社區建設的項目建議書
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇社區建設的項目建議書范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
社區建設的項目建議書范文第1篇
一、指導思想
認真貫徹科學發展觀,按照"穩中求進、好中求快、能快則快"的工作要求,搶抓國家支持中原經濟區建設和省委、省政府加快皖北發展的戰略機遇,依托我市產業和資源優勢,以重大基礎設施和產業項目為重點,健全項目謀劃推進前期工作的長效機制,努力形成"謀劃儲備一批、審核批準一批、開工實施一批、投產見效一批"的項目梯次推進格局,為優化結構、增強活力奠定堅實的基礎,為實現"十二五"規劃目標提供項目投資支撐。
二、目標任務
年度項目謀劃推進目標任務,根據經濟社會發展所需項目支撐測算,經市項目推進領導小組研究后按年度下達執行。
三、謀劃重點
(一)圍繞國家政策和規劃謀劃項目。積極從國家、省級規劃中捕捉政策信息,深入開展對區域規劃、專項規劃、重點行業規劃和中央及省內外重點企業集團發展規劃的研究,謀劃推進一批重點項目,并積極做好對接爭取工作。
(二)圍繞資源稟賦和產業發展謀劃項目。以煤炭、糧油、中藥材、文化旅游、勞動力等資源優勢為依托謀劃一批帶動力強的主導產業項目,引導骨干企業通過延長產業鏈、培育上下游產品謀劃項目;根據我市發展定位,開展商貿物流、旅游、金融、信息等現代服務業項目謀劃。
(三)圍繞技術創新和戰略性新興產業謀劃項目。利用承接產業轉移的政策優勢,積極謀劃節能環保、生物、高端裝備制造、新能源、新能源汽車等高新技術項目和創新型項目;加大以產業集聚為核心的特色產業園區的謀劃力度,促進產業結構調整。
(四)圍繞基礎設施和區位謀劃項目。以提高載體承接能力和構筑產業支撐為目標,扎實做好開發區建設以及交通體系、城市供排水、城區道路、水利、電網、公共服務等基礎設施項目謀劃。
(五)圍繞民生和社會保障謀劃項目。以保障性住房、職業教育、社區建設、醫療衛生、文化體育為重點,做好增強城市公共安全和服務、改善城鄉人居環境的社會事業和民生工程的謀劃。
四、推進機制
(一)創新謀劃方式。建立多層次、多系統、開放式、動態化的謀劃儲備體系。充分利用政府部門的引導作用,注重發揮企業主體地位,引導和幫助所屬企業開展項目謀劃工作;開展系統內部謀劃互動、廣泛征集等多種形式,調動行業內部力量和社會各界共同參與項目謀劃工作;借助外腦,進一步發揮科研院所、咨詢機構在項目謀劃上的優勢,聘請專業力量幫助開展項目謀劃工作。
(二)建立初審論證機制。謀劃項目實行初審、論證制度。各單位于每季度最后一個月5日前將本單位謀劃項目通報市項目推進領導小組辦公室。市項目推進領導小組辦公室將會同各專業項目推進組、市政府相關職能部門分行業類別對各單位謀劃上報項目進行初審。初審重點是對是否符合國家產業發展導向和我市"十二五"各專項規劃,是否有利于促進我市經濟社會發展,項目單體投資規模是否符合要求進行審核把關。
市項目推進領導小組辦公室每季度末將邀請省相關行業協會、咨詢機構及省級主管部門有關專家對初審項目進行論證評定。評定內容包括市場前景、建設規模、投資額度、建設時機等。謀劃項目經論證評定后由項目推進領導小組辦公室反饋項目謀劃單位和專業項目推進組。由謀劃單位組織編制項目簡介,進入市謀劃儲備項目庫,計入部門謀劃任務,其中由部門匯總的縣區、企業自身謀劃項目不計入部門謀劃任務。
(三)實施篩選推進機制。各專業項目推進組辦公室要牽頭組織成員單位定期從儲備項目庫中篩選確定近期有望實施的項目,根據職能提出推進前期工作的建議單位,會同綜合協調組按季度行文報請市政府批準后由相關單位負責開展前期工作。各單位自身研究確定或委托專業咨詢機構謀劃編制的項目,自行上報申請開展前期工作。政府投資類項目,按照基本建設程序,前期工作要完成可行性研究報批;需國家、省審批項目,選址意見、土地預審、環境影響評價、節能評估、水土保持方案、防洪影響評價、壓覆礦藏評估、地質災害性評估、文物保護等支撐性文件報批由市政府業務主管部門負責,項目推進單位配合;市級審批項目,各項支撐性文件由項目推進單位負責。競爭類項目,由謀劃單位完成項目建議書立項報批、洽談確定投資主體后由項目業主繼續推進。企業單位謀劃項目由行業主管部門負責指導開展前期工作。
