为规范重庆XX中学系统建设和工程项目测试验收准则,特制订本管理制度。本制度适用于系统建设或信息工程类项目的测试和验收管理。信息系统建设和其他信息系统工程类项目的测试和验收主要由网络安全办公室负责,必要的时候可协调相关科室使用人员参与测试和验收。


第一章 目的

第一条 为规范重庆XX中学系统建设和工程项目测试验收准则,特制订本管理制度。

第二章 范围

第二条 本制度适用于重庆XX中学系统建设或信息工程类项目的测试和验收管理。

第三章 职责

第三条 信息系统建设和其他信息系统工程类项目的测试和验收主要由网络安全办公室负责,必要的时候可协调相关科室使用人员参与测试和验收。

第四章 管理细则

第四条 程验收的内容包括全面检验工程项目所实现的安全功能,设备部署、安全配置等是否满足设计要求,工程 施工质量是否达到预期指标,工程档案资料是否齐全等方面。在通过安全测评或测试的基础上,组织相应信息安全专家进 行工程验收。大型项目可参照《GB/T 20282—2006 信息系统安全工程管理要求》。一般项目可按照以下三步骤进行项目测试验收工作。

第五条 安全测评阶段应制定投产与验收测试大纲,在项目实施完成后,由网络安全办公室和项目承接单位共同组织进行测试。

第六条 对于第三级以上的应用系统整改建设,由网络安全办公室委托第三方测试单位对系统进行安全性测试,并独立不受干扰地出具安全性测试报告。

第七条 在测试大纲中应至少包括以下安全性测试和评估要求:

  1. 配置管理:系统开发单位应使用配置管理系统,并提供配置管理文档;
  2. 安装、生成和启动程序:应制定安装、生成和启动程序,并保证最终产生了安全的配置;
  3. 安全功能测试:对系统的安全功能进行测试,以保证其符合详细设计并对详细设计进行检查,保证其符合概要设计以及总体安全方案;
  4. 系统管理员指南:应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的 信息;
  5. 系统用户指南:必须包含两方面的内容:首先,它必须解释那些用户可见的安全功能的用途以及如何使用它们, 这样用户可以持续有效地保护他们的信息;其次,它必须解释在维护系统的安全时用户所能起的作用;
  6. 安全功能强度评估:功能强度分析应说明以概率或排列机制(如,口令字或哈希函数)实现的系统安全功能。例如,对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求;
  7. 脆弱性分析:应分析所采取的安全对策的完备性(安全对策是否可以满足所有的安全需求)以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容,以判断它们在实际应用中是否会被利用来削弱系统的安全。
  8. 测试完成后,项目测试小组应提交《测试报告》,其中应包括安全性测试和评估的结果。不能通过安全性测试评估的,由测试小组提出修改意见,项目开发承担单位应作进一步修改。

第八条 测试通过后,由项目应用单位组织进入试运行阶段,应有一系列的安全措施来维护系统安全,它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全 水平在系统运行期间不会下降。具体工作如下:

  1. 监测系统的安全性能,包括事故报告;
  2. 进行用户安全培训,并对培训进行总结;
  3. 监视与安全有关的部件的拆除处理;
  4. 监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素;
  5. 监测安全部件的备份支持,支持与系统安全有关的维护培训;
  6. 评估大大小小的系统改动对安全造成的影响;
  7. 监测系统物理和功能配置,包括运行过程,因为一些不太显眼的改变可能影响系统的安全风险。
  8. 在《试运行情况报告》中应对上述工作做总结性描述。

第九条 系统安全试运行过后,网络安全办公室可以组织由项目开发承担单位和相关部门人员参加的项目验收组 对项目进行验收。验收应增加以下安全内容:

  1. 项目是否已达到项目任务书中制定的总体安全目标 和安全指标,实现全部安全功能;
  2. 采用技术是否符合国家、行业有关安全技术标准及规范;
  3. 是否实现验收测评的安全技术指标;
  4. 项目建设过程中的各种文档资料是否规范、齐全;
  5. 在验收报告中也应在以下条目中反映对系统安全性验收的情况:
    1. 项目设计总体安全目标及主要内容;
    2. 项目采用的关键安全技术;
    3. 验收专家组中的安全专家出具安全验收评价意见;

