系統(tǒng)開(kāi)發(fā)與維護(hù)控制程序

1、系統(tǒng)開(kāi)發(fā)與維護(hù)控制程序編號(hào)：isms-2013狀態(tài)：受控編寫(xiě)：200x年xx月xx日審核：200x年xx月xx日批準(zhǔn)：200x年xx月xx日發(fā)布版次：第a/0版200x年xx月xx日生效日期200x年xx月xx日分發(fā)：各部門(mén)（或xxx）接受部門(mén)：變 更 記 錄變更日期版本變更說(shuō)明編寫(xiě)審核批準(zhǔn)2009-xx-xxa/0初始版本xxxxxxxxx系統(tǒng)開(kāi)發(fā)與維護(hù)控制程序1 適用本程序適用于本公司應(yīng)用系統(tǒng)軟件的開(kāi)發(fā)（包括外包軟件開(kāi)發(fā)）及系統(tǒng)的維護(hù)的控制。不包括日常生產(chǎn)、管理、設(shè)計(jì)時(shí)所需的測(cè)試程序。2 目的 為對(duì)公司系統(tǒng)開(kāi)發(fā)與系統(tǒng)維護(hù)過(guò)程實(shí)施有效控制，確保系統(tǒng)開(kāi)發(fā)與維護(hù)的各項(xiàng)安全要求得到識(shí)別并執(zhí)行，保證

2、系統(tǒng)安全，特制定本程序。3 職責(zé)3.1 各職能部門(mén)負(fù)責(zé)應(yīng)用軟件的開(kāi)發(fā)任務(wù)的提出。3.2 xx部負(fù)責(zé)全公司范圍內(nèi)應(yīng)用軟件的開(kāi)發(fā)、測(cè)試和綜合信息系統(tǒng)的維護(hù)管理。3.3 xx部負(fù)責(zé)對(duì)公司范圍內(nèi)的信息網(wǎng)絡(luò)系統(tǒng)的容量進(jìn)行規(guī)劃。4 程序4.1 應(yīng)用軟件設(shè)計(jì)開(kāi)發(fā)的控制4.1.1 設(shè)計(jì)開(kāi)發(fā)任務(wù)提出各職能部門(mén)根據(jù)日常經(jīng)營(yíng)管理工作的需要，經(jīng)過(guò)本部門(mén)部長(zhǎng)批準(zhǔn)后，交付開(kāi)發(fā)部進(jìn)行設(shè)計(jì)開(kāi)發(fā)。4.1.2 設(shè)計(jì)開(kāi)發(fā)的策劃xx部在接到任務(wù)通知后，首先要判斷可行性，明確規(guī)定設(shè)計(jì)開(kāi)發(fā)的各個(gè)階段的評(píng)審與測(cè)試要求及設(shè)計(jì)開(kāi)發(fā)人員的職責(zé)與權(quán)限，設(shè)計(jì)開(kāi)發(fā)計(jì)劃方案由要求部門(mén)和開(kāi)發(fā)部負(fù)責(zé)人共同批準(zhǔn)后予以實(shí)施；必要時(shí)，如果對(duì)計(jì)劃進(jìn)行更改也需要獲得

3、雙方部長(zhǎng)共同批準(zhǔn)。軟件設(shè)計(jì)開(kāi)發(fā)計(jì)劃應(yīng)包括以下內(nèi)容：a) 軟件功能要求；b) 詳盡的業(yè)務(wù)流程；c) 信息安全要求；d) 時(shí)間進(jìn)度要求；e) 設(shè)計(jì)開(kāi)發(fā)的各個(gè)階段評(píng)審與測(cè)試要求；f) 設(shè)計(jì)開(kāi)發(fā)人員的職責(zé)與權(quán)限；g) 其它要求。4.1.3 設(shè)計(jì)開(kāi)發(fā)人員的要求軟件設(shè)計(jì)開(kāi)發(fā)人員須經(jīng)開(kāi)發(fā)部負(fù)責(zé)人授權(quán)，并應(yīng)具備一定的軟件開(kāi)發(fā)能力和良好的職業(yè)道德。4.1.4 設(shè)計(jì)開(kāi)發(fā)方案的技術(shù)評(píng)審4.1.4.1 設(shè)計(jì)開(kāi)發(fā)負(fù)責(zé)人應(yīng)根據(jù)軟件設(shè)計(jì)開(kāi)發(fā)計(jì)劃的要求，編制軟件設(shè)計(jì)開(kāi)發(fā)方案，由開(kāi)發(fā)部負(fù)責(zé)人對(duì)方案的技術(shù)可行性及系統(tǒng)的安全性進(jìn)行確認(rèn)。4.1.4.2 對(duì)于大型軟件開(kāi)發(fā)方案應(yīng)由設(shè)計(jì)開(kāi)發(fā)人員、應(yīng)用部門(mén)人員、內(nèi)部it方面的專家共同進(jìn)行評(píng)

