第一章 总则

第一条 为进一步提高吉林工商学院信息系统安全保障水平，确保信息化建设的项目立项、设计、实施、验收等各个环节与信息安全管理控制机制的有机结合，实现项目工程管理过程和内容安全可控，特制定本制度。

第二条 信息系统中的安全建设应遵循与建设项目“同步规划、同步建设、同步运行”的原则，确保信息安全控制成为信息系统中的组成部分之一。

第三条 本制度适用于吉林工商学院信息系统建设中的安全管理。

第二章 信息系统规划安全管理

第四条 信息系统规划阶段安全管理包括信息化建设管理中覆盖的项目立项、项目需求与要求、项目审批和项目招标相关阶段的信息安全管理要求。

第五条 信息系统建设项目申请部门立项申请时，应明确信息系统的安全要求，由网络建设与信息管理中心对安全要求进行可行性分析。

第六条 网络建设与信息管理中心在可行性分析阶段确定信息系统的安全等级，进一步明确安全目标和主要技术路线：

（一）根据《信息系统安全等级保护定级指南》确定信息系统的安全等级；

（二）描述信息系统业务信息的安全目标和业务服务的安全目标；

（三）结合吉林工商学院现有信息安全平台，阐述实现安全目标的可行性。

第七条 项目申请部门在项目需求分析过程中，应包括信息系统安全性需求分析的内容，至少包括以下信息安全方面的内容：

（一）根据信息系统安全等级，参照《信息系统安全等级保护基本要求》相应等级的安全控制要求进行选择；

（二）分析信息系统可能面临的安全威胁、风险和目前存在的脆弱性，根据实际环境的风险情况对安全控制要求进行调整；

（三）应根据所选择的安全控制，根据现行技术、产品、管理流程的实际情况，形成相应的安全可行性方案；

（四）信息系统可能需要的安全功能性需求，包括但不限于用户身份、访问控制、数据和信息保密性、数据审计和跟踪等。

第八条 网络建设与信息管理中心在对项目进行立项审批的过程中，应审核如下信息安全方面的内容：

（一）信息系统中的安全需求、设计内容是否符合吉林工商学院总体安全策略要求；

（二）信息系统项目中的网络安全是否涉及网络安全域的访问控制、网络边界安全、网络传输安全和冗余性；

（三）信息系统项目中的操作系统和数据库安全是否涉及系统的稳定性、安全配置和安全管理；

（四）信息系统项目中的应用安全是否涉及身份验证、角色访问控制、数据加密、备份、日志审计等安全功能；

（五）信息系统项目中对于安全功能实现的安全技术、产品是否符合吉林工商学院整体信息安全技术架构，对于现有信息安全技术架构是否存在可能的影响。

第九条 项目招标和采购过程中应考虑以下信息安全要求：

（一）产品的采购和使用由各处室负责,网络安全与信息化建设领导小组办公室进行指导性建议；

（二）吉林工商学院重要信息系统和网络的安全建设应优先考虑国内信息安全产品，如有必要选择国外安全产品应由项目申请部门充分分析其应用情况和国内应用案例，确保有必要的措施加以保障；

