應(yīng)用系統(tǒng)開發(fā)及維護(hù)管理制度.doc

.某單位應(yīng)用系統(tǒng)開發(fā)及維護(hù)管理制度第一章 總 則第一條 為進(jìn)一步規(guī)范某單位計(jì)算機(jī)軟件系統(tǒng)采購、開發(fā)、安裝、測試和運(yùn)行維護(hù)相關(guān)工作，確保信息系統(tǒng)正常運(yùn)行，根據(jù)國家安全管理有關(guān)規(guī)定制定本制度。第二條 軟件管理范圍包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用服務(wù)系統(tǒng)、應(yīng)用軟件、安全軟件和工具軟件等。第二章 軟件采購及安裝第三條 采購的軟件必須是正版軟件，嚴(yán)禁使用盜版軟件。如需采用共享版軟件，必須由管理員進(jìn)行嚴(yán)格測試。第四條 重要服務(wù)器操作系統(tǒng)和應(yīng)用系統(tǒng)軟件必須在安全管理員監(jiān)督之下進(jìn)行安裝，計(jì)算機(jī)上安裝的軟件需事先經(jīng)安全管理員審查認(rèn)可。第五條 軟件安裝后，須使用可靠檢測軟件或手段進(jìn)行安全性測試，了解其脆弱性，并根據(jù)脆弱性程度采取措施，使風(fēng)險(xiǎn)降至最小。第六條 軟件安裝后，原件（盤）應(yīng)進(jìn)行登記造冊，并由專人保管。第七條 軟件安裝時(shí)，填寫軟件安裝記錄表。第八條 軟件更新后，軟件的新舊版本均應(yīng)登記造冊，并由專人保管，舊版本銷毀應(yīng)經(jīng)審批登記。第三章 軟件使用維護(hù)第九條 系統(tǒng)管理員和安全管理員負(fù)責(zé)維護(hù)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及安全管理軟件，并對(duì)維護(hù)情況進(jìn)行記錄。第十條 及時(shí)更新操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)及其它相關(guān)軟件的系統(tǒng)補(bǔ)丁。第十一條 及時(shí)對(duì)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)及其它相關(guān)軟件進(jìn)行稽核審計(jì)，分析與安全有關(guān)的事件，堵塞安全漏洞。第十二條 軟件更新后，須重新審查系統(tǒng)安全狀態(tài)，必要時(shí)對(duì)安全策略進(jìn)行調(diào)整。第四章 應(yīng)用軟件開發(fā)管理第十三條 聯(lián)合開發(fā)信息系統(tǒng)軟件，應(yīng)選擇有相應(yīng)軟件開發(fā)資質(zhì)的單位，并令其簽訂安全承諾書。網(wǎng)絡(luò)信息中心應(yīng)對(duì)具體參與人員登記備案，并對(duì)其進(jìn)行必要的安全教育和監(jiān)督。第十四條 應(yīng)用軟件開發(fā)必須根據(jù)信息安全等級(jí)，同步進(jìn)行相應(yīng)的安全設(shè)計(jì)，并制定各階段安全目標(biāo)，按目標(biāo)進(jìn)行管理和實(shí)施。第十五條 應(yīng)用軟件開發(fā)必須有安全管理專業(yè)技術(shù)人員參加，其主要任務(wù)是：對(duì)系統(tǒng)方案與開發(fā)進(jìn)行安全審查和監(jiān)督，負(fù)責(zé)系統(tǒng)安全設(shè)計(jì)和實(shí)施。第十六條 開發(fā)環(huán)境和現(xiàn)場必須與辦公環(huán)境和工作現(xiàn)場分開，軟件設(shè)計(jì)方案、數(shù)據(jù)結(jié)構(gòu)、安全管理、操作監(jiān)控手段、數(shù)據(jù)加密形式、原代碼等，只能在有關(guān)開發(fā)人員及有關(guān)管理機(jī)構(gòu)中流動(dòng)，嚴(yán)禁散失或外泄。第十七條 應(yīng)用軟件開發(fā)必須符合軟件工程規(guī)范。第十八條 應(yīng)用系統(tǒng)變更需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，并填寫相應(yīng)系統(tǒng)任務(wù)單，并由主管領(lǐng)導(dǎo)批準(zhǔn)同意。第十九條 對(duì)于系統(tǒng)軟件，必須從身份鑒別、訪問控制和安全審計(jì)等幾個(gè)方面進(jìn)行安全功能同步開發(fā)。第二十條 開發(fā)、測試業(yè)務(wù)應(yīng)用系統(tǒng)所使用的網(wǎng)絡(luò)環(huán)境和設(shè)備應(yīng)與系統(tǒng)實(shí)際運(yùn)行環(huán)境、設(shè)備隔離。第二十一條 測試、聯(lián)調(diào)業(yè)務(wù)應(yīng)用系統(tǒng)時(shí)，應(yīng)禁止使用實(shí)際工作信息作為測試數(shù)據(jù)。第二十二條 應(yīng)有專人對(duì)進(jìn)入現(xiàn)場進(jìn)行后期維護(hù)或升級(jí)的服務(wù)人員進(jìn)行陪同，禁止服務(wù)人員將具有存儲(chǔ)功能的自帶設(shè)備接入網(wǎng)內(nèi)，并限制其對(duì)網(wǎng)內(nèi)操作訪問的權(quán)限、禁止其訪問網(wǎng)內(nèi)的工作信息。