系统发展与维护管理程序书.docVIP

管理系統文件 文件類別 第 二 階 文 件 文件編號 ISMS-P-014 文件名稱 系統發展與維護管理程序書 發行單位 文 件 管 制 小 組 發行日期 103年12月01日 版次 A 訂修廢單位 審 查 核 准 資通安全處理小組 （原版簽名頁保存於文件管制小組） 訂 修 廢 記 錄 版次 發行日期 訂 修 廢 內 容 摘 要 A 103/12/01 初版發行 目的 為促使本校委外或自行開發之資訊系統在取得、發展與維護有一明確之規範，以確保應用系統之安全性，特制訂本程序書。 適用範圍 凡本校委外或自行開發應用系統之取得、發展與維護管理，均適用本程序書。 參考文件 ISMS-P-018委外作業管理程序書。 ISMS-P-013帳號密碼及存取控制管理程序書。 ISMS-P-009資訊安全事件管理程序書。 ISMS-P-015資訊備份管理程序書。 ISMS-P-008矯正及預防管理程序書。 名詞定義 應用系統 泛指套裝軟體以外且由本校自行開發或委由外部廠商開發之各項應用管理系統稱之。 作業內容 系統發展與維護管理流程圖 作業流程 權責單位 相關表單 需求單位/業務承辦人員 資訊系統軟體及資料庫異動申請單 需求單位/資通安全處理小組 資通安全處理小組/廠商 需求單位 資通安全處理小組 需求單位/廠商 需求單位/資通安全處理小組 應用系統開發維護測試及上線紀錄單 資訊系統軟體及資料庫異動申請單 資通安全處理小組/ 需求單位/廠商 資通安全處理小組/廠商 系統說明文件/系統操作手冊 權責單位/需求單位 應用系統開發維護測試及上線紀錄單 資訊系統軟體及資料庫異動申請單 資通安全處理小組/廠商 資訊系統軟體及資料庫異動申請單 相關業務承辦人員 確立系統開發需求與評估審核 應用系統需求申請 本校各單位依業務實際需求，填寫「ISMS-P-014-01資訊系統軟體及資料庫異動申請單」，陳單位主管核准後，向業務承辦人員提出應用系統需求之申請。 系統自行開發 本校需求單位之系統需求，須經討論及評估系統開發可行性。 由承辦人員負責規劃與設計需求單位之應用系統。 系統委外開發 本校所需之應用系統經評估其可行性後，提請相關需求單位辦理系統委外開發提案與編列預算。 審核通過列入年度預算之應用系統委外開發案，得依本校採購程序及本程序書之應用系統安全要求，進行委外採購。 由承辦人員協助審查應用系統之資訊技術與提供支援。 系統委外發展專案規劃 委外專案應協助需求單位，由需求單位依據本校相關採購流程，進行委外採購程序，並注意以下事項： 任何性質之專案需求，必須在「需求規格書」中清楚明確的定義與表達。 專案委外採購時，簽約廠商應進行專案細部規劃，並提出「專案執行計畫書」，內容必須包含發展時程、效益與人力需求分析與應用系統所應達成的功能。 本校委外作業，應依據「ISMS-P-018委外作業管理程序書」之規定辦理。 系統分析 一般要求 進行系統需求單位之資訊收集，包含下列資料： 需求單位現行各項作業表單（含報表）。 需求單位內部之相關管理文件。 系統採委外開發時，系統開發廠商需要會同承辦人員，對於需求單位進行需求訪談。 自行發展之應用系統，由需求單位使用者進行需求訪談。 系統開發廠商依據資料收集及訪談結果，撰寫系統開發相關文件。 規格確認 系統開發應依據系統開發相關文件與需求單位進行規格確認，包含下列事項： 確認應用系統作業流程。 確認使用者操作畫面。 確認系統可產出的管理報表格式。 確認資料庫資料格式與欄位。 系統開發建置 依據系統分析及規格確認結果進行系統程式開發。 應用系統安全規範 應用系統進行開發時須包含以下安全要求： 身分驗證 系統應具備檢驗登入身分識別與密碼功能。 無法使用作業系統提供的驗證機制，則需在應用系統中使用自訂驗證機制。 使用者登入應用系統後，若超過所規定的閒置時間而無任何動作時，系統須設定將其帳號登出（若屬功能限制或系統老舊無法提供此功能，待版本升級或更新系統時改善）。 權限管理 應用系統權限應視使用者業務需求，給予不同角色並對應適當權限。 應用系統應紀錄使用者處理敏感性資訊交易之相關資訊。 系統錯誤處理 應用系統應該實作且具有例外狀況處理機制，以擷取錯誤資訊。 例外狀況管理包含擷取和回傳例外狀況、設計例外狀況、傳送例外狀況資訊，並避免直接顯示原始完整錯誤資訊給予使用者。 資料庫存取安全