31信息系统开发控制程序

文档编号XXXXJT/ISMS-B-31有限公司XXXX程序文件IT/ISMS信息系统开发控制程序拟制编制小组审核批准XXX XXX日期日期日期2023-01-102023-01-102023-01-10修订记录日期版本修订内容概要拟制审核批准首次发布编制小组2023-01-10A/0XXX XXX有限公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料XXXX（其全部或任何部分）披露予任何第三方，或进行修改后使用、目的1为确保信息系统的获取、开发全过程中的信息安全,并保证公司信息系统整体的安全，特制定本程序、适用范围2ISMS范围内所有参与信息系统的获取、开发过程的相关人员、术语和定义

3、职责和权限4技术部负责信息系统的获取、开发和维护；相关部门配合技术部,及时响应相关要求、相关涪动

55.1信息系统的安全要求信息系统在建设或升级之前,根据业务活动要求,要通过调研、风险评估等手段识别存在的各种安全风险,并依据公司信息安全及信息技术服务管理相关规定,提出信息安全需求，作为信息系统整体功能需求的一部分安全需求包括•信息系统安全需求的准确性；•系统容量设计的合理性；•技术设计和施工组织两方面的安全性•对项目建设过程中可能存在的安全风险和处理办法；•与国家相关法律、法规、标准、公司信息安全有关规定的符合性

5.2信息系统的获取与开发

5.

2.1信息系统开发管理对承建单位在几个方面提出要求•保守公司商业秘密的责任和义务要求；•保护知识产权的责任和义务要求；•使用公司信息处理设施的信息安全责任和义务要求对使用的产品，应有相应的证明材料，如软件产品必须为正版的商业软件，信息安全产品必须通过国家相应机构的检测认证,特别是涉密产品，必须使用国家保密单位批的信息安全产品在条件允许的前提下,要将开发、测试与运行系统分离,避免开发和测试活动对运行系统的稳定和安全造成影向在信息系统开发过程中，技术部负责安全控制与管理,重点监控以下内容•测试数据的输入验证，以减少输入错误造成的风险•系统对处理过程中的数据完整性验证检查，防止因数据完整性的错误造成的风险；•要对输出进行验证，确保输出的完整、正确；•对程序源代码的访问要做出明确的规定；•公司的敏感数据不允许作为测试数据使用

5.

2.2重要信息的保护信息系统的运行系统文件、重要要测试数据、程序源代码是采取措施加以保护这些数据必须进行备份,条件允许的前提下,对备份数据要保存在不同的地点对上述数据的使用和访问，必须经过相关人员的同意，同口寸做好相关使用记录

6.

2.3外包软件开发对外包软件开发,按相关规定执行、相关文件和记录6系统容量规划。