社區(qū)建設(shè)的項(xiàng)目建議書

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇社區(qū)建設(shè)的項(xiàng)目建議書范文，相信會(huì)為您的寫作帶來(lái)幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

社區(qū)建設(shè)的項(xiàng)目建議書范文第1篇

一、指導(dǎo)思想

認(rèn)真貫徹科學(xué)發(fā)展觀，按照"穩(wěn)中求進(jìn)、好中求快、能快則快"的工作要求，搶抓國(guó)家支持中原經(jīng)濟(jì)區(qū)建設(shè)和省委、省政府加快皖北發(fā)展的戰(zhàn)略機(jī)遇，依托我市產(chǎn)業(yè)和資源優(yōu)勢(shì)，以重大基礎(chǔ)設(shè)施和產(chǎn)業(yè)項(xiàng)目為重點(diǎn)，健全項(xiàng)目謀劃推進(jìn)前期工作的長(zhǎng)效機(jī)制，努力形成"謀劃儲(chǔ)備一批、審核批準(zhǔn)一批、開(kāi)工實(shí)施一批、投產(chǎn)見(jiàn)效一批"的項(xiàng)目梯次推進(jìn)格局，為優(yōu)化結(jié)構(gòu)、增強(qiáng)活力奠定堅(jiān)實(shí)的基礎(chǔ)，為實(shí)現(xiàn)"十二五"規(guī)劃目標(biāo)提供項(xiàng)目投資支撐。

二、目標(biāo)任務(wù)

年度項(xiàng)目謀劃推進(jìn)目標(biāo)任務(wù)，根據(jù)經(jīng)濟(jì)社會(huì)發(fā)展所需項(xiàng)目支撐測(cè)算，經(jīng)市項(xiàng)目推進(jìn)領(lǐng)導(dǎo)小組研究后按年度下達(dá)執(zhí)行。

三、謀劃重點(diǎn)

（一）圍繞國(guó)家政策和規(guī)劃謀劃項(xiàng)目。積極從國(guó)家、省級(jí)規(guī)劃中捕捉政策信息，深入開(kāi)展對(duì)區(qū)域規(guī)劃、專項(xiàng)規(guī)劃、重點(diǎn)行業(yè)規(guī)劃和中央及省內(nèi)外重點(diǎn)企業(yè)集團(tuán)發(fā)展規(guī)劃的研究，謀劃推進(jìn)一批重點(diǎn)項(xiàng)目，并積極做好對(duì)接爭(zhēng)取工作。

（二）圍繞資源稟賦和產(chǎn)業(yè)發(fā)展謀劃項(xiàng)目。以煤炭、糧油、中藥材、文化旅游、勞動(dòng)力等資源優(yōu)勢(shì)為依托謀劃一批帶動(dòng)力強(qiáng)的主導(dǎo)產(chǎn)業(yè)項(xiàng)目，引導(dǎo)骨干企業(yè)通過(guò)延長(zhǎng)產(chǎn)業(yè)鏈、培育上下游產(chǎn)品謀劃項(xiàng)目；根據(jù)我市發(fā)展定位，開(kāi)展商貿(mào)物流、旅游、金融、信息等現(xiàn)代服務(wù)業(yè)項(xiàng)目謀劃。

（三）圍繞技術(shù)創(chuàng)新和戰(zhàn)略性新興產(chǎn)業(yè)謀劃項(xiàng)目。利用承接產(chǎn)業(yè)轉(zhuǎn)移的政策優(yōu)勢(shì)，積極謀劃節(jié)能環(huán)保、生物、高端裝備制造、新能源、新能源汽車等高新技術(shù)項(xiàng)目和創(chuàng)新型項(xiàng)目；加大以產(chǎn)業(yè)集聚為核心的特色產(chǎn)業(yè)園區(qū)的謀劃力度，促進(jìn)產(chǎn)業(yè)結(jié)構(gòu)調(diào)整。

（四）圍繞基礎(chǔ)設(shè)施和區(qū)位謀劃項(xiàng)目。以提高載體承接能力和構(gòu)筑產(chǎn)業(yè)支撐為目標(biāo)，扎實(shí)做好開(kāi)發(fā)區(qū)建設(shè)以及交通體系、城市供排水、城區(qū)道路、水利、電網(wǎng)、公共服務(wù)等基礎(chǔ)設(shè)施項(xiàng)目謀劃。

（五）圍繞民生和社會(huì)保障謀劃項(xiàng)目。以保障性住房、職業(yè)教育、社區(qū)建設(shè)、醫(yī)療衛(wèi)生、文化體育為重點(diǎn)，做好增強(qiáng)城市公共安全和服務(wù)、改善城鄉(xiāng)人居環(huán)境的社會(huì)事業(yè)和民生工程的謀劃。

四、推進(jìn)機(jī)制

（一）創(chuàng)新謀劃方式。建立多層次、多系統(tǒng)、開(kāi)放式、動(dòng)態(tài)化的謀劃儲(chǔ)備體系。充分利用政府部門的引導(dǎo)作用，注重發(fā)揮企業(yè)主體地位，引導(dǎo)和幫助所屬企業(yè)開(kāi)展項(xiàng)目謀劃工作；開(kāi)展系統(tǒng)內(nèi)部謀劃互動(dòng)、廣泛征集等多種形式，調(diào)動(dòng)行業(yè)內(nèi)部力量和社會(huì)各界共同參與項(xiàng)目謀劃工作；借助外腦，進(jìn)一步發(fā)揮科研院所、咨詢機(jī)構(gòu)在項(xiàng)目謀劃上的優(yōu)勢(shì)，聘請(qǐng)專業(yè)力量幫助開(kāi)展項(xiàng)目謀劃工作。

（二）建立初審論證機(jī)制。謀劃項(xiàng)目實(shí)行初審、論證制度。各單位于每季度最后一個(gè)月5日前將本單位謀劃項(xiàng)目通報(bào)市項(xiàng)目推進(jìn)領(lǐng)導(dǎo)小組辦公室。市項(xiàng)目推進(jìn)領(lǐng)導(dǎo)小組辦公室將會(huì)同各專業(yè)項(xiàng)目推進(jìn)組、市政府相關(guān)職能部門分行業(yè)類別對(duì)各單位謀劃上報(bào)項(xiàng)目進(jìn)行初審。初審重點(diǎn)是對(duì)是否符合國(guó)家產(chǎn)業(yè)發(fā)展導(dǎo)向和我市"十二五"各專項(xiàng)規(guī)劃，是否有利于促進(jìn)我市經(jīng)濟(jì)社會(huì)發(fā)展，項(xiàng)目單體投資規(guī)模是否符合要求進(jìn)行審核把關(guān)。

