1.项目立项和审查信息安全管理
在项目可行性研究报告中须包括信息塞全方面的内容,一是除了描述系统业务需求之外,还须确定所处理的信息的安全级别和信息系统的安全防护级别,进行系统的安全性需求分析,包括安全威胁分析、系统脆弱性分析、风险及影响分析和系统安全需求;二是说明项目的总体安全目标,并针对前面的信息安全需求分析提出相应的信息安全对策,信息安全对策的强度应根据资产的重要性来选择;三是说明如何从技术、运作、组织以及制度4个方面来实现所有的信息安全对策,并形成信息安全方案;四是对信息安全方案进行成本效益分析,实现防护适度。
项目审查部门应会同信息安全责任部门组织信息安全方面的专家,对项目的安全性进行评审和审查,对项目的信息安全需求分析、信息安全对策以及总体信息安全方案进行成本效益、合理性、可行性和有效性评价。