为规范重庆XX中学系统建设和工程项目测试验收准则,特制订本管理制度。本制度适用于系统建设或信息工程类项目的测试和验收管理。信息系统建设和其他信息系统工程类项目的测试和验收主要由网络安全办公室负责,必要的时候可协调相关科室使用人员参与测试和验收。
第一章 目的
第一条 为规范重庆XX中学系统建设和工程项目测试验收准则,特制订本管理制度。
第二条 本制度适用于重庆XX中学系统建设或信息工程类项目的测试和验收管理。
第三条 信息系统建设和其他信息系统工程类项目的测试和验收主要由网络安全办公室负责,必要的时候可协调相关科室使用人员参与测试和验收。
第四条 程验收的内容包括全面检验工程项目所实现的安全功能,设备部署、安全配置等是否满足设计要求,工程 施工质量是否达到预期指标,工程档案资料是否齐全等方面。在通过安全测评或测试的基础上,组织相应信息安全专家进 行工程验收。大型项目可参照《GB/T 20282—2006 信息系统安全工程管理要求》。一般项目可按照以下三步骤进行项目测试验收工作。
第五条 安全测评阶段应制定投产与验收测试大纲,在项目实施完成后,由网络安全办公室和项目承接单位共同组织进行测试。
第六条 对于第三级以上的应用系统整改建设,由网络安全办公室委托第三方测试单位对系统进行安全性测试,并独立不受干扰地出具安全性测试报告。
第七条 在测试大纲中应至少包括以下安全性测试和评估要求:
- 配置管理:系统开发单位应使用配置管理系统,并提供配置管理文档;
- 安装、生成和启动程序:应制定安装、生成和启动程序,并保证最终产生了安全的配置;
- 安全功能测试:对系统的安全功能进行测试,以保证其符合详细设计并对详细设计进行检查,保证其符合概要设计以及总体安全方案;
- 系统管理员指南:应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的 信息;
- 系统用户指南:必须包含两方面的内容:首先,它必须解释那些用户可见的安全功能的用途以及如何使用它们, 这样用户可以持续有效地保护他们的信息;其次,它必须解释在维护系统的安全时用户所能起的作用;
- 安全功能强度评估:功能强度分析应说明以概率或排列机制(如,口令字或哈希函数)实现的系统安全功能。例如,对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求;
- 脆弱性分析:应分析所采取的安全对策的完备性(安全对策是否可以满足所有的安全需求)以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容,以判断它们在实际应用中是否会被利用来削弱系统的安全。
- 测试完成后,项目测试小组应提交《测试报告》,其中应包括安全性测试和评估的结果。不能通过安全性测试评估的,由测试小组提出修改意见,项目开发承担单位应作进一步修改。
第八条 测试通过后,由项目应用单位组织进入试运行阶段,应有一系列的安全措施来维护系统安全,它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全 水平在系统运行期间不会下降。具体工作如下:
- 监测系统的安全性能,包括事故报告;
- 进行用户安全培训,并对培训进行总结;
- 监视与安全有关的部件的拆除处理;
- 监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素;
- 监测安全部件的备份支持,支持与系统安全有关的维护培训;
- 评估大大小小的系统改动对安全造成的影响;
- 监测系统物理和功能配置,包括运行过程,因为一些不太显眼的改变可能影响系统的安全风险。
- 在《试运行情况报告》中应对上述工作做总结性描述。
第九条 系统安全试运行过后,网络安全办公室可以组织由项目开发承担单位和相关部门人员参加的项目验收组 对项目进行验收。验收应增加以下安全内容:
- 项目是否已达到项目任务书中制定的总体安全目标 和安全指标,实现全部安全功能;
- 采用技术是否符合国家、行业有关安全技术标准及规范;
- 是否实现验收测评的安全技术指标;
- 项目建设过程中的各种文档资料是否规范、齐全;
- 在验收报告中也应在以下条目中反映对系统安全性验收的情况:
- 项目设计总体安全目标及主要内容;
- 项目采用的关键安全技术;
- 验收专家组中的安全专家出具安全验收评价意见;
第十条 验收人员行为准则
- 验收监测或调查单位及其主要负责人应当对建设项 目竣工环境保护验收监测报告或验收调查报告结论负责;
- 建立严格的质量审核制度和质量保证体系,严格按照国家有关法律法规规章、技术规范和技术要求,开展验收监测或调查工作和编制验收监测或验收调查报告,并接受环境保护行政主管部门的日常监督检查;
