安全集成服务规范.docx
《安全集成服务规范.docx》由会员分享,可在线阅读,更多相关《安全集成服务规范.docx(31页珍藏版)》请在冰豆网上搜索。
安全集成服务规范
安全集成项目服务规范
一、总则
为规范本公司系统安全集成服务的管理,形成一套行之有效的规范化工作方法,提高工作效率,明确员工的工作职责,保证工程的质量,特定本规范。
二、安全基本原则
1)基于安全需求原则
组织机构应根据其被集成信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,从全局上恰当地平衡安全投入与效果。
如有多级安全需求,则按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求。
2)主要领导负责原则
在安全集成工程开展之前,确定主要领导的相关职责。
主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效。
3)全员参与原则
信息系统的安全运行涉及所有相关的人员,这些人员需要在信息系统安全集成工程最初阶段得到正确的组织、协调和管理,并适当介入到信息系统安全集成工程中来。
同时,信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。
4)系统方法原则
按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率。
依据这一原则,在信息系统安全集成工程过程中强调了每个环节的重点管理工作内容和关键点。
5)持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。
6)依法管理原则
信息安全管理及安全集成的管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。
对安全事件的处理,应由授权者适时发布准确致的有关信息,避免带来不良的社会影响。
7)分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。
任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必需的权限,不应享有任何多余权限程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。
8)分级保护原则
按等级划分标准确定被集成信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护。
9)管理与技术并重原则
管理和技术是不可分割的两个方面,坚持积极防御和综合防范,全面提高被集成信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障被集成信息系统的安全性达到所要求的目标。
10)自保护和国家监管结合原则
对被集成的信息系统安全实行自保护和国家保护相结合。
组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障信息安全。
三、使用范围
适用于公司所有信息系统安全集成项目,即网络系统、计算机系统、技术安防系统及其组成部分(硬件、软件、数据、服务)的集成项目实施规范。
四、项目实施规范标准
项目实施过程分成六个阶段:
安全集成阶段、方案设计阶段、技术与实施方案交底阶段、建设实施阶段、客户培训、安全保障与售后服务阶段。
(一)安全集成阶段
1.项目调研:
在接到邀标书或已知投标工程时,我方在两个工作日内书面形式通知建设方于三日后,我方须到现场调研。
在获准进行调研后,我方须按照下面规范进行调研;
(1)在与建设方负责人及相关工作人员进行调研时,我方人员要做到文明礼貌,遵守业主方的相关规章制度;
(2)需与业主方共同签署会议记录;
调研会议记录表
会议名称
会议时间
会议地点
会议主题
姓名
部门
职务
联系方式
(3)向客户了解背景信息,采集系统建设和建设目标;
(4)向客户明确系统功能、性能及安全性;
(5)向客户了解清晰设备要求、用途;
(6)向客户明确工程预算;
(7)现场考察实际施工现场,技术人员对现场环境等情况进行登记,在现场与业主方初步确定系统、设备大概的安置点;
(8)在调研完项目情况后,须向业主方提供我方对项目的调研记录表,让业主方确认无误后,我方根据记录的内容进行开展下步计划。