五、保障措施
(一)加強組織領導。項目謀劃推進前期工作由市項目推進領導小組統一領導;項目推進領導小組辦公室負責項目謀劃推進前期工作銜接協調和全市謀劃項目的收集匯總、初審論證、督查推進;各專業項目推進組辦公室負責本組項目謀劃、論證篩選、推進前期的督促協調。各部門、各單位要明確專人,落實責任,全力做好本部門項目謀劃工作。
(二)保障工作經費。市財政在每年預算內安排項目工作經費1000萬元,專項用于市屬項目謀劃推進工作,經費根據實際情況適時調整。謀劃項目通過初審評定并完成項目簡介后,每個項目補助謀劃經費1000元。項目前期工作各項審批文件編制報批費用統一由項目推進單位負責申報。政府投資類項目完成可行性研究報告批復、競爭類項目完成項目建議書立項后,費用經財政部門審核后按合同支付。省相關行業協會、咨詢機構及省級主管部門有關專家論證評定費用根據聘請協議,由市項目推進領導小組辦公室負責申報使用。
社區建設的項目建議書范文第2篇
信息系統是智能建筑與社區(以下簡稱智能社區)的重要基礎系統,確保信息系統自身及其所傳輸、處理、存儲信息的安全,是保證智能社區各個子系統正常運轉、確保人身和公共安全的重要方面。
標準中對信息安全的規定是針對智能社區中各種信息系統安全的特點,結合國家相關信息安全政策、標準而制定的。智能社區的建設和運營機構應對信息安全問題予以足夠的重視,要意識到這是一個需要嚴格遵守國家法律、法規的領域。
智能社區的建設與運行應符合國家有關安全法律、法規、標準的規定和要求。建筑及住宅社區的設備研發機構、運營服務商應采取一定的信息安全措施,保障信息系統(包括智能建筑的控制系統)的安全,確保運營服務系統不會對用戶造成信息安全損害。可逐步建立起建筑及居住區設備及應用系統的認證體制,以提高建筑及居住區設備的安全、有效管理。
建筑及住宅社區運營服務商應明確系統本身可能受到的安全威脅以及可能對用戶造成的安全威脅,采取措施應對和消除安全威脅。
智能社區建設和運行機構應該清楚信息安全領域是一個處于不斷發展和變化階段的專業領域,各種信息安全漏洞、缺陷、威脅和攻擊會不斷出現和發展,因此,不存在一種靜態的、一勞永逸的信息安全體系。包括本標準、本指南在內的相關內容都處于不斷發展只種,智能社區建設和運行機構應密切關注相關領域的進展情況,及時采用最新的、有效的技術和管理研究成果,以確保智能社區安全運行。
等級保護
信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息和公開信息,以及對存儲、傳輸和處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理。對信息系統中發生的信息安全事件分等級進行響應、處置。
根據《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)的精神,實施信息安全等級保護,有效地提高我國信息和信息系統安全建設的整體水平,確保信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調,同時有效控制信息安全建設成本,優化信息安全資源的配置,重點保障基礎和重要信息系統的安全。
智能社區建設和運營單位應按照等級保護的要求開展信息安全體系的建設和運行,根據智能社區及其信息系統的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,以及信息的保密性、完整性和可用性要求及信息系統必須要達到的基本的安全保護水平等因素,按照國家有關標準和規范的程序和方法確定智能社區信息系統的安全等級。國家標準將信息和信息系統的安全保護等級分為五級:
