系统开发与维护控制程序.doc

系统开发与维护控制程序 编号ISMS-2013 状态 编写： 200年月日 审核：年月日 批准：年月日 发布版次：第A/版 年月日 生效 200X年月日 接受部门： 变 更 记 录 变更日期 版本 变更说明 编写 审核 批准 2009-XX-XX A/0 初始版本 XXX XXX XXX 系统开发与维护控制程序 1 适用 本程序适用于本公司应用系统软件的开发（包括外包软件开发）及系统的维护的控制。不包括日常生产、管理、设计时所需的测试程序。 2 目的 为对公司系统开发与系统维护过程实施有效控制，确保系统开发与维护的各项安全要求得到识别并执行，保证系统安全，特制定本程序。 3 职责 3.1 各职能部门负责应用软件的开发任务的提出。 3.2 XX部负责全公司范围内应用软件的开发、测试和综合信息系统的维护管理。 3.3 XX部负责对公司范围内的信息网络系统的容量进行规划。 4 程序 4.1 应用软件设计开发的控制 4.1.1 设计开发任务提出 各职能部门根据日常经营管理工作的需要，经过本部门部长批准后，交付开发部进行设计开发。 4.1.2 设计开发的策划 XX部在接到任务通知后，首先要判断可行性，明确规定设计开发的各个阶段的评审与测试要求及设计开发人员的职责与权限，设计开发计划方案由要求部门和开发部负责人共同批准后予以实施；必要时，如果对计划进行更改也需要获得双方部长共同批准。软件设计开发计划应包括以下内容： a) 软件功能要求； b) 详尽的业务流程； c) 信息安全要求； d) 时间进度要求； e) 设计开发的各个阶段评审与测试要求； f) 设计开发人员的职责与权限； g) 其它要求。 4.1.3 设计开发人员的要求 软件设计开发人员须经开发部负责人授权，并应具备一定的软件开发能力和良好的职业道德。 4.1.4 设计开发方案的技术评审 4.1.4.1 设计开发负责人应根据软件设计开发计划的要求，编制软件设计开发方案，由开发部负责人对方案的技术可行性及系统的安全性进行确认。 4.1.4.2 对于大型软件开发方案应由设计开发人员、应用部门人员、内部IT方面的专家共同进行评审。 4.1.4.3软件设计开发方案应包括以下内容： a) 确定软件开发工具； b) 应用系统功能； c) 业务实现流程； d) 输入数据确认要求； e) 必要时，系统内部数据确认检查的要求； f) 输出数据的确认要求； g) 应用系统的安全要求； h) 对系统硬件配置的要求； i) 系统验收标准。 方案确认与审批的结果及任何必要的措施应予以记录。 4.1.5 设计开发的环境要求 在进行软件开发时，应采取适宜的方法将开发与运作设施分离： a) 开发和运行应当在不同的环境； b) 测试系统应该独立于运行系统。 4.1.6 软件的测试与试运行 4.1.6.1 源程序编制好以后，应在规定的测试环境条件并依据软件测试要求由软件设计开发负责人组织有关人员测试活动，填写《应用软件测试报告》。 4.1.6.2 当软件含有数据处理功能时，软件测试活动应包括以下方面的内容： a) 应用测试数据，验证内部数据处理的正确性； b) 应用测试数据，确认输出数据的正确性并与环境相适应。 4.1.6.3 当系统测试数据使用业务数据，并且包含敏感信息时，应按以下要求对测试数据进行保护： a) 用于运作系统的访问控制过程也应用于测试系统； b) 业务数据每一次复制到测试应用系统，应被系统主管部门授权； c) 测试完成之后，应立即从测试系统中消除。 4.1.6.4应用部门在试运行期间，应将使用中存在的问题及时反馈给开发部进行修改。试运行结束后，对试运行情况进行总结，并由XX部和应用部门负责人签字认可，投入使用。 4.1.7 更改控制 在设计开发过程中，涉及到系统功能、安全技术要求的更改应经过开发部负责人批准后予以实施，并经过测试合格后方可投入使用。 4.1.8 源程序库（程序源代码）管理及技术文档管理 4.1.8.1 为降低计算机程序被破坏的可能性，设计开发软件的源程序库应按以下要求实施管理： a) 源程序库不应保存在运作系统中； b) 各项应用应指定源程序库管理员； c) 信息技术维护人员不应自由访问源程序库。 4.1.8.2 XX部明确源代码管理责任人及保存方式。 4.1.8.3 源程序的管理应包括历史版本的管理。 4.1.9 软件开发外包控制 4.1.9.1 开发软件外包应该遵守《信息处理设备管理程序》。委托部门应明确软件开发的安全技术要求，由开发部审核，报分管公司负责人批准后，计划部与软件开发方签订软件开发合同，必要时，应签订保密协议，在协议中明确规定安全保密要求