4、審。4.1.4.3軟件設(shè)計(jì)開(kāi)發(fā)方案應(yīng)包括以下內(nèi)容：a) 確定軟件開(kāi)發(fā)工具；b) 應(yīng)用系統(tǒng)功能；c) 業(yè)務(wù)實(shí)現(xiàn)流程；d) 輸入數(shù)據(jù)確認(rèn)要求；e) 必要時(shí)，系統(tǒng)內(nèi)部數(shù)據(jù)確認(rèn)檢查的要求；f) 輸出數(shù)據(jù)的確認(rèn)要求；g) 應(yīng)用系統(tǒng)的安全要求；h) 對(duì)系統(tǒng)硬件配置的要求；i) 系統(tǒng)驗(yàn)收標(biāo)準(zhǔn)。方案確認(rèn)與審批的結(jié)果及任何必要的措施應(yīng)予以記錄。4.1.5 設(shè)計(jì)開(kāi)發(fā)的環(huán)境要求在進(jìn)行軟件開(kāi)發(fā)時(shí)，應(yīng)采取適宜的方法將開(kāi)發(fā)與運(yùn)作設(shè)施分離：a) 開(kāi)發(fā)和運(yùn)行應(yīng)當(dāng)在不同的環(huán)境；b) 測(cè)試系統(tǒng)應(yīng)該獨(dú)立于運(yùn)行系統(tǒng)。4.1.6 軟件的測(cè)試與試運(yùn)行4.1.6.1 源程序編制好以后，應(yīng)在規(guī)定的測(cè)試環(huán)境條件并依據(jù)軟件測(cè)試要求由軟件設(shè)計(jì)開(kāi)發(fā)

5、負(fù)責(zé)人組織有關(guān)人員測(cè)試活動(dòng)，填寫(xiě)應(yīng)用軟件測(cè)試報(bào)告。4.1.6.2 當(dāng)軟件含有數(shù)據(jù)處理功能時(shí)，軟件測(cè)試活動(dòng)應(yīng)包括以下方面的內(nèi)容：a) 應(yīng)用測(cè)試數(shù)據(jù)，驗(yàn)證內(nèi)部數(shù)據(jù)處理的正確性；b) 應(yīng)用測(cè)試數(shù)據(jù)，確認(rèn)輸出數(shù)據(jù)的正確性并與環(huán)境相適應(yīng)。4.1.6.3 當(dāng)系統(tǒng)測(cè)試數(shù)據(jù)使用業(yè)務(wù)數(shù)據(jù)，并且包含敏感信息時(shí)，應(yīng)按以下要求對(duì)測(cè)試數(shù)據(jù)進(jìn)行保護(hù)：a) 用于運(yùn)作系統(tǒng)的訪問(wèn)控制過(guò)程也應(yīng)用于測(cè)試系統(tǒng)；b) 業(yè)務(wù)數(shù)據(jù)每一次復(fù)制到測(cè)試應(yīng)用系統(tǒng)，應(yīng)被系統(tǒng)主管部門(mén)授權(quán)；c) 測(cè)試完成之后，應(yīng)立即從測(cè)試系統(tǒng)中消除。4.1.6.4應(yīng)用部門(mén)在試運(yùn)行期間，應(yīng)將使用中存在的問(wèn)題及時(shí)反饋給開(kāi)發(fā)部進(jìn)行修改。試運(yùn)行結(jié)束后，對(duì)試運(yùn)行情況進(jìn)行總結(jié)，并

