版本號：.0423信息系統(tǒng)建設(shè)治理規(guī)定標(biāo)準(zhǔn)。時更要有全面動態(tài)的安全策略和良好的內(nèi)部治理機(jī)制，本標(biāo)準(zhǔn)包括五個局部：工程建設(shè)安全治理的總體要求：明確工程建設(shè)安全治理的目標(biāo)和原則；求，確定各個環(huán)節(jié)的安全需求、目標(biāo)和建設(shè)方案；方案論證和審批安全治理：由安全治理部門組織行內(nèi)外專家對工程建設(shè)設(shè)的安全治理和技術(shù)人員及責(zé)任，并按規(guī)定安全內(nèi)容和審批程序進(jìn)展審批；工程實(shí)施方案和實(shí)施過程安全治理：包括確定工程實(shí)施的階段的安全治理等；安全治理標(biāo)準(zhǔn)，以及相關(guān)依據(jù)。第三條標(biāo)準(zhǔn)性引用文件〔不包括訂正的內(nèi)容或均不適用于本標(biāo)準(zhǔn)，版本適用于本標(biāo)準(zhǔn)。GB/T－20238第四條術(shù)語和定義1〕信息安全infosec信息的機(jī)密性、完整性和可用性的保護(hù)。完整性定義為保護(hù)信息和處理方法的準(zhǔn)確性和完備性?？捎眯远x為保證被授權(quán)用戶在需要時能夠訪問到信息和相關(guān)資產(chǎn)?！睮nformationSystemsSecurityEngineering〕〔ISSE〕是開掘用戶信息安全保護(hù)需求，然后以經(jīng)濟(jì)、準(zhǔn)確和簡明的方法來設(shè)計和建筑計算機(jī)系統(tǒng)的一門技巧和科學(xué)，ISSE識別出安全風(fēng)險，并使這些風(fēng)險減至最少或使之受到遏制。風(fēng)險分析riskanalysis發(fā)生的可能性的分析評估。安全目標(biāo)securityobjective5)安全測試securitytesting能測試、滲透測試和驗(yàn)證。具體狀況，依據(jù)各種標(biāo)準(zhǔn)、標(biāo)準(zhǔn)以及安全治理規(guī)定而制定。第六條工程建設(shè)安全治理目標(biāo)如下表所示。工程建設(shè)安全治理的目標(biāo)就是保證整個工程治理和建設(shè)過程中系統(tǒng)的安全。為了到達(dá)這個目標(biāo)，信息安全〔INFOSEC〕必需融合在工程治理和工程建設(shè)過程〔ISSE〕工程，到一個可以承受水平的安全風(fēng)險。系統(tǒng)安全工程要求。第七條工程建設(shè)安全治理原則1)等級周期；本錢-效益分析：進(jìn)展信息安全建設(shè)和治理應(yīng)考慮投入產(chǎn)出比；進(jìn)展安全意識和職責(zé)培訓(xùn)，并落實(shí)到位；法；以避開消滅相應(yīng)的安全問題；權(quán)任務(wù)所必需的權(quán)限。第八條工程建設(shè)安全治理要求限內(nèi)完成各個環(huán)節(jié)的安全治理行為，否則應(yīng)擔(dān)當(dāng)相應(yīng)的行政責(zé)任。第九條工程申報階段應(yīng)對信息系統(tǒng)工程及其建設(shè)的各個環(huán)節(jié)進(jìn)展統(tǒng)一的安階段的安全需求、安全目標(biāo)、安全治理措施。第十條應(yīng)由工程應(yīng)用主管單位進(jìn)展工程需求分析、確定總體目標(biāo)和建設(shè)方第十二條系統(tǒng)定級依據(jù)國家信息系統(tǒng)安全等級保護(hù)定級指南〔GBT22240-2023〕對工程中的系統(tǒng)進(jìn)展定級，明確信息系統(tǒng)的邊界和安全保護(hù)等級；成信息系統(tǒng)定級報告；性進(jìn)展論證和審定，上報上級主管單位和安全監(jiān)控單位進(jìn)展審定；第十三條挖掘安全需求求分析，應(yīng)至少包括以下信息安全方面的內(nèi)容：患病的自然威逼或者人為威逼〔有意或無意，具體包括威逼列表、威逼可能性分析、威逼嚴(yán)峻性分析等；述，這些問題是被攻擊的可能性、被攻擊成功的可能性；失；分析，應(yīng)供給風(fēng)險清單以及風(fēng)險優(yōu)先級列表；的安全風(fēng)險，都至少有一個安全需求與其對應(yīng)。