市項(xiàng)目推進(jìn)領(lǐng)導(dǎo)小組辦公室每季度末將邀請(qǐng)省相關(guān)行業(yè)協(xié)會(huì)、咨詢機(jī)構(gòu)及省級(jí)主管部門有關(guān)專家對(duì)初審項(xiàng)目進(jìn)行論證評(píng)定。評(píng)定內(nèi)容包括市場(chǎng)前景、建設(shè)規(guī)模、投資額度、建設(shè)時(shí)機(jī)等。謀劃項(xiàng)目經(jīng)論證評(píng)定后由項(xiàng)目推進(jìn)領(lǐng)導(dǎo)小組辦公室反饋?lái)?xiàng)目謀劃單位和專業(yè)項(xiàng)目推進(jìn)組。由謀劃單位組織編制項(xiàng)目簡(jiǎn)介，進(jìn)入市謀劃儲(chǔ)備項(xiàng)目庫(kù)，計(jì)入部門謀劃任務(wù)，其中由部門匯總的縣區(qū)、企業(yè)自身謀劃項(xiàng)目不計(jì)入部門謀劃任務(wù)。

（三）實(shí)施篩選推進(jìn)機(jī)制。各專業(yè)項(xiàng)目推進(jìn)組辦公室要牽頭組織成員單位定期從儲(chǔ)備項(xiàng)目庫(kù)中篩選確定近期有望實(shí)施的項(xiàng)目，根據(jù)職能提出推進(jìn)前期工作的建議單位，會(huì)同綜合協(xié)調(diào)組按季度行文報(bào)請(qǐng)市政府批準(zhǔn)后由相關(guān)單位負(fù)責(zé)開(kāi)展前期工作。各單位自身研究確定或委托專業(yè)咨詢機(jī)構(gòu)謀劃編制的項(xiàng)目，自行上報(bào)申請(qǐng)開(kāi)展前期工作。政府投資類項(xiàng)目，按照基本建設(shè)程序，前期工作要完成可行性研究報(bào)批；需國(guó)家、省審批項(xiàng)目，選址意見(jiàn)、土地預(yù)審、環(huán)境影響評(píng)價(jià)、節(jié)能評(píng)估、水土保持方案、防洪影響評(píng)價(jià)、壓覆礦藏評(píng)估、地質(zhì)災(zāi)害性評(píng)估、文物保護(hù)等支撐性文件報(bào)批由市政府業(yè)務(wù)主管部門負(fù)責(zé)，項(xiàng)目推進(jìn)單位配合；市級(jí)審批項(xiàng)目，各項(xiàng)支撐性文件由項(xiàng)目推進(jìn)單位負(fù)責(zé)。競(jìng)爭(zhēng)類項(xiàng)目，由謀劃單位完成項(xiàng)目建議書立項(xiàng)報(bào)批、洽談確定投資主體后由項(xiàng)目業(yè)主繼續(xù)推進(jìn)。企業(yè)單位謀劃項(xiàng)目由行業(yè)主管部門負(fù)責(zé)指導(dǎo)開(kāi)展前期工作。

五、保障措施

（一）加強(qiáng)組織領(lǐng)導(dǎo)。項(xiàng)目謀劃推進(jìn)前期工作由市項(xiàng)目推進(jìn)領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)；項(xiàng)目推進(jìn)領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)項(xiàng)目謀劃推進(jìn)前期工作銜接協(xié)調(diào)和全市謀劃項(xiàng)目的收集匯總、初審論證、督查推進(jìn)；各專業(yè)項(xiàng)目推進(jìn)組辦公室負(fù)責(zé)本組項(xiàng)目謀劃、論證篩選、推進(jìn)前期的督促協(xié)調(diào)。各部門、各單位要明確專人，落實(shí)責(zé)任，全力做好本部門項(xiàng)目謀劃工作。

（二）保障工作經(jīng)費(fèi)。市財(cái)政在每年預(yù)算內(nèi)安排項(xiàng)目工作經(jīng)費(fèi)1000萬(wàn)元，專項(xiàng)用于市屬項(xiàng)目謀劃推進(jìn)工作，經(jīng)費(fèi)根據(jù)實(shí)際情況適時(shí)調(diào)整。謀劃項(xiàng)目通過(guò)初審評(píng)定并完成項(xiàng)目簡(jiǎn)介后，每個(gè)項(xiàng)目補(bǔ)助謀劃經(jīng)費(fèi)1000元。項(xiàng)目前期工作各項(xiàng)審批文件編制報(bào)批費(fèi)用統(tǒng)一由項(xiàng)目推進(jìn)單位負(fù)責(zé)申報(bào)。政府投資類項(xiàng)目完成可行性研究報(bào)告批復(fù)、競(jìng)爭(zhēng)類項(xiàng)目完成項(xiàng)目建議書立項(xiàng)后，費(fèi)用經(jīng)財(cái)政部門審核后按合同支付。省相關(guān)行業(yè)協(xié)會(huì)、咨詢機(jī)構(gòu)及省級(jí)主管部門有關(guān)專家論證評(píng)定費(fèi)用根據(jù)聘請(qǐng)協(xié)議，由市項(xiàng)目推進(jìn)領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)申報(bào)使用。

社區(qū)建設(shè)的項(xiàng)目建議書范文第2篇

信息系統(tǒng)是智能建筑與社區(qū)（以下簡(jiǎn)稱智能社區(qū)）的重要基礎(chǔ)系統(tǒng)，確保信息系統(tǒng)自身及其所傳輸、處理、存儲(chǔ)信息的安全，是保證智能社區(qū)各個(gè)子系統(tǒng)正常運(yùn)轉(zhuǎn)、確保人身和公共安全的重要方面。

標(biāo)準(zhǔn)中對(duì)信息安全的規(guī)定是針對(duì)智能社區(qū)中各種信息系統(tǒng)安全的特點(diǎn)，結(jié)合國(guó)家相關(guān)信息安全政策、標(biāo)準(zhǔn)而制定的。智能社區(qū)的建設(shè)和運(yùn)營(yíng)機(jī)構(gòu)應(yīng)對(duì)信息安全問(wèn)題予以足夠的重視，要意識(shí)到這是一個(gè)需要嚴(yán)格遵守國(guó)家法律、法規(guī)的領(lǐng)域。