（三）信息安全产品应符合相应密级要求，具备安全产品销售许可、知识产权证明等资质；

（四）信息安全集成、开发和服务提供应具备符合国家相关资质要求的证明。

第三章 信息系统实施安全管理

第十条 应由网络安全与信息化建设领导小组指定或授权网络建设与信息管理中心对工程实施过程的信息安全管理。

第十一条 信息系统实施阶段安全管理包括项目签约、项目计划、项目实施和试运行相关阶段的信息安全管理要求。

第十二条 信息系统开发在签署项目合约过程中，通过签署保密协议书约束双方的安全保密行为。

第十三条 信息系统承建商进场前，双方应对相关人员行为准则达成共识。

第十四条 承建商在信息系统概要设计阶段，应考虑以下安全要求：

（一）根据安全需求，按安全功能子系统来描述系统的安全架构；

（二）标识所要求的任何基础性的硬件、固件或软件，以及在这些硬件、固件或软件中实现的支持性保护机制提供的功能表示；

（三）标识子系统的所有接口，并说明哪些接口是外部可见的；

（四）子系统所有接口的用途与使用方法，并适当提供影响、例外情况和错误消息的处理机制。

第十五条 承建商在信息系统详细设计阶段，应考虑以下安全要求：

（一）详细设计中须提出具体安全设计方案，标明实现的安全功能，并说明其技术原理；

（二）对系统层面上的和模块层面上的安全设计进行审查；

（三）确认各模块的设计，以及模块间的接口设计能满足系统层面的安全要求。

第十六条 承建商在信息系统开发过程中，应禁止将口令写入应用程序，将开发环境与实际运行环境物理分开，测试数据和测试结果受到控制。

第十七条 承建商在信息系统测试过程中应进行测试汇总和记录并提交学校备案。

第十八条 承建商应保证在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测，提供《恶意代码检查报告》。

第十九条 承建商应保证开发人员为专职人员，开发人员的开发活动受到控制、监视和审查。

第二十条 承建商在信息系统实施部署过程中，应考虑以下安全要求：

（一）全面评估信息系统部署的网络环境、系统环境以及数据库的安全性能够确保应用系统自身的安全需求；

（二）确保网络环境、系统环境和数据库的访问控制规则符合应用系统的访问控制权限要求；

（三）信息系统应在测试环境中进行测试，以避免对已经运行信息系统产生影响。

第二十一条 吉林工商学院信息系统在自行进行信息系统开发和实施阶段，应对自行编制的软件进行源代码安全控制，具体包括：

（一）减少源代码被破坏和非授权访问的可能，对源代码的访问权限进行严格控制。

（二）为保障源代码的安全，要求开发设备、测试设备和运行设备进行分离，运行设备上只有执行代码；

（三）旧源程序版本应被保存，并对代码进行版本控制，确保代码的可用；

（四）所有对代码库的修改、更新都要有操作日志记录。

第二十二条 开发部门在编制软件的过程中，任何程序的编码都应对输入数据进行如下验证：

（一）使用强输入验证；

（二）检验输入数据长度；

（三）限制数值输入的范围；

（四）限制输入字符的类型。

第二十三条 开发部门在编制软件的过程中，应对应用数据进行如下安全控制：

（一）原则上不允许使用真实数据进行测试，特殊情况需要使用真实测试数据时，对系统测试数据要进行安全保护，并经过网络建设与信息管理中心主管领导的审批；

（二）在测试过程中，如模拟真实数据，应确保测试数据和真实生产数据分离；

（三）测试完成之后，应立即将测试数据从测试系统中删除。

第二十四条 在开发过程中，为了控制编码的规范性，提高编码质量，开发部门应制定编码规范性管理的详细控制要求。

第二十五条 开发部门应对开发的系统要确保系统应用的数据完整性安全，防止信息在处理过程中被篡改。

第二十六条 开发部门应对开发的系统要确保系统应用的输出数据准确，检查输出数据，保证正确处理储存信息：

（一）模糊性检查测试输出数据是否合理；

（二）测验核实输出的相关提示。

第二十七条 软件开发人员应当对信息系统的安全需求和设计进行充分的沟通，并在软件编码前通过网络建设与信息管理中心对编码安全进行专业性技能培训。提供软件设计的相关文档和使用指南，并对文档使用进行控制。

第二十八条 选择外包人员进行软件开发时，应注意以下安全控制：

（一）应选择信誉与质量保证能力好的软件承包商。

（二）应通过外包合同限制软件质量、安全性和适用性的检验，并保留检查权利。

（三）应通过外包合同明确软件许可权、代码以及相关产品的知识产权。

（四）应签署项目保密协议，对吉林工商学院的项目成果、数据、管理标准以及相关的吉林工商学院内部信息、敏感信息、重要信息进行保密管理。

（五）应通过合同明确代码存在后门、漏洞或安全隐患的违约或违法措施。

第二十九条 对外包软件进行安全管理和控制的过程中，应注意如下事项：

（一）在软件开发的过程中应当配置必要的软件版本控制软件；

（二）在软件开发过程中应当对软件编码进行质量控制，并与项目管理的应用系统主管人员进行定期质量结果沟通；

（三）软件测试中应包括安全性测试，并提供安全性测试报告，报告内容包括但不限于病毒检测、后门检测、攻击测试和访问控制限制等；

（四）软件部署前应对软件可能面临或包含的恶意代码进行防护；

（五）应在软件交付前检测其中可能存在的恶意代码；

（六）应保证开发单位提供软件设计文档和使用指南；

（七）应保证开发单位提供软件源代码，并审查软件中可能存在的后门和隐蔽信道，提供《安全性测试报告》。

第四章 信息系统验收安全管理

第三十条 网络建设与信息管理中心对信息系统安全管理部分进行验收。

第三十一条 信息系统在初验前应注意如下安全控制：

（一）信息系统具备与信息系统需求分析、概要设计、详细设计相一致的安全功能；

（二）信息系统已经在与实际环境一致的测试环境运行稳定，并确定好周边安全控制措施，包括物理、网络和主机系统等基础环境；

（三）信息系统的安全部署和运行符合吉林工商学院的总体安全策略要求。

第三十二条 信息系统在试运行期间应跟踪可能出现的安全威胁和风险，并与信息系统承建单位保持有效沟通和协调，保障系统的安全性。

第三十三条 信息系统在试运行期间如发现安全漏洞、安全隐患或新发布的安全补丁，与信息系统承建单位联系，对信息系统应用软件或承载的操作系统、数据库进行及时升级。

第三十四条 信息系统在终验前，必须明确系统运行的开放端口，并以书面形式交付至吉林工商学院网络建设与信息管理中心进行记录和备案。

第三十五条 项目终验时应检查执行法律法规和标准情况，主要检查项目建设成果和管理是否符合有关法律、法规和国家信息化建设相关标准。

第三十六条 应根据合同要求对信息系统进行交付验收，合同要求应至少包括：

（一）应依据开发要求的技术指标对软件功能和性能等进行验收测试；

（二）软件安装之前应检测软件中的恶意代码；

（三）开发单位应提供源代码；

（四）应根据源代码对软件中可能存在的后门进行审查；

（五）在合同期内，开发单位应提供相应的信息安全保障措施。

第三十七条 信息系统交付验收时，应制定交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点，信息系统交付物至少应包括：

（一）信息系统运行所需要的全部设备；

（二）应对负责运行维护的技术人员进行相应的技能培训；

（三）应提供建设过程文档和运行维护文档；

（四）信息系统运行所需要的全部软件；

（五）信息系统应急方案；

（六）信息系统使用培训文档。

第三十八条 信息系统验收并移交后，信息系统运行人员必须立即修改信息系统中所有账号的口令。

第三十九条 信息系统在安全管理和控制方面存在以下情况之一，不能通过验收：

（一）信息系统的安全功能与安全需求、概要设计和详细设计内容不一致；

（二）通过第三方检测或测试发现信息系统存在安全隐患、后门或漏洞；

（三）信息系统的整体设计和实施不符合国家法律和相关标准要求。

第五章 附则

第四十条 本制度解释权归吉林工商学院工商学院网络安全和信息化领导小组办公室。

第四十一条 本制度自发布之日起执行。