信息安全管理体系业务系统建设安全管理制度.docx

PAGE1

信息安全管理体系业务系统建设安全管理制度

目录

TOC\h\z\u第一章 总则 1

第二章 总体安全要求 1

第三章 业务系统研发、测试 2

第四章 业务系统上线 2

第五章 附则 4

附件 5

附件1：新业务上线申请表 5

总则

为加快集团业务系统安全建设步伐，规范业务系统建设的安全管理，实现安全建设应与业务系统“同步规划、同步建设、同步运行”的安全工作原则，特制定本制度。

本制度适用于对集团业务系统建设过程中的各阶段进行安全规范和管理，保证集团业务系统建设安全、可控。

总体安全要求

业务系统建设的过程包括：业务系统研发，业务系统测试和业务系统上线。

业务系统建设安全管理应遵循如下原则：

全生命周期安全管理：业务系统建设安全管理必须贯穿业务系统建设的整个生命周期；

成本-效益分析：进行信息安全建设和管理应考虑投入产出比；

明确职责：参与系统建设和管理的人员都应该明确安全职责；

最小特权：人员对系统资产的访问权限制到最低限度，仅赋予其执行授权任务所必需的权限。

系统建设安全管理要求：系统建设安全管理工作应强化责任机制，规范管理程序。在业务系统的研发、测试和上线等关键环节中，参与系统建设和管理的人员必须依照规定的职能行使职权，并在规定的时限内满足各个环节的安全管理要求，否则应承担相应的行政责任。

业务系统研发、测试

业务系统研发阶段，在进行业务系统的开发时，除了要满足系统业务需求之外，还需要满足系统的安全性需求，在实际编码的过程中，还需要按照《Java及Android编码规范V1.0》、《WEB安全编程技术规范V1.0》等规范的要求进行安全编码。

系统测试阶段，在系统开发结束后，由测试部门对系统进行业务功能测试及压力测试，并在测试完成提交测试报告，测试报告中应包括如下内容：

业务系统上线所需的基础设施环境，包括网络需求，服务器配置，操作系统以及相关软件等；

业务系统测试中所存在的问题，问题的严重程度以及问题的解决情况。

测试阶段结束后，系统研发部门需向网络运营中心提交系统的源代码，用于代码审计。

业务系统上线

业务系统上线阶段，由研发部门提交新业务上线申请，申请表详见附件1。由架构与安全委员会组织研发部门，测试部门，网络运营中心网络运维部对系统的部署环境、总体的投入成本-效益、合理性、可行性和有效性进行论证，必要时可以邀请外部专家顾问参与论证工作。

论证通过后，由网络运营中心信息安全部进行安全方面测试，测试内容应至少包括：

安全功能测试：对系统的安全功能进行测试，验证其是否已达到《应用安全管理制度》中的相关安全要求；

脆弱性分析：使用漏洞扫描、渗透测试的方法对系统进行脆弱性分析，以判断它们在实际应用中是否会被利用。

代码审计：检查源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞，并提供代码修订措施和建议。

测试完成后，对于通过安全测试评估的，由网络运营中心提供网络基础环境进行上线试运行。对于未能通过安全测试评估的，由网络运营中心信息安全部提出修改意见，系统研发部门作进一步修改。

业务系统正式上线前需进行试运行，试运行过程中的安全工作如下：

监测系统的安全性能；

监测新发现的对系统的攻击行为、系统所受威胁的变化以及其它与安全风险有关的因素；

组织与系统安全有关的培训。

试运行通过后，业务系统正式上线，上线之后，网络运营中心相关技术人员需对研发部门和测试部门的人员权限进行调整，实现职责分离。

业务系统上线阶段的流程如下：

附则

本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管理委员会批准之日起生效。

本制度解释权属架构与安全委员会。

附件

附件1：新业务上线申请表

新业务上线申请表

申请人

申请部门

申请日期

新业务名称

新业务上线说明：

测试部门

意见：

签字：

时间：

架构与安全委员会

意见：

签字：

时间：

信息安全部

意见：

签字：

时间：