智能社區(qū)的建設(shè)與運(yùn)行應(yīng)符合國(guó)家有關(guān)安全法律、法規(guī)、標(biāo)準(zhǔn)的規(guī)定和要求。建筑及住宅社區(qū)的設(shè)備研發(fā)機(jī)構(gòu)、運(yùn)營(yíng)服務(wù)商應(yīng)采取一定的信息安全措施,保障信息系統(tǒng)（包括智能建筑的控制系統(tǒng)）的安全,確保運(yùn)營(yíng)服務(wù)系統(tǒng)不會(huì)對(duì)用戶造成信息安全損害。可逐步建立起建筑及居住區(qū)設(shè)備及應(yīng)用系統(tǒng)的認(rèn)證體制，以提高建筑及居住區(qū)設(shè)備的安全、有效管理。

建筑及住宅社區(qū)運(yùn)營(yíng)服務(wù)商應(yīng)明確系統(tǒng)本身可能受到的安全威脅以及可能對(duì)用戶造成的安全威脅,采取措施應(yīng)對(duì)和消除安全威脅。

智能社區(qū)建設(shè)和運(yùn)行機(jī)構(gòu)應(yīng)該清楚信息安全領(lǐng)域是一個(gè)處于不斷發(fā)展和變化階段的專業(yè)領(lǐng)域，各種信息安全漏洞、缺陷、威脅和攻擊會(huì)不斷出現(xiàn)和發(fā)展，因此，不存在一種靜態(tài)的、一勞永逸的信息安全體系。包括本標(biāo)準(zhǔn)、本指南在內(nèi)的相關(guān)內(nèi)容都處于不斷發(fā)展只種，智能社區(qū)建設(shè)和運(yùn)行機(jī)構(gòu)應(yīng)密切關(guān)注相關(guān)領(lǐng)域的進(jìn)展情況，及時(shí)采用最新的、有效的技術(shù)和管理研究成果，以確保智能社區(qū)安全運(yùn)行。

等級(jí)保護(hù)

信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息和公開(kāi)信息，以及對(duì)存儲(chǔ)、傳輸和處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理。對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)進(jìn)行響應(yīng)、處置。

根據(jù)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）的精神，實(shí)施信息安全等級(jí)保護(hù)，有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平，確保信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào),同時(shí)有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源的配置，重點(diǎn)保障基礎(chǔ)和重要信息系統(tǒng)的安全。

智能社區(qū)建設(shè)和運(yùn)營(yíng)單位應(yīng)按照等級(jí)保護(hù)的要求開(kāi)展信息安全體系的建設(shè)和運(yùn)行，根據(jù)智能社區(qū)及其信息系統(tǒng)的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，以及信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，按照國(guó)家有關(guān)標(biāo)準(zhǔn)和規(guī)范的程序和方法確定智能社區(qū)信息系統(tǒng)的安全等級(jí)。國(guó)家標(biāo)準(zhǔn)將信息和信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)：

1. 第一級(jí)為自主保護(hù)級(jí)，適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益。

2. 第二級(jí)為指導(dǎo)保護(hù)級(jí)，適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。

3. 第三級(jí)為監(jiān)督保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。

4. 第四級(jí)為強(qiáng)制保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。

5. 第五級(jí)為專控保護(hù)級(jí)，適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。

國(guó)家對(duì)不同安全保護(hù)級(jí)別的信息和信息系統(tǒng)實(shí)行不同的監(jiān)管政策。第一級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)；第二級(jí)在信息安全監(jiān)管職能部門指導(dǎo)下依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)；第三級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對(duì)其進(jìn)行監(jiān)督、檢查；第四級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對(duì)其進(jìn)行強(qiáng)制監(jiān)督、檢查；第五級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，國(guó)家指定專門部門、專門機(jī)構(gòu)進(jìn)行專門監(jiān)督。智能社區(qū)建設(shè)與運(yùn)營(yíng)機(jī)構(gòu)應(yīng)按照上述國(guó)家的規(guī)定接受國(guó)家相關(guān)職能部門的監(jiān)管。

智能社區(qū)的信息

安全要求

標(biāo)準(zhǔn)對(duì)智能社區(qū)運(yùn)營(yíng)機(jī)構(gòu)信息安全相關(guān)工作從以下幾個(gè)方面提出了要求，即：

信息系統(tǒng)基本安全活動(dòng);

風(fēng)險(xiǎn)分析與評(píng)估;

安全策略

安全體系

標(biāo)準(zhǔn)中對(duì)這些方面提出了基本的要求，運(yùn)營(yíng)商應(yīng)根據(jù)最新的信息安全相關(guān)標(biāo)準(zhǔn)、信息安全技術(shù)和管理體系的研究成果，結(jié)合自身的實(shí)際情況，形成自身完整的智能社區(qū)信息安全運(yùn)行保障體系。

1. 信息系統(tǒng)基本安全活動(dòng)

信息系統(tǒng)基本安全活動(dòng)是指智能社區(qū)運(yùn)營(yíng)機(jī)構(gòu)在負(fù)責(zé)運(yùn)營(yíng)智能社區(qū)信息系統(tǒng)過(guò)程中應(yīng)該開(kāi)展的相關(guān)活動(dòng)。信息系統(tǒng)基本安全活動(dòng)是由運(yùn)營(yíng)機(jī)構(gòu)負(fù)責(zé)組織、實(shí)施的活動(dòng)，并確保這些活動(dòng)的質(zhì)量和所涉及范圍的完備性。

運(yùn)營(yíng)服務(wù)信息系統(tǒng)基本安全活動(dòng)包括:

（1）根據(jù)運(yùn)營(yíng)服務(wù)的特點(diǎn)和服務(wù)對(duì)象的需求，基于風(fēng)險(xiǎn)分析的結(jié)果，確定運(yùn)營(yíng)服務(wù)信息系統(tǒng)的安全等級(jí)。

（2）安全策略的制定、、教育、評(píng)價(jià)、修正等活動(dòng)。運(yùn)營(yíng)機(jī)構(gòu)必須保證行政管理范圍的所有實(shí)體對(duì)安全策略正確理解、實(shí)施與保障，并有相應(yīng)的考核等管理措施予以監(jiān)督和檢查;

（3）建立信息安全相關(guān)的機(jī)構(gòu)，設(shè)置相應(yīng)的崗位，確定相關(guān)的責(zé)任，并建立相配套的管理、考核和獎(jiǎng)懲體系；

（4）保障信息安全相關(guān)工作的人力資源投入，建立相關(guān)的人員選拔、考核、培訓(xùn)體系，并規(guī)劃和實(shí)施針對(duì)一般運(yùn)營(yíng)服務(wù)人員和普通用戶的安全教育、宣傳活動(dòng)；

