项目立项和审查信息安全管理

1．项目立项和审查信息安全管理

在项目可行性研究报告中须包括信息塞全方面的内容，一是除了描述系统业务需求之外，还须确定所处理的信息的安全级别和信息系统的安全防护级别，进行系统的安全性需求分析，包括安全威胁分析、系统脆弱性分析、风险及影响分析和系统安全需求；二是说明项目的总体安全目标，并针对前面的信息安全需求分析提出相应的信息安全对策，信息安全对策的强度应根据资产的重要性来选择；三是说明如何从技术、运作、组织以及制度4个方面来实现所有的信息安全对策，并形成信息安全方案；四是对信息安全方案进行成本效益分析，实现防护适度。

项目审查部门应会同信息安全责任部门组织信息安全方面的专家，对项目的安全性进行评审和审查，对项目的信息安全需求分析、信息安全对策以及总体信息安全方案进行成本效益、合理性、可行性和有效性评价。