信息系统开发与项目安全管理规定.pdfVIP

吾日三省乎吾身。为人谋而不忠乎?与朋友交而不信乎?传不习乎?——《论语》

XXX信息科技有限公司

信息系统开发与项目安全管理规定

第一章总则

第一条为规范科技发展部信息系统开发相关安全控制，保障信息

系统本身的安全性以及开发、测试和投产过程的安全性，规范信息系

统获取、开发与维护过程中的职责定义与流程管理，特制定本规定。

第二条本规定适用于科技发展部范围内的信息系统获取、开发、

实施、投产各过程及项目实施的管理。

第二章组织与职责

第三条科技发展部风险管理组负责制定相关规定，并监督各部门

落实情况。

第四条各部门安全组负责监督和检查本规定在本部门的落实情况。

第五条项目需求部门除提出功能需求外还负责在相关部门的协助

下提出系统安全需求。

第六条项目建设部门承担具体信息系统设计、开发实施，负责进

行系统安全需求分析。保证系统设计、开发、测试、验收和投产实施

阶段满足项目安全需求和现有的系统安全标准和规范。组织系统安全

需求、设计和投产评审。

第1页共10页

吾日三省乎吾身。为人谋而不忠乎?与朋友交而不信乎?传不习乎?——《论语》

XXX信息科技有限公司

第三章信息系统开发与项目安全管理规定

第七条信息系统建设项目各阶段（尤其是需求设计、测试及投产

等重要阶段）评审时，评审内容必须包括相应的安全要求，具体要求

参见附件2：信息安全功能设计检查列表。

第八条系统安全评审时，应提交相应安全设计、实现或验证材料，

对于评审中发现的问题相关责任部门应及时整改。

第九条对于公共可用系统及重要信息数据的完整性应进行保护，

以防止未经授权的修改。同时，网上公开信息的修改发布遵循业务部

门的相关管理规定，只有经过授权流程后才能修改相应信息。

第十条安全需求分析

（一）在项目的计划阶段，项目需求部门与项目建设部门讨论并

明确系统安全需求分析，作为项目需求分析报告的组成部分。

（二）项目需求部门与项目建设部门应对系统进行风险分析，考

虑业务处理相关流程的安全技术控制需求、生产系统及其相关在线系

统运行过程中的安全要求，在满足相关法律、法规及规章、技术规范

和标准等约束条件下，确定系统的安全需求。

（三）系统安全保护遵循适度保护的原则，需满足以下基本要求，

同时实施与业务安全等级要求相应的安全机制：

1.采取必要的技术手段，建立适当的安全管理控制机制，保

证数据信息在处理、存储和传输过程中的完整性和安全性，防止

第2页共10页

吾日三省乎吾身。为人谋而不忠乎?与朋友交而不信乎?传不习乎?——《论语》

XXX信息科技有限公司

数据信息被非法使用、篡改和复制。

2.实施必要的数据备份和恢复控制。

3.实施有效的用户和密码管理，能对不同级别的用户进行有

限授权，防止非法用户的侵入和破坏。