應(yīng)用系統(tǒng)開(kāi)發(fā)及維護(hù)管理制度.doc

.某單位應(yīng)用系統(tǒng)開(kāi)發(fā)及維護(hù)管理制度第一章 總 則第一條 為進(jìn)一步規(guī)范某單位計(jì)算機(jī)軟件系統(tǒng)采購(gòu)、開(kāi)發(fā)、安裝、測(cè)試和運(yùn)行維護(hù)相關(guān)工作，確保信息系統(tǒng)正常運(yùn)行，根據(jù)國(guó)家安全管理有關(guān)規(guī)定制定本制度。第二條 軟件管理范圍包括操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用服務(wù)系統(tǒng)、應(yīng)用軟件、安全軟件和工具軟件等。第二章 軟件采購(gòu)及安裝第三條 采購(gòu)的軟件必須是正版軟件，嚴(yán)禁使用盜版軟件。如需采用共享版軟件，必須由管理員進(jìn)行嚴(yán)格測(cè)試。第四條 重要服務(wù)器操作系統(tǒng)和應(yīng)用系統(tǒng)軟件必須在安全管理員監(jiān)督之下進(jìn)行安裝，計(jì)算機(jī)上安裝的軟件需事先經(jīng)安全管理員審查認(rèn)可。第五條 軟件安裝后，須使用可靠檢測(cè)軟件或手段進(jìn)行安全性測(cè)試，了解其脆弱性，并根據(jù)脆弱性程度采取措施，使風(fēng)險(xiǎn)降至最小。第六條 軟件安裝后，原件（盤(pán)）應(yīng)進(jìn)行登記造冊(cè)，并由專(zhuān)人保管。第七條 軟件安裝時(shí)，填寫(xiě)軟件安裝記錄表。第八條 軟件更新后，軟件的新舊版本均應(yīng)登記造冊(cè)，并由專(zhuān)人保管，舊版本銷(xiāo)毀應(yīng)經(jīng)審批登記。第三章 軟件使用維護(hù)第九條 系統(tǒng)管理員和安全管理員負(fù)責(zé)維護(hù)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)以及安全管理軟件，并對(duì)維護(hù)情況進(jìn)行記錄。第十條 及時(shí)更新操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)及其它相關(guān)軟件的系統(tǒng)補(bǔ)丁。第十一條 及時(shí)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)及其它相關(guān)軟件進(jìn)行稽核審計(jì)，分析與安全有關(guān)的事件，堵塞安全漏洞。第十二條 軟件更新后，須重新審查系統(tǒng)安全狀態(tài)，必要時(shí)對(duì)安全策略進(jìn)行調(diào)整。第四章 應(yīng)用軟件開(kāi)發(fā)管理第十三條 聯(lián)合開(kāi)發(fā)信息系統(tǒng)軟件，應(yīng)選擇有相應(yīng)軟件開(kāi)發(fā)資質(zhì)的單位，并令其簽訂安全承諾書(shū)。網(wǎng)絡(luò)信息中心應(yīng)對(duì)具體參與人員登記備案，并對(duì)其進(jìn)行必要的安全教育和監(jiān)督。第十四條 應(yīng)用軟件開(kāi)發(fā)必須根據(jù)信息安全等級(jí)，同步進(jìn)行相應(yīng)的安全設(shè)計(jì)，并制定各階段安全目標(biāo)，按目標(biāo)進(jìn)行管理和實(shí)施。第十五條 應(yīng)用軟件開(kāi)發(fā)必須有安全管理專(zhuān)業(yè)技術(shù)人員參加，其主要任務(wù)是：對(duì)系統(tǒng)方案與開(kāi)發(fā)進(jìn)行安全審查和監(jiān)督，負(fù)責(zé)系統(tǒng)安全設(shè)計(jì)和實(shí)施。