應用系統(tǒng)開發(fā)及維護管理制度.doc

.某單位應用系統(tǒng)開發(fā)及維護管理制度第一章 總 則第一條 為進一步規(guī)范某單位計算機軟件系統(tǒng)采購、開發(fā)、安裝、測試和運行維護相關工作，確保信息系統(tǒng)正常運行，根據國家安全管理有關規(guī)定制定本制度。第二條 軟件管理范圍包括操作系統(tǒng)、數(shù)據庫系統(tǒng)、應用服務系統(tǒng)、應用軟件、安全軟件和工具軟件等。第二章 軟件采購及安裝第三條 采購的軟件必須是正版軟件，嚴禁使用盜版軟件。如需采用共享版軟件，必須由管理員進行嚴格測試。第四條 重要服務器操作系統(tǒng)和應用系統(tǒng)軟件必須在安全管理員監(jiān)督之下進行安裝，計算機上安裝的軟件需事先經安全管理員審查認可。第五條 軟件安裝后，須使用可靠檢測軟件或手段進行安全性測試，了解其脆弱性，并根據脆弱性程度采取措施，使風險降至最小。第六條 軟件安裝后，原件（盤）應進行登記造冊，并由專人保管。第七條 軟件安裝時，填寫軟件安裝記錄表。第八條 軟件更新后，軟件的新舊版本均應登記造冊，并由專人保管，舊版本銷毀應經審批登記。第三章 軟件使用維護第九條 系統(tǒng)管理員和安全管理員負責維護操作系統(tǒng)、數(shù)據庫管理系統(tǒng)以及安全管理軟件，并對維護情況進行記錄。第十條 及時更新操作系統(tǒng)、數(shù)據庫管理系統(tǒng)及其它相關軟件的系統(tǒng)補丁。第十一條 及時對操作系統(tǒng)、數(shù)據庫管理系統(tǒng)及其它相關軟件進行稽核審計，分析與安全有關的事件，堵塞安全漏洞。第十二條 軟件更新后，須重新審查系統(tǒng)安全狀態(tài)，必要時對安全策略進行調整。第四章 應用軟件開發(fā)管理第十三條 聯(lián)合開發(fā)信息系統(tǒng)軟件，應選擇有相應軟件開發(fā)資質的單位，并令其簽訂安全承諾書。網絡信息中心應對具體參與人員登記備案，并對其進行必要的安全教育和監(jiān)督。第十四條 應用軟件開發(fā)必須根據信息安全等級，同步進行相應的安全設計，并制定各階段安全目標，按目標進行管理和實施。第十五條 應用軟件開發(fā)必須有安全管理專業(yè)技術人員參加，其主要任務是：對系統(tǒng)方案與開發(fā)進行安全審查和監(jiān)督，負責系統(tǒng)安全設計和實施。第十六條 開發(fā)環(huán)境和現(xiàn)場必須與辦公環(huán)境和工作現(xiàn)場分開，軟件設計方案、數(shù)據結構、安全管理、操作監(jiān)控手段、數(shù)據加密形式、原代碼等，只能在有關開發(fā)人員及有關管理機構中流動，嚴禁散失或外泄。第十七條 應用軟件開發(fā)必須符合軟件工程規(guī)范。第十八條 應用系統(tǒng)變更需要進行風險評估，并填寫相應系統(tǒng)任務單，并由主管領導批準同意。第十九條 對于系統(tǒng)軟件，必須從身份鑒別、訪問控制和安全審計等幾個方面進行安全功能同步開發(fā)。第二十條 開發(fā)、測試業(yè)務應用系統(tǒng)所使用的網絡環(huán)境和設備應與系統(tǒng)實際運行環(huán)境、設備隔離。第二十一條 測試、聯(lián)調業(yè)務應用系統(tǒng)時，應禁止使用實際工作信息作為測試數(shù)據。第二十二條 應有專人對進入現(xiàn)場進行后期維護或升級的服務人員進行陪同，禁止服務人員將具有存儲功能的自帶設備接入網內，并限制其對網內操作訪問的權限、禁止其訪問網內的工作信息。