1. 第一級為自主保護級,適用于一般的信息和信息系統,其受到破壞后,會對公民、法人和其他組織的權益有一定影響,但不危害國家安全、社會秩序、經濟建設和公共利益。
2. 第二級為指導保護級,適用于一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成一定損害。
3. 第三級為監督保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成較大損害。
4. 第四級為強制保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害。
5. 第五級為專控保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統的核心子系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害。
國家對不同安全保護級別的信息和信息系統實行不同的監管政策。第一級依照國家管理規范和技術標準進行自主保護;第二級在信息安全監管職能部門指導下依照國家管理規范和技術標準進行自主保護;第三級依照國家管理規范和技術標準進行自主保護,信息安全監管職能部門對其進行監督、檢查;第四級依照國家管理規范和技術標準進行自主保護,信息安全監管職能部門對其進行強制監督、檢查;第五級依照國家管理規范和技術標準進行自主保護,國家指定專門部門、專門機構進行專門監督。智能社區建設與運營機構應按照上述國家的規定接受國家相關職能部門的監管。
智能社區的信息
安全要求
標準對智能社區運營機構信息安全相關工作從以下幾個方面提出了要求,即:
信息系統基本安全活動;
風險分析與評估;
安全策略
安全體系
標準中對這些方面提出了基本的要求,運營商應根據最新的信息安全相關標準、信息安全技術和管理體系的研究成果,結合自身的實際情況,形成自身完整的智能社區信息安全運行保障體系。
1. 信息系統基本安全活動
信息系統基本安全活動是指智能社區運營機構在負責運營智能社區信息系統過程中應該開展的相關活動。信息系統基本安全活動是由運營機構負責組織、實施的活動,并確保這些活動的質量和所涉及范圍的完備性。
運營服務信息系統基本安全活動包括:
(1)根據運營服務的特點和服務對象的需求,基于風險分析的結果,確定運營服務信息系統的安全等級。
(2)安全策略的制定、、教育、評價、修正等活動。運營機構必須保證行政管理范圍的所有實體對安全策略正確理解、實施與保障,并有相應的考核等管理措施予以監督和檢查;
(3)建立信息安全相關的機構,設置相應的崗位,確定相關的責任,并建立相配套的管理、考核和獎懲體系;
(4)保障信息安全相關工作的人力資源投入,建立相關的人員選拔、考核、培訓體系,并規劃和實施針對一般運營服務人員和普通用戶的安全教育、宣傳活動;
(5)確定運營服務系統中的關鍵信息資產,并進行資產分類管理;
(6)應根據運營服務信息系統的安全等級,建立相應的物理和環境安全保護體系;
(7)應根據運營服務信息系統的安全等級,建立相應的信息安全技術保障體系。
(8)建立和維護系統的運行安全體系,主要包括針對運營信息系統以及普通用戶的應急響應體系、安全基礎設施服務體系、定期的安全風險評估體系等;
(9)應根據運營服務信息系統的安全等級,對相應的信息系統承包商、信息軟硬件產品進行安全資質審查、實施過程的質量監督和控制;
(10)應根據運營服務信息系統的安全等級,對系統運行過程中可能發生的升級、完善等活動做好安全規劃,對系統的拆除應提前做好規劃和處理。
2. 風險分析與評估
按照即將頒布的國家標準《信息安全風險評估標準》組織和開展信息安全評估工作。
標準在以下幾方面對風險評估提出了要求:
(1)運營商應對運營服務信息系統進行風險分析,并將風險分析的結果作為確定相應系統安全等級的主要依據。