（5）確定運(yùn)營(yíng)服務(wù)系統(tǒng)中的關(guān)鍵信息資產(chǎn)，并進(jìn)行資產(chǎn)分類管理;

（6）應(yīng)根據(jù)運(yùn)營(yíng)服務(wù)信息系統(tǒng)的安全等級(jí)，建立相應(yīng)的物理和環(huán)境安全保護(hù)體系；

（7）應(yīng)根據(jù)運(yùn)營(yíng)服務(wù)信息系統(tǒng)的安全等級(jí)，建立相應(yīng)的信息安全技術(shù)保障體系。

（8）建立和維護(hù)系統(tǒng)的運(yùn)行安全體系，主要包括針對(duì)運(yùn)營(yíng)信息系統(tǒng)以及普通用戶的應(yīng)急響應(yīng)體系、安全基礎(chǔ)設(shè)施服務(wù)體系、定期的安全風(fēng)險(xiǎn)評(píng)估體系等；

（9）應(yīng)根據(jù)運(yùn)營(yíng)服務(wù)信息系統(tǒng)的安全等級(jí)，對(duì)相應(yīng)的信息系統(tǒng)承包商、信息軟硬件產(chǎn)品進(jìn)行安全資質(zhì)審查、實(shí)施過(guò)程的質(zhì)量監(jiān)督和控制；

（10）應(yīng)根據(jù)運(yùn)營(yíng)服務(wù)信息系統(tǒng)的安全等級(jí)，對(duì)系統(tǒng)運(yùn)行過(guò)程中可能發(fā)生的升級(jí)、完善等活動(dòng)做好安全規(guī)劃，對(duì)系統(tǒng)的拆除應(yīng)提前做好規(guī)劃和處理。

2. 風(fēng)險(xiǎn)分析與評(píng)估

按照即將頒布的國(guó)家標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)》組織和開(kāi)展信息安全評(píng)估工作。

標(biāo)準(zhǔn)在以下幾方面對(duì)風(fēng)險(xiǎn)評(píng)估提出了要求：

（1）運(yùn)營(yíng)商應(yīng)對(duì)運(yùn)營(yíng)服務(wù)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析，并將風(fēng)險(xiǎn)分析的結(jié)果作為確定相應(yīng)系統(tǒng)安全等級(jí)的主要依據(jù)。

（2）運(yùn)營(yíng)商應(yīng)建立定期和不定期風(fēng)險(xiǎn)評(píng)估的機(jī)制。

（3）運(yùn)營(yíng)服務(wù)信息系統(tǒng)的安全風(fēng)險(xiǎn)分析與評(píng)估，宜由有相應(yīng)資質(zhì)的機(jī)構(gòu)完成。

（4）風(fēng)險(xiǎn)分析與評(píng)估宜采用適用的方法，對(duì)每一個(gè)識(shí)別出的信息資產(chǎn)，按照資產(chǎn)的“保密性”、“完整性”和“可用性”三個(gè)最基本的安全要求，分析可能受到的威脅和后果，提出相應(yīng)的安全需求建議。

開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的時(shí)候，要注意相關(guān)國(guó)家政策（如等級(jí)保護(hù)等）對(duì)風(fēng)險(xiǎn)評(píng)估的要求，組織好智能社區(qū)相關(guān)信息系統(tǒng)整個(gè)生命周期的風(fēng)險(xiǎn)評(píng)估工作。全生命周期的風(fēng)險(xiǎn)分析工作主要包括：

規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估。規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估應(yīng)針對(duì)智能社區(qū)信息系統(tǒng)對(duì)社區(qū)運(yùn)行的作用（包括技術(shù)、管理等方面），確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。分析的重點(diǎn)在安全威脅，應(yīng)根據(jù)未來(lái)系統(tǒng)的應(yīng)用對(duì)象、應(yīng)用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進(jìn)行分析。規(guī)劃階段的評(píng)估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)整體規(guī)劃或項(xiàng)目建議書中。

設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估。設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求。設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估結(jié)果應(yīng)對(duì)設(shè)計(jì)方案中所提供的安全功能符合性進(jìn)行判斷，作為采購(gòu)過(guò)程風(fēng)險(xiǎn)控制的依據(jù)。本階段評(píng)估中，應(yīng)詳細(xì)評(píng)估設(shè)計(jì)方案中對(duì)系統(tǒng)面臨威脅的描述，將使用的具體設(shè)備、軟件等資產(chǎn)列表，以及這些資產(chǎn)的安全功能需求。

實(shí)施階段的風(fēng)險(xiǎn)評(píng)估。實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開(kāi)發(fā)、實(shí)施過(guò)程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證。根據(jù)設(shè)計(jì)階段所分析的威脅和制定的安全措施，在實(shí)施及驗(yàn)收時(shí)進(jìn)行質(zhì)量控制。實(shí)施階段風(fēng)險(xiǎn)評(píng)估主要對(duì)系統(tǒng)的開(kāi)發(fā)與技術(shù)/產(chǎn)品獲取、系統(tǒng)交付實(shí)施兩個(gè)過(guò)程進(jìn)行評(píng)估。

運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估。運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。

廢棄階段的風(fēng)險(xiǎn)評(píng)估。當(dāng)信息系統(tǒng)不能滿足現(xiàn)有要求時(shí)，信息系統(tǒng)進(jìn)入廢棄階段。根據(jù)廢棄的程度，又分為部分廢棄和全部廢棄兩種。

3. 應(yīng)制定明確的安全策略

智能社區(qū)建設(shè)和運(yùn)營(yíng)機(jī)構(gòu)應(yīng)針對(duì)相關(guān)信息系統(tǒng)，制定相應(yīng)的信息安全策略。信息安全策略規(guī)定的是智能社區(qū)中各種人員對(duì)社區(qū)信息系統(tǒng)資產(chǎn)（包括：軟件、硬件、數(shù)據(jù)）的訪問(wèn)權(quán)限以及所應(yīng)承擔(dān)的責(zé)任。典型策略規(guī)定的內(nèi)容包括：訪問(wèn)范圍、訪問(wèn)時(shí)間、訪問(wèn)方式、訪問(wèn)地點(diǎn)、訪問(wèn)手段等。

標(biāo)準(zhǔn)中規(guī)定的安全策略包括:

（1）物理安全策略：確定在物理訪問(wèn)、保護(hù)方面的安全規(guī)定；

典型的物理安全策略包括：機(jī)房、機(jī)柜、電纜等的訪問(wèn)、使用、檢查規(guī)定；

（2）訪問(wèn)控制策略：規(guī)定內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)段之間的訪問(wèn)規(guī)定和策略要求；

