扫一扫,加我微信
15338824582
0755-21380663
1.0 目的
为了公司系统的安全,确保将安全构建成信息系统的一部分。防止在应用软件系统中的用户数据的丢失、改动或者误用。维持应用程序系统软件和信息的安全。
2.0 适用范围
适用于公司内部网络、系统、软件的开发活动及过程控制,不包括电源监控软件、生产测试软件的开发活动及过程控制。
3.0 职责
3.1 总经理负责网络或系统开发需求、评审的批准,以及网络或系统开发更改的批准,并为网络或系统开发工作提供必要的资源。
3.2 信息安全主任负责网络或系统开发需求、评审的审核,以及网络或系统开发更改批准,并参与以及网络或系统开发的协调工作。
3.3 电脑部门负责网络或系统开发的策划和实施工作,主导网络或系统开发的更改评审及网络,主导系统开发产品或服务评估验收工作,同时负责开发产品或服务过程的相关记录资料的保管,以及网络或系统开发使用中的问题或故障的处理。
3.4 各部门负责以及网络或系统开发需求、更改的提出,参与网络或系统开发各阶段的评审,以及网络或系统开发产品或服务的评估、验收、使用,并及时反馈网络或系统开发产品的使用情况。
4.0 规定
4.1 网络和系统开发的评审
4.1.1 相关部门根据实际业务和工作的需要,申请以下类型的网络或系统开发需求:
a. 系统或软件功能开发(包括:功能扩充、功能优化、功能删减等);
b. 新系统或软件开发。(主要指市场无标准版,需要定制的)
c. 网络工程项目开发(包括:网络改造、网络优化、网络扩建等工程项目)
4.1.2 需求部门填写《网络或系统开发申请表》说明网络或系统开发要求,部门经理及信息安全主任审核后交电脑部。需求说明时应满足以下要求:
a. 系统或软件功能开发时,应详细准确的描述系统或软件功能开发后需要实现的功能,以及时间要求。
b. 新系统或软件开发,应形成书面的新系统或软件的主要技术规格和功能说明材料,以及时间要求。
c. 网络工程项目开发时,并详细的说明网络工程的具体技术要求(如:网络设备、网络流量设计等技术要求)。
4.1.3 电脑部应组织相关部门以及相关工程人员进行网络或系统开发要求进行可行性分析和评审,评审结果记录至《网络或系统开发申请表》,评审内容为:
a. 网络或系统开发的兼容性;
b. 开发技术能力实现程度;
c. 网络或系统的信息安全策略;
d. 网络或系统开发交付要求;
e. 网络或系统开发的成本。
4.1.4 电脑部根据可行性评审结果综合考虑,确定开发方式(内部开发或外部开发),并报总经理或授权人审批,审批未通过应放弃开发。
4.2 网络和系统开发的策划
4.3.1 电脑部制定详细的《网络或系统开发计划表》,明确项目的开发的进度、责任人、步骤,以及相关技术要求和功能更改程度。
4.3.2 电脑部应根据《网络或系统开发申请表》以及评审的结果,制定详细的《网络或系统开发设计方案》,方案中应包括安全策略、技术要求、功能清单、交付要求等。系统或软件功能开发由内部进行时可不形成《网络或系统开发设计方案》;
4.3.3 确定为外部开发时,必须选择有资质的外部开发方,签订相关的商务协议和《保密协议》后委托其开发。并将《网络或系统开发设计方案》交于外部开发方。进行系统或软件功能开发时,根据外部开发方的要求,确定是否递交需功能开发的系统或软件;必要时,提供系统或软件源代码。
4.3.4 确定为内部开发时,电脑部应准备相应的源代码、设计文档或相关的履历表,必要时可联系系统或软件提供商获取必要的系统或软件相关的信息。
4.3 网络和系统开发过程控制
4.3.1 电脑部根据《网络或系统开发计划表》的要求进行开发工作,及时跟进内外部开发进度,并在《网络或系统开发计划表》注明进度情况,同时应对内外部开发工作进行协调,确保开发和维护工作在计划时间内完成。
4.3.2 网络或系统开发过程中根据项目的进展程度,必要时电脑部应组织相应的评审,以确保网络或系统的开发工作顺利实施,并形成《网络或系统开发评审表》,根据评审结果更新《网络或系统开发设计方案》。
4.3.3 网络或系统开发的输出结果应进行收集和管理,对于外部开发方开发产品或服务交付时,电脑部应根据商务协议要求情况,要求其提供相应的资料。
a. 对于系统或软件功能开发或新系统或软件开发的输出包括:源代码、设计文档、功能清单、开发后的系统或软件、新系统或软件、用户说明书等。
b. 网络工程项目开发的输出包括:网络设备设施规格清单、网络布线图、安装后的网络设备或设施、网络接口标识等。
4.4 网络和系统开发的更改控制
4.4.1 网络和系统开发更改时,更改提出单位必须将详细更改内容以书面形式反馈至电脑部,电脑部应将更改信息记录至《网络或系统更改评审表》;对于外部开发方提出更改,电脑部应在《网络或系统更改评审表》后附注有效的更改文本,更改文本应有具备有效性(如:外部开发方的签字或公章等)。