(2)運營商應建立定期和不定期風險評估的機制。
(3)運營服務信息系統的安全風險分析與評估,宜由有相應資質的機構完成。
(4)風險分析與評估宜采用適用的方法,對每一個識別出的信息資產,按照資產的“保密性”、“完整性”和“可用性”三個最基本的安全要求,分析可能受到的威脅和后果,提出相應的安全需求建議。
開展風險評估工作的時候,要注意相關國家政策(如等級保護等)對風險評估的要求,組織好智能社區相關信息系統整個生命周期的風險評估工作。全生命周期的風險分析工作主要包括:
規劃階段的風險評估。規劃階段的風險評估應針對智能社區信息系統對社區運行的作用(包括技術、管理等方面),確定系統建設應達到的安全目標。分析的重點在安全威脅,應根據未來系統的應用對象、應用環境、業務狀況、操作要求等方面進行分析。規劃階段的評估結果應體現在信息系統整體規劃或項目建議書中。
設計階段的風險評估。設計階段的風險評估需要根據規劃階段所明確的系統運行環境、資產重要性,提出安全功能需求。設計階段的風險評估結果應對設計方案中所提供的安全功能符合性進行判斷,作為采購過程風險控制的依據。本階段評估中,應詳細評估設計方案中對系統面臨威脅的描述,將使用的具體設備、軟件等資產列表,以及這些資產的安全功能需求。
實施階段的風險評估。實施階段風險評估的目的是根據系統安全需求和運行環境對系統開發、實施過程進行風險識別,并對系統建成后的安全功能進行驗證。根據設計階段所分析的威脅和制定的安全措施,在實施及驗收時進行質量控制。實施階段風險評估主要對系統的開發與技術/產品獲取、系統交付實施兩個過程進行評估。
運行維護階段的風險評估。運行維護階段風險評估的目的是了解和控制運行過程中的安全風險,是一種較為全面的風險評估。評估內容包括對真實運行的信息系統、資產、威脅、脆弱性等各方面。
廢棄階段的風險評估。當信息系統不能滿足現有要求時,信息系統進入廢棄階段。根據廢棄的程度,又分為部分廢棄和全部廢棄兩種。
3. 應制定明確的安全策略
智能社區建設和運營機構應針對相關信息系統,制定相應的信息安全策略。信息安全策略規定的是智能社區中各種人員對社區信息系統資產(包括:軟件、硬件、數據)的訪問權限以及所應承擔的責任。典型策略規定的內容包括:訪問范圍、訪問時間、訪問方式、訪問地點、訪問手段等。
標準中規定的安全策略包括:
(1)物理安全策略:確定在物理訪問、保護方面的安全規定;
典型的物理安全策略包括:機房、機柜、電纜等的訪問、使用、檢查規定;
(2)訪問控制策略:規定內部網與外部網之間,以及內部網段之間的訪問規定和策略要求;
典型的訪問控制策略包括:網絡訪問策略、應用訪問策略等;
(3)安全檢測策略:規定對系統安全實施定期檢查的周期、方法等;
(4)審計與監控策略;
(5)網絡防病毒策略;
(6)備份與災難恢復策略。
4. 安全體系方面
(1)信息安全措施
信息系統應從以下幾個方面采取安全措施:
建立明確的信息安全體系,包括明確的安全策略、安全的網絡系統配置等安全服務和安全機制運行說明,指明在哪些部位必須配置哪些安全服務和安全機制,以及規定如何進行安全管理;
采取措施保護局域網;
采取措施保護基礎通信設施;
采取措施保護邊界;
配置或依托公共信息安全基礎設施;
具體安全措施的采取應根據系統的實際情況確定。
(2)保護局域網計算環境
局域網可采取的安全措施有:
建立用戶終端、數據庫、服務器和應用系統保護機制,以防止拒絕服務攻擊、未授權數據泄漏和數據修改;
保護操作系統,確保操作系統的自身安全;
保護數據庫:對數據庫應該實施細粒度訪問控制、關鍵數據加密、重要服務器用單獨網段、強身份鑒別、備份恢復應急措施、安全審計等安全保護措施;
身份鑒別和數字簽名:對于系統中重要的服務器、應用系統的訪問,應采用統一的身份鑒別,并對用戶訪問行為采用抗抵賴措施;
建立入侵檢測體系,防止內部局域網受到非法入侵;
建立病毒防范體系,防止局域網計算環境受到病毒破壞;
具有足夠的防止內外人員進行違規操作和攻擊的能力。