第十六條 開(kāi)發(fā)環(huán)境和現(xiàn)場(chǎng)必須與辦公環(huán)境和工作現(xiàn)場(chǎng)分開(kāi)，軟件設(shè)計(jì)方案、數(shù)據(jù)結(jié)構(gòu)、安全管理、操作監(jiān)控手段、數(shù)據(jù)加密形式、原代碼等，只能在有關(guān)開(kāi)發(fā)人員及有關(guān)管理機(jī)構(gòu)中流動(dòng)，嚴(yán)禁散失或外泄。第十七條 應(yīng)用軟件開(kāi)發(fā)必須符合軟件工程規(guī)范。第十八條 應(yīng)用系統(tǒng)變更需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，并填寫(xiě)相應(yīng)系統(tǒng)任務(wù)單，并由主管領(lǐng)導(dǎo)批準(zhǔn)同意。第十九條 對(duì)于系統(tǒng)軟件，必須從身份鑒別、訪(fǎng)問(wèn)控制和安全審計(jì)等幾個(gè)方面進(jìn)行安全功能同步開(kāi)發(fā)。第二十條 開(kāi)發(fā)、測(cè)試業(yè)務(wù)應(yīng)用系統(tǒng)所使用的網(wǎng)絡(luò)環(huán)境和設(shè)備應(yīng)與系統(tǒng)實(shí)際運(yùn)行環(huán)境、設(shè)備隔離。第二十一條 測(cè)試、聯(lián)調(diào)業(yè)務(wù)應(yīng)用系統(tǒng)時(shí)，應(yīng)禁止使用實(shí)際工作信息作為測(cè)試數(shù)據(jù)。第二十二條 應(yīng)有專(zhuān)人對(duì)進(jìn)入現(xiàn)場(chǎng)進(jìn)行后期維護(hù)或升級(jí)的服務(wù)人員進(jìn)行陪同，禁止服務(wù)人員將具有存儲(chǔ)功能的自帶設(shè)備接入網(wǎng)內(nèi)，并限制其對(duì)網(wǎng)內(nèi)操作訪(fǎng)問(wèn)的權(quán)限、禁止其訪(fǎng)問(wèn)網(wǎng)內(nèi)的工作信息。第五章 人員管理第二十三條 設(shè)置系統(tǒng)管理員、安全管理員、安全審計(jì)員，各員必須嚴(yán)格按照操作權(quán)限操作，不得越權(quán)操作。第二十四條 系統(tǒng)重要配置變更必須記錄相應(yīng)操作日志，日志包括操作時(shí)間、執(zhí)行命令等，并由安全審計(jì)員審計(jì)。第二十五條 操作人員離開(kāi)系統(tǒng)時(shí)，應(yīng)退出系統(tǒng)或進(jìn)行系統(tǒng)封鎖。第二十六條 操作人員隨時(shí)監(jiān)控設(shè)備運(yùn)行狀況，發(fā)現(xiàn)異常情況應(yīng)立即按照規(guī)程進(jìn)行操作，并及時(shí)上報(bào)和詳細(xì)記錄。第二十七條 未經(jīng)允許，任何人不得以任何方式試圖登錄進(jìn)入網(wǎng)內(nèi)服務(wù)器等設(shè)備并對(duì)其進(jìn)行修改、設(shè)置、刪除等操作。第六章 系統(tǒng)運(yùn)行管理第二十八條 啟動(dòng)與關(guān)閉：應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)啟動(dòng)和關(guān)閉應(yīng)嚴(yán)格按照系統(tǒng)啟動(dòng)和關(guān)閉流程和步驟由系統(tǒng)管理員和安全管理員負(fù)責(zé)操作。應(yīng)用系統(tǒng)一旦啟動(dòng)，在沒(méi)有特殊需要的情況下，應(yīng)始終處于運(yùn)行狀態(tài)。