典型的訪問(wèn)控制策略包括：網(wǎng)絡(luò)訪問(wèn)策略、應(yīng)用訪問(wèn)策略等；

（3）安全檢測(cè)策略：規(guī)定對(duì)系統(tǒng)安全實(shí)施定期檢查的周期、方法等；

（4）審計(jì)與監(jiān)控策略；

（5）網(wǎng)絡(luò)防病毒策略；

（6）備份與災(zāi)難恢復(fù)策略。

4. 安全體系方面

（1）信息安全措施

信息系統(tǒng)應(yīng)從以下幾個(gè)方面采取安全措施：

建立明確的信息安全體系,包括明確的安全策略、安全的網(wǎng)絡(luò)系統(tǒng)配置等安全服務(wù)和安全機(jī)制運(yùn)行說(shuō)明，指明在哪些部位必須配置哪些安全服務(wù)和安全機(jī)制，以及規(guī)定如何進(jìn)行安全管理；

采取措施保護(hù)局域網(wǎng)；

采取措施保護(hù)基礎(chǔ)通信設(shè)施；

采取措施保護(hù)邊界；

配置或依托公共信息安全基礎(chǔ)設(shè)施；

具體安全措施的采取應(yīng)根據(jù)系統(tǒng)的實(shí)際情況確定。

（2）保護(hù)局域網(wǎng)計(jì)算環(huán)境

局域網(wǎng)可采取的安全措施有：

建立用戶終端、數(shù)據(jù)庫(kù)、服務(wù)器和應(yīng)用系統(tǒng)保護(hù)機(jī)制，以防止拒絕服務(wù)攻擊、未授權(quán)數(shù)據(jù)泄漏和數(shù)據(jù)修改；

保護(hù)操作系統(tǒng)，確保操作系統(tǒng)的自身安全；

保護(hù)數(shù)據(jù)庫(kù)：對(duì)數(shù)據(jù)庫(kù)應(yīng)該實(shí)施細(xì)粒度訪問(wèn)控制、關(guān)鍵數(shù)據(jù)加密、重要服務(wù)器用單獨(dú)網(wǎng)段、強(qiáng)身份鑒別、備份恢復(fù)應(yīng)急措施、安全審計(jì)等安全保護(hù)措施；

身份鑒別和數(shù)字簽名：對(duì)于系統(tǒng)中重要的服務(wù)器、應(yīng)用系統(tǒng)的訪問(wèn)，應(yīng)采用統(tǒng)一的身份鑒別，并對(duì)用戶訪問(wèn)行為采用抗抵賴措施；

建立入侵檢測(cè)體系，防止內(nèi)部局域網(wǎng)受到非法入侵；

建立病毒防范體系，防止局域網(wǎng)計(jì)算環(huán)境受到病毒破壞；

具有足夠的防止內(nèi)外人員進(jìn)行違規(guī)操作和攻擊的能力。

（3）保護(hù)網(wǎng)絡(luò)和通信基礎(chǔ)設(shè)施

可采取的保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的措施有：

保證基礎(chǔ)設(shè)施所支持的關(guān)鍵應(yīng)用任務(wù)和數(shù)據(jù)資源任務(wù)，防止受到拒絕服務(wù)的攻擊；

防止受到保護(hù)的信息在發(fā)送過(guò)程中的延遲、誤傳或未發(fā)送；

防止非法數(shù)據(jù)流分析；

保護(hù)各種應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)流；

保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施控制信息。

（4）保護(hù)邊界

可采取的邊界保護(hù)措施有：

建立網(wǎng)絡(luò)級(jí)物理隔離體系，實(shí)現(xiàn)物理隔離(這是一些高敏感度網(wǎng)絡(luò)必須達(dá)到的)；

建立系統(tǒng)的防火墻體系，實(shí)現(xiàn)進(jìn)出網(wǎng)絡(luò)邊界的細(xì)粒度訪問(wèn)控制；

建立系統(tǒng)遠(yuǎn)程訪問(wèn)安全系統(tǒng)，以保護(hù)系統(tǒng)邊界遠(yuǎn)程訪問(wèn)的安全；

建立基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以防止入侵者的攻擊；

建立基于網(wǎng)絡(luò)的防病毒系統(tǒng)，以防止病毒入侵；

建立漏洞掃描系統(tǒng)以改進(jìn)系統(tǒng)的配置和功能設(shè)置。

（5）支撐性安全基礎(chǔ)設(shè)施

可采用的支撐性安全基礎(chǔ)設(shè)施有：

公共密鑰基礎(chǔ)設(shè)施(PKI)；

密鑰管理系統(tǒng)；

安全管理系統(tǒng)；

應(yīng)急響應(yīng)體系。

關(guān)于嵌入式與控制信息系統(tǒng)的安全

智能建筑中存在大量的智能設(shè)備，并通過(guò)現(xiàn)代網(wǎng)絡(luò)技術(shù)，構(gòu)成為一個(gè)完整的智能社區(qū)（建筑）控制系統(tǒng)。該系統(tǒng)的安全運(yùn)行是確保智能社區(qū)正常運(yùn)轉(zhuǎn)的基石，保障智能建筑控制系統(tǒng)安全是智能社區(qū)信息安全的關(guān)鍵內(nèi)容。標(biāo)準(zhǔn)中在控制協(xié)議中從協(xié)議層次對(duì)有關(guān)技術(shù)問(wèn)題進(jìn)行了規(guī)定和描述，涉及控制系統(tǒng)設(shè)計(jì)、建設(shè)、運(yùn)行的信息安全問(wèn)題則應(yīng)按照標(biāo)準(zhǔn)“運(yùn)營(yíng)”和“評(píng)測(cè)”部分的規(guī)定執(zhí)行。

鑒于智能控制系統(tǒng)對(duì)于智能社區(qū)的特別重要性，本節(jié)對(duì)其信息安全體系的實(shí)施提出具體指南。

1. 嵌入式與控制系統(tǒng)面臨的安全威脅

智能社區(qū)嵌入式與控制系統(tǒng)面臨的典型安全威脅有：

控制網(wǎng)絡(luò)中的信息流被阻塞或延遲，包括干擾通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)的各種控制操作。這些阻塞、延遲、干擾有可能是由于產(chǎn)品和系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)、部署存在缺陷和故障引起了，也有可能是惡意行為造成的。

