现成软件管理规定.docxVIP

文件编号/版本号： PAGE \* Arabic 1 / NUMPAGES \* Arabic 2 现成软件管理规定 编制： 审核： 批准： 日期： 日期： 日期： 生效日期： 受控状态： 文件名称 现成软件管理规定 文件编号 版本号 PAGE \* Arabic 1 / NUMPAGES \* Arabic 2 目录 TOC \o 1-1 \h \z \u 1、 目的 3 2、 范围 3 3、 职责 3 4、 概念及释义 3 5、 分类 3 6、 风险管理 3 7、 验证与确认 3 8、 缺陷管理与软件更新 4 9、 配置管理 4 10、 网络安全保证 4 11、 可追溯性 4 12、 其他要求 4 13、 相关文件 5 14、 质量记录 5 现成软件适用维护记录 6  目的 规范现成软件使用的要求，明确现成软件使用的管理流程，确保现成软件的风险管理、验证与确认、缺陷管理、可追溯性分析、软件更新、配置管理、文件与记录控制、网络安全保证等活动要求得到满足。 范围 适用于公司所有的现成软件的使用。 职责 研发部：负责人该程序文件的实施 质量部：负责该程序文件的监督实施。 概念及释义 现成软件：生产企业未进行完整生存周期控制的软件，包括遗留软件、成品软件、外包软件。 遗留软件：生产企业以前开发但现在不能得到足够开发记录的软件。 成品软件：已开发且通常可得到的，但生产企业未进行完整生存周期控制的软件。 外包软件：生产企业委托第三方开发的软件。 分类 现成软件的分类应按照《软件生存周期过程控制程序》中软件安全性级别的要求进行分类。 风险管理 现成软件的使用、更新维护、迭代升级、更换等过程会对产品质量造成影响的，则需要评估其带来的风险大小。按照《风险管理控制程序》的要求进行处理，根据风险的大小来确定是否采取控制措施，相关的评估、分析、处理记录保存于《现成软件使用维护记录》。 验证与确认 现成软件首次使用前，如需要，则需要对现成软件进行验证或确认，保留相关的验证或确认记录于《现成软件使用维护记录》。 若在使用过程中，出现维护更显、迭代升级、更换、配置变更等现象，则需要对其活动实施后，进行相关的验证或确认，保留相关的验证或确认记录。 缺陷管理与软件更新 现成软件使用过程，发现已经存在的缺陷或潜在的缺陷，需要对缺陷进行处理。 如果现成软件为成品软件、外包软件等相关软件，企业没有权限和能力去对缺陷进行修复，则需要记录该缺陷于《软件缺陷报告》中，组织相关的人员对缺陷内容进行评估，评价缺陷的发生的概率和严重程度。若缺陷问题较大，会带来严重的质量影响，则需要将该问题反馈给供应商，由供应商进行缺陷修复。若无法联系到供应商，则根据风险评价的大小，决定是否继续使用该软件，保留相关的评级和处理结果。 现成软件的更新按照上述要求实施。 配置管理 在现成软件首次使用前，需要在《软件版本确认表》中，明确软件的配置说明；现成软件在使用的过程中，由于软件的更新维护，导致软件配置的变化，则在《现成软件维护使用记录》中，明确软件的更新维护变化和相关的配置变化，并根据配置变化的要求，提供相应的配置资源。 网络安全保证 除满足《网络安全事件应急响应管理规程》外，还应采取以下措施以保证网络安全。 1) 定期对现成软件的使用的运行环境进行杀毒防护； 2) 严格控制对网络设备的管理授权，按照最小权限原则对用户进行授权； 3) 网络设备登录是的标识应适当屏蔽内部网络信息内容； 4) 对重的区域实施冷备份和热备份，避免双重失效造成的影响； 5) 根据实际情况及时检查和更新现有的防护墙的配置策略，满足新的安全需求； 6) 采取逻辑或物理隔离方法对网络采取必要的隔离措施，已维护不同网络间的信息的机密性，解决网络信息分区传输的安全问题。 可追溯性 在按照《软件可追溯性分析控制程序》的进行可追溯性分析时，应包括现成软件的内容。 其他要求 遗留软件还应当确定现有文件、上市后使用情况、用户投诉、不良事件、召回情况等评估活动要求。使用开源软件应当遵循相应开源许可协议。 相关文件 无 质量记录 现成软件使用维护记录 修订记录 序号 版本号 修订摘要 批准人 1 1.0 新建 记录编号/版本号： PAGE \* Arabic 1 / NUMPAGES \* Arabic 2 现成软件使用维护记录 软件名称 完整版本 软件来源 用途 软件使用异常描述（包含软件使用异常、更新维护、迭代升级、变更） 异常问题风险评估：（包括过程和评估分析结果） 处理