《信息安全系统建设产品采购和使用管理办法.wps》由会员分享,可在线阅读,更多相关《信息安全系统建设产品采购和使用管理办法.wps(6页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、信息安全信息安全系统建设产品采购和使用系统建设产品采购和使用管理办法管理办法第一条在系统实施阶段需要采购的网络安全设备必须由公司进行统一采购,并确保采购的设备至少符合下面的要求:1)网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评或认证的产品。 2)所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过连续 72 小时以上的单机运行测试和联机 48小时的应用系统兼容性运行测试。 严禁将未经测试验收或验收不合格的设备交付使用。 3)通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。 第二条
2、在软件的开发被外包的地方,应当考虑如下几点:1)检查代码的所有权和知识产权情况; 2)质量合格证和所进行的工作的精确度; 3)在第三方发生故障的情况下,有第三方备份保存; 4)进行质量审核; 5)在合同上有代码质量方面的要求; 6)在安装之前进行测试以检测特洛伊代码; 7)提供源代码以及相关设计、实施文档; 8)重要的项目建设中还要要对源代码进行审核。 第三条 计算机系统集成的信息技术产品(如操作系统、数据库等)或安全专用产品(如防火墙、IDS 等)应达到以下要求: 1)对项目实施所需的计算机及配套设备、网络设备、重要机具(如 ATM)、 计算机软件产品的购置,计算机应用系统的合作开发或者外包
3、开发的确定,按现有制度中的相关规定执行; 2)安全产品的采购必须由公司进行统一采购; 3)安全专用产品应具有国家职能部分颁发的信息安全专用产品的销售许可证; 4)密码产品符合国家密码主管部门的要求,来源于国家主管部门批准的密码研制单位; 5)关键安全专用产品应获得国家相关安全认证,在选型中根据实际需要制定安全产品选型的标准; 6)关键信息技术产品的安全功能模块应获得国家相关安全认证,在选型中根据实际需要制定信息技术产品选型的标准。 7)所有安全设备后均需进行严格检测,凡购回的设备均应在测试环境下经过连续 72 小时以上的单机运行测试和联机 48小时的应用系统兼容性运行测试。 严禁将未经测试验收
4、或验收不合格的设备交付使用。 8)通过上述测试后,设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备,才能投入生产系统,正式运行。 第四条 产品和服务供应商应达到以下要求: 1)系统集成商的资质要求:至少要拥有国家权威部门认可的系统一级集成资质,对于较为重要的系统应有更高级别的集成资质; 2)工商要求: 产品、 系统或服务提供单位的营业执照和税务登记在合法期限内; 产品、系统或服务提供商的产品、系统或服务的提供资格; 连续赢利期限要求; 连续无相关法律诉讼年限要求; 没有发生重大管理、 技术人员变化和流动的期限要求;没有发生主业变化期限要求。 3)信息安全产品的采购请参阅信息安全产品采购、使用管理制度 4)安全服务商资质:至少应具有国家一级安全服务资质,对于较为重要的系统应有更高级别的安全服务资质; 5)人员资质要求:系统集成人员、安全服务人员以及相关管理人员应获得国家权威部门颁发的信息安全人员资质认证; 6)其它要求:系统符合国家相关法律、法规,按照相关主管部门的技术管理规定对非法信息和恶意代码进行有效控制,按照有关规定对设备进行控制,使之不被作为非法攻击的跳板; 7)服务供应商的选择还要参阅 安全服务外包管理制度 。