4.4.2 电脑部组织相关的部门进行更改评审,评审方式可采用会议或表单会签方式,评审及更改处理结果必须记录至《网络或系统更改评审表》中。评审内容包括:
a. 技术要求评审,应考虑更改引起的内/外部技术能力满足情况,还应考虑《网络或系统开发设计方案》技术要求满足程度。
b. 网络或系统的信息安全策略;当信息安全策略有影响时,应考虑放弃更改。
c. 交付期限的评审,若内部提出更改影响外部开发方交付时,电脑部应及时与外部开发方协商,确定交付时间。若外部提出更改影响公司的交付期限时,电脑部可根据商务协议要求,进行协商处理,同时应及时通知内部需求部门。
d. 更改成本的评审,电脑部应根据更改情况,估算更改引起的成本,根据责任权重确定成本的消化处理方式(内部承担或外部承担)。
4.4.3 电脑部综合考虑网络或系统更改评审结果,确定其更改的可行性结论,记录至《网络或系统更改评审表》中,交由信息安全主任审核,经总经理批准生效,并将更改信息以书面形式向承担开发单位发布。
4.4.4 电脑部应该及时修改《网络或系统开发设计方案》、《网络布线图》、《网络或系统开发计划表》等开发记录或档案。必要时应与外部开发方签订相关补充协议。
4.4.5 电脑部并对开发更改过程进行确认和验证,确认和验证的方式应考虑实际更改的情况(交付期限更改,一般可不进行验证);确认和验证结果必须形成相应的书面记录。技术更改时应按照以下要求进行确认和验证:
a. 若内部开发,电脑部根据开发记录和档案确认更改的实施,应将确认结果记录至《网络或系统更改评审表》中,验证根据实际情况则的确定验证方式,若当时无法验证时,应在开发工作完成后按4.5的要求进行验证。
b. 若外部开发,电脑部应根据实际情况进行更改确认,必要时应到外部开发方现场确认,验证过程一般在外部开发方交付产品或服务后,按照4.5要求验证。
4.5 网络和系统开发的评估
4.5.1 网络或系统开发的评估由电脑部主导,电脑部充分利用现有资源采用适当的方式进行网络运行能力或系统功能模拟测试或评估(必要时还应包括风险评估),若无法评估时,可采用需求部门试用方式评估,模拟测试评估时还应注意以下事项:
a. 系统模拟测试评估时,系统安装前应进行杀毒处理,并且必须在单机上进行。如果需求部门试用,则必须采取相应的防护(如:即时备份等)。
b. 网络模拟测试评估时,可通过虚拟计算方式,或者使用隔离网络运行模拟测试。如果需求部门试用,则必须采取相应的防护(如:即时备份,设置防火墙等)。
4.5.2 网络或系统开发的评估结果记录至《网络/系统/软件评估验收表》中,当评估结果不满足要求时,电脑部应要求承担开发单位进行重新进行网络或系统开发。
4.6 网络和系统开发的交付验收
4.6.1 电脑部主导网络或系统开发产品或服务的验收工作,验收的依据为《网络或系统开发申请表》或《网络或系统开发设计方案》,因开发类型不同验收内容份为:
① 系统或软件类开发的验收包括:
a. 开发后的系统或软件功能的满足程度,或者新系统或软件功能的满足程度。
b. 功能清单、使用说明书等附件的充分性、适用性。
c. 源代码、设计文档的正确性。外部开发时根据商务协议要求情况进行验收;内部开发时,开发工程人员必须提供,整理后交由文控中心受控和保存。
② 网络工程验收包括:
a. 安装后的网络设备或设施的运行能力及负载能力等的满足程度
b. 网络布线图、网络设备设施清单、网络接口标识等的充分性和准确性。
4.6.2 网络或系统开发产品或服务验收结果记录至《网络/系统/软件评估验收表》,内部开发由需求部门签字验收,外部开发则由电脑部和需求部门签字验收。
4.6.3 网络或系统开发产品或服务验收后,承担开发的单位应对需求部门进行培训和指导,以确保其能掌握网络或系统开发产品或服务的基本操作要求。
4.7 网络和系统开发产品或服务的使用
4.7.1 需求部门应妥善保管交付的网络和系统开发产品或服务,并按照培训和指导以及使用说明书的要求进行使用和操作。
4.7.2 需求部门应定期将网络和系统开发产品或服务的使用情况进行反馈,如果出现异常问题,电脑部可按照《薄弱点、故障及事故控制程序》要求进行处理。
4.7.3 电脑部应定期对网络和系统开发产品或服务的使用情况进行调查和了解,根据调查了解的情况进行相应处理,必要时应建立相应的履历记录。
5.0 缩略语及术语定义
无
6.0 支持文件
6.1 《薄弱点、故障及事故控制程序》
7.0 记录
7.1 《网络或系统开发申请表》
7.2 《网络或系统开发计划表》
7.3 《网络或系统开发设计方案》
7.4 《网络或系统开发评审表》
7.5 《网络或系统更改评审表》
7.6 《网络拓扑图》
7.7 《网络布线图》
7.8 《网络/系统/软件评估验收表》
8.0 附录
无
