还剩4页未读,继续阅读
文本内容:
3.1总经理负责批准各种信息系统的建设项目和建设方案
4.2技术部负责信息系统开发建设项目的研发,研发过程中控制信息系统开发建设项目的信息安全和技术支持负责在业务范围内提出信息系统开发建设需求提供,进行项目验收和项目质量的监控等工作4程序
5.1信息系统方案需求分析
4.
1.1技术部应根据业务的应用需求,简要提出新增信息系统或者现有信息系统更新、升级、由技术部完成的信息系统开发需求书包括以下内容——功能需求背景简单描述系统现状及项目建设或软件开发的必要性——项目建设目标描述项目建设或软件开发拟达到的目标——项目建设原则描述项目开发所依赖的主客观条件——具体功能需求详细描述每一个具体功能需求——项目进度要求列出项目开发的时间要求
4.
1.2项目组应制定开发计划书并通过项目关系人审核开发计划书应包括软硬件结构、软件性能要求、项目投资估算并根据业务功能要求及信息安全要求,明确规定信息系统安全控制的要求,考虑整合到信息系统中的自动控制措施和支持人工控制的需要在对系统验证时应考虑a)系统的安全特性及对现有系统安全的影响;b)系统容量的要求;c)由于系统安全的失效或缺失所带来的业务破坏;d)设计过程中的安全控制要求
4.
1.3如果仅是购买产品和软件,在与供应商的合同中应提出已经识别的安全需求,有经过正式的测试说明当产品和软件的安全功能不能满足指定的需求时,应在购买产品前进行风险评估和采取相关的控制措施如果提供的附加功能引起安全风险,应对提议的控制结构进行评审以决定是否能从增强的功能中获得利益
4.
1.4开发计划书和信息系统开发需求书应报总经理批准
4.2供应商选择
4.
2.1综合部按公司采购管理的要求选择硬件供应商和/或软件开发商
4.
2.2硬件供应商和/或软件开发商以及他们提供的产品和服务的控制按照《供应商管理程序》进行
4.3方案的确定和实施
4.
3.1开发计划书审批后提交给各项目组各项目组根据信息系统开发需求书,负责平台的搭建等一系列环境准备工作
4.
3.2应防止应用系统中的信息的错误、遗失、未授权的修改及误用在确定信息系统开发需求书时应考虑a)应用系统内应设计合适的控制措施以确保正确处理这些控制措施应包括对输入数据、内部处理和输出数据的验证;b)识别确保真实性和保护消息完整性的要求,必要时采取适当的控制措施;c)使用密码控制措施来保护信息,使用密码时,应基于风险评估,确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量,并符合《信息系统开发控制程序》的要求;
4.
3.4质量保证人员应监督软件开发商按合同条款进行相关的开发或者部署
4.
3.5技术部负责信息系统的研发和实施
4.
3.6如果需要对开发计划书变更时,项目组应提出变更申请,经总经理批准后实施
4.4系统测试和上线运行
4.
4.1系统正式上线前需进行测试,在测试前根据设计方案或合同要求等制订测试验收方案,在测试验收过程中详细记录测试验收结果测试应按信息系统开发需求书、信息系统开发建设技术方案上的功能逐项进行,从中发现不满足用户需求的问题,确定开发的软件是否合格,能否交付使用等
4.
4.2测试应形成测试报告,包括测试计划、测试用例和测试结果技术部全程参与,应注意对应用系统输出的数据进行认真核对,对于关键或重要的输出数据应由相应的作业流程所规定的人员进行确认
4.
4.3需要提供业务操作手册时由技术部根据相关技术设计文档、完成业务操作手册及系统维护的文档,并组织对相关人员进行培训
4.
4.4系统试运行在软件安装前应检测软件包中可能存在的恶意代码在试运行期间,应将使用中存在的问题及时反馈给技术部进行协调修改试运行结束后,应形成正式的验收报告,由公司相关部门签字认可
4.
4.5正式上线系统从试运行转为正式投入使用,转由技术部负责系统的平稳运行和维护,并由技术部对软件版本的更新进行控制和管理
4.5信息系统交付
4.
5.1信息系统交付时,应根据用户需求规定要求提供软件源代码,并审查软件中可能存在的后门,以防止信息泄露的可能性
4.
5.2信息系统交付时,应制定详细的信息系统交付清单,并根据交付清单对所交接的设备、外包开发的软件和文档等进行清点
4.6系统文件的安全
4.
6.1在运行系统上安装软件应考虑a)运行系统应仅安装经过批准的可执行代码,不安装开发代码和编译程序;b)应对系统配置文件进行控制;C)应保留应用软件的先前版本作为应急措施;d)软件的旧版本,连同所有需要的信息和参数、程序、配置细节,以及归档中保留有数据的支持软件,均应被归档
4.
6.2应认真地选择、保护和控制测试数据应避免使用包含个人信息或其它敏感信息的运行数据库用于测试
4.
6.3不允许任何人以任何方式访问程序源代码变更管理
4.
74.
7.1变更分类本公司涉及的变更分为以下几类a.信息系统网络、信息处理设施的变更b.操作系统变更c.应用系统变更d.数据库系统变更
4.
7.2变更的策划
4.
7.
2.1当信息系统需要变更时,应先分析其变更原因,公司信息系统变更主要有以下几个方面a.IT设备的维修、升级或更换,按《变更管理程序》进行控制b.操作系统的升级或更换c.应用系统的升级或更换d.数据库系统升级或更换在明确变更原因后,技术部负责对变更进行策划,提出变更具体实施的变更跟踪表,交由总经理审批
4.
7.
2.3对于重要设备和网络系统的重大变更,应对变更影响进行评价a.变更实施前,由相关应用部门提出变更预期目的及影响预测,交总经理审核b.变更实施后,首先由应用部门对变更的实际影响进行评估,提交总经理进行影响评估c.变更实施后,应用部门和用户对变更产生的影响进行评估,并将意见反馈给技术部
4.
7.3变更的实施
4.
7.
3.1变更实施前,技术部负责将变更的信息传达到所有相关用户
4.
7.
3.2软件版本的升级,应同时按《信息系统开发控制程序》进行
4.
7.
3.3应当由经过培训的管理员,根据授权来执行操作系统软件、应用程序软件和程序库的升级或更新操作系统软件、应用程序软件和程序库的升级或更新前,应进行数据备份,包括数据、程序和具体配置
4.
7.
3.5变更如果影响业务连续性计划,应对业务连续性计划做适当调整或改变在变更过程中,应采取措施防止信息泄漏(防止隐蔽通道或特洛伊木马等)
4.
7.4变更不成功的恢复措施在变更实施时,需要时刻注意对应用系统造成的影响,如影响超出可控范围,需停止变更,并将系统恢复到变更前的状态在变更实施后,由技术部和各应用管理部门及用户对变更的影响作出测试或评估,确保对业务连续性和安全没有不利影响如评估结果为变更不成功,则应启动变更恢复措施,将变更还原
4.
7.5软件包的变更软件包更改时,应保留原始软件,并在完全一样的复制软件上进行更改,更改实施前应得到技术部和应用系统主管部门的授权5满足客户要求项目实施过程中,可以根据客户要求进行形成项目实施记录文件,但实施内容应遵循本控制程序6引用文件《信息系统开发控制程序》《变更管理程序》7记录。
个人认证
优秀文档
获得点赞 0
