第一章  信息系统概述


               系统组织和队伍设计及系统管理流程设计。④系统实施该阶段是将书面设计文档
               转化为在计算机上运行的具体应用程序的过程，主要资源是编码规范、源代码管
               理、开发人员管理、开发环境、测试数据等。⑤系统验收及运维该阶段主要包括

               测试验收和运维两个子过程。主要资源包括测试报告、验收报告、运维手册、测
               试人员、运维人员等。
                   （三）开发安全管理体系模型
                   1. 系统规划

                   依据国家信息安全相关法律法规、行业标准、监管要求、单位发展战略规划、
               安全方针政策等文档，进行技术可行性、安全可行性等可行性分析，并根据系统
               重要性对信息系统进行定级，确定信息安全保护级别 ， 制定信息系统建设总体

               安全规划。相关定级标准参照等级保护相关办法、标准进行。
                   2. 系统分析
                   依据系统等级和等级保护相关要求，梳理系统逻辑模型应该具备的安全功能
               和防护强度，形成逻辑模型和明确的安全需求。逻辑模型应该满足安全管理和安
               全技术两个方面的安全需求。安全管理方面主要涉及安全管理制度、安全管理机

               构、人员安全管理、系统建设管理和系统运维管理，安全技术方面主要涉及物理
               安全、网络安全、技术安全、应用安全和数据安全。
                   3. 系统设计

                   根据逻辑模型和安全需求，对系统进行详细设计，明确安全需求的实现方式、
               技术方法等，形成系统实施方案。
                   4. 系统实施
                   根据实施方案中的设计要求、实现方式、技术方法，进行编码，形成系统版
               本提交测试验收。

                   5. 系统验收及运维
                   对系统版本进行严格测试、代码审查、漏洞扫描，将问题反馈系统实施阶段，
               通过测试后，组织验收上线工作。上线后进行运维管理。

                   （四）安全优化建议
                   1. 安全规划阶段
                   一是明确定义关键性任务的负责人，定义项目组及成员的职责分工，合理安
               排开发时间和人力投入。二是对外包服务提供商或合作方进行严格的尽职调查，



                                                                                        3