项目调研记录表
调查人姓名
调查人所在部门
调查人职务
调查日期
建议项目名称
该项目成果的使用者
部门
职能
主要任务
与成果运行有关的实体
实体名称
关系
与成果相关的系统环境
市场环境
技术系统
行业环境
体系结构
工具的要求
产品功能上的要求
产品性能上的要求
成果安全方面的要求
产品约束性要求
规章制度
使用中可能
存在的风险
需求变化的
可能与来源
其他
产品使用方便的要求
用户帮助
用户向导
……
其他
客户确认
2.在对项目进行调研完毕后,我方技术人员要及时对项目进行需求分析,并书写需求分析表。
项目需求分析表
项目名称
项目经理
文档编号
总体描述
所需产品
环境描述
所需应用
环境描述
需求业务
需求优先级
模块名称
功能描述
负责人
制定者
日期
批准者
日期
(1)根据客户背景信息,结合招标文件,分析建设目标、建设需求的可行性;
(2)基于系统建设需求的基础上,分析产品、预算等情况;
(3)对项目的基本信息分析过后,结合调研情况和招标文件,进行书写需求分析报告。
3.需求分析报告书写规范
(1)清晰写出项目的背景情况;
(2)根据调研结果、招标文件,明确写明客户对项目建设目标、建设需求,客户对项目的功能、性能、及安全性要求;
(3)根据客户的建设目标、建设需求,我方结合实用性、先进性、成熟性、可用性、可扩展性、开放性、可行性、兼容性、安全性和不可逆性等设计原则对系统进行设计分析以及建议;
(4)在项目设计、实施过程中采用的依据、标准;
(5)综合各种因素提出系统架构,分析架构中采用的技术、设备等
情况;
(6)根据系统架构,针对性的提出我们已经发现的安全问题进行分析,并采用何种技术进行防范,并对潜在的安全分析提出;
(7)基于系统建设需求及招标文件中提出设备参数要求,对产品进行选型;
(8)产品选型中要将产品的品牌、型号明确,在产品选型结果中要将产品的图像、介绍、功能等情况进行描述;
(9)根据产品、施工等费用进行项目建设经费预算。
4.需求分析报告评审
(1)需求分析报告编制完毕后,需要通知公司领导及相关部门对项目进行评审,评审项目的可行性;
(2)评审项目的经费预算;
(3)评审项目的建设可行性;
(4)评审项目的技术成熟性及可操作性。
需求分析报告
项目名称
成果
完成时间
项目经理
主要内容
项目论证
项目产品简述
项目可交付成果
决定项目成功的因素
编写者
编写日期
审核者
审核日期
批准者
批准日期
5.合同评审
(1)项目确定后,要对客户的合同进行评审;
(2)评审合同中是否明确了客户及所处的行业对信息安全服务的特定要求;
(3)合同是否明确了确定信息安全服务范围;
(4)合同是否明确信息安全服务的安全要求;
(5)合同是否满足法律法规对服务安全的要求;
(6)合同是否明确项目目标、时间、内容、金额、质量和输出。
6.签订合同与保密协议
(1)在合同评审确认无误后,我方打印出合同,先进行签字盖章,再快递或送给业主方签字盖章;
(2)根据安全集成服务级别管理程序,双方要签署服务级别协议,明确服务年限、服务范围、服务响应时间等;
(3)在签合同的同时,双方也要签署保密协议,保密协议中明确保密职责和违约责任。
安全集成过程输出文档
本阶段工作会产生但不限于以下相关文档
系统阶段
输出的文档
安全集成阶段
调研会议记录表
项目调研记录表
项目需求分析表
需求分析报告
项目合同
保密协议
(二)方案设计阶段
1.技术与实施方案
(1)制技术与实施方案包括六块内容:
技术方案、实施与组织方案、培训方案、测试方案、试运行方案、验收方案;
(2)基于需求分析报告与系统建设安全需求进行编制技术方案;
(3)技术方案需详细说明系统、设备配置操作内容;
(4)技术方案与需求分析报告的差别在于要详细的分析安全性,针对具体的系统架构、设备和网络通联等情况进行安全建议;
(5)实施与组织方案中,明确项目总体情况如项目名、时间、地点、建设需求;
(6)实施与组织方案中,明确项目组织结构图、组织职责;
项目人员登记表
姓名
性别
出生年月
籍贯
学历
现任职务
政治面貌
身份证号码
联系电话
家庭住址
入职时间
个人简历
年月~年月
年月~年月
年月~年月
年月~年月
家庭成员情况
姓名
与本人关系
政治面貌
年龄
工作单位
职务
备注
(7)实施与组织方案中,施工组织人员安排遵循项目经理、安全生产负责人、质量负责人、各技术工程师;
