ISO27001-2022程序文件之信息系统建设管理程序.docVIP

17、信息系统建设管理程序###-ISMS-0306-2023

1目的

为了对公司信息系统建设的策划、实现、测试、交付验收等进行有效的控制。

2范围

本程序规定了公司信息系统建设的策划、实现、测试、交付验收等控制要求，适用于信息系统的建设控制。

3职责

3.1技术部

负责信息系统建设的策划、实现、测试、交付验收管理。

3.3各部门

负责在业务范围内提出信息系统建设需求及其安全需求。

4程序

4.1信息系统建设策划

4.1.1信息系统的建设按照项目管理来开展工作，项目策划主要为获得信息系统的需求，主要包括以下内容：项目功能要求、信息安全要求、时间进度要求、测试与验收要求、其他要求等。

可以通过信息系统安全需求清单或协议进行明确。

4.2信息系统建设实现

4.2.1组织进行信息系统建设实现一般通过外购、外包开发、自主开发等形式，按照如下的控制方式：

信息系统外购按照4.3来控制；

信息系统外包开发按照4.4来控制；

信息系统自主开发按照《软件开发管理制度》。

4.3信息系统外购

4.3.1信息系统外购应该遵守《组织环境及相关方信息安全管理程序》。供应商必须在信息系统需求、实现过程、测试与交付验收过程中关注信息安全要求，确保满足相关要求。

4.4信息系统外包开发控制

4.4.1项目外包应该遵守《信息处理设施管理程序》。外包方应明确项目设计开发的安全技术要求，由技术部审核，报分管公司负责人批准后，技术部与外包方签订外包合同，如涉及公司秘密，还应签订保密协议，在协议中明确规定安全保密要求。

44.2项目投入使用前，应由外包方及我方技术人员共同进行测试，测试结束应填写《测试报告》，测试符合技术协议要求且经委托部门认可后，方可投入试运行；试运行结束后且使用中发现的问题已经得到圆满解决后，双方进行正式的验收，签署《项目验收报告》。

4.4.3外包方在我公司进行设计开发活动，应事先得到委托部门负责人的授权，签订协议，有我方人员在场的情况下方可进行。

4.5信息系统的测试与试运行及交付验收

4.5.1源程序编制好以后，应在规定的测试环境条件并依据项目测试要求进行测试活动，填写《项目测试报告》。

4.5.2当项目含有数据处理功能时，项目测试活动应确认输入数据的合规性、数据处理的正确性、输出数据的正确性，并测试环境相适应。

4.5.3当系统测试数据使用业务数据，并且包含敏感信息时，应按以下要求对测试数据进行保护：

用于运作系统的访问控制过程也应用于测试系统；

业务数据每一次复制到测试应用系统，应被系统主管部门授权；

测试完成之后，应立即从测试系统中消除。

4.5.4信息通试运行期间，将使用中存在的问题及时反馈给技术部进行修改。试运行结束后，应形成正式的《项目验收报告》，由技术部和客户负责人签字认可，投入使用。

4.6更改控制

在信息系统建设过程中，涉及到系统功能、安全技术要求的更改应经过技术部负责人批准后予以实施，并经过测试合格后方可投入使用,持续正常运行后，需进行相关配置的记录，填写《信息系统配置记录表》。

4.7新信息系统（或软件）在正式投入前，系统应用主管部门应对系统的访问权限规定并按照《访问管理程序》要求进行用户访问授权。

4.8新信息系统（或软件）投入使用后，相关部门应进行风险识别和评估，根据评估结果登记在本部门《重要信息资产清单》上，必要时制订相应的控制措施。

5记录

JL0306-01《项目测试报告》

JL0306-02《项目验收报告》

JL0306-03《变更申请表》

JL0306-04《信息系统配置记录表》