6、由xx部和應(yīng)用部門(mén)負(fù)責(zé)人簽字認(rèn)可，投入使用。4.1.7 更改控制在設(shè)計(jì)開(kāi)發(fā)過(guò)程中，涉及到系統(tǒng)功能、安全技術(shù)要求的更改應(yīng)經(jīng)過(guò)開(kāi)發(fā)部負(fù)責(zé)人批準(zhǔn)后予以實(shí)施，并經(jīng)過(guò)測(cè)試合格后方可投入使用。4.1.8 源程序庫(kù)（程序源代碼）管理及技術(shù)文檔管理4.1.8.1 為降低計(jì)算機(jī)程序被破壞的可能性，設(shè)計(jì)開(kāi)發(fā)軟件的源程序庫(kù)應(yīng)按以下要求實(shí)施管理：a) 源程序庫(kù)不應(yīng)保存在運(yùn)作系統(tǒng)中；b) 各項(xiàng)應(yīng)用應(yīng)指定源程序庫(kù)管理員；c) 信息技術(shù)維護(hù)人員不應(yīng)自由訪問(wèn)源程序庫(kù)。4.1.8.2 xx部明確源代碼管理責(zé)任人及保存方式。4.1.8.3 源程序的管理應(yīng)包括歷史版本的管理。4.1.9 軟件開(kāi)發(fā)外包控制4.1.9.1 開(kāi)發(fā)軟件外包

7、應(yīng)該遵守信息處理設(shè)備管理程序。委托部門(mén)應(yīng)明確軟件開(kāi)發(fā)的安全技術(shù)要求，由開(kāi)發(fā)部審核，報(bào)分管公司負(fù)責(zé)人批準(zhǔn)后，計(jì)劃部與軟件開(kāi)發(fā)方簽訂軟件開(kāi)發(fā)合同，必要時(shí)，應(yīng)簽訂保密協(xié)議，在協(xié)議中明確規(guī)定安全保密要求。4.1.9.2 軟件安裝使用前，應(yīng)由軟件開(kāi)發(fā)方及我方技術(shù)人員共同進(jìn)行測(cè)試，測(cè)試結(jié)束應(yīng)填寫(xiě)應(yīng)用軟件測(cè)試報(bào)告，測(cè)試符合技術(shù)協(xié)議要求且經(jīng)委托部門(mén)認(rèn)可后，方可投入試運(yùn)行；試運(yùn)行結(jié)束后且使用中發(fā)現(xiàn)的問(wèn)題已經(jīng)得到圓滿解決后，雙方進(jìn)行正式的驗(yàn)收。4.1.9.3 軟件外包方在我公司進(jìn)行軟件開(kāi)發(fā)活動(dòng)，應(yīng)事先得到委托部門(mén)負(fù)責(zé)人的授權(quán)，有我方人員在場(chǎng)的情況下方可進(jìn)行。4.1.10新的應(yīng)用系統(tǒng)（或軟件）在正式投入前，系統(tǒng)應(yīng)用

8、主管部門(mén)應(yīng)對(duì)系統(tǒng)的訪問(wèn)權(quán)限規(guī)定并按照用戶訪問(wèn)控制程序要求進(jìn)行用戶訪問(wèn)授權(quán)。4.1.11新的應(yīng)用系統(tǒng)（或軟件）投入使用后，相關(guān)部門(mén)應(yīng)進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估，根據(jù)評(píng)估結(jié)果確定資產(chǎn)重要度，必要時(shí)制訂相應(yīng)的控制措施。4.2系統(tǒng)的維護(hù)管理4.2.1 為確保系統(tǒng)的安全，各系統(tǒng)主管部門(mén)應(yīng)對(duì)以下方面實(shí)施控制：a) 系統(tǒng)容量策劃；b) 系統(tǒng)更改；c) 操作系統(tǒng)更改；d) 軟件包變更。4.2.2 容量策劃xx部應(yīng)對(duì)信息網(wǎng)絡(luò)系統(tǒng)的容量（cpu利用率、內(nèi)存和硬盤(pán)空間大小、傳輸線路帶寬）需求進(jìn)行監(jiān)控，并對(duì)將來(lái)容量需求進(jìn)行策劃，適當(dāng)時(shí)機(jī)進(jìn)行容量擴(kuò)充。4.2.3 軟件的安裝和升級(jí)引用更改控制程序。4.2.4 防范隱藏通道及特洛伊碼。對(duì)軟件的采購(gòu)、使用及變更有