向系統(tǒng)操作員發(fā)送不準(zhǔn)確的信息，以實(shí)現(xiàn)非法的修改或者引發(fā)操作員不正確的操作。智能社區(qū)中會(huì)存在有很多分布式的、人機(jī)結(jié)合的控制系統(tǒng)，有大量的狀態(tài)和控置信息通過(guò)網(wǎng)絡(luò)系統(tǒng)傳輸和處理，引發(fā)或指令各種設(shè)備（或操作員）的各種管理和控制行為，因此通過(guò)惡意發(fā)送不正確信息，有可能對(duì)智能社區(qū)運(yùn)轉(zhuǎn)造成嚴(yán)重后果，甚至引發(fā)嚴(yán)重的犯罪行為。

直接干擾可能造成人身傷害的安全保護(hù)系統(tǒng)。網(wǎng)絡(luò)在實(shí)現(xiàn)遠(yuǎn)程狀態(tài)監(jiān)控和監(jiān)控的同時(shí)，也為通過(guò)網(wǎng)絡(luò)遠(yuǎn)程干擾系統(tǒng)提供了可能，尤其是對(duì)安全保護(hù)系統(tǒng)的干擾將引發(fā)嚴(yán)重的后果。

非法修改各種可能損壞、關(guān)閉設(shè)備的指令或報(bào)警參數(shù)設(shè)置。破壞設(shè)備是干擾智能社區(qū)運(yùn)行的一種手段，網(wǎng)絡(luò)為這種行為提供了一種新手段，通過(guò)可能造成設(shè)備損害的指令、關(guān)閉設(shè)備指令都可能造成設(shè)備失效。采取修改設(shè)備報(bào)警參數(shù)等方法，造成設(shè)備大量告警，造成設(shè)備（或系統(tǒng)）無(wú)法應(yīng)對(duì)突然出現(xiàn)的大量告警而崩潰或失效，也可以達(dá)到破壞的目的。

修改智能社區(qū)控制系統(tǒng)軟件、配置信息，或者傳播惡意軟件，以及其它可能造成負(fù)面效果的問(wèn)題 。智能控制系統(tǒng)中存在大量的遠(yuǎn)程設(shè)置、軟件升級(jí)、補(bǔ)丁分發(fā)等操作，通過(guò)干擾這些操作行為，除了可以對(duì)設(shè)備直接造成破壞外，還可以散發(fā)各種惡意軟件和木馬等程序和軟件，為智能社區(qū)運(yùn)轉(zhuǎn)埋下嚴(yán)重的隱患。

2. 嵌入式與控制系統(tǒng)安全目標(biāo)

針對(duì)前面提到的威脅，智能社區(qū)嵌入式與控制系統(tǒng)信息安全的目標(biāo)如下：

限制對(duì)智能社區(qū)控制系統(tǒng)網(wǎng)絡(luò)的邏輯訪問(wèn)行為。這包括：通過(guò)設(shè)置DMZ區(qū)，防止社區(qū)其他網(wǎng)絡(luò)對(duì)智能社區(qū)控制系統(tǒng)網(wǎng)絡(luò)的直接訪問(wèn)；智能社區(qū)控制系統(tǒng)和社區(qū)運(yùn)營(yíng)機(jī)構(gòu)內(nèi)部管理系統(tǒng)使用不同的鑒別和加密機(jī)制。智能社區(qū)控制系統(tǒng)應(yīng)該使用多層（級(jí)）的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以確保關(guān)鍵通信是通過(guò)最安全和可靠的層。

限制對(duì)智能社區(qū)控制系統(tǒng)網(wǎng)絡(luò)和設(shè)備的物理接近。對(duì)智能社區(qū)控制系統(tǒng)部件的非授權(quán)物理接近，有可能會(huì)對(duì)智能社區(qū)控制系統(tǒng)功能造成嚴(yán)重的破壞。應(yīng)使用多種物理訪問(wèn)控制措施，如：鎖、讀卡器和保安。

要防止智能社區(qū)控制系統(tǒng)部件被非法利用。這包括：對(duì)安全補(bǔ)丁，應(yīng)該盡可能快地完成現(xiàn)場(chǎng)測(cè)試，并部署；關(guān)閉所有的不使用服務(wù)和端口；限制 智能社區(qū)控制系統(tǒng)用戶的權(quán)限，確保只擁有完成工作的最小權(quán)限；跟蹤并監(jiān)視系統(tǒng)設(shè)計(jì)數(shù)據(jù)；使用防病毒軟件、文件完整性檢查軟件等安全工具，來(lái)監(jiān)測(cè)、確定、防止、消除惡意代碼。

確保極端情況下的系統(tǒng)功能。要確保每一個(gè)關(guān)鍵部件都有冗余和備份部件。除此之外，還要確保一個(gè)部件失效時(shí)，應(yīng)該是以一種安全的方式失效，即不會(huì)在智能社區(qū)控制系統(tǒng)系統(tǒng)中產(chǎn)生不必要的通信流量，也不會(huì)帶來(lái)其它問(wèn)題，比方說(shuō)連串的事件。

3. 嵌入式與控制系統(tǒng)安全防護(hù)體系

智能社區(qū)嵌入式與控制系統(tǒng)安全防護(hù)體系要根據(jù)本標(biāo)準(zhǔn)的規(guī)定建立相應(yīng)的防護(hù)體系，在體系的建設(shè)與運(yùn)行過(guò)程中，要特別注意以下幾個(gè)方面：

高度重視智能社區(qū)專用的安全策略、流程和培訓(xùn)宣貫材料的制定。

按照“等級(jí)保護(hù)”的 思想，制定嵌入式與控制系統(tǒng)安全策略和流程，并根據(jù)威脅級(jí)別的增加部署相應(yīng)的安全措施。

關(guān)注智能社區(qū)相關(guān)信息系統(tǒng)整個(gè)生命周期的安全，包括：架構(gòu)設(shè)計(jì)、采購(gòu)、安全、運(yùn)行維護(hù)和拆除。

將嵌入式與控制系統(tǒng)網(wǎng)絡(luò)部署成多層（級(jí)）的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以確保關(guān)鍵通信是通過(guò)最安全和可靠的網(wǎng)絡(luò)。

在控制網(wǎng)絡(luò)與其他網(wǎng)絡(luò)，尤其是與其他用途完全不同的網(wǎng)絡(luò)系統(tǒng)（如：內(nèi)部管理信息系統(tǒng)、互聯(lián)網(wǎng)等）,之間部署邏輯隔離設(shè)備（比如：基于狀態(tài)監(jiān)測(cè)的防火墻）。

