设安全可靠，特制定本办法。

第二条 本制度适用于各部门。

第二章 管理规定

第三条 信息化建设项目应报信息化领导小组审定。 第四条 是信息化建设的实施单位，牵头组织实施信息化工程，并负责信息化工程进行技术指导。

第五条 信息系统安全保护应按照《中华人民共和国计算机安全条例》及公安部、保密局有关规定执行。

第三章 信息化项目建设

第六条 信息化项目储备与计划管理：

（一）信息技术部门负责信息化项目储备管理工作。 （二）信息化项目储备管理是全面推行信息化项目管理和统筹安排信息化计划的重要基础。

（三）信息化储备要严格控制费用标准，降低项目投资，既保证质量又避免浪费，注重资金效率和社会综合效益。

（四）信息化项目，应研究和提出立项依据、项目内容、项目投资，完成项目可行性研究报告，并通过相应审查。

第七条 信息化项目建设管理：

（一）信息化建设要严格遵循统一组织制定的信息化架构及信息标准。

（二）信息化建设项目应该严格执行招投标管理的相关制度。

（三）信息化建设项目要建立项目组织机构，制定项目质量、投资控制和进度目标。建立和执行信息化项目建设协调会议制度。信息技术部门和相关部门要按照职责分工，负责对信息化项目建设期间各项控制目标的实现情况进行检查和落实。

（四）信息化项目要进行设计方案（包括功能、技术和经济三部分）评审，根据实际情况可细分为概设评审和详设评审。

（五）信息化项目的开发与实施要严格遵循评审通过的设计方案进行，要符合软件工程有关规范。如有重大变动需履行设计变更程序。

（六）信息化项目的实施应制定实施计划和实施方案，明确本单位项目实施目标、实施范围、实施计划、项目人员组织、沟通机制等内容，按照试点先行、有序推广的原则进行。

（七）信息化项目建设要严格执行有关信息安全及保密管理规定。坚持信息安全是信息化项目组成部分的原则，按

照信息安全措施与信息化项目同步规划、同步建设和同步投入运行的要求，切实落实信息化项目中安全措施建设工作。

（八）信息化项目建设要统筹考虑系统的运行维护，信息技术部门要参与信息化项目的立项、设计、建设的全过程，并审核与运行安全相关的内容，安排人员全过程参与项目建设，掌握项目技术内容，为后续运行维护提前做好准备工作。

第四章 安全需求分析及方案设计

第八条 根据系统安全需求，负责安全建设方案设计的制定。项目安全方案应基于信息系统的安全等级，要利于网络安全策略和应用安全策略等的实施，并且要有完整的安全扩展方案（包括本系统扩容、功能增强和与第三方系统对接三个方面），以及应急处理措施。

第九条 安全方案的制定必须从网络安全、数据安全、应用安全、系统安全等各个角度进行考虑。

第十条 应组织相关部门和有关安全技术专家对安全方案的合理性和正确性进行论证和审定，并且经过批准后才能正式实施。

第五章 安全产品和服务采购

第十一条 应确保安全产品采购和使用符合国家的有关规定。

第十二条 加强供应商的开发、评估、考核及规范管理，确保其提供快速、优质的产品及技术服务。

第十三条 应确保密码产品采购和使用符合国家密码主管部门的要求。

第十四条 应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。

第十五条 应确保安全服务商的选择符合国家的有关规定；应与选定的安全服务商签订与安全相关的协议，明确约定相关责任；应确保选定的安全服务商提供技术培训和服务承诺，必要的与其签订服务合同。

第十六条 负责工程实施过程的管理。

第十七条 应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程。

第十八条 应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。

第六章 应用软件开发管理

第十九条 应根据开发需求检测软件质量，并在软件安装之前检测软件包中可能存在的恶意代码，审查软件中可能存在的后门。

第二十条 应要求开发单位提供软件设计的相关文档和使用指南，并要求开发单位提供软件源代码。

第七章 工程实施管理

第二十一条 按规定提供给投标方的技术资料，应该与投标单位签订保密协议。在施工之前应与中标方签署保密协

议。

第二十二条 项目实施中要重视机房、设备的物理安全，对施工人员进行安全培训，落实各种安全防范措施，并做好施工管理。

第二十三条 应制定工程实施方案，并在实施过程中严格控制实施进度和实施质量。

第二十四条 XX邀请第三方工程监理对项目的实施过程进行监督与控制。

第八章 测试验收及交付

第二十五条 做好系统上线前安全管理：

（一）新系统上线前，需经过严格的功能、性能测试，提交相应的测试报告；

（二）系统上线前应具备完整的技术资料，包括：配置数据、维护操作手册、快速故障处理手册、系统应急预案等；

（三）应用系统上线前，开发商或集成商必须提供该系统正常运行过程中的进程列表、进程说明、开放端口及使用的通信协议等情况的说明；

（四）应用系统上线前应对系统的参数进行安全检查并邀请具有专业技术资格的第三方机构或人员对系统进行上线前评估，评估应包括密码应用安全性测试内容并编写正式报告；

（五）应用系统上线前，需对系统进行漏洞扫描，及时

发现问题和漏洞，并修补和解决，对系统进行进程检查、内部测试及压力评测，对系统安全进行安全评估及加固，由软件开发商和集成商对账号进行清理，由系统管理员对密码进行重置；

（六）对于业务系统上线后由于软件后门及木马程序等引发的安全事件追溯其法律责任；

（七）应用系统应当拥有日志系统，系统日志将成为事后诊断和追查的重要线索和证据；

（八）测试开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据和测试结果应受到控制；测试开发系统、实验系统原则上不允许上线投入运营。

第二十六条 在项目试运行期间，要加强对试运行系统的安全监控，并定期进行详细记录，避免对其他系统造成影响；加强试运行期间的跟踪支持和系统优化，不得降低试运行期间系统的安全级别。

第二十七条 在验收前应制订验收方案，在验收过程中应详细记录验收结果，并形成验收报告；应组织相关部门和相关人员对系统验收报告进行审定，并签字确认；应制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点。施工方应提交建设过程文档或日后的运行维护文档。

第二十八条 在项目验收后，对于项目中曾经使用过的

临时帐号应该立刻删除或修改密码；由施工方提供由安全管理员认可的系统安全机制说明文档。

第二十九条 系统交付时应制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；应对技术人员进行相应的技能培训。

第九章 等级测评

第三十条 需要对已有系统进行安全保护等级定级，以书面形式描述系统边界和安全保护等级，说明定级方法和理由，并组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定。定级结果需经过相关部门批准，将定级备案材料报主管部门和相应公安机关备案。

第三十一条 应根据系统的安全保护等级设计安全方案并采取相应的安全措施，安全设计的内容包含密码相关内容并形成配套方案。组织相关部门和有关专家对安全方案和配套文件的正确性进行论证，经过批准后方可实施。

第三十二条 依据系统保护等级和风险分析的结果调整系统的安全措施。

第三十三条 每年进行一次等级测评，及时对不符合相应等级保护标准要求的事项进行整改。

第三十四条 当应用系统发生重大变更或级别发生变化时进行等级评测。

第三十五条 所选择的等级测评机构应符合国家有关

规定。

第十章 附 则

第三十六条 本制度由 制定，并由其负责解释和维护管理。

第三十七条 本制度自发布之日起施行。