最新整理信息系统开发安全管控办法x

1、最新整理信息系统开发安全管控办法1 范围 本标准规定了信息系统开发阶段、测试阶段、试运行阶段 和上线阶段的管理内容与要求。本标准适用于公司自主开发及委外开发信息系统的管理。2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。 凡是注明日期的引用文件， 其随后所有的修改单 （不包括勘误的内容） 或修订版 均不适用于本标准。凡是不注明日期的引用文件，其最新版本适用于本标准。国务院令（第 339 号）计算机软件保护条例国务院令 （第 147 号）中华人民共和国计算机信息系统安 全保护条例Q/JYG/GL-SB -16-20xx.a 投资项目管理办法3 术语和定义信息系统：是指 计

2、算机及其相关的配套设备、设施（含 wang 络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、 传输、检索等处理的人机系统。信息系统一般 三部分组成： 硬件系统（计算机硬件系统和wang络硬件系统）、系统软件（计算机系统软件和 wang络系统软件）、应用软件 （包括 其处理、存储的信息） 。4 职责4.1 XXXX部门4.1.1 负责公司信息系统开发各阶段文档的审批工作；4.1.2 负责组织公司新开发信息系统的测试工作；4.1.3 负责公司信息系统上线与终止的验收工作。4.2 卷烟厂计算机中心4.2.1 负责本厂信息系统开发各阶段文档的审批工作；4.2.2 负责组织本厂新开发信息

3、系统的测试工作；4.2.3 负责本厂信息系统上线与终止的验收工作。4.3 各实施部门或单位4.3.1 负责本单位信息系统开发过程中的需求提出、测试及验收等工作。5 管理内容与要求5.1 总体要求5.1.1 信息系统开发须遵循计算机软件保护条例 、中华人民共和国计算机信息系统安全保护条例 。5.1.2 信息系统开发过程中项目单位 （承接信息系统开发的单位）须提交相应的安全需求、安全设计、安全测试等资料并经过XXXX部门审批，否则不予立项或验收。5.1.3 信息系统开发范围的变更（增加或缩减） 、新技 术的使用、新产品或新版本的采用、新的开发工具和环境须经过XXXX部门审批。5.2 信息系统开发生

4、命周期管理要求5.2.1 系统需求收集和分析阶段a）技术可行性分析根据业务上提出的需求，信息系统归口管理部门应从技术 开发的角度分析是否现有的技术手段和技术能力是否可以达到业务上要求的系 统功能，主要包括：人员技术能力分析 （指公司内的系统开发队伍是否有足够的 软件开发的技术能力来完成系统开发的任务， 或第三方外包的开发公司是否具有 开发应用系统的技术能力） 、计算机软件和硬件分析（指公司现有的软件和硬件 的性能是否足够满足开发相应的系统的要求） 、管理能力分析（指现有的技术开 发管理制度和管理流程是否成熟且标准化，是否足够系统开发的要求） 。b）需求可行性分析：信息系统归口管理部门应对该申请

5、 部门所提需求进行可行性分析， 以判断需求是否明确， 是否符合实际， 是否能在 一定的时间范围实现。c）经济可行性分析：信息系统归口管理部门应根据业务 需求和技术手段的分析，确认投资的数额在可控制和可承受的范围内d) 安全可行性分析：信息系统归口管理部门应明确该系 统的安全建设范围和内容， 设定安全性指标要求， 合理判定该信息系统是否符合 公司的wang络及信息安全要求。5.2.2 设计阶段安全管理a) 单点xx:任何用户如果希望xx应用系统中的某一个 部分，则必须通过统一且唯一的认证授权方式以及流程。b) 人员职责和权限的划分:系统必须具有基于人员职责的用户授权管理以确保每个用户可以 xx到

6、其权利范围内的应用系统部分，也要 确保每个用户无法 xx 其权限范围以外的应用系统部分。c) 保护敏感系统的安全性:通过将应用系统中敏感信息 保存在服务器端以进行集中的加密安全管理， 确保客户端系统本身并不能存储任 何信息敏感的数据。d) 确保 xx 层的安全性:系统在要确保系统模块本身安全 性的同时， 还需考虑模块与模块之间的通讯的安全性。 模块与模块之间的安全性 包括:应用系统内部模块之间的安全、 应用系统内部模块和外部模块之间的安全 性，如主机和客户端之间通讯的安全性， 服务器和服务器间通讯的安全性， 本地 系统和异地系统之间通讯的安全性。e) 确保日志管理机制健全: 要求建立可以根据情况自 设 置的日志管理机制， 即日志纪录的范围和详细程度可以根据需求自行定制， 且可 实现在应用系统使用过程中进行日志的定制和记录， 并保留所有系统开发相关程 序库的更新审核纪录。f) 新系统的容量规划 : 容量规划是指确定系统的总体规 模，性能和系统弹性。 容量规划应充分考虑: 系统的预期存储容量和在给定的周 期里面获取生成和存储的数据量； 在线进程的数量和估计可能的占用资料； 系统 和wang络的相应时间和性能，即端对端系统；系统弹