采用隔離區(qū)架構(gòu)，防止其他網(wǎng)絡(luò)和控制系統(tǒng)網(wǎng)絡(luò)之間的直接通信。

確保關(guān)鍵部件有足夠的冗余并聯(lián)接在有冗余的網(wǎng)絡(luò)之上

將關(guān)鍵系統(tǒng)設(shè)計(jì)成“容錯(cuò)”系統(tǒng)，以防止“級(jí)聯(lián)”事故的發(fā)生。更進(jìn)一步，系統(tǒng)應(yīng)設(shè)計(jì)成“安全地“失效。

在控制系統(tǒng)測(cè)試完成后，應(yīng)關(guān)閉不用的端口和服務(wù)，確保不影響系統(tǒng)的正常運(yùn)行

限制對(duì)控制系統(tǒng)網(wǎng)絡(luò)和設(shè)備的物理訪問(wèn)。

限制控制系統(tǒng)用戶的權(quán)限，確保只授予他們完成工作所需的最少權(quán)限（例如：部署基于角色的訪問(wèn)控制系統(tǒng)，并賦予每一個(gè)角色完成其工作所需的最少權(quán)限）。

智能社區(qū)運(yùn)營(yíng)機(jī)構(gòu)在控制系統(tǒng)和其他系統(tǒng)應(yīng)分別使用完全隔離的鑒別機(jī)制（例如： 控制系統(tǒng)不要和機(jī)構(gòu)內(nèi)部管理信息系統(tǒng)使用一套用戶管理系統(tǒng)）。

使用強(qiáng)度更高的身份鑒別技術(shù)（如：智能卡）。

部署安全措施（典型的措施包括防病毒軟件、文件完整性檢測(cè)軟件等），以檢測(cè)、防止惡意代碼的傳播。

在存儲(chǔ)和通信過(guò)程中使用加密技術(shù)。

各種補(bǔ)丁、修訂在正式安裝之前，應(yīng)盡可能在現(xiàn)場(chǎng)環(huán)境下完成所有測(cè)試。

對(duì)智能社區(qū)內(nèi)所有關(guān)鍵區(qū)域內(nèi)控制系統(tǒng)的運(yùn)行進(jìn)行跟蹤、監(jiān)控和審計(jì)。

信息安全檢測(cè)與驗(yàn)收

1. 檢測(cè)

（1）信息安全活動(dòng)檢查

檢查內(nèi)容包括：活動(dòng)的計(jì)劃、活動(dòng)過(guò)程的記錄和成果。具體的檢查項(xiàng)按照GB/T 20299.1-2006 《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》第1部分 系統(tǒng)通用要求 的7.2.1中規(guī)定的內(nèi)容進(jìn)行。

（2）風(fēng)險(xiǎn)分析與評(píng)估核查

核查內(nèi)容主要包括系統(tǒng)安全風(fēng)險(xiǎn)分析與評(píng)估記錄和報(bào)告，系統(tǒng)例行風(fēng)險(xiǎn)分析計(jì)劃、記錄和報(bào)告；還應(yīng)對(duì)風(fēng)險(xiǎn)分析具體完成人員（或機(jī)構(gòu)）的資格（或資質(zhì)）、能力等按照有關(guān)規(guī)定進(jìn)行核查。具體的核查項(xiàng)按照GB/T 20299.1-2006 《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》第1部分 系統(tǒng)通用要求 的7.2.2中規(guī)定的內(nèi)容進(jìn)行。

（3）安全策略檢查

系統(tǒng)安全策略主要包括物理安全策略、訪問(wèn)控制策略、安全檢測(cè)策略、審計(jì)與監(jiān)控策略、防病毒策略、備份與災(zāi)難恢復(fù)策略。安全策略應(yīng)在系統(tǒng)的建設(shè)、運(yùn)行、檢測(cè)和驗(yàn)收等相關(guān)文檔中有明確的規(guī)定。實(shí)施檢測(cè)時(shí)，應(yīng)對(duì)策略的合理性、完備性、法規(guī)符合性進(jìn)行檢查。具體檢查項(xiàng)根據(jù)GB/T 20299.1-2006 《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》第1部分 系統(tǒng)通用要求 的7.2.3的規(guī)定。

（4）安全技術(shù)保障體系的檢查和測(cè)試

a. 信息安全技術(shù)保障體系完整性檢查

應(yīng)根據(jù)系統(tǒng)的安全策略和實(shí)際情況，對(duì)系統(tǒng)局域網(wǎng)、基礎(chǔ)通信設(shè)施、系統(tǒng)邊界、安全基礎(chǔ)設(shè)施等幾方面采取的措施進(jìn)行檢查。

b. 安全技術(shù)保障措施檢查

檢查的重點(diǎn)有：

安全措施本身是否符合國(guó)家和地方的有關(guān)規(guī)定；

采取的安全措施是否符合安全策略要求；

安全措施的選擇和部署是否合理；

安全措施是否發(fā)揮應(yīng)有的作用；

系統(tǒng)的安全措施是否完備、合理等。

c. 系統(tǒng)安全測(cè)試

應(yīng)根據(jù)GB/T 20299.1-2006 《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》第1部分 系統(tǒng)通用要求 的7.2.4規(guī)定的內(nèi)容，按照系統(tǒng)所確定的等級(jí)或系統(tǒng)本身的安全要求，制定相應(yīng)的測(cè)試方案，準(zhǔn)備相應(yīng)的測(cè)試表格和測(cè)試工具，并根據(jù)相應(yīng)的測(cè)試流程，對(duì)系統(tǒng)相關(guān)的安全技術(shù)文檔進(jìn)行核查，對(duì)系統(tǒng)的運(yùn)行進(jìn)行現(xiàn)場(chǎng)測(cè)試。系統(tǒng)安全測(cè)試工作宜委托國(guó)家認(rèn)可的安全檢測(cè)機(jī)構(gòu)進(jìn)行。

2. 測(cè)評(píng)機(jī)構(gòu)

測(cè)評(píng)須由獲得國(guó)家認(rèn)可的相關(guān)測(cè)評(píng)機(jī)構(gòu)承擔(dān)，測(cè)評(píng)完成后由測(cè)評(píng)機(jī)構(gòu)按規(guī)定格式出具測(cè)評(píng)報(bào)告。

3. 驗(yàn)收

（1）驗(yàn)收條件

系統(tǒng)試運(yùn)行階段結(jié)束，并提出試運(yùn)行報(bào)告；

本章“檢測(cè)”部分中規(guī)定的檢測(cè)工作已經(jīng)完成，并形成相應(yīng)的檢測(cè)結(jié)論；

所有信息安全相關(guān)文檔。

（2）驗(yàn)收文檔

a. 系統(tǒng)試運(yùn)行記錄和報(bào)告

b. 檢測(cè)報(bào)告

由國(guó)家授權(quán)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)的測(cè)試報(bào)告；