(3)保護網絡和通信基礎設施
可采取的保護網絡和基礎設施的措施有:
保證基礎設施所支持的關鍵應用任務和數據資源任務,防止受到拒絕服務的攻擊;
防止受到保護的信息在發送過程中的延遲、誤傳或未發送;
防止非法數據流分析;
保護各種應用系統中的用戶數據流;
保護網絡基礎設施控制信息。
(4)保護邊界
可采取的邊界保護措施有:
建立網絡級物理隔離體系,實現物理隔離(這是一些高敏感度網絡必須達到的);
建立系統的防火墻體系,實現進出網絡邊界的細粒度訪問控制;
建立系統遠程訪問安全系統,以保護系統邊界遠程訪問的安全;
建立基于網絡的入侵檢測系統以防止入侵者的攻擊;
建立基于網絡的防病毒系統,以防止病毒入侵;
建立漏洞掃描系統以改進系統的配置和功能設置。
(5)支撐性安全基礎設施
可采用的支撐性安全基礎設施有:
公共密鑰基礎設施(PKI);
密鑰管理系統;
安全管理系統;
應急響應體系。
關于嵌入式與控制信息系統的安全
智能建筑中存在大量的智能設備,并通過現代網絡技術,構成為一個完整的智能社區(建筑)控制系統。該系統的安全運行是確保智能社區正常運轉的基石,保障智能建筑控制系統安全是智能社區信息安全的關鍵內容。標準中在控制協議中從協議層次對有關技術問題進行了規定和描述,涉及控制系統設計、建設、運行的信息安全問題則應按照標準“運營”和“評測”部分的規定執行。
鑒于智能控制系統對于智能社區的特別重要性,本節對其信息安全體系的實施提出具體指南。
1. 嵌入式與控制系統面臨的安全威脅
智能社區嵌入式與控制系統面臨的典型安全威脅有:
控制網絡中的信息流被阻塞或延遲,包括干擾通過網絡實現的各種控制操作。這些阻塞、延遲、干擾有可能是由于產品和系統設計、實現、部署存在缺陷和故障引起了,也有可能是惡意行為造成的。
向系統操作員發送不準確的信息,以實現非法的修改或者引發操作員不正確的操作。智能社區中會存在有很多分布式的、人機結合的控制系統,有大量的狀態和控置信息通過網絡系統傳輸和處理,引發或指令各種設備(或操作員)的各種管理和控制行為,因此通過惡意發送不正確信息,有可能對智能社區運轉造成嚴重后果,甚至引發嚴重的犯罪行為。
直接干擾可能造成人身傷害的安全保護系統。網絡在實現遠程狀態監控和監控的同時,也為通過網絡遠程干擾系統提供了可能,尤其是對安全保護系統的干擾將引發嚴重的后果。
非法修改各種可能損壞、關閉設備的指令或報警參數設置。破壞設備是干擾智能社區運行的一種手段,網絡為這種行為提供了一種新手段,通過可能造成設備損害的指令、關閉設備指令都可能造成設備失效。采取修改設備報警參數等方法,造成設備大量告警,造成設備(或系統)無法應對突然出現的大量告警而崩潰或失效,也可以達到破壞的目的。
修改智能社區控制系統軟件、配置信息,或者傳播惡意軟件,以及其它可能造成負面效果的問題 。智能控制系統中存在大量的遠程設置、軟件升級、補丁分發等操作,通過干擾這些操作行為,除了可以對設備直接造成破壞外,還可以散發各種惡意軟件和木馬等程序和軟件,為智能社區運轉埋下嚴重的隱患。
2. 嵌入式與控制系統安全目標
針對前面提到的威脅,智能社區嵌入式與控制系統信息安全的目標如下:
限制對智能社區控制系統網絡的邏輯訪問行為。這包括:通過設置DMZ區,防止社區其他網絡對智能社區控制系統網絡的直接訪問;智能社區控制系統和社區運營機構內部管理系統使用不同的鑒別和加密機制。智能社區控制系統應該使用多層(級)的網絡拓撲結構,以確保關鍵通信是通過最安全和可靠的層。
限制對智能社區控制系統網絡和設備的物理接近。對智能社區控制系統部件的非授權物理接近,有可能會對智能社區控制系統功能造成嚴重的破壞。應使用多種物理訪問控制措施,如:鎖、讀卡器和保安。
要防止智能社區控制系統部件被非法利用。這包括:對安全補丁,應該盡可能快地完成現場測試,并部署;關閉所有的不使用服務和端口;限制 智能社區控制系統用戶的權限,確保只擁有完成工作的最小權限;跟蹤并監視系統設計數據;使用防病毒軟件、文件完整性檢查軟件等安全工具,來監測、確定、防止、消除惡意代碼。
