6)在安装之前进行测试以检测特洛伊代码； 7)提供源代码以及相关设计、实施文档； 8)重要的项目建设中还要要对源代码进行审核。

第二十八条 计算机系统集成的信息技术产品（如操作系统、数据库等）或安全专用产品（如防火墙、IDS等）应达到以下要求：

1)对项目实施所需的计算机及配套设备、网络设备、重要机具（如ATM）、 计算机软件产品的购置，计算机应用系统的合作开发或者外包开发的确定，按现有制度中的相关规定执行；

2)安全产品的采购必须由公司进行统一采购；

3)安全专用产品应具有国家职能部分颁发的信息安全专用产品的销售许可证；

4)密码产品符合国家密码主管部门的要求，来源于国家主管部门批准的密码研制单位；

5)关键安全专用产品应获得国家相关安全认证，在选型中根据实际需要制定安全产品选型的标准；

6)关键信息技术产品的安全功能模块应获得国家相关安全认证，在选型中根据实际需要制定信息技术产品选型的标准。

7)所有安全设备后均需进行严格检测，凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。

8)通过上述测试后，设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备，才能投入生产系统，正式运行。

第二十九条 产品和服务供应商应达到以下要求：

1)系统集成商的资质要求：至少要拥有国家权威部门认可的系统一级集成资质，对于较为重要的系统应有更高级别的集成资质；

2)工商要求：

①产品、系统或服务提供单位的营业执照和税务登记在合法期限内； ②产品、系统或服务提供商的产品、系统或服务的提供资格； ③连续赢利期限要求；

9

④连续无相关法律诉讼年限要求；

⑤没有发生重大管理、技术人员变化和流动的期限要求； ⑥没有发生主业变化期限要求。

3)信息安全产品的采购请参阅《信息安全产品采购、使用管理制度》 4)安全服务商资质：至少应具有国家一级安全服务资质，对于较为重要的系统应有更高级别的安全服务资质；

5)人员资质要求：系统集成人员、安全服务人员以及相关管理人员应获得国家权威部门颁发的信息安全人员资质认证；

6)其它要求：系统符合国家相关法律、法规，按照相关主管部门的技术管理规定对非法信息和恶意代码进行有效控制，按照有关规定对设备进行控制，使之不被作为非法攻击的跳板；

7)服务供应商的选择还要参阅《安全服务外包管理制度》。

第七章 项目验收与投产

第三十条 系统建设完成后，项目承建方要依据项目合同的交付部分向应用主管部门进行项目交付，但交付的内容至少包括：

1)制定的系统交付清单，对交付的设备、软件和文档进行清点； 2)对系统运维人员进行技能培训，要求系统运维人员能进行日常的维护； 3)提供系统建设的过程文档，包括实施方案、实施记录等； 4)提供系统运行维护的帮助和操作手册

第三十一条 系统交付要项目实施和应用主管部门的相关项目负责人进行签字确认。

第三十二条 系统交付由项目应用系统主管部门负责，必须安照系统交付的要求完成交付工作。

第三十三条 应制定投产与验收测试大纲，在项目实施完成后，由项目应用主管单位和项目开发承担单位共同组织进行测试。在测试大纲中应至少包括以下安全性测试和评估要求：

1)配置管理：系统开发单位应使用配置管理系统，并提供配置管理文档； 2)安装、生成和启动程序：应制定安装、生成和启动程序，并保证最终产生了安全的配置；

10

3)安全功能测试：对系统的安全功能进行测试，以保证其符合详细设计并对详细设计进行检查，保证其符合概要设计以及总体安全方案；

4)系统管理员指南：应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息；

5)系统用户指南：必须包含两方面的内容：首先，它必须解释那些用户可见的安全功能的用途以及如何使用它们，这样用户可以持续有效地保护他们的信息；其次，它必须解释在维护系统的安全时用户所能起的作用；

6)安全功能强度评估：功能强度分析应说明以概率或排列机制（如，口令字或哈希函数）实现的系统安全功能。例如，对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求；

7)脆弱性分析：应分析所采取的安全对策的完备性（安全对策是否可以满足所有的安全需求）以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容，以判断它们在实际应用中是否会被利用来削弱系统的安全。

第三十四条 测试完成后，项目测试小组应提交《测试报告》，其中应包括安全性测试和评估的结果。不能通过安全性测试评估的，由测试小组提出修改意见，项目开发承担单位应作进一步修改。

第三十五条 测试通过后，由项目应用单位组织进入试运行阶段，应有一系列的安全措施来维护系统安全，它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。具体工作如下：

1)监测系统的安全性能，包括事故报告； 2)进行用户安全培训，并对培训进行总结； 3)监视与安全有关的部件的拆除处理；

4)监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素；

5)监测安全部件的备份支持，支持与系统安全有关的维护培训； 6)评估大大小小的系统改动对安全造成的影响；

7)监测系统物理和功能配置，包括运行过程，因为一些不太显眼的改变可能影响系统的安全风险。

第三十六条 系统安全试运行半年后，项目应用主管单位可以组织由项目开

11

发承担单位和科技部门人员参加的项目验收组对项目进行验收。验收应增加以下安全内容：

1)项目是否已达到项目任务书中制定的总体安全目标和安全指标，实现全部安全功能；

2)采用技术是否符合国家、电力行业有关安全技术标准及规范； 3)是否实现验收测评的安全技术指标；

4)项目建设过程中的各种文档资料是否规范、齐全；

5)在验收报告中也应在以下条目中反映对系统安全性验收的情况： 6)项目设计总体安全目标及主要内容； 7)项目采用的关键安全技术；

8)验收专家组中的安全专家及安全验收评价意见。 第三十七条 系统备案

1）系统建设完成后，要向相应的公安机关进行备案，系统的备案，备案的相关材料有由公司进行统一管理，相应的系统应用、管理部门可以借阅；

2）系统等级及相关材料报系统主管部门进行备案； 3）系统待级及其它要求的备案材料报相应的公安机关备案。 第四十条 设备管理

1)设备的使用均应指定专人负责，均应设定严格的管理员身份鉴别和访问控制，严禁盗用帐号和密码，超越管理权限，非法操作安全设备。

2)设备的口令不得少于10位，须使用包含大小写字母、数字等在内的不易猜测的强口令，并遵循省电网公司统一的帐号口令管理办法。

3)设备的网络配置应遵循统一的规划和分配，相关网络配置应向信息管理部门备案。

4)设备的安全策略应进行统一管理，安全策略固化后的变更应经过安全管理人员审核批准，并及时更新策略配置库。

5)设备须有备机备件，由公司统一进行保管、分发和替换。

6)加强设备外联控制，严禁擅自接入国际互联网或其他公众信息网络。 7)工作需要，设备需携带出工作环境时，应递交申请并由相关责任人签字并留档。

12