河北艺术职业学院信息安全管理制度-技术维护服务供应商管理

第一章总则   

第一条为保证河北艺术职业学院（以下简称“河北艺校”）信息化项目的技术维护服务供应商服务质量，规范技术维护服务供应商服务的流程，制定本制度。   

第二章适用范围   

第二条本制度适用于河北艺术职业学院各部门，规范非涉密信息系统外部技术维护服务管理。   

第三条技术维护服务供应商包括：第三方软件开发商、运维服务供应商、安全服务供应商等。   

第三章职责   

第四条信息化项目所属部门负责信息化项目的外包软件开发、工程施工、测试验收和交付过程中的管理工作。   

第五条项目的测试验收和系统交付工作要坚持严谨求实、客观公正、简便易行、注重质量原则。   

第四章技术维护服务供应商管理   

第六条确保技术维护服务供应商的选择符合国家电子政务信息系统建设的相关规定。   

第七条在产品采购、外包软件、系统集成和安全测评前对选定的技术维护服务供应商以书面文档形式（如安全责任合同书或保密协议）规范技术维护服务供应商的安全行为以及质量、服务承诺等相关内容。   

第八条与技术维护服务供应商签订为系统运维人员提供技术培训、技术支持或安全服务的安全服务合同。   

第九条应检查安全责任合同书或保密协议，查看保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等。   

第十条应检查服务合同，查看是否包括服务内容、服务期限、双方签字或盖章等。   

第五章外包软件开发安全管理   

第十一条与承包方签署协议，明确软件许可权协议、代码所有关系以及知识产权。   

第十二条选择信誉与质量保证能力良好的软件开发商。   

第十三条签署协议中应包括承包方违约时应采取的措施。   

第十四条签署协议里应包括代码质量，如对编程标准的要求。   

第十五条在安装之前进行测试，以检测后门、逻辑炸弹和特洛伊代码，并将检测结果备案。   

第十六条运行操作日志中应记录变更事件以备后查。   

第十七条承包方应承诺提供软件培训、操作指南和售后服务。   

第十八条承包方应提供软件开发设计的相关文档。   

第六章工程实施安全管理   

第十九条信息化项目所属部门负责项目的工程实施管理，信息安全执行小组对工程实施的信息安全管理进行指导和监督。   

第二十条工程实施如需外包服务，应进行厂商、服务商及集成商的选择，选择过程中针对厂家资质、信誉及以往工程实施质量和本次工程实施方案等进行详细分析、评审及选择。   

第二十一条选定工程实施方后，应与其签订合同，详细描述工程实施规范及双方责任，明确其任务要求，并规定工程实施过程中的安全规范、环境要求、工程质量以及实施后的服务承诺等内容。   

第二十二条工程实施过程中，工程实施方应严格遵守工程实施计划，保证工程实施质量并接受项目监理方的监理。   

第二十三条项目实施过程中，如有时间延期、人员调整、项目目标调整等变更情况发生，应进行项目变更的申请和审批。   

第七章测试验收内容   

第二十四条应用系统项目验收应审查如下内容：   

1、功能检查：对软件功能完整性、正确性进行审查和评价。   

2、项目管理审查：对项目计划、采用标准、需求方案及其执行情况进行审查和评价。   

3、测试结果审查：对项目测试报告、监理单位出具的监理报告等进行审查。   

4、技术文档检查：对承包方交付的文档资料（纸质文档和电子文档）进行审查。   

第二十五条项目验收时项目所属部门应组织检查施工情况，主要检查网络系统、应用系统、安全系统的施工质量。   

第二十六条项目验收时项目所属部门应组织检查法律法规和标准执行情况，主要检查项目建设和管理是否符合有关法律、法规和XXXX信息化建设相关规范。   

第二十七条系统的安全性测试验收应独立进行，应委托国家认可的第三方测试单位对系统进行安全性测试，并出具安全性测试报告，至少应审查主机端口开放情况是否符合系统说明、使用网络侦听工具审查通讯数据包是否符合系统说明，设备配置是否符合安全技术标准，以及使用恶意代码软件检测软件包中可能存在的恶意代码等。   