项目组织岗位工作说明
项目组成员
职责
项目经理
项目副经理
需求调研组
技术组
施工组
质量组
安全生产组
培训组
文档组
后勤组
……
(8)项目进度表,明确项目从签订合同起到项目验收的每个时间节点;
工作计划管理表
计划名称
部门
成员
负责人
主要行动计划与步骤
工作日程
开始时间
中期目标完成时间
项目结束时间
成果
检测
预算
项目模块设计计划
项目名称
项目经理
文档编号
总体描述
模块名称
功能描述
设计内容
采用工具
完成日期
负责人
制定者
日期
批准者
日期
项目进度计划
项目名称
项目团队成员
项目经理
项目小组
小组成员
项目起止时间
项目进度
工作时间
工作内容
负责人
年月日~年月日
年月日~年月日
年月日~年月日
专家审核
审核时间
组织领导批准
批准时间
备注
项目进度完成情况表
序号
施工项目或施工单位名称
起止
时间
完成总任务比值
工程量
结算价值
工程承包额
开始
结束
自行完成比值
分包比值
合计
工程
名称
工程
名称
自行承包
合同
总额
数量
单位
数量
单位
项目工作周报表
编号
报告人
报告日期
项目名称
项目负责人
本周工作进展
存在问题及解决方案
存在问题
解决方案
备注
下周工作安排
项目负责人意见
签字:
日期:
备注
(9)项目资源的投入计划,对施工工具的投入安排、车辆投入安排;
需求计划表
序号
材料名称
单位
规格
用途
需要数量
库存数量
需要时间
备注
设备需求计划表
序号
设备名称
设备用途
简要说明
数量
需要时间
备注
人员需求计划表
项目组成员
需求人数
集体能力要求
最迟到位时间
项目组成员
项目经理
项目副经理
需求调研组
技术组
施工组
质量组
安全生产组
培训组
文档组
后勤组
(10)对项目过程中质量评估保障提出相关措施,对项目质量控制、工程质量保障措施、设备质量保证等内容;
质量保证计划表
项目名称
项目负责人
质量保证的参考
管理保证
人员
责任
任务
文档保证
产品要求文档
其他文档
标准和约定
目的
标准和约定
检测
评审
问题报告和改正措施
质量管理计划表
部门
项目负责人
人数
所负责的工作
目前质量情况:
不良原因分析:
改善计划和措施:
审核人
签字:
日期:
质量异常报告表
报告日期
报告部门/人
项目异常现象
1.
2.
3.
4.
经办人:
年月日
质量管理部门建议
签章:
年月日
其他部门建议
签章:
年月日
总经理批示
签章:
年月日
备注
质量管理组工作成果报告
名称
隶属部门
人数
主管
负责工人
本月产品质量不良情况改善情况
改善成果
改善经过
检讨
批示内容
(11)对项目风险分析,设备到货风险、兼容性风险等,针对上述风险提出了设备到货风险处理方案、设备兼容性处理方案,各个阶段的风险规避措施和突发事件处理情况;
风险等级评定表
等级
特征描述
具体内容
1
极其危险,不能继续作业,需立即停工
2
高度危险,需立即停工整顿
3
显著危险,需要及时整改
4
一般危险,需引起注意
5
稍有危险,可以接受,但也需注意
项目风险报告
风险识别码
风险提出人
提出日期
业务领域
项目名称
项目负责人
风险描述:
风险程度:
风险原因分析:
分先影响分析:
建议采取预防的措施:
建议采取的应对措施:
签字:
日期:
批准人签字
批准时间
(12)测试方案中,明确测试的目的、内容、时间、地点、计划等;
(13)验收方案分成初步验收和最终验收,区分好两个验收的时间点,然后确定初步验收与最终验收各自的验收标准,并确定每个验收过程需要获得资料。
方案设计过程输出文档
本阶段工作会产生但不限于以下相关文档
系统阶段
输出的文档
方案设计阶段
组岗位工作说明书
项目人员登记表
项目组织岗位工作说明
工作计划管理表
项目模块设计计划
项目进度计划
项目进度完成情况表
项目工作周报表
需求计划表
设备需求计划表
人员需求计划表
质量保证计划表
质量管理计划表
质量异常报告表
质量管理组工作成果报告
风险等级评定表
项目风险报告
测试方案
试运行方案
初验报告
终验报告
(三)技术与实施方案交底会议
1.开技术与实施交底会议时,应该以书面形式通知业主方,并在通知中明确开会时间、开会地点及开会内容;
2.开会前,需要对参与会议双方进行签到登记;
3.会议期间要确定好主持人、记录人,做好会议的记录,会后将会议过程整理成会议纪要。
交底会议签到表
会议名称
会议时间