第三方測(cè)試小組提供的測(cè)試報(bào)告；

承建單位進(jìn)行測(cè)試的測(cè)試報(bào)告。

c. 系統(tǒng)信息安全風(fēng)險(xiǎn)分析報(bào)告

d. 系統(tǒng)設(shè)計(jì)文檔

系統(tǒng)的應(yīng)用需求及總體設(shè)計(jì)方案；

網(wǎng)絡(luò)規(guī)模和拓樸結(jié)構(gòu)；

信息流描述；

安全威脅描述及其風(fēng)險(xiǎn)分析；

系統(tǒng)主要安全功能及其實(shí)現(xiàn)方法；

系統(tǒng)主要環(huán)境安全功能的實(shí)現(xiàn)方法；

網(wǎng)絡(luò)管理方式及實(shí)現(xiàn)方法；

安全設(shè)備管理方式及實(shí)現(xiàn)方法；

主要軟硬件設(shè)備及性能清單；

主要安全產(chǎn)品安全選型依據(jù)。

e. 管理文檔

（a）管理機(jī)制

工程適用的法律法規(guī)；

安全策略文檔資料；

安全策略審查和評(píng)估的相關(guān)規(guī)定；

信息資產(chǎn)管理規(guī)定；

安全事件處理規(guī)程；

物理安全規(guī)定；

資產(chǎn)移交的管理規(guī)定；

安全事故管理規(guī)程；

用戶口令管理規(guī)定；

備份策略規(guī)程；

計(jì)算機(jī)介質(zhì)操作規(guī)程；

系統(tǒng)工具使用規(guī)程；

系統(tǒng)審計(jì)規(guī)程。

（b）人員、機(jī)構(gòu)與職責(zé)文檔

安全決策機(jī)構(gòu)組成圖及職責(zé)分工表；

安全管理人員的職責(zé)分工表；

安全顧問(wèn)的資質(zhì)評(píng)審記錄和聘任書；

安全管理人員履歷及專業(yè)資格證書；

人員保密協(xié)議范本；

人員崗位職責(zé)規(guī)定。

（c）安全運(yùn)行資料

安全策略有效性審查和評(píng)估的記錄；

安全管理會(huì)議的會(huì)議紀(jì)要；

安全專家的建議記錄；

系統(tǒng)和設(shè)備維護(hù)記錄；

訪問(wèn)控制策略文檔；

定期的審計(jì)分析報(bào)告；

異常情況審計(jì)日志和安全事件記錄。

（d）工程實(shí)施文檔

施工管理文件；

變更文件；

系統(tǒng)調(diào)試分析報(bào)告；

系統(tǒng)培訓(xùn)文件；

系統(tǒng)移交清單及文件；

工程監(jiān)理報(bào)告。

（e）其它文檔

項(xiàng)目相關(guān)的合約；

產(chǎn)品的法定安全測(cè)評(píng)機(jī)構(gòu)的評(píng)估證書；

外包服務(wù)的合同；

外包軟件開(kāi)發(fā)方的資料；

外包工作人員合約；

質(zhì)量手冊(cè)；

以上未涉及的且與系統(tǒng)安全相關(guān)的文檔資料。

以上要求提交的文檔，可根據(jù)系統(tǒng)的具體情況進(jìn)行選擇。

（f）驗(yàn)收結(jié)論

由驗(yàn)收組依據(jù)上述檢測(cè)、檢查報(bào)告和各項(xiàng)記錄文檔，通過(guò)專家評(píng)審，做出驗(yàn)收結(jié)論。

安全保密

如果智能社區(qū)為涉及國(guó)家秘密的黨政機(jī)關(guān)、企事業(yè)單位建筑數(shù)字化工程，則應(yīng)嚴(yán)格按照保密機(jī)關(guān)的安全保密要求，開(kāi)展相關(guān)建筑數(shù)字化工程。

1. 通用要求

GB/T 20299.1-2006 《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》第1部分 系統(tǒng)通用要求中強(qiáng)調(diào)，凡涉及國(guó)家秘密的黨政機(jī)關(guān)、企事業(yè)單位的建筑中計(jì)算機(jī)信息系統(tǒng)的建設(shè)、網(wǎng)和非網(wǎng)建設(shè)、專用電話（紅機(jī)）、通信線、電源線、地線的布線以及信息系統(tǒng)安全保密測(cè)評(píng)均須按國(guó)家相關(guān)法律、法規(guī)及有關(guān)規(guī)定執(zhí)行，一些具體要求如下：

涉及國(guó)家秘密的黨政機(jī)關(guān)、企事業(yè)單位的建筑中計(jì)算機(jī)信息系統(tǒng)的建設(shè)應(yīng)滿足國(guó)家相關(guān)管理部門的規(guī)定；

涉及國(guó)家秘密的黨政機(jī)關(guān)、企事業(yè)單位建筑數(shù)字化系統(tǒng)工程應(yīng)與保密設(shè)施同步建設(shè)；

涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)中使用的安全保密設(shè)備，應(yīng)通過(guò)國(guó)家保密局信息系統(tǒng)安全保密測(cè)評(píng)中心的檢測(cè)；

從事系統(tǒng)集成業(yè)務(wù)的單位，應(yīng)經(jīng)過(guò)保密工作部門認(rèn)定，取得《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書》（簡(jiǎn)稱《資質(zhì)證書》）；需要建設(shè)系統(tǒng)的單位，應(yīng)選擇具有《資質(zhì)證書》的集成單位來(lái)承建。獲得《資質(zhì)證書》的集成單位，可以從保密部門取得相關(guān)保密標(biāo)準(zhǔn)和指南遵照?qǐng)?zhí)行；

涉及國(guó)家秘密的黨政機(jī)關(guān)、企事業(yè)單位的建筑及居住區(qū)數(shù)字化系統(tǒng)工程應(yīng)經(jīng)過(guò)國(guó)家保密部門的審批才能投入運(yùn)行；

涉及國(guó)家秘密的黨政機(jī)關(guān)、企事業(yè)單位的建筑應(yīng)與外國(guó)人經(jīng)常居住使用的建筑物（如外國(guó)機(jī)構(gòu)、涉外飯店、外國(guó)人居住公寓）保有一定的距離，具體規(guī)定請(qǐng)參照國(guó)家相關(guān)管理部門的有關(guān)規(guī)定；

2. 安全保密檢測(cè)