信息系统开发管理程序.docxVIP

信息系统开发管理程序 1、目的 为确保信息系统的获取、开发全过程中的信息安全 , 并保证公司 信息系统整体的安全，特制定本程序。 2、适用范围 ISMS范围内所有参与信息系统的获取、开发过程的相关人员。 3、术语和定义 4、职责和权限 DKC负责信息系统的获取、开发和维护； 相关部门配合 DXC,及时响应相关要求。 5、相关浯动 5.1 信息系统的安全要求 信息系统在建设或升级之前 , 根据业务活动要求 , 要通过调研、风险评估等手段识别存在的各种安全风险 , 并依据公司信息安全管理相关规定 , 提出信息安全需求 , 作为信息系统整体功能需求的一部分。 安全需求包括： 信息系统安全需求的准确性； 系统容量设计的合理性； 技术设计和施工组织两方面的安全性 : 对项目建设过程中可能存在的安全风险和处理办法； 与国家相关法律、法规、标准、公司信息安全有关规定的符合性。 5.2 信息系统的获取与开发 5.2.1 信息系统开发管理 对承建单位在几个方面提出要求 : 保守公司商业秘密的责任和义务要求； 保护知识产权的责任和义务要求； 使用公司信息处理设施的信息安全责任和义务要求。 对使用的产品 , 应有相应的证明材料 , 如软件产品必须为正版的 商业软件 , 信息安全产品必须通过国家相应机构的检测认证 , 特别是涉密产品 , 必须使用国家保密单位批的信息安全产品。 在条件允许的前提下 , 要将开发、测试与运行系统分离 , 避免开发和测试活动对运行系统的稳定和安全造成影向。 在信息系统开发过程中 , 出 DXC负责安全控制与管理 , 重点监控以下内容 : 测试数据的输入验证 , 以减少输入错误造成的风险 : 系统对处理过程中的数据完整性验证检查 , 防止因数据完整性的错误造成的风险； 要对输出进行验证 , 确保输出的完整、正确；对程序源代码的访问要做出明确的规定；公司的敏感数据不允许作为测试数据使用。 5.2.2 重要信息的保护 信息系统的运行系统文件、 重要要测试数据、 程序源代码是采取措施加以保护。这些数据必须进行备份 , 条件允许的前提下 , 对备份数 据要保存在不同的地点。 对上述数据的使用和访问 , 必须经过相关人员的同意 , 同吋做好 相关使用记录。 5.2.3 外包软件开发 对外包软件开发 , 按《第三方服务安全管理程序》执行。 6、相关文件和记录