1、 横琴新区大数据平台项目(集成开发服务)大横琴科技发展有限公司应用系统安全管理办法第一章 总则第一条 为加强珠海大横琴科技发展有限公司(以下简称科技公司)所属横琴大数据平台的应用系统的安全防护能力,多角度、多层面、全方位制订应用系统及应用安全防护措施和管理办法,保证内网信息安全防护策略和制度得到贯彻实施;保障应用系统安全和维护公司权益,特制定本管理办法。第二章 适用范围第二条 本管理办法适用于科技公司拥有、控制和管理的所有应用系统、数据和网络环境,适用于属于科技公司范围内的信息安全相关人员,包括专兼职安全人员、各岗位安全管理员等。第三条 所有应用系统的使用者、供应商、第三方合作厂商等也必须符合
2、本规范的管理要求。第三章 组织和职责第四条 科技公司XXX部门负责应用系统的安全管理工作。应用系统的日常安全运维工作由各应用系统安全管理员承担。第五条 应用系统安全管理员的主要职责包括:1. 推动应用安全管理要求在科技公司的落实;2. 所管范围内各类应用系统的安全维护工作;3. 对科技公司应用管理要求执行情况进行定期审核、检查。第四章 应用系统安全规划、设计与实施第一节 安全需求分析第六条 对核心的应用系统,需根据应用系统的安全等级和重要性,判断现有的安全保护水平与管理规范和技术标准之间的差距,提出应用系统的基本安全保护需求。第七条 对核心的应用系统,需根据安全需求形成安全需求分析报告。并制定
3、专人定期更新维护。需求分析报告内容可包括:1. 应用系统描述;2. 安全管理状况;3. 安全技术状况;4. 存在的不足和可能的风险;5. 安全需求描述。第二节 总体安全设计第八条 对核心的应用系统,需根据安全保护要求、安全需求,提出系统需要实现的安全技术措施,形成特定的系统安全技术体系结构。其中包括:1. 应用系统所在网络的安全保护技术;2. 规定子系统之间互联的安全技术措施;3. 规定子系统内部系统平台和业务应用的安全保护技术措施;4. 规定应用系统机房的安全保护技术措施。第九条 需根据应用系统的安全保护要求、安全需求、安全策略文件等,调整原有管理模式和管理策略,既从全局高度考虑为每个等级应
4、用系统制定统一的安全管理策略,又从每个应用系统的实际需求出发,选择和调整具体的安全管理措施,形成统一的应用系统安全管理体系结构。包括但不限于:1. 明确和落实信息安全的组织管理体系和对各应用系统的安全管理职责;2. 细化应用系统机房及办公区等物理环境的安全管理策略;3. 细化应用系统介质、设备等的安全管理策略;4. 细化应用系统运行安全管理策略;5. 细化应用系统安全事件处置和应急管理策略。第三节 安全建设项目规划第十条 依据应用系统总体安全设计方案、科技公司信息化建设的中长期发展规划和资金状况确定各个时期的应用系统安全建设目标。从而:1. 明确信息化建设中长期发展规划和安全需求调查;2. 提
5、出应用系统安全建设分阶段目标。第十一条 依据安全建设目标和应用系统安全总体方案的要求,确定主要安全建设内容,如:1. 安全基础设施建设;2. 网络安全建设;3. 系统平台和应用平台安全建设;4. 数据系统安全建设;5. 安全标准体系建设;第十二条 依据安全建设目标和应用系统安全总体方案的要求,并将建设内容组合成不同的项目,对项目进行支持或依赖等相关性分析,对项目进行紧迫性分析,对项目进行实施难易程度分析,对项目进行预期效果分析,描述项目的具体工作内容、建设方案,形成安全建设项目列表。第四节 安全方案详细设计第十三条 需根据应用系统安全建设目标和建设内容将系统安全总体方案中要求实现的安全策略、安
6、全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。安全技术设计的内容主要包括:1. 安全结构框架设计;2. 功能要求设计;3. 性能要求设计;4. 部署方案设计;5. 制定安全策略实现计划。第十四条 需根据科技公司当前安全管理需要和安全技术保障需要提出与应用系统安全总体方案中管理部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全管理的同步建设。安全管理设计的内容应主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。第十五条 对以上技术实施内容和管理措施落实方案中管理实施内容等文档进
7、行整理,形成应用系统安全建设详细设计方案。如该期项目的实施方为外部厂商,则系统安全建设详细设计方案须设定为准入和验收要求之一。应用系统安全建设详细设计方案可包括:1. 本期建设目标和建设内容;2. 技术实现框架;3. 信息安全产品或组件功能及性能;4. 信息安全产品或组件部署;5. 安全策略和配置;6. 配套的安全管理建设内容;7. 工程实施计划;8. 投资概算。第五节 管理措施实现第十六条 应通过岗位设置、人员分工以及各种资源的配备,为应用系统的安全管理提供组织上的保障。第十七条 应建立与应用系统安全管理相配套的、包括所有应用系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为