第十四條安全可行性在可行性報告的以下條目中應(yīng)增加相應(yīng)的信息安全方面的內(nèi)容：工程目標(biāo)、主要內(nèi)容與關(guān)鍵技術(shù)：增加信息化工程的總體安全目標(biāo)，并擇；以及制度四個方面來實(shí)現(xiàn)全部的安全對策，并形成安全方案；的資質(zhì)和閱歷介紹，并增加介紹工程主要參與人員的信息安全背景；的安全職責(zé)、建設(shè)實(shí)施中的安全操作程序和相應(yīng)安全治理要求；本錢效益分析：對安全方案進(jìn)展本錢-效益分析。第十五條對投入使用的應(yīng)用軟件需要升級改造的，雖不需另行立項(xiàng)，但仍相應(yīng)安全對策。第十六條本階段主要是工程審批單位對工程申報內(nèi)容進(jìn)展安全方案的設(shè)第十七條安全標(biāo)準(zhǔn)確實(shí)定措施；和遠(yuǎn)期的安全建設(shè)工作打算；應(yīng)依據(jù)信息系統(tǒng)的等級劃分狀況，統(tǒng)一考慮安全保障體系的總體安全策文件應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、進(jìn)展論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實(shí)施；術(shù)框架、安全治理策略、總體建設(shè)規(guī)劃、具體設(shè)計方案等相關(guān)配套文件。安全性論證，必要時可以聘請外單位的專家參與論證工作。第十九條安全性論證和審批本錢-效益、合理性、可行性和有效性分析，并在《信息化工程立項(xiàng)審批表》上給出明確的結(jié)論：適當(dāng)不適宜〔拒絕〕需作復(fù)議充或者修改后，再次提交復(fù)審。其次十條工程安全立項(xiàng)下條目中應(yīng)增加相應(yīng)的計算機(jī)安全方面的內(nèi)容：全組織構(gòu)造以及人員的安全職責(zé)；程序和相應(yīng)安全治理要求；用于實(shí)現(xiàn)安全對策的總體安全方案；能的強(qiáng)度；工程驗(yàn)收考核指標(biāo)：增加安全性測試和考核指標(biāo)。需與第三方簽訂安全保密協(xié)議。3工作。其次十三條概要設(shè)計子階段的安全要求應(yīng)當(dāng)按子系統(tǒng)來描述系統(tǒng)的安全體系構(gòu)造；應(yīng)當(dāng)描述每一個子系統(tǒng)所供給的安全功能；或軟件中實(shí)現(xiàn)的支持性保護(hù)機(jī)制供給的功能表示；應(yīng)當(dāng)標(biāo)識子系統(tǒng)的全部接口，并說明哪些接口是外部可見的；誤消息的細(xì)節(jié)；〔需求。其次十四條具體設(shè)計子階段的安全要求書》中至少要包括以下信息安全內(nèi)容：查其技術(shù)原理；對系統(tǒng)層面上的和模塊層面上的安全設(shè)計進(jìn)展審查；〔通常包括完整的系統(tǒng)的、軟件的、硬件的安全測試方案，至少是相關(guān)測試程序的一個草案；〕集成為完整的系統(tǒng)，并且檢查確認(rèn)集成以后的系統(tǒng)符合要求。本階段中，應(yīng)完成以下具體信息安全工作：更系統(tǒng)安全威逼評估，推測系統(tǒng)的使用壽命；統(tǒng)驗(yàn)證機(jī)制及檢查方法；完善系統(tǒng)的運(yùn)行程序和全生命期支持的安全打算，如密鑰的分發(fā)等；在《系統(tǒng)集成操作手冊》中，應(yīng)制定安全集成的操作程序；在《系統(tǒng)修改操作手冊》中，應(yīng)制定系統(tǒng)修改的安全操作程序；對工程參與人員進(jìn)展信息安全意識培訓(xùn)；并對參與工程建設(shè)的安全治理和技術(shù)人員的安全職責(zé)進(jìn)展檢查。