第十条 验收人员行为准则

  1. 验收监测或调查单位及其主要负责人应当对建设项 目竣工环境保护验收监测报告或验收调查报告结论负责;
  2. 建立严格的质量审核制度和质量保证体系,严格按照国家有关法律法规规章、技术规范和技术要求,开展验收监测或调查工作和编制验收监测或验收调查报告,并接受环境保护行政主管部门的日常监督检查;
  3. 验收监测报告或验收调查报告应当如实反映建设项 目环境影响评价文件的落实情况及其效果;
  4. 禁止泄露建设项目技术秘密和业务秘密;
  5. 在验收监测或调查过程中不得隐瞒真实情况、提供虚假材料、编造数据或者实施其他弄虚作假行为;
  6. 验收监测或调查收费应当严格执行国家和地方有关 规定;
  7. 不得在验收监测或调查工作中为个人谋取私利;
  8. 不得进行其他妨碍验收监测或调查工作廉洁、独立、 客观。

第十一条 因为各工程项目的交付系统不同,该管理制度不附带过程记录文档。但项目测试验收阶段,必须由信息中心按照本管理制度规范,要求工程项目承建商出具以下三类过程报告:

  1. 系统测试记录
  2. 系统测试报告
  3. 系统验收报告

相关文章

  • 重庆市针对“重要网络与信息系统”密码应用提出明确要求

    重庆市针对“重要网络与信息系统”密码应用提出明确要求

    本文为重庆市密码管理局公文:关于进一步规范全市重要网络与信息系统密码应用有关要求的通知。通过对本通知内容的阐述,我们可以清晰地看到为规范全市重要网络与信息系统密码应用与安全性评估工作所做的周密安排和具体要求。从项目的规划阶段到建设阶段,再到运行阶段,并且考虑到集约建设与经费保障的每个环节,本通知为确保网络与信息系统安全提供了一份详细可行的操作指南。这一系列措施不仅有助于提升我市密码应用的安全性和合规性,同时也标志着我市在网络与信息安全领域迈出了坚实的步伐。 随着政策的进一步实施,预计将极大提高公…

  • 恶意代码防范管理制度

    恶意代码防范管理制度

    本管理办法适用于重庆XX中学所有服务器和终端操作系统。本办法所称的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据, 影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 第一章 目的 第一条 为加强对计算机病毒的预防和治理,保护信息系统安全,根据公安部《计算机病毒防治管理办法》以及有关计算机病毒防治的规定,制定本办法。 第二章 范围 第二条 本管理办法适用于重庆XX中学所有服务器和终端操作系统。本办法所称的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁…

  • 文件评审及发布制度(通用文档)

    文件评审及发布制度(通用文档)

    本制度由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。 第一章  目的 第一条 为规范重庆 XX 中学信息安全管理体系文件的制订、修订及评审,特制定本制度。 第二章 范围 第二条 本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。 第三章  职责 第三条 由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信…

  • 网络安全管理制度模板

    网络安全管理制度模板

    本《网络安全管理制度》是我司此前应用与一普通中学的弱电工程项目中,系作为机房建设服务内容的一部分。本网络安全管理制度通用性强,适合各种应用环境,做一块挂墙的展板刚刚合适……结合个人经验,我们认为再好的物理、设备环境,如果缺失了对应的管理制度,那么这个系统都不堪一击,要么逐渐臃肿失控,要么被攻击控制。 为了保护本单位网络安全、促进网络信息化办公的应用和发展、保证单位网络的正常运行和网络用户的使用权益,制定本安全管理制度。 一、网络管理人员负责监控办公网络的运行状态,随时了解网络运行情况,如有异常,…

  • 网络信息安全责任追究制度

    网络信息安全责任追究制度

    为明确网络与信息安全事故责任主体(以下简称“责任主体”),追究网络与信息安全事故的责任,结合实际情况,制定本制度。责任主体的范围包括部门、科室或个人等。本制度适用于XXXX,各部门应根据本制度制定具体实施细则。 第一章 总则 第一条 为明确网络与信息安全事故责任主体(以下简称“责任主体”),追究网络与信息安全事故的责任,结合实际情况,制定本制度。责任主体的范围包括部门、科室或个人等。 第二章 范围 第二条 本制度适用于重庆XX中学,各部门应根据本制度制定具体实施细则。 第三章 原则 第三条 网络…

  • 账号口令和权限管理制度,密码管理条例

    账号口令和权限管理制度,密码管理条例

    为加强重庆XX中学信息系统账号和口令管理,通过控制用户口令、权限,实现控制访问权限分配,防止对重庆XX中学网络的非授权访问,特制订本管理办法。 第一章 目的 第一条 为加强重庆XX中学信息系统账号和口令管理,通过控制用户口令、权限,实现控制访问权限分配,防止对重庆XX中学网络的非授权访问,特制订本管理办法。 第二章 范围 第二条 所有使用重庆XX中学网络信息系统的人员。 第三章 职责 第三条 重庆XX中学所有使用信息系统的人员均需遵守本管理办法规定,网络安全办公室负责建立账号和口令管理的规范并推…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:9:00~18:30,工作日

微信客服