信息系统获取、开发与维护程序.docVIP

信息系统获取、开发与维护程序 目的 为确保安全成为所开发的信息系统一个有机组成部分，保证开发过程安全，特制定本程序。 范围 适用于本公司所有信息系统的开发活动中，信息系统内在安全性的管理。本程序作为软件开发项目管理规定的补充，而不是作为软件开发项目管理的整体规范。 开发过程中所形成的需求分析文档、设计文档、软件代码、测试文档等技术信息的管理应遵从信息资产密级管理的有关规定，本程序不在另行规定。 术语及定义 无 引用文件 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求 ISO/IEC 17799:2005 信息技术-安全技术-信息安全管理实施细则 信息资产密级管理规定 职责和权限 开发部是信息系统开发过程中的安全管理部门,负责保证开发过程安全。 工作程序 控制措施-对信息系统进行安全性需求分析与相关规格说明 目标：在描述新系统或改进原有系统的业务需求时，应收集、分析系统在安全性方面的需求，并在系统需求规格说明书详细描述。 安全性需求包括两方面的内容，一是对系统本身的安全需求，如系统具备数据通信加密、用户身份鉴别