8、规范和操作规程。第十八条 应对应用系统安全工作人员的职责、素质、技能等方面进行培训,保证人员具有与其岗位职责相适应的技术能力和管理能力,以减少人为因素给系统带来的安全风险。第十九条 在应用系统规划设计、实施过程中,应对工程的质量、进度、文档和变更等方面的工作进行监督控制和科学管理。其中主要内容包括如:1. 质量管理;2. 风险管理;3. 变更管理;4. 进度管理;5. 文档管理等。第六节 技术措施实现第二十条 应按照安全详细设计方案中对于产品的具体指标要求进行产品采购,根据产品或产品组合实现的功能满足安全设计要求的情况来选购所需的信息安全产品。第二十一条 对于一些不能通过采购现有信息安全产品来
9、实现的安全措施和安全功能,通过专门进行的设计、开发来实现。安全控制的开发应当与系统的应用开发同步设计、同步实施,保证系统应用与安全控制同步建设。安全控制开发主要包括以下内容:1. 安全措施需求分析;2. 概要设计;3. 详细设计;4. 编码实现;5. 测试(又分为单元测试、集成测试、系统测试和用户测试等);6. 安全控制开发过程文档化。第二十二条 安全控制集成过程中,应依据安全详细设计方案,将信息安全产品、系统软件平台和开发的安全控制模块与各种应用系统综合、整合成为一个系统。安全控制集成的过程需要把安全实施、风险控制、质量控制等有机结合起来,遵循运营使用单位与信息安全服务机构共同参与相互配合的
10、实施的原则。第二十三条 应用系统的验收须包括安全验收。目标是检验系统是否严格按照安全详细设计方案进行建设。在安全控制集成工作完成后,系统测试及验收是从总体出发,对整个系统进行集成性安全测试,包括对系统运行效率和可靠性的测试,也包括对管理措施落实内容的验收。其中主要包括以下阶段:1. 系统验收准备,如:成立系统验收工作组对验收方案进行审核,组织制定验收计划、定义验收的方法和严格程度;2. 组织系统验收,如:由系统验收工作组按照验收计划负责组织实施,组织测试人员根据已通过评审的系统验收方案对系统进行测试;3. 生成验收报告;4. 系统交付。第五章 安全运行与维护第一节 运行管理和控制第二十四条 应
11、通过划分角色,授予相应的管理权限,来确定安全运行管理的具体人员和职责。第二十五条 应制定运行管理操作规程,确定运行管理人员的操作目的、操作内容、操作时间和地点、操作方法和流程等,并进行操作过程记录,确保对操作过程进行控制。第二节 变更管理和控制第二十六条 在应用系统变更之前,须变更需求和变更影响的分析,来确定变更的类别,计划后续的活动内容。其中包括:1. 变更需求分析;2. 变更影响分析;3. 明确变更的类别;4. 制定变更方案。第二十七条 应确保变更实施过程受到控制,各项变化内容进行记录,保证变更对业务的影响最小。1. 明确变更流程;2. 变更内容审核和审批;3. 建立变更过程日志;4. 形
12、成变更结果报告。第三节 安全状态监控第二十八条 应分析可能会对应用系统安全造成影响的因素,即确定安全状态监控的对象,形成监控对象列表。第二十九条 应有针对性的选择状态监控工具,收集安全状态监控的信息,识别和记录入侵行为,对应用系统的安全状态进行监控。第三十条 应定期对应用系统安全状态信息进行分析,及时发现安全事件或安全变更需求,并对其影响程度和范围进行分析,形成安全状态结果分析报告。第四节 安全事件处置和应急预案第三十一条 在对安全事件的处置前,应该结合应用系统的实际情况,分析事件对应用系统的破坏程度,所造成后果严重程度,将安全事件依次进行分级。第三十二条 通过对应用系统安全事件的等级分析,在
13、统一的应急预案框架下制定不同安全事件的应急预案。第三十三条 对监控到的安全事件应采取适当的方法进行处置,对安全事件的影响程度和等级进行分析,确定是否启动应急响应。安全事件处置一般包括如下几个步骤:1. 安全事件上报;2. 安全事件处置;3. 安全事件总结和报告。第五节 安全检查和持续改进第三十四条 应定期对应用系统的安全状态进行检查,为应用系统的持续改进过程提供依据和建议,确保应用系统的安全保护能力满足安全要求。第三十五条 应依据安全检查的结果,调整应用系统的安全状态,保证应用系统安全防护的有效性。第六章 应用系统终止第三十六条 在应用系统终止处理过程中,对于可能会在另外的应用系统中使用的信息采取适当的方法将其安全地转移或暂存到可以恢复的介质中,确保将来可以继续使用,同时采用安全的方法清除要终止的应用系统中的信息。第三十七条 确保应用系统终止后,迁移或废弃的设备内不包括敏感信息,对设备的处理方式应符合科技公司的相关流程与要求。第三十八条 应通过采用合理的方式对应用系统中计算机介质(包括磁带、磁盘、打印结果和文档)进行信息清除或销毁处理,防止介质内的敏感信息泄露。第七章 标准维护与解释第三十九条 本管理办法由科技公司信息安全领导小组每年复核一次,在必要时进行修订,并颁发执行。第四十条 本管理办法解释权归珠海大横琴科技发展有限公司。第四十一条 本管理办法自下发之日起生效。
