软件资产分级管理制度

第页软件资产分级管理制度TOC\o"1-3"\h\u一、软件资产等级分类及责任部门 3二、管理部门职责： 3三、软件资产使用监管单位： 7四、管理制度 7引用文件： 7

软件资产分级管理制度软件资产等级分类及责任部门非脚本源代码(一级)：运行前需要先编译的源代码。由源代码管理人员和研发部开发人员共同承担安全管理责任。标记为S1。脚本源代码(二级)：运行前不需要先编译的源代码的源代码。由源代码管理人员、测试部测试人员，研发部开发人员共同承担安全管理责任。标记为S2。编译执行程序(二级)：一级源代码经编译后生成的可运行程序、组件或库文件。由源代码管理人员、测试部测试人员和研发部开发人员共同承担安全管理责任。标记为S2。集成软件(三级):由组件、库文件、可执行程序、配置文件等通过特定组合配置生成的可运行的软件系统或平台。由源代码管理人员、服务部、测试部共同承担安全管理责任。标记为S3。第三方组件（四级）：由第三方提供的用于集成或二次开发用的组件、库文件或其他相关程序及代码。由源代码管理人员、测试部测试人员，服务部系统服务人员、研发部开发人员共同承担安全管理责任。标记为S4。其他软件（四级）:不属于以上类别的软件。管理部门职责：信息安全管理工作小组制定源代码安全管理规范。对外部借阅软件资产进行审批。源代码管理岗制定源代码开发及安全管理制度外部借阅记录表管理,记录借阅时间，借阅原因，借阅单位，借阅单位经手人，审批人，借出单位经手人，预期归还时间表，实际归还时间，归还时完好性及完整性描述。部署软件开发管理工具，SVN(Subversion是一种版本管理控制系统)、VSS(VisualSourceSafe是一种源代码控制系统)、SCM(SoftwareConfigurationManagement软件配置管理)。管理和分配开发者权限，控制授权开发人员、测试人员、软件配置人员可访问的程序存放目录。对于一级软件资产，对不同的代码访问权限保证仅授予所有者权限的开发人员。对于二级软件资产，可授予开发人员读写权限，授予配置人员只读权限，授予测试人员只读权限。对于三级软件资产，可授予配置人员读写权限，授予测试人员只读权限，授予运营维护人员只读权限。对于四级软件资产，可授予测试人员只读权限，授予系统维护人员只读权限、授予配置人员读写权限、授予开发人员读写权限。测试部制定软件测试规范。制定软件发布标准。编写软件测试用例。对二级软件进行可用性、功能、性能测试。对二级软件于外部接触点进行边界测试，并做仿攻击和其他安全性测试。对于三级软件进行完整性及性能测试。提交系统测试结果报告，待版本更新后进行递归测试，直至达到软件可发布标准。研发部制定研发部源代码开发管理流程，并依照执行。禁止对一级软件资产通过移动存储复制传输。保证本地工作目录下编辑的软件当前版本与工作库中最新版本一致。保证一级软件在编辑更新后，立即提交工作库保存，保证工作库是最新版本。服务部制定自建服务项目实施过程中软件资产安全管理制度。对三级软件资产，保证所申请的软件版本是从测试部获取的、经测试部公告发布的版本。对所获取的版本有向客户宣示安全使用、确保不被非法复制传播的责任。须审查在软件交付合同中是否规定了软件版权的相关法律责任和义务。制定软件资产安全管理规范制定和维护软件资产安全管理清单。每年一次评估