05项目监督与控制过程控制程序.doc

文档编号：XXXX-IT/ISMS-B-05

XXXX有限公司

IT/ISMS程序文件

项目监督与控制过程控制程序

拟制

编制小组

审核

XXX

批准

XXX

日期

2023-01-10

日期

2023-01-10

日期

2023-01-10

修订记录

日期

版本

修订内容概要

拟制

审核

批准

2023-01-10

A/0

首次发布

编制小组

XXX

XXX

XXXX有限公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。

目录

TOC\o1-2\h\z\u25005目录 2

234881目的 3

131422范围 3

76333职责 3

6663.1总经理 3

163243.2技术部 3

320324程序 3

454．1信息系统方案需求分析 3

144884.2供应商选择 4

127574.3方案的确定和实施 4

268944.4系统测试和上线运行 4

315554.5信息系统交付 4

314804.6系统文件的安全 4

325265满足客户要求 6

139816引用文件 6

72117记录 6

1目的

为了对公司信息系统项目建设的策划、开发、实施、检查等进行有效的控制，特制定本程序。

2范围

本程序规定了公司信息系统项目建设的策划、开发、实施、检查等控制要求，适用于信息系统开发建设的控制。

3职责

3.1总经理

负责批准各种信息系统的建设项目和建设方案。

3.2技术部

负责信息系统开发建设项目的研发，研发过程中控制信息系统开发建设项目的信息安全和技术支持。

负责在业务范围内提出信息系统开发建设需求提供，进行项目验收和项目质量的监控等工作。

4程序

4．1信息系统方案需求分析

4.1.1技术部应根据业务的应用需求，简要提出新增信息系统或者现有信息系统更新、升级、由技术部完成的信息系统开发需求书包括以下内容：

－－功能需求背景：简单描述系统现状及项目建设或软件开发的必要性。

－－项目建设目标：描述项目建设或软件开发拟达到的目标。

－－项目建设原则：描述项目开发所依赖的主客观条件。

－－具体功能需求：详细描述每一个具体功能需求。

－－项目进度要求：列出项目开发的时间要求

4.1.2项目组应制定开发计划书并通过项目关系人审核。开发计划书应包括软硬件结构、软件性能要求、项目投资估算。并根据业务功能要求及信息安全要求，明确规定信息系统安全控制的要求，考虑整合到信息系统中的自动控制措施和支持人工控制的需要。在对系统验证时应考虑：

a)系统的安全特性及对现有系统安全的影响；

b)系统容量的要求；

c)由于系统安全的失效或缺失所带来的业务破坏；

d)设计过程中的安全控制要求。

4.1.3如果仅是购买产品和软件，在与供应商的合同中应提出已经识别的安全需求，有经过正式的测试说明。当产品和软件的安全功能不能满足指定的需求时，应在购买产品前进行风险评估和采取相关的控制措施。如果提供的附加功能引起安全风险，应对提议的控制结构进行评审以决定是否能从增强的功能中获得利益。

4.1.4开发计划书和信息系统开发需求书应报总经理批准。

4.2供应商选择

4.2.1综合部按公司采购管理的要求选择硬件供应商和/或软件开发商。

4.2.2硬件供应商和/或软件开发商以及他们提供的产品和服务的控制按照《供应商管理程序》进行。

4.3方案的确定和实施

4.3.1开发计划书审批后提交给各项目组。各项目组根据信息系统开发需求书，负责平台的搭建等一系列环境准备工作。

4.3.2应防止应用系统中的信息的错误、遗失、未授权的修改及误用。在确定信息系统开发需求书时应考虑：

a)应用系统内应设计合适的控制措施以确保正确处理。这些控制措施应包括对输入数据、内部处理和输出数据的验证；

b)识别确保真实性和保护消息完整性的要求，必要时采取适当的控制措施；

c)使用密码控制措施来保护信息，使用密码时，应基于风险评估，确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量，并符合《信息系统开发控制程序》的要求；

4.3.4质量保证人员应监督软件开发商按合同条款进行相关的开发或者部署。

4.3.5技术部负责信息系统的研发和实施。

4.3.6如果需要对开发计划书变更时，项目组应提出变更申请，经总经理批准后实施。

4.4系统测试和上线运行

4.4.1系统正式上线前需进行测试，在测试前根据设计方案或合同要求等制订测试验收方案，在测试验收过程中详细记录测试验收结果。测试应按信息系统开发需求书、信息