信息系統(tǒng)開發(fā)管理程序

1、信息系統(tǒng)開發(fā)管理程序1、目的為確保信息系統(tǒng)的獲取、開發(fā)全過程中的信息安全, 并保證公司信息系統(tǒng)整體的安全 , 特制定本程序。2、適用范圍ISMS范圍內(nèi)所有參與信息系統(tǒng)的獲取、開發(fā)過程的相關(guān)人員。3、術(shù)語與定義4、職責(zé)與權(quán)限D(zhuǎn)KC負(fù)責(zé)信息系統(tǒng)的獲取、開發(fā)與維護;相關(guān)部門配合DXC,及時響應(yīng)相關(guān)要求。5、相關(guān)浯動5、1 信息系統(tǒng)的安全要求信息系統(tǒng)在建設(shè)或升級之前, 根據(jù)業(yè)務(wù)活動要求 , 要通過調(diào)研、風(fēng)險評估等手段識別存在的各種安全風(fēng)險, 并依據(jù)公司信息安全管理相關(guān)規(guī)定 , 提出信息安全需求 , 作為信息系統(tǒng)整體功能需求的一部分。安全需求包括 :信息系統(tǒng)安全需求的準(zhǔn)確性;系統(tǒng)容量設(shè)計的合理性 ;技術(shù)

2、設(shè)計與施工組織兩方面的安全性:對項目建設(shè)過程中可能存在的安全風(fēng)險與處理辦法;與國家相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)、公司信息安全有關(guān)規(guī)定的符合性。5、2 信息系統(tǒng)的獲取與開發(fā)5、2、1 信息系統(tǒng)開發(fā)管理對承建單位在幾個方面提出要求:保守公司商業(yè)秘密的責(zé)任與義務(wù)要求;保護知識產(chǎn)權(quán)的責(zé)任與義務(wù)要求;使用公司信息處理設(shè)施的信息安全責(zé)任與義務(wù)要求。對使用的產(chǎn)品 , 應(yīng)有相應(yīng)的證明材料, 如軟件產(chǎn)品必須為正版的商業(yè)軟件 , 信息安全產(chǎn)品必須通過國家相應(yīng)機構(gòu)的檢測認(rèn)證 , 特別就是涉密產(chǎn)品 , 必須使用國家保密單位批的信息安全產(chǎn)品。在條件允許的前提下 , 要將開發(fā)、測試與運行系統(tǒng)分離 , 避免開發(fā)與測試活動對運行系統(tǒng)

3、的穩(wěn)定與安全造成影向。在信息系統(tǒng)開發(fā)過程中 , 出 DXC負(fù)責(zé)安全控制與管理 , 重點監(jiān)控以下內(nèi)容 :測試數(shù)據(jù)的輸入驗證 , 以減少輸入錯誤造成的風(fēng)險:系統(tǒng)對處理過程中的數(shù)據(jù)完整性驗證檢查 , 防止因數(shù)據(jù)完整性的錯誤造成的風(fēng)險 ;要對輸出進行驗證 , 確保輸出的完整、正確 ; 對程序源代碼的訪問要做出明確的規(guī)定 ; 公司的敏感數(shù)據(jù)不允許作為測試數(shù)據(jù)使用。5、2、2 重要信息的保護信息系統(tǒng)的運行系統(tǒng)文件、 重要要測試數(shù)據(jù)、 程序源代碼就是采取措施加以保護。這些數(shù)據(jù)必須進行備份 , 條件允許的前提下 , 對備份數(shù)據(jù)要保存在不同的地點。對上述數(shù)據(jù)的使用與訪問, 必須經(jīng)過相關(guān)人員的同意, 同吋做好相關(guān)使用記錄