選購，并確保選購的設(shè)備至少符合下面的要求：部門的測評或認(rèn)證的產(chǎn)品。48禁將未經(jīng)測試驗(yàn)收或驗(yàn)收不合格的設(shè)備交付使用。要自行確定。通過試運(yùn)行的設(shè)備，才能投入生產(chǎn)系統(tǒng)，正式運(yùn)行。1)檢查代碼的全部權(quán)和學(xué)問產(chǎn)權(quán)狀況；質(zhì)量合格證和所進(jìn)展的工作的準(zhǔn)確度；在第三方發(fā)生故障的狀況下，有第三方備份保存；進(jìn)展質(zhì)量審核；在合同上有代碼質(zhì)量方面的要求；在安裝之前進(jìn)展測試以檢測特洛伊代碼；供給源代碼以及相關(guān)設(shè)計、實(shí)施文檔；重要的工程建設(shè)中還要要對源代碼進(jìn)展審核。〔如操作系統(tǒng)、數(shù)據(jù)庫等〕或安全專用產(chǎn)品〔如防火墻、IDS〕應(yīng)到達(dá)以下要求：〔ATM制度中的相關(guān)規(guī)定執(zhí)行；安全產(chǎn)品的選購必需由公司進(jìn)展統(tǒng)一選購；證；研制單位；安全產(chǎn)品選型的標(biāo)準(zhǔn)；實(shí)際需要制定信息技術(shù)產(chǎn)品選型的標(biāo)準(zhǔn)。48禁將未經(jīng)測試驗(yàn)收或驗(yàn)收不合格的設(shè)備交付使用。要自行確定。通過試運(yùn)行的設(shè)備，才能投入生產(chǎn)系統(tǒng)，正式運(yùn)行。其次十九條產(chǎn)品和效勞供給商應(yīng)到達(dá)以下要求：質(zhì)，對于較為重要的系統(tǒng)應(yīng)有更高級別的集成資質(zhì)；工商要求：①產(chǎn)品、系統(tǒng)或效勞供給單位的營業(yè)執(zhí)照和稅務(wù)登記在合法期限內(nèi)；②產(chǎn)品、系統(tǒng)或效勞供給商的產(chǎn)品、系統(tǒng)或效勞的供給資格；③連續(xù)贏利期限要求；④連續(xù)無相關(guān)法律訴訟年限要求；⑤沒有發(fā)生重大治理、技術(shù)人員變化和流淌的期限要求；⑥沒有發(fā)生主業(yè)變化期限要求。信息安全產(chǎn)品的選購請參閱《信息安全產(chǎn)品選購、使用治理制度》統(tǒng)應(yīng)有更高級別的安全效勞資質(zhì)；家權(quán)威部門頒發(fā)的信息安全人員資質(zhì)認(rèn)證；不被作為非法攻擊的跳板；主管部門進(jìn)展工程交付，但交付的內(nèi)容至少包括：制定的系統(tǒng)交付清單，對交付的設(shè)備、軟件和文檔進(jìn)展清點(diǎn)；對系統(tǒng)運(yùn)維人員進(jìn)展技能培訓(xùn)，要求系統(tǒng)運(yùn)維人員能進(jìn)展日常的維護(hù)；供給系統(tǒng)建設(shè)的過程文檔，包括實(shí)施方案、實(shí)施記錄等；供給系統(tǒng)運(yùn)行維護(hù)的幫助和操作手冊字確認(rèn)。要求完成交付工作。第三十三條應(yīng)制定投產(chǎn)與驗(yàn)收測試大綱，在工程實(shí)施完成后，由工程應(yīng)用安全性測試和評估要求：配置治理：系統(tǒng)開發(fā)單位應(yīng)使用配置治理系統(tǒng)，并供給配置治理文檔；了安全的配置；具體設(shè)計進(jìn)展檢查，保證其符合概要設(shè)計以及總體安全方案；功能的優(yōu)點(diǎn)和保護(hù)功能等具體準(zhǔn)確的信息；的安全功能的用途以及如何使用它們，這樣用戶可以持續(xù)有效地保護(hù)他們的信息；其次，它必需解釋在維護(hù)系統(tǒng)的安全時用戶所能起的作用；〔或哈希函數(shù)說明口令空間是否有足夠大來指出口令字功能是否滿足強(qiáng)度要求；〔安全對策是否可以滿足估上述內(nèi)容，以推斷它們在實(shí)際應(yīng)用中是否會被利用來減弱系統(tǒng)的安全。工程開發(fā)擔(dān)當(dāng)單位應(yīng)作進(jìn)一步修改。第三十五條測試通過后，由工程應(yīng)用單位組織進(jìn)入試運(yùn)行階段，應(yīng)有一系措施保證系統(tǒng)的安全水平在系統(tǒng)運(yùn)行期間不會下降。具體工作如下：監(jiān)測系統(tǒng)的安全性能，包括事故報告；進(jìn)展用戶安全培訓(xùn)，并對培訓(xùn)進(jìn)展總結(jié)；監(jiān)視與安全有關(guān)的部件的撤除處理；險有關(guān)的因素；監(jiān)測安全部件的備份支持，支持與系統(tǒng)安全有關(guān)的維護(hù)培訓(xùn)；評估大大小小的系統(tǒng)改動對安全造成的影響；影響系統(tǒng)的安全風(fēng)險。第三十六條系統(tǒng)安全試運(yùn)行半年后，工程應(yīng)用主管單位可以組織由工程開安全內(nèi)容：安全功能；承受技術(shù)是否符合國家、電力行業(yè)有關(guān)安全技術(shù)標(biāo)準(zhǔn)及標(biāo)準(zhǔn)；是否實(shí)現(xiàn)驗(yàn)收測評的安全技術(shù)指標(biāo)；工程建設(shè)過程中的各種文檔資料是否標(biāo)準(zhǔn)、齊全；在驗(yàn)收報告中也應(yīng)在以下條目中反映對系統(tǒng)安全性驗(yàn)收的狀況：工程設(shè)計總體安全目標(biāo)及主要內(nèi)容；工程承受的關(guān)鍵安全技術(shù)；第三十七條系統(tǒng)備案相關(guān)材料有由公司進(jìn)展統(tǒng)一治理，相應(yīng)的系統(tǒng)應(yīng)用、治理部門可以借閱；系統(tǒng)等級及相關(guān)材料報系統(tǒng)主管部門進(jìn)展備案；第四十條設(shè)備治理，嚴(yán)禁盜用帳號和密碼，超越治理權(quán)限，非法操作安全設(shè)備。猜測的強(qiáng)口令，并遵循省電網(wǎng)公司統(tǒng)一的帳號口令治理方法。門備案。人員審核批準(zhǔn)，并準(zhǔn)時更策略配置庫。設(shè)備須有備機(jī)備件，由公司統(tǒng)一進(jìn)展保管、分發(fā)和替換。加強(qiáng)設(shè)備外聯(lián)掌握，嚴(yán)禁擅自接入國際互聯(lián)網(wǎng)或其他公眾信息網(wǎng)絡(luò)。留檔。存儲介質(zhì)(含磁盤、磁帶、光盤和優(yōu)盤)的治理應(yīng)遵循：①因工作緣由需使用外來介質(zhì)，應(yīng)首先進(jìn)展病毒檢查。②存儲介質(zhì)上粘貼統(tǒng)一標(biāo)識，注明編號、部門、責(zé)任人。9)安全設(shè)備的使用治理：處理；②關(guān)鍵安全設(shè)備媒體必需進(jìn)展日常巡檢；③當(dāng)設(shè)備的配置更改時，應(yīng)做好配置的備份工作；位進(jìn)展故障排解，應(yīng)填寫操作記錄和技術(shù)文檔。設(shè)備相應(yīng)責(zé)任人負(fù)責(zé)：①建立具體的運(yùn)行日志記錄、備份制度；行狀況等。最正確狀況；〔如溫度、濕度、電壓、電磁干擾、粉塵度等〕下工作；依據(jù)要求調(diào)整相應(yīng)設(shè)備參數(shù)配置；上的備份，并存放一份于異地。第四十一條投產(chǎn)后的監(jiān)控與跟蹤工程投產(chǎn)后還應(yīng)進(jìn)展一段時間的監(jiān)控和跟蹤，具體包括以下要求：具體的記錄；監(jiān)控增的安全部件對系統(tǒng)安全的影響；跟蹤安全有關(guān)部件的撤除處理狀況，并監(jiān)控隨后系統(tǒng)安全性的變化；影響；監(jiān)控系統(tǒng)所受威逼的變化，評估其發(fā)生的可能性以及可能造成的影響；監(jiān)控并跟蹤安全部件的備份狀況；監(jiān)控運(yùn)行程序的變化，并記錄這些變化對系統(tǒng)安全的影響；監(jiān)控系統(tǒng)物理環(huán)境的變化狀況，并記錄