第五章 人員管理第二十三條 設(shè)置系統(tǒng)管理員、安全管理員、安全審計(jì)員，各員必須嚴(yán)格按照操作權(quán)限操作，不得越權(quán)操作。第二十四條 系統(tǒng)重要配置變更必須記錄相應(yīng)操作日志，日志包括操作時(shí)間、執(zhí)行命令等，并由安全審計(jì)員審計(jì)。第二十五條 操作人員離開系統(tǒng)時(shí)，應(yīng)退出系統(tǒng)或進(jìn)行系統(tǒng)封鎖。第二十六條 操作人員隨時(shí)監(jiān)控設(shè)備運(yùn)行狀況，發(fā)現(xiàn)異常情況應(yīng)立即按照規(guī)程進(jìn)行操作，并及時(shí)上報(bào)和詳細(xì)記錄。第二十七條 未經(jīng)允許，任何人不得以任何方式試圖登錄進(jìn)入網(wǎng)內(nèi)服務(wù)器等設(shè)備并對(duì)其進(jìn)行修改、設(shè)置、刪除等操作。第六章 系統(tǒng)運(yùn)行管理第二十八條 啟動(dòng)與關(guān)閉：應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)啟動(dòng)和關(guān)閉應(yīng)嚴(yán)格按照系統(tǒng)啟動(dòng)和關(guān)閉流程和步驟由系統(tǒng)管理員和安全管理員負(fù)責(zé)操作。應(yīng)用系統(tǒng)一旦啟動(dòng)，在沒有特殊需要的情況下，應(yīng)始終處于運(yùn)行狀態(tài)。第二十九條 系統(tǒng)正常運(yùn)行情況下的停機(jī)：系統(tǒng)正常運(yùn)行情況下任何停機(jī)要求應(yīng)按照下列處理流程處理： （一）網(wǎng)絡(luò)信息中心提前一日報(bào)分管領(lǐng)導(dǎo)進(jìn)行批準(zhǔn)，提前半日通知系統(tǒng)用戶，內(nèi)容應(yīng)包括：停機(jī)原因、預(yù)計(jì)恢復(fù)時(shí)間等。 （二）緊急停機(jī)：網(wǎng)絡(luò)信息中心為應(yīng)付突發(fā)事件，如黑客攻擊或其他無法預(yù)料事件，避免系統(tǒng)受到損壞，可以采取臨時(shí)緊急停機(jī)措施。采取措施同時(shí)，通知網(wǎng)絡(luò)信息中心領(lǐng)導(dǎo)；1小時(shí)內(nèi)通知所有用戶，內(nèi)容應(yīng)該包括：停機(jī)原因、預(yù)計(jì)恢復(fù)機(jī)房時(shí)間等。第七章 系統(tǒng)使用管理第三十條 需定期對(duì)系統(tǒng)內(nèi)安全產(chǎn)品的安全策略規(guī)則進(jìn)行審核、測試、校正，并作好相關(guān)審批手續(xù)和記錄。第三十一條 禁止在機(jī)房終端計(jì)算機(jī)私自安裝、卸載各種軟件、操作系統(tǒng)或硬盤、網(wǎng)卡等。第三十二條 每月對(duì)系統(tǒng)運(yùn)行情況和用戶操作行為進(jìn)行安全法規(guī)等方面檢查。第三十三條 每月根據(jù)系統(tǒng)變化情況，及時(shí)更新系統(tǒng)文檔資料，使之與實(shí)際狀況保持一致。第八章 系統(tǒng)變更管理第三十四條 系統(tǒng)變更前，變更申請人填寫系統(tǒng)變更申請表，向主管領(lǐng)導(dǎo)提出申請，并對(duì)系統(tǒng)進(jìn)行備份，以確保系統(tǒng)變更失敗后能恢復(fù)到變更前的狀態(tài)。第三十五條 明確系統(tǒng)中要發(fā)生的變更，并根據(jù)變更類型，制定變更方案；變更方案要經(jīng)過主管領(lǐng)導(dǎo)批準(zhǔn)后才可實(shí)施。第三十六條 應(yīng)對(duì)變更過程進(jìn)行控制，對(duì)變更影響進(jìn)行分析并形成文檔。第三十七條 應(yīng)對(duì)變更實(shí)施過程進(jìn)行記錄，并妥善保存所有文檔和記錄。第三十八條 變更方案中要明確中止變更的條件，以及從失敗變更中恢復(fù)的程序，明確過程控制方法和人員職責(zé)。必要時(shí)對(duì)恢復(fù)過程進(jìn)行演練。第三十九條 變更實(shí)施完成后，要將變更內(nèi)容及變更情況向相關(guān)人員進(jìn)行通告。第九章 補(bǔ)丁管理第四十條 向現(xiàn)有業(yè)務(wù)系統(tǒng)中追加任何補(bǔ)丁需經(jīng)測試和審批。第四十一條 對(duì)系統(tǒng)添加補(bǔ)丁的操作由安全管理員登記。第十章 附 則第四十二條 本制度由某單位網(wǎng)絡(luò)信息中心負(fù)責(zé)解釋。第四十三條 本制度自發(fā)布之日起執(zhí)行。.某單位軟件安裝記錄表軟件類別軟件提供單位軟件名稱軟件使用單位安裝時(shí)間安裝人員安裝位置使用范圍基本功能網(wǎng)絡(luò)信息中心測試意見簽字（蓋章）： 年 月 日審批意見簽字（蓋章）： 年 月 日備注注：信息系統(tǒng)中未安裝使用過的軟件需要某單位網(wǎng)絡(luò)信息中心進(jìn)行測試并且提供測試意見。某單位系