確保極端情況下的系統功能。要確保每一個關鍵部件都有冗余和備份部件。除此之外,還要確保一個部件失效時,應該是以一種安全的方式失效,即不會在智能社區控制系統系統中產生不必要的通信流量,也不會帶來其它問題,比方說連串的事件。
3. 嵌入式與控制系統安全防護體系
智能社區嵌入式與控制系統安全防護體系要根據本標準的規定建立相應的防護體系,在體系的建設與運行過程中,要特別注意以下幾個方面:
高度重視智能社區專用的安全策略、流程和培訓宣貫材料的制定。
按照“等級保護”的 思想,制定嵌入式與控制系統安全策略和流程,并根據威脅級別的增加部署相應的安全措施。
關注智能社區相關信息系統整個生命周期的安全,包括:架構設計、采購、安全、運行維護和拆除。
將嵌入式與控制系統網絡部署成多層(級)的網絡拓撲結構,以確保關鍵通信是通過最安全和可靠的網絡。
在控制網絡與其他網絡,尤其是與其他用途完全不同的網絡系統(如:內部管理信息系統、互聯網等),之間部署邏輯隔離設備(比如:基于狀態監測的防火墻)。
采用隔離區架構,防止其他網絡和控制系統網絡之間的直接通信。
確保關鍵部件有足夠的冗余并聯接在有冗余的網絡之上
將關鍵系統設計成“容錯”系統,以防止“級聯”事故的發生。更進一步,系統應設計成“安全地“失效。
在控制系統測試完成后,應關閉不用的端口和服務,確保不影響系統的正常運行
限制對控制系統網絡和設備的物理訪問。
限制控制系統用戶的權限,確保只授予他們完成工作所需的最少權限(例如:部署基于角色的訪問控制系統,并賦予每一個角色完成其工作所需的最少權限)。
智能社區運營機構在控制系統和其他系統應分別使用完全隔離的鑒別機制(例如: 控制系統不要和機構內部管理信息系統使用一套用戶管理系統)。
使用強度更高的身份鑒別技術(如:智能卡)。
部署安全措施(典型的措施包括防病毒軟件、文件完整性檢測軟件等),以檢測、防止惡意代碼的傳播。
在存儲和通信過程中使用加密技術。
各種補丁、修訂在正式安裝之前,應盡可能在現場環境下完成所有測試。
對智能社區內所有關鍵區域內控制系統的運行進行跟蹤、監控和審計。
信息安全檢測與驗收
1. 檢測
(1)信息安全活動檢查
檢查內容包括:活動的計劃、活動過程的記錄和成果。具體的檢查項按照GB/T 20299.1-2006 《建筑及居住區數字化技術應用》第1部分 系統通用要求 的7.2.1中規定的內容進行。
(2)風險分析與評估核查
核查內容主要包括系統安全風險分析與評估記錄和報告,系統例行風險分析計劃、記錄和報告;還應對風險分析具體完成人員(或機構)的資格(或資質)、能力等按照有關規定進行核查。具體的核查項按照GB/T 20299.1-2006 《建筑及居住區數字化技術應用》第1部分 系統通用要求 的7.2.2中規定的內容進行。
(3)安全策略檢查
系統安全策略主要包括物理安全策略、訪問控制策略、安全檢測策略、審計與監控策略、防病毒策略、備份與災難恢復策略。安全策略應在系統的建設、運行、檢測和驗收等相關文檔中有明確的規定。實施檢測時,應對策略的合理性、完備性、法規符合性進行檢查。具體檢查項根據GB/T 20299.1-2006 《建筑及居住區數字化技術應用》第1部分 系統通用要求 的7.2.3的規定。
(4)安全技術保障體系的檢查和測試
a. 信息安全技術保障體系完整性檢查
應根據系統的安全策略和實際情況,對系統局域網、基礎通信設施、系統邊界、安全基礎設施等幾方面采取的措施進行檢查。
b. 安全技術保障措施檢查
檢查的重點有:
安全措施本身是否符合國家和地方的有關規定;
采取的安全措施是否符合安全策略要求;
安全措施的選擇和部署是否合理;
安全措施是否發揮應有的作用;
系統的安全措施是否完備、合理等。
c. 系統安全測試
