文档介绍：精品文档
精品文档
1
精品文档
信息系统建设管理制度
第一章 总则
第一条 为加快公司信息系统建设步伐，规范信息系统工程项目建设安全管
理，提升信息系统建设和管理水平， 保障信息系统工程项目建设安全， 特制定本
规范。
第二条 本规范主要对XX公司（以下简称“公司”）信息系统建设过程提
出安全管理规范。保证安全运行必须依靠强有力的安全技术， 同时更要有全面动
态的安全策略和良好的内部管理机制，本规范包括五个部分：
1）项目建设安全管理的总体要求：明确项目建设安全管理的目标和原则；
2）项目规划安全管理：对信息化项目建设各个环节的规划提出安全管理要
求，确定各个环节的安全需求、目标和建设方案；
3）方案论证和审批安全管理：由安全管理部门组织行内外专家对项目建设
安全方案进行论证，确保安全方案的合理性、有效性和可行性。标明参加项目建
设的安全管理和技术人员及责任，并按规定安全内容和审批程序进行审批；
4）项目实施方案和实施过程安全管理：包括确定项目实施的阶段的安全管
理目标和实施办法，并完成项目安全专用产品的确定、 非安全产品安全性的确定
等；
5）项目投产与验收安全管理：制定项目安全测评与验收方法、项目投产的
安全管理规范，以及相关依据。
第三条 规范性引用文件
精品文档
精品文档
19
精品文档
下列文件中的条款通过本规范的引用而成为本规范的条款。 凡是注日期的引
用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，
但鼓励研究是否可使用这些文件的最新版本。 凡是不注日期的引用文件，其最新
版本适用于本规范。
GB/－2001信息技术 词汇第8部分安全
第四条 术语和定义
本规范引用GB/－2001中的术语和定义，还采用了以下术语和定
义：
1）信息安全 infosec
信息的机密性、完整性和可用性的保护。
注释： 机密性定义为确保信息仅仅被那些被授权了的人员访问。
完整性定义为保护信息和处理方法的准确性和完备性。
可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。
2)计算机系统安全工程 ISSE（InformationSystemsSecurity
Engineering ）
计算机系统安全工程（ISSE）是发掘用户信息安全保护需求，然后以经济、
精确和简明的方法来设计和建造计算机系统的一门技巧和科学， ISSE识别出安
全风险，并使这些风险减至最少或使之受到遏制。
3)风险分析 riskanalysis
对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其
发生的可能性的分析评估。
精品文档
精品文档
3
精品文档
4)安全目标 securityobjective
精品文档
精品文档
19
精品文档
本规范中特指公司项目建设信息安全管理中需要达成到的目标。
5)安全测试 securitytesting
用于确定系统的安全特征按设计要求实现的过程。 这一过程通常包括现场功
能测试、渗透测试和验证。
第五条 本规范遵照国家相关政策法规和条例，结合各种信息化项目建设的
具体情况，依据各种标准、规范以及安全管理规定而制定。
第二章 项目建设安全管理的总体要求
第六条 项目建设安全管理目标
一个项目的生命周期包括：项目申报、项目审批和立项、项目实施、项目验
收和投产；从项目建设的角度来看，这些生命周期的阶段则包括以下子阶段： 需
求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行，
如下表所示。
项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。 为了
达到这个目标，信息安全（INFOSEC）必须融合在项目管理和项目建设过程中，
与公司的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标
准、指令相一致。这种融合应该产生一个计算机系统安全工程（ ISSE）项目，它
要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点， 最终得到
一个可以接受水平的安全风险。
精品文档
精品文档
5
精品文档
计算机系统安全工程（ISSE）并不意味着存在一个单独独立的过程。 它支持
项目管理和建设过程，而且是后者不可分割的一部分。 第三章到第六章将以项目
管理过程为主轴，并结合项目建设过程，规定了在每个阶段中应达到哪些计算机
系统安全工程要求。
第七条 项目建设安全管理原则