- 验收监测报告或验收调查报告应当如实反映建设项 目环境影响评价文件的落实情况及其效果;
- 禁止泄露建设项目技术秘密和业务秘密;
- 在验收监测或调查过程中不得隐瞒真实情况、提供虚假材料、编造数据或者实施其他弄虚作假行为;
- 验收监测或调查收费应当严格执行国家和地方有关 规定;
- 不得在验收监测或调查工作中为个人谋取私利;
- 不得进行其他妨碍验收监测或调查工作廉洁、独立、 客观。
第十一条 因为各工程项目的交付系统不同,该管理制度不附带过程记录文档。但项目测试验收阶段,必须由信息中心按照本管理制度规范,要求工程项目承建商出具以下三类过程报告:
- 系统测试记录
- 系统测试报告
- 系统验收报告
上一篇:信息系统工程实施管理
下一篇:信息系统的系统交付管理
相关文章
-
信息系统应急预案管理制度,系统安全事件应急处理办法
为保证业务信息系统的连续性,必须有系统、有组织地作好应急预案的管理工作, 特制定本管理办法。本系统安全事件应急处理办法适用于发生在网络上的突发性事件应急工作。 第一章 目的 第一条 为保证重庆XX中学业务信息系统的连续性,必须有系统、有组织地作好应急预案的管理工作, 特制定本管理办法。 第二章 范围 第二条 适用于发生在重庆XX中学网络上的突发性事件应急工作。 第三章 原则 第三条 应急处置工作原则:统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。 第四章 管理细则 第四条 职责 应…
-
GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南
《GB/T 42574—2023 信息安全技术 个人信息处理中告知和同意的实施指南》是中国国家标准委员会发布的有关个人信息保护的实施指南,旨在为组织在个人信息处理过程中如何有效进行告知和获得用户同意提供明确的技术规范和操作指南。随着个人信息保护法规的逐步完善,尤其是《个人信息保护法》(PIPL)等法律的实施,如何合法合规地处理用户个人信息,尤其是获取用户的知情同意,已经成为信息安全管理中至关重要的一环。 该指南的发布,是为了帮助组织和企业在个人信息处理活动中,做到透明、公正地告知用户信息处理的目…
-
关键岗位保密协议,信息安全管理岗位保密协议
甲方:重庆XX中学 法定代表人: 住所地: 乙方: 乙方因在甲方单位履行职务,已经(或将要)知悉甲方秘密信息。为了明确乙方的保密义务,甲、乙双方本着平等、自愿、公平和诚实信用的原则,订立本保密协议。 一、乙方应本着谨慎、诚实的态度,采取任何必要、合理的措施,维护其于任职期间知悉或者持有的任何属于甲方或者属于第三方但甲方承诺或负有保密义务的技术秘密或 其他秘密信息,以保持其机密性。具体范围包括但不限于以下内容: 二、除了履行职务需要之外,乙方承诺,不得刺探与本职工作或本身业…
-
信息安全方针及安全策略
本系列文章来自于此前的真实项目案例,是一个学校安全系统建设中部分服务的内容,是给该单位的一套《安全制度汇编》,本篇文章信息安全方针及安全策略,倒是契合当下网络安全态势。原文档开放下载中~ 第一章 目的 第一条 为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要求,加强重庆XX中学的信息安全管理工作,增强重庆XX中学全员信息安全意识,切实提高重庆XX中学信息系统安全保障能力,特制定本方针。 第二章 范围 第二条 适用于重庆XX中学信息安全管理活动。 第三章 职责 第三条 由领导和各科…
-
系统运维保密协议,科技装设备维护服务保密协议
甲方:重庆市x 乙方:重庆众平科技有限公司 受甲方委托,乙方对委托的XXXX2023年度科技装设备进行维护服务,为了促进双方合作,依据《中华人民共和国合同法》的规定并经双方经友好协商,签订如下协议(以下简称本协议)。 1.乙方不得在维护服务中获取非甲方提供的保密信息,乙方不得将甲方的保密信息透露给任何第三方,而应尽力避免由于疏忽将保密信息披露给任何第三方,所使用的计算机必须坚持“专网专用”、“专机专用”的原则,实行“谁管理、谁负责”、“谁使用、谁负责”的安全责任制,严禁私自将自带笔记本电脑接入业…
-
信息系统资产安全管理制度
规范重庆XX中学信息资产的管理、使用和处置,防止其滥用和丢失,保护数据安全。适用于重庆XX中学信息资产的管理, 包括:获得、分类分级、使用和处置。 第一章 目的 第一条 规范重庆XX中学信息资产的管理、使用和处置,防止其滥用和丢失,保护数据安全。 第二章 范围 第二条 适用于重庆XX中学信息资产的管理, 包括:获得、分类分级、使用和处置。 第三章 职责 第三条 网络安全办公室:主要负责信息资产的采购、入库、领用、为资产建立台账,负责使用与处置方法,并监督各部门的执行情况。各部门:按照相关规定,对…
