企業(yè)公司信息系統(tǒng)開發(fā)管理程序

目的為確保信息系統(tǒng)的獲取、開發(fā)全過程中的信息安全，并保證公司信息系統(tǒng)整體的安全，特制定本程序。

2.適用范圍

ISMS范圍內(nèi)所有參與信息系統(tǒng)的獲取、開發(fā)過程的相關(guān)人員。

術(shù)語和定義

職責(zé)和權(quán)限

DXC負(fù)責(zé)信息系統(tǒng)的獲取、開發(fā)和維護(hù)；

相關(guān)部門配合DXC，及時(shí)響應(yīng)相關(guān)要求。

相關(guān)活動

5.1

信息系統(tǒng)的安全要求

信息系統(tǒng)在建設(shè)或升級之前，根據(jù)業(yè)務(wù)活動要求，要通過調(diào)研、風(fēng)險(xiǎn)評估等手段識別存在的各種安全風(fēng)險(xiǎn)，并依據(jù)公司信息安全管理相關(guān)規(guī)定，提出信息安全需求，作為信息系統(tǒng)整體功能需求的一部分。安全需求包括：

l信息系統(tǒng)安全需求的準(zhǔn)確性；

l系統(tǒng)容量設(shè)計(jì)的合理性；

l技術(shù)設(shè)計(jