第一章 总则

第一条 为进一步提高河南职业技术学院信息中心信息系统安全保障水平，确保信息系统建设的项目立项、设计、实施、验收等各个环节与信息安全管理控制机制的有机结合，实现项目工程管理过程和内容安全可控，特制定本规定。  

第二条 本规定适用于河南职业技术学院信息中心信息系统建设中的安全管理。  

第二章 信息系统规划安全管理  

第三条 信息系统规划阶段安全管理包括：项目立项、项目需求与要求、项目审批和项目招标相关阶段的信息安全管理要求。  

第四条 信息系统建设项目申请部门立项申请时，应明确信息系统的安全要求。  

第五条 可行性分析中应确定信息系统的安全等级，进一步明确安全目标和主要技术路线：  

(1)根据《信息系统安全等级保护定级指南》确定信息系统的安全等级；  

(2)描述信息系统业务信息的安全目标和业务服务的安全目标；  

(3)结合信息中心现有信息安全平台，阐述实现安全目标的可行性。  

第六条 项目需求分析过程中应包括信息系统安全性需求分析的内容，至少包括以下信息安全方面的内容：  

(1)根据信息系统安全等级，参照《信息系统安全等级保护基本要求》相应等级的安全控制要求进行选择；  

(2)分析信息系统可能面临安全威胁、风险和目前存在的脆弱性，根据实际环境风险的风险情况对安全控制要求进行调整；  

(3)应根据所选择的安全控制，根据现行的技术、产品、管理流程的实际情况形成相应的安全可行性方案。  

(4)信息系统可能需要的安全功能性需求，包括但不限于用户身份、访问控制、数据和信息保密性、数据审计和跟踪等。  

第七条 信息中心负责人对项目进行立项审批，并审核信息系统中的安全需求、设计内容是否符合信息中心安全策略要求；  

第八条 项目招标和采购应严格遵照政府采购流程，并考虑以下信息安全要求：  

(1)重要信息系统和网络的安全建设应优先考虑国内信息安全产品，安全产品采购和使用应符合国家有关规定，具备安全产品销售许可、知识产权证明等资质；  

(2)密码产品采购和使用应符合国家密码主管部门的要求；  

(3)信息安全集成、开发和服务提供商应具备符合国家相关资质要求的证明。  

第三章 信息系统实施安全管理  

第九条 信息系统实施阶段安全管理包括项目签约、项目计划、项目实施和试运行相关阶段的安全管理要求。  

第十条 信息系统开发在签署项目合约过程中，通过签署《保密协议书》约束双方的安全保密行为。  

第十一条 信息系统在详细设计阶段，应形成系统的安全设计方案。方案中应描述对系统的安全保护要求、策略和措施等，形成能够指导安全系统建设、安全产品采购和使用的详细设计方案。  

第十二条 信息系统在实施部署时，应全面评估信息系统部署的网络环境、系统环境以及数据库的安全性能够确保应用系统自身的安全需求。  

第十三条 信息系统应在测试环境中进行测试，以避免对已经运行信息系统产生影响，在测试过程中应进行测试汇总和记录。  

第十四条 信息系统在自行进行信息系统开发和实施时，应确保开发环境与实际运行环境的物理分离，并制定软件开发管理制度，明确开发过程的控制方法和人员行为准则。软件设计相关文档和使用指南由开发项目组指定专人负责保管。对程序资源库的修改、更新、发布进行授权和批准。  

第十五条 选择外包人员进行软件开发时，应注意以下安全控制：  

(1)应选择信誉与质量保证能力好的软件承包商。  

(2)应通过外包合同限制软件质量、安全性和适用性的检验，并保留检查权利。  

(3)应通过外包合同明确软件许可权、代码以及相关产品的知识产权。  

(4)应签署项目保密协议，对项目成果、数据、管理标准以及相关的河南职业技术学院内部信息、敏感信息、重要信息进行保密管理。  

(5)应通过合同明确代码存在后门、漏洞或安全隐患的违约或违法措施。  

第四章 信息系统验收安全管理  

第十六条 系统建设负责人对信息系统进行验收，同时信息中心对其中涉及的信息安全工程成果以及过程中的安全管理过程进行验收确认。  

第十七条 在测试验收前应根据设计方案、合同要求等制订测试验收方案，在测试验收过程中应详细记录下测试验收结果，形成测试验收报告。  

第十八条 信息中心和系统建设负责人组织相关部门、人员对系统测试验收报告进行审定，并签字确认。  

第十九条 信息系统交付验收时，应根据合同要求制定系统交付的清单，依据交付清单进行清点，信息系统交付物至少应包括：  

(1)信息系统运行所需要的全部设备；  

(2)信息系统运行所需要的全部软件；  

(3)信息系统文档，包括系统建设过程中的文档，详细的系统使用和维护文档；  

(4)信息系统应急方案；  

(5)信息系统使用培训教材。  

第二十条 信息系统验收并移交后，信息系统管理人员必须立即修改信息系统中所有账号的口令。  

第二十一条 信息系统在安全管理和控制方面存在以下情况之一，不能通过验收：  

(1)信息系统未提交安全性测试报告；  

(2)信息系统的安全功能与安全需求、概要设计和详细设计内容不一致；  

(3)通过第三方检测或测试发现信息系统存在安全隐患、后门或漏洞；  

(4)信息系统的整体设计和实施不符合国家法律和相关标准要求。  

第五章 安全服务商选择  

第二十二条 对安全服务商的选择，应对其经营声誉、财务状况、相应的服务管理体制、责任承担能力、诚信历史、安全资质、技术服务水平和参与外包服务人员的素质进行审核、评估，并确保安全服务商的选择符合国家的有关规定。  

第二十三条 所有安全服务项目都必须事先和安全服务商签订书面合同，明确双方权利与职责，包括保密范围、安全责任、违约责任等。  

第六章 项目工程管理  

第二十四条 信息系统在建设过程的工程安全管理中应至少包括如下管理内容：  

(1)信息系统建设的组织管理  

(2)信息系统建设的文档管理  

(3)信息系统建设的变更管理  

第二十五条 信息系统建设的组织管理，应加强如下安全控制：  

(1)应要求承建单位建立逐级解决问题的过程、提升信息系统安全性的组织保障能力；  

(2)信息系统建设过程中应加强对于承建单位的监视和评审工作，定期组织对于信息系统承建单位和业务单位的协商，建立稳定的问题管理、故障和安全事态追踪，确保信息系统建设能够实现既定目标。  

第二十六条 信息系统建设的文档管理，应加强如下安全控制：  

(1)信息系统建设各个阶段涉及的文档和交付应当符合相关安全要求；  

(2)所有文档应设定密级、读者范围，以限定其访问范围；  

(3)信息系统开发设计过程的所有相关文档应进行记录；  

第二十七条 信息系统建设的变更管理，应加强对变更本身的评估，在出现以下情况时可考虑变更：  

(1)评估现有信息系统建设是否对现有服务有所加强；  

(2)信息系统建设是否涉及新应用或系统功能的开发；  

(3)中心组织或控制程序是否发生变更；  

(4)解决信息安全事件或对信息安全措施有所改进。