第五章 人員管理第二十三條 設置系統(tǒng)管理員、安全管理員、安全審計員，各員必須嚴格按照操作權限操作，不得越權操作。第二十四條 系統(tǒng)重要配置變更必須記錄相應操作日志，日志包括操作時間、執(zhí)行命令等，并由安全審計員審計。第二十五條 操作人員離開系統(tǒng)時，應退出系統(tǒng)或進行系統(tǒng)封鎖。第二十六條 操作人員隨時監(jiān)控設備運行狀況，發(fā)現(xiàn)異常情況應立即按照規(guī)程進行操作，并及時上報和詳細記錄。第二十七條 未經允許，任何人不得以任何方式試圖登錄進入網內服務器等設備并對其進行修改、設置、刪除等操作。第六章 系統(tǒng)運行管理第二十八條 啟動與關閉：應用系統(tǒng)和數(shù)據庫系統(tǒng)啟動和關閉應嚴格按照系統(tǒng)啟動和關閉流程和步驟由系統(tǒng)管理員和安全管理員負責操作。應用系統(tǒng)一旦啟動，在沒有特殊需要的情況下，應始終處于運行狀態(tài)。第二十九條 系統(tǒng)正常運行情況下的停機：系統(tǒng)正常運行情況下任何停機要求應按照下列處理流程處理： （一）網絡信息中心提前一日報分管領導進行批準，提前半日通知系統(tǒng)用戶，內容應包括：停機原因、預計恢復時間等。 （二）緊急停機：網絡信息中心為應付突發(fā)事件，如黑客攻擊或其他無法預料事件，避免系統(tǒng)受到損壞，可以采取臨時緊急停機措施。采取措施同時，通知網絡信息中心領導；1小時內通知所有用戶，內容應該包括：停機原因、預計恢復機房時間等。第七章 系統(tǒng)使用管理第三十條 需定期對系統(tǒng)內安全產品的安全策略規(guī)則進行審核、測試、校正，并作好相關審批手續(xù)和記錄。第三十一條 禁止在機房終端計算機私自安裝、卸載各種軟件、操作系統(tǒng)或硬盤、網卡等。第三十二條 每月對系統(tǒng)運行情況和用戶操作行為進行安全法規(guī)等方面檢查。第三十三條 每月根據系統(tǒng)變化情況，及時更新系統(tǒng)文檔資料，使之與實際狀況保持一致。第八章 系統(tǒng)變更管理第三十四條 系統(tǒng)變更前，變更申請人填寫系統(tǒng)變更申請表，向主管領導提出申請，并對系統(tǒng)進行備份，以確保系統(tǒng)變更失敗后能恢復到變更前的狀態(tài)。第三十五條 明確系統(tǒng)中要發(fā)生的變更，并根據變更類型，制定變更方案；變更方案要經過主管領導批準后才可實施。第三十六條 應對變更過程進行控制，對變更影響進行分析并形成文檔。第三十七條 應對變更實施過程進行記錄，并妥善保存所有文檔和記錄。第三十八條 變更方案中要明確中止變更的條件，以及從失敗變更中恢復的程序，明確過程控制方法和人員職責。必要時對恢復過程進行演練。第三十九條 變更實施完成后，要將變更內容及變更情況向相關人員進行通告。第九章 補丁管理第四十條 向現(xiàn)有業(yè)務系統(tǒng)中追加任何補丁需經測試和審批。第四十一條 對系統(tǒng)添加補丁的操作由安全管理員登記。第十章 附 則第四十二條 本制度由某單位網絡信息中心負責解釋。第四十三條 本制度自發(fā)布之日起執(zhí)行。.某單位軟件安裝記錄表軟件類別軟件提供單位軟件名稱軟件使用單位安裝時間安裝人員安裝位置使用范圍基本功能網絡信息中心測試意見簽字（蓋章）： 年 月 日審批意見簽字（蓋章）： 年 月 日備注注：信息系統(tǒng)中未安裝使用過的軟件需要某單位網絡信息中心進行測試并且提供測試意見。某單位系