第二十九條 系統(tǒng)正常運(yùn)行情況下的停機(jī)：系統(tǒng)正常運(yùn)行情況下任何停機(jī)要求應(yīng)按照下列處理流程處理： （一）網(wǎng)絡(luò)信息中心提前一日?qǐng)?bào)分管領(lǐng)導(dǎo)進(jìn)行批準(zhǔn)，提前半日通知系統(tǒng)用戶(hù)，內(nèi)容應(yīng)包括：停機(jī)原因、預(yù)計(jì)恢復(fù)時(shí)間等。 （二）緊急停機(jī)：網(wǎng)絡(luò)信息中心為應(yīng)付突發(fā)事件，如黑客攻擊或其他無(wú)法預(yù)料事件，避免系統(tǒng)受到損壞，可以采取臨時(shí)緊急停機(jī)措施。采取措施同時(shí)，通知網(wǎng)絡(luò)信息中心領(lǐng)導(dǎo)；1小時(shí)內(nèi)通知所有用戶(hù)，內(nèi)容應(yīng)該包括：停機(jī)原因、預(yù)計(jì)恢復(fù)機(jī)房時(shí)間等。第七章 系統(tǒng)使用管理第三十條 需定期對(duì)系統(tǒng)內(nèi)安全產(chǎn)品的安全策略規(guī)則進(jìn)行審核、測(cè)試、校正，并作好相關(guān)審批手續(xù)和記錄。第三十一條 禁止在機(jī)房終端計(jì)算機(jī)私自安裝、卸載各種軟件、操作系統(tǒng)或硬盤(pán)、網(wǎng)卡等。第三十二條 每月對(duì)系統(tǒng)運(yùn)行情況和用戶(hù)操作行為進(jìn)行安全法規(guī)等方面檢查。第三十三條 每月根據(jù)系統(tǒng)變化情況，及時(shí)更新系統(tǒng)文檔資料，使之與實(shí)際狀況保持一致。第八章 系統(tǒng)變更管理第三十四條 系統(tǒng)變更前，變更申請(qǐng)人填寫(xiě)系統(tǒng)變更申請(qǐng)表，向主管領(lǐng)導(dǎo)提出申請(qǐng)，并對(duì)系統(tǒng)進(jìn)行備份，以確保系統(tǒng)變更失敗后能恢復(fù)到變更前的狀態(tài)。第三十五條 明確系統(tǒng)中要發(fā)生的變更，并根據(jù)變更類(lèi)型，制定變更方案；變更方案要經(jīng)過(guò)主管領(lǐng)導(dǎo)批準(zhǔn)后才可實(shí)施。第三十六條 應(yīng)對(duì)變更過(guò)程進(jìn)行控制，對(duì)變更影響進(jìn)行分析并形成文檔。第三十七條 應(yīng)對(duì)變更實(shí)施過(guò)程進(jìn)行記錄，并妥善保存所有文檔和記錄。第三十八條 變更方案中要明確中止變更的條件，以及從失敗變更中恢復(fù)的程序，明確過(guò)程控制方法和人員職責(zé)。必要時(shí)對(duì)恢復(fù)過(guò)程進(jìn)行演練。第三十九條 變更實(shí)施完成后，要將變更內(nèi)容及變更情況向相關(guān)人員進(jìn)行通告。第九章 補(bǔ)丁管理第四十條 向現(xiàn)有業(yè)務(wù)系統(tǒng)中追加任何補(bǔ)丁需經(jīng)測(cè)試和審批。第四十一條 對(duì)系統(tǒng)添加補(bǔ)丁的操作由安全管理員登記。第十章 附 則第四十二條 本制度由某單位網(wǎng)絡(luò)信息中心負(fù)責(zé)解釋。第四十三條 本制度自發(fā)布之日起執(zhí)行。.某單位軟件安裝記錄表軟件類(lèi)別軟件提供單位軟件名稱(chēng)軟件使用單位安裝時(shí)間安裝人員安裝位置使用范圍基本功能網(wǎng)絡(luò)信息中心測(cè)試意見(jiàn)簽字（蓋章）： 年 月 日審批意見(jiàn)簽字（蓋章）： 年 月 日備注注：信息系統(tǒng)中未安裝使用過(guò)的軟件需要某單位網(wǎng)絡(luò)信息中心進(jìn)行測(cè)試并且提供測(cè)試意見(jiàn)。某單位系