應根據GB/T 20299.1-2006 《建筑及居住區數字化技術應用》第1部分 系統通用要求 的7.2.4規定的內容,按照系統所確定的等級或系統本身的安全要求,制定相應的測試方案,準備相應的測試表格和測試工具,并根據相應的測試流程,對系統相關的安全技術文檔進行核查,對系統的運行進行現場測試。系統安全測試工作宜委托國家認可的安全檢測機構進行。
2. 測評機構
測評須由獲得國家認可的相關測評機構承擔,測評完成后由測評機構按規定格式出具測評報告。
3. 驗收
(1)驗收條件
系統試運行階段結束,并提出試運行報告;
本章“檢測”部分中規定的檢測工作已經完成,并形成相應的檢測結論;
所有信息安全相關文檔。
(2)驗收文檔
a. 系統試運行記錄和報告
b. 檢測報告
由國家授權測評機構進行測評的測試報告;
第三方測試小組提供的測試報告;
承建單位進行測試的測試報告。
c. 系統信息安全風險分析報告
d. 系統設計文檔
系統的應用需求及總體設計方案;
網絡規模和拓樸結構;
信息流描述;
安全威脅描述及其風險分析;
系統主要安全功能及其實現方法;
系統主要環境安全功能的實現方法;
網絡管理方式及實現方法;
安全設備管理方式及實現方法;
主要軟硬件設備及性能清單;
主要安全產品安全選型依據。
e. 管理文檔
(a)管理機制
工程適用的法律法規;
安全策略文檔資料;
安全策略審查和評估的相關規定;
信息資產管理規定;
安全事件處理規程;
物理安全規定;
資產移交的管理規定;
安全事故管理規程;
用戶口令管理規定;
備份策略規程;
計算機介質操作規程;
系統工具使用規程;
系統審計規程。
(b)人員、機構與職責文檔
安全決策機構組成圖及職責分工表;
安全管理人員的職責分工表;
安全顧問的資質評審記錄和聘任書;
安全管理人員履歷及專業資格證書;
人員保密協議范本;
人員崗位職責規定。
(c)安全運行資料
安全策略有效性審查和評估的記錄;
安全管理會議的會議紀要;
安全專家的建議記錄;
系統和設備維護記錄;
訪問控制策略文檔;
定期的審計分析報告;
異常情況審計日志和安全事件記錄。
(d)工程實施文檔
施工管理文件;
變更文件;
系統調試分析報告;
系統培訓文件;
系統移交清單及文件;
工程監理報告。
(e)其它文檔
項目相關的合約;
產品的法定安全測評機構的評估證書;
外包服務的合同;
外包軟件開發方的資料;
外包工作人員合約;
質量手冊;
以上未涉及的且與系統安全相關的文檔資料。
以上要求提交的文檔,可根據系統的具體情況進行選擇。
(f)驗收結論
由驗收組依據上述檢測、檢查報告和各項記錄文檔,通過專家評審,做出驗收結論。
安全保密
如果智能社區為涉及國家秘密的黨政機關、企事業單位建筑數字化工程,則應嚴格按照保密機關的安全保密要求,開展相關建筑數字化工程。
1. 通用要求
GB/T 20299.1-2006 《建筑及居住區數字化技術應用》第1部分 系統通用要求中強調,凡涉及國家秘密的黨政機關、企事業單位的建筑中計算機信息系統的建設、網和非網建設、專用電話(紅機)、通信線、電源線、地線的布線以及信息系統安全保密測評均須按國家相關法律、法規及有關規定執行,一些具體要求如下:
涉及國家秘密的黨政機關、企事業單位的建筑中計算機信息系統的建設應滿足國家相關管理部門的規定;
涉及國家秘密的黨政機關、企事業單位建筑數字化系統工程應與保密設施同步建設;
涉及國家秘密的計算機信息系統中使用的安全保密設備,應通過國家保密局信息系統安全保密測評中心的檢測;
從事系統集成業務的單位,應經過保密工作部門認定,取得《涉及國家秘密的計算機信息系統集成資質證書》(簡稱《資質證書》);需要建設系統的單位,應選擇具有《資質證書》的集成單位來承建。獲得《資質證書》的集成單位,可以從保密部門取得相關保密標準和指南遵照執行;
涉及國家秘密的黨政機關、企事業單位的建筑及居住區數字化系統工程應經過國家保密部門的審批才能投入運行;
涉及國家秘密的黨政機關、企事業單位的建筑應與外國人經常居住使用的建筑物(如外國機構、涉外飯店、外國人居住公寓)保有一定的距離,具體規定請參照國家相關管理部門的有關規定;
2. 安全保密檢測
