1、总则

1.1、目的

为了规范XXXXX单位信息系统建设过程中产品采购环节，保障XXXXX单位信息业务正常运行，防止网络入侵，保证业务信息安全，特制定本管理制度。

1.2、范围

本规范适用于XXXXX单位在信息化建设和运行过程中产品采购阶段的安全管理。

1.3、职责

IT产品由需要部门进行选型测试，技术部进行监管和审核。然后由综合部建立IT产品采购选型清单库，网络安全与信息化管理部门依据IT产品采购选型清单和相关采购制度进行IT产品采购。

2、管理细则

2.1、产品采购安全规范

1)由信息安全工作小组牵头，综合部作为执行部门周期性提供XXXXX单位IT产品采购选型清单，采购选型清单里的产品必须经过网络安全与信息化管理部门的测试和综合比较，确保采购选型清单里的IT产品符合等级保护和信息安全的相关要求。

2)采购选型清单原则上应该由网络安全与信息化管理部门根据市场技术变化每半年更新一次，如遇特殊情况，经信息安全领导小组批准，可临时变更采购选型清单。

3)各部门按照XXXXX单位的规划和工作需要，由各部门根据需求进行选型和测试，由网络安全与信息化管理部门进行审核。一般情况下由需求部门提出购置申请，在涉及到技术部负责的设备产品时由系统部提出购置申请，列入固定资产投资计划，经综合部财务审计和单位负责人批准方可采购。

4)选购何种安全产品由技术部负责，技术部根据国家有关规定选择经过国家有关权威部门的测评和认证的产品。

5)系统选型须基于广泛的调研，在掌握技术资料、性能、价格等信息之后选择合格的产品。

6)涉及重要设备的选购，须确保系统的功能、升级，以及维修服务的承诺。

7)经过网络安全与信息化管理部门选型测试，确定了候选范围的XXXXX单位IT产品采购选型清单须报请信息安全领导小组进行审定和批准，审定批准后的采购选型清单交由网络安全与信息化管理部门作为IT产品选型采购的范围和依据。

8)其他采购问题，遵循采购部有关采购规定。

2.2、产品测试

1)所有安全设备采购后均需进行严格检测，凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。

2)通过测试后，设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备，才能投入XXXXX单位生产系统中正式运行。

3)严禁将未经测试验收或验收不合格的设备交付使用。

3、附则

本管理制度由XXXXX单位负责解释，自发布之日起实施。