1．項目立項和審查信息安全管理

在項目可行性研究報告中須包括信息塞全方面的內(nèi)容，一是除了描述系統(tǒng)業(yè)務(wù)需求之外，還須確定所處理的信息的安全級別和信息系統(tǒng)的安全防護級別，進(jìn)行系統(tǒng)的安全性需求分析，包括安全威脅分析、系統(tǒng)脆弱性分析、風(fēng)險及影響分析和系統(tǒng)安全需求；二是說明項目的總體安全目標(biāo)，并針對前面的信息安全需求分析提出相應(yīng)的信息安全對策，信息安全對策的強度應(yīng)根據(jù)資產(chǎn)的重要性來選擇；三是說明如何從技術(shù)、運作、組織以及制度4個方面來實現(xiàn)所有的信息安全對策，并形成信息安全方案；四是對信息安全方案進(jìn)行成本效益分析，實現(xiàn)防護適度。

項目審查部門應(yīng)會同信息安全責(zé)任部門組織信息安全方面的專家，對項目的安全性進(jìn)行評審和審查，對項目的信息安全需求分析、信息安全對策以及總體信息安全方案進(jìn)行成本效益、合理性、可行性和有效性評價。