为规范重庆 XX 中学系统建设和工程项目测试验收准则,特制订本管理制度。本制度适用于系统建设或信息工程类项目的测试和验收管理。信息系统建设和其他信息系统工程类项目的测试和验收主要由网络安全办公室负责,必要的时候可协调相关科室使用人员参与测试和验收。


第一章 目的

第一条 为规范重庆 XX 中学系统建设和工程项目测试验收准则,特制订本管理制度。

第二章 范围

第二条 本制度适用于重庆 XX 中学系统建设或信息工程类项目的测试和验收管理。

第三章 职责

第三条 信息系统建设和其他信息系统工程类项目的测试和验收主要由网络安全办公室负责,必要的时候可协调相关科室使用人员参与测试和验收。

第四章 管理细则

第四条 程验收的内容包括全面检验工程项目所实现的安全功能,设备部署、安全配置等是否满足设计要求,工程 施工质量是否达到预期指标,工程档案资料是否齐全等方面。在通过安全测评或测试的基础上,组织相应信息安全专家进 行工程验收。大型项目可参照《GB/T 20282—2006 信息系统安全工程管理要求》。一般项目可按照以下三步骤进行项目测试验收工作。

第五条 安全测评阶段应制定投产与验收测试大纲,在项目实施完成后,由网络安全办公室和项目承接单位共同组织进行测试。

第六条 对于第三级以上的应用系统整改建设,由网络安全办公室委托第三方测试单位对系统进行安全性测试,并独立不受干扰地出具安全性测试报告。

第七条 在测试大纲中应至少包括以下安全性测试和评估要求:

  1. 配置管理:系统开发单位应使用配置管理系统,并提供配置管理文档;
  2. 安装、生成和启动程序:应制定安装、生成和启动程序,并保证最终产生了安全的配置;
  3. 安全功能测试:对系统的安全功能进行测试,以保证其符合详细设计并对详细设计进行检查,保证其符合概要设计以及总体安全方案;
  4. 系统管理员指南:应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的 信息;
  5. 系统用户指南:必须包含两方面的内容:首先,它必须解释那些用户可见的安全功能的用途以及如何使用它们, 这样用户可以持续有效地保护他们的信息;其次,它必须解释在维护系统的安全时用户所能起的作用;
  6. 安全功能强度评估:功能强度分析应说明以概率或排列机制(如,口令字或哈希函数)实现的系统安全功能。例如,对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求;
  7. 脆弱性分析:应分析所采取的安全对策的完备性(安全对策是否可以满足所有的安全需求)以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容,以判断它们在实际应用中是否会被利用来削弱系统的安全。
  8. 测试完成后,项目测试小组应提交《测试报告》,其中应包括安全性测试和评估的结果。不能通过安全性测试评估的,由测试小组提出修改意见,项目开发承担单位应作进一步修改。

第八条 测试通过后,由项目应用单位组织进入试运行阶段,应有一系列的安全措施来维护系统安全,它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全 水平在系统运行期间不会下降。具体工作如下:

  1. 监测系统的安全性能,包括事故报告;
  2. 进行用户安全培训,并对培训进行总结;
  3. 监视与安全有关的部件的拆除处理;
  4. 监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素;
  5. 监测安全部件的备份支持,支持与系统安全有关的维护培训;
  6. 评估大大小小的系统改动对安全造成的影响;
  7. 监测系统物理和功能配置,包括运行过程,因为一些不太显眼的改变可能影响系统的安全风险。
  8. 在《试运行情况报告》中应对上述工作做总结性描述。

第九条 系统安全试运行过后,网络安全办公室可以组织由项目开发承担单位和相关部门人员参加的项目验收组 对项目进行验收。验收应增加以下安全内容:

  1. 项目是否已达到项目任务书中制定的总体安全目标 和安全指标,实现全部安全功能;
  2. 采用技术是否符合国家、行业有关安全技术标准及规范;
  3. 是否实现验收测评的安全技术指标;
  4. 项目建设过程中的各种文档资料是否规范、齐全;
  5. 在验收报告中也应在以下条目中反映对系统安全性验收的情况:
    1. 项目设计总体安全目标及主要内容;
    2. 项目采用的关键安全技术;
    3. 验收专家组中的安全专家出具安全验收评价意见;

第十条 验收人员行为准则

  1. 验收监测或调查单位及其主要负责人应当对建设项 目竣工环境保护验收监测报告或验收调查报告结论负责;
  2. 建立严格的质量审核制度和质量保证体系,严格按照国家有关法律法规规章、技术规范和技术要求,开展验收监测或调查工作和编制验收监测或验收调查报告,并接受环境保护行政主管部门的日常监督检查;
  3. 验收监测报告或验收调查报告应当如实反映建设项 目环境影响评价文件的落实情况及其效果;
  4. 禁止泄露建设项目技术秘密和业务秘密;
  5. 在验收监测或调查过程中不得隐瞒真实情况、提供虚假材料、编造数据或者实施其他弄虚作假行为;
  6. 验收监测或调查收费应当严格执行国家和地方有关 规定;
  7. 不得在验收监测或调查工作中为个人谋取私利;
  8. 不得进行其他妨碍验收监测或调查工作廉洁、独立、 客观。

