第三方组件安全管理办法.docxVIP

TOC \o 1-5 \h \z 第一章 总贝U 1 第二章 组织与职责 1 第三章 第三方组件选用及入网安全管理 2 第四章 第三方组件登记及版本管理 4 第五章 第三方组件基础安全功能及配置要求 5 第六章 附则 6 附件1 XXXX系统第三方组件选用申请表 7 附件2 XXXX系统第三方组件登记表 8 附件3 XXXX系统第三方组件测试记录 9 附件4: XXXX系统第三方组件文件活单 11 附件5: XXXX系统第三方组件端口服务活单 12 附件6: XXXX系统第三方组件帐号权限活单 13 附件7 XXXX系统第三方组件版本更新记录表 14 第一章 总则 第一条 为了规范公司应用系统对第三方组件的安全使用， 降低引入第三方组件给应用系统带来的信息安全风险， 特制定本 管理办法。 第二条 本办法所称应用系统包括但不限于通信网、业务平 台、支撑系统等涉及的应用系统。 第三条 本办法适用于公司各部门、省客户服务中心、各市 分公司（以下简称：各单位）。 第四条 本办法所称的第三方组件指在应用开发过程中所引 入的第三方的代码、控件、组件、库文件与应用产品等。应用服 务器、数据库、中间件与操作系统不在本办法所称的第三方组件 范畴内。常见的第三方组件包括: （一） 开发过程引入的开源或非开源库文件，如 Java的jar 文件等等： （二） 非开发方自身开发的内容管理系统、 论坛、博客等应用， 如Discuz等等； （三） 公开的开发框架，如 Struts、Spring、Hibernate等等。 第二章组织与职责 第五条 系统建设部门：指提出系统开发/建设需求的单位， 其主要职责包括： （一） 对第三方组件使用进行入网测试、入网登记； （二） 对使用第三方组件的系统进行安全测试； （三） 督促系统开发人员/厂商落实第三方组件安全管理要 求； （四） 向采购部门提出合同中需明确的第三方组件安全管 理要求； （五） 向采购部门提出合同中需明确的系统集成 /开发商以 及设备提供商对第三方组件信息安全责任及后续服务的要 求。 第六条 系统运维部门：指具体负责系统安全管理、运维工 作的单位，其主要职责包括： （一） 对系统中的第三方组件使用情况进行登记、版本管理、 报备； （二） 定期对系统中的第三方组件进行安全检查、评估和加 固； 第三章 第三方组件选用及入网安全管理 第七条系统建设部门应在系统需求以及开发建设技术规范 中明确第三方组件选用的基础安全要求； 第八条 系统建设部门应在系统建设和维护服务等合同中明 确提出：承担公司工程建设项目的集成 /开发商或者提供维保服 务的厂商，对其引入/使用的第三方组件应承担的信息安全责任 及后续服务要求，系统开发商和相关服务提供商至少应履行以下 义务和职责： （一） 应有第三方组件的原作者或厂商授权 ，出现专利纠纷或 侵权使用等责任问题时由系统开发商负责。 （二） 应保证引入的第三方组件的安全质量，调研待引入的版 本是否有已知安全漏洞。对开源的第三方组件，应进行源代 码安全分析，防止出现系统漏洞与后门。系统开发商及相关 服务厂商应对使用第三方组件的信息安全风险负责。 （三） 应满足第三方组件选用、 入网、版本管理、登记等管理 要求，并符合第三方组件基础安全功能和配置要求。 （四） 在产品投入运行直至退网期间， 应及时地、无偿的向公 司发布第三方组件相关安全漏洞及应急处置措施，在实验环 境内对补丁及加固配置进行兼容性测试、提供测试结果，并 协助公司进行补丁升级和配置加固等工作。 （五） 当发现第三方组件存在“零日”安全漏洞时，应制定临时 补救措施或联系第三方组件开发商索取安全补丁，并在经过 维护管理部门的审核后进行整改。 第九条第三方组件选用流程： （一）开发商应向系统建设部门提交第三方组件的详细说明， 内容至少包括：系统名称、系统集成 /开发厂商、拟选用的 第三方组件名称、版本号、主要功能、用途、风险分析、 风险规避措施、基础安全功能测试结果等。 （二） 系统建设部门应对开发厂商拟选用的第三方组件进行 审核，测试和备案，对不符合基础安全功能要求的组件， 或存在重大信息安全风险的组件应不予选用。 （三） 系统建设部门应在系统上线前进行入网安全测试， 测试 内容至少包括：检查采用的第三方组件及版本是否经过审 批、是否符合基础安全配置要求、风险规避措施是否有效、 是否存在其他信息安全风险等。未通过安全测试的系统不 可以上线。 第十条系统建设部门向系统运维部门交维时应提交第三方 组件登记表、入网安全测试记录及相关信息表。 登记表内容至少 包括：系统名称、系统集成/开发厂商、第三方组件名称、版本 号、主要功能、用途、风险分析、风险规避措施、入网安全测试 结果等。相关信息表包括但不限于：第