第八章测试验收程序   

第二十八条技术及服务供应商在项目完成后向项目所属部门提出项目竣工验收申请。   

第二十九条系统测试验收需具备如下前提：   

1、系统建设项目确定的网络、应用、信息安全等已按照设计要求建成，并能满足系统运行的需要。   

2、系统建设项目包括的网络、应用、安全等经测试和试运行合格。   

3、系统建设项目完成相关的培训工作，落实售后服务措施。   

第三十条项目验收程序分为专家组验收和项目组验收两种。   

1、专家组验收：专家组由外聘专家、信息安全领导小组和项目所属部门相关人员组成，专家组成员人数为5人以上单数，设组长一名。   

2、项目组验收：项目组主要由项目审批部门、项目所属部门和信息安全领导小组相关人员组成，项目组成员人数为5人以上单数，设组长一名。   

第三十一条测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收方案应对参与测试部门、人员、现场操作过程等进行要求并确保测试和接受标准被清晰定义并文档化。   

第三十二条严格依据测试方案进行测试，在测试验收过程中应详细记录测试结果并最终形成正式的，经过签字确认的验收测试报告。   

第三十三条项目验收组根据审查验收情况，召开评审论证会，对项目进行综合评价，形成项目验收报告，由验收组全体成员签字，验收组组长根据验收表决情况签署验收意见。   

第三十四条系统验收并移交后，必须立即修改系统中相关账户口令。   

第三十五条项目所属部门将通过验收的项目各种文件资料及最终验收审批报告，归类整理并列出清单，按照有关规定归档保存。   

第九章测试验收结论   

第三十六条测试验收结论分为“通过验收”、“需要复议”、“未通过验收”。   

第三十七条通过验收标准：完成所有建设内容，技术指标达到设计要求，建设标准达到XXXX信息化和信息安全相关建设标准，系统运行安全稳定，建设过程符合XXXX有关规定。   

第三十八条需要复议标准：建设内容和技术指标基本达到设计要求，但提供的验收文件资料不齐全或者对验收结论存在争议。   

第三十九条系统建设项目有下列情况之一，不能通过验收。   

1、验收文件、资料、数据不真实。   

2、未达到设计要求。   

3、设计不符合XXXX信息化建设相关标准要求。   

4、擅自修改设计目标和建设内容。   

5、系统建设过程中出现重大问题，未能解决和做出说明，或存在纠纷尚未解决的。   

第十章系统交付   

第四十条系统交付时，技术及服务供应商应制定系统交付的清单，依据交付清单进行清点，系统交付物至少应包括：   

1、系统运行所需要的全部设备。   

2、系统运行所需要的全部软件。   

3、系统文档，包括系统建设过程中的文档以及详细的系统使用和维护文档。   

4、系统使用培训教材。   

第四十一条系统交付完毕后，项目所属部门负责组织系统使用和维护人员进行相应培训。   

第四十二条项目所属部门应对系统交付物和系统维护使用培训进行书面确认，确保系统交付后系统的稳定运行及使用。   

第十一章相关文件   

第四十三条无   

第十二章附则   

第四十四条本制度自发布之日起执行。   

第四十五条本制度的解释和修改权属于信息安全领导小组。   

第四十六条信息安全领导小组每年统一检查和评估本制度，并做出适当更新。在业务环境和安全需求发生重大变化时，也将对本制度进行检查和更新。   

参考文献  

[1] 中华人民共和国计算机信息系统安全保护条例（国务院令第147号）  

[2] 国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）  

[3] 关于信息安全等级保护工作的实施意见（公通字[2004]66号）  

[4] 关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号）  

[5] GB17859-1999 计算机信息系统安全保护等级划分准则  

[6]GBT22080-2008 信息技术 安全技术 信息安全管理体系要求  

[7] GBT22081-2008 信息技术 安全技术 信息安全管理实用规则  

[8] GBT25058-2010 信息安全技术 信息系统安全等级保护实施指南  

[9] GBT22239-2008 信息安全技术 信息系统安全等级保护基本要求  

[10]GBZ20986-2007 信息安全技术 信息安全事件分类分级指南  

[11] GBT20269-2006 信息安全技术 信息系统安全管理要求