第十一条 因为各工程项目的交付系统不同,该管理制度不附带过程记录文档。但项目测试验收阶段,必须由信息中心按照本管理制度规范,要求工程项目承建商出具以下三类过程报告:

  1. 系统测试记录
  2. 系统测试报告
  3. 系统验收报告

相关文章

  • 信息安全部门岗位职责说明

    信息安全部门岗位职责说明

    展开文章目录 文章目录 第一章  目的 第二章  范围 第三章  职责 第四章 各安全管理岗位职责说明和技能要求 本系列文章来自于此前的真实项目案例,是给一个学校的的一套《安全制度汇编》,本篇文章信息安全部门岗位职责说明,可以一定程度地规范岗位的职责、处罚等等。原文档开放下载中~ 第一章  目的 第一条 为规范信息安全管理系统中各安全岗位的人员职责,特制订本规范。 第二章  范围 第二条 本规范适用于重庆 XX 中学各信息安全管理岗位和人员。 第三章  职…

  • 关键信息基础设施运营者如何制修订安全管理制度

    关键信息基础设施运营者如何制修订安全管理制度

    展开文章目录 文章目录 1 制修订安全管理制度的必要性 2 制修订安全管理制度的外在要求 3 制修订安全管理制度的主要工作要求 4 安全管理制度体系框架 5 安全管理制度体系内容设计 5.1 安全管理制度体系内容的组成 5.2 安全管理制度体系的梳理方法 5.3  安全管理制度列举 6 安全管理制度体系的管理 6.1 安全管理制度的制修订 6.2 安全管理制度的评审 6.3 安全管理制度的发布 6.4 安全管理制度的执行 6.5 安全管理制度的检查 6.6 安全管理制度的废弃 小结 笔…

  • 信息安全方针及安全策略

    信息安全方针及安全策略

    本系列文章来自于此前的真实项目案例,是一个学校安全系统建设中部分服务的内容,是给该单位的一套《安全制度汇编》,本篇文章信息安全方针及安全策略,倒是契合当下网络安全态势。原文档开放下载中~ 第一章 目的 第一条 为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要求,加强重庆 XX 中学的信息安全管理工作,增强重庆 XX 中学全员信息安全意识,切实提高重庆 XX 中学信息系统安全保障能力,特制定本方针。 第二章 范围 第二条 适用于重庆 XX 中学信息安全管理活动。 第三章 职责 第三…

  • 大数据信息系统中的系统审计、日志审计和数据库审计

    大数据信息系统中的系统审计、日志审计和数据库审计

    展开文章目录 文章目录 1 操作日志审计 2 数据库审计 3 大数据统一审计 在服务器端部署轻量级蜜罐系统 ShellLog,攻击者一旦入侵服务器将会获得 console 和正常使用的 shell,该 console 基于攻击防御安全实践进行深度定制,一方面实现对攻击者渗透系统后主机操作系统后的 shell 操作全记录,记录攻击者或恶意使用用户登录服务器后的各项操作并形成分类日志,实时发送至蜜罐系统日志服务器。 管理后台能够对日志服务器的收集的日志进行分析和规则匹配,能够对高危操作命令、关联恶意…

  • 外包软件开发管理,信息安全管理制度

    外包软件开发管理,信息安全管理制度

    第一章 目的 第一条 明确重庆 XX 中学对于软件外包开发的过程控制方法,通过对外包软件过程的有效控制,使外包开发软件满足等级保护的规范和要求。 第二章 范围 第二条 本管理办法适用于重庆 XX 中学对于外包软件的开发管理。 第三章 职责 第三条 网络安全办公室负责对软件开发方(外包方)的调查、评定和选择。 第四条 网络安全办公室提出外包要求,并组织对外包要求的审核,确定后将细节要求纳入外包开发合同。 第五条 网络安全办公室实施对外包过程的控制,并组织在项目结束时对外包供方的评估。 第四章 管理…

  • 医院HIS系统应用高可用及备份一体机方案

    医院 HIS 系统应用高可用及备份一体机方案

    展开文章目录 文章目录 一、 医院信息化现状和需求 1.1 前言 1.2 现状和需求 二、 医院 HIS 备份解决方案 三、 医院容灾方案效果 3.1 实现了服务自动监测和切换 3.2 成熟的数据复制技术 3.3 灵活的授权方式 3.4 数据加密和压缩传输 3.5 计划带宽 3.6 简洁直观的远程集中管理模式 四、 容灾方案总结 五、 方案清单 这是年初给渝东南某二甲医院做的容灾备份方案,当时信息科的领导要求首先是要数据灾备,其次还要做到应用接管,所以本方案的标题有点儿奇怪,叫应用容灾及数据备份…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信