会议地点
会议主题
姓名
部门
职务
联系方式
手机
电子邮箱
交底会议记录表
会议名称
会议时间
会议地点
会议主题
出席人
列席人
缺席人
主持人
记录人
交底过程输出文档
本阶段工作会产生但不限于以下相关文档
系统阶段
输出的文档
技术与实施方案交底
交底会议签到表
交底会议记录表
(四)建设实施阶段
1.在业主确认施工现场符合开工条件,并向我方以书面形式通知开工,并明确开工时间;
2.授权项目经理、质量负责人、安全生产负责人,明确负责人的职责,在实施过程中严格执行相应职责;
3.项目中明确项目干系人联系表,写明双方的姓名、联系方式、邮箱;
4.参与项目的主要人员要签订技术人员保密协议,保密协议中双方
的保密要求;
5.在施工过程,对每日项目施工情况进行记录,明确项目名称、时间,当日施工情况,下日工作计划进行计划;
工作计划管理表
计划名称
部门
成员
负责人
主要行动计划与步骤
工作日程
开始时间
中期目标完成时间
项目结束时间
成果
检测
预算
6.在施工工程中,对设备配置进行记录,记录设备的品牌、型号、数量、安装点等信息;
项目工作周报表
编号
报告人
报告日期
项目名称
项目负责人
本周工作进展
存在问题及解决方案
存在问题
解决方案
备注
下周工作安排
项目负责人意见
签字:
日期:
备注
7.在项目中分部分项开展,每部分做完后,要出具分项分部完工报告,报告中表明开始时间,完成时间,完成的部分;
8.变更管理程序,根据公司制度汇篇进行中规定的内容进行编制,对项目中的设备、数量、安装点等进行变更时,要先申请,批准后才可以进行变更;
项目变更报告
申请日期
变更的主要内容
申请人姓名
申请人职务
归属子系统或模块
变更的具体内容
变更理由
对相关系统的影响
申请人评估
开发方评估
用户方评估
若变更
开发方批复意见
用户方意见
若不变更
开发方批复意见
用户方意见
执行人
结束时间
开发方负责人
签字:
日期:
用户方负责人
签字:
日期:
9.公司内部对项目须开展评估,对项目完成情况、项目管理、资源管理、客户满意度等内容进行评估,并对结果进行分析最终形成评估报告。
建设实施过程输出文档
本阶段工作会产生但不限于以下相关文档
系统阶段
输出的文档
建设实施阶段
开工申请表
工作计划管理表
项目工作周报表
项目变更报告
项目评估报告
(五)客户培训
1.培训的开展根据技术与实施方案中培训方案中编制的计划进行相应的培训;
2.在培训过程中分成项目组合业主方人员培训,要区分好两个培训的时间段;
3.不管是内部项目组培训还是业主方培训,在培训前三天前就要以书面的形式通知相关人员进行培训;
4.培训时,要对参与培训会议的人员进行登记;
5.严格落实培训计划内容,相应授课人员必须遵守职业操守,完成培训计划;
6.在培训会议过程,明确记录人员,记录培训会议情况,会后立马形成纪要。
项目培训申请表
申请日期
申请项目名称
项目负责人签字
培训课程名称
培训目的
培训对象
预计培训时间
参加培训人员
学员人数
具体名单(可附页)
学员带队人姓名
学员带队人职务
带队人联系方式
培训地点
拟请讲师
培训单位
经费预算
审批意见
审批人签字
审批日期
项目培训计划书
项目名称
培训类型
用户培训()
项目成员培训()
计划制订人
负责部门
培训对象
培训目的
培训内容
开始时间
截止时间
备注
所需教材
教员情况
姓名
性别
授课内容
是否外聘
对学员的要求
本次培训活动应具备的条件
场地
设备
其他
批准意见
批准人签字
批准时间
培训会议签到表
会议名称
会议时间
会议地点
会议主题
姓名
部门
职务
联系方式
手机
电子邮箱
培训会议记录表
会议名称
会议时间
会议地点
会议主题
出席人
列席人
缺席人
主持人
记录人
客户培训过程输出文档
本阶段工作会产生但不限于以下相关文档
系统阶段
输出的文档
客户培训
项目培训申请表
项目培训计划书
培训会议签到表
培训会议记录表
(六)安全保障与售后服务
1、对项目完成符合测试时,须根据技术与实施方案中的测试方案对项目进行测试;
2.根据项目实际情况进行设备、软件的功能、性能、安全性等进行测试记录,形成测试记录;
3.测试记录中,要标明时间、地点、测试项、测试结果;
4.对测试结果进行分析,分析采取何种测试方法,测试项最终的测试结果并配上测试截图;
5.经过测试符合初验时,须根据技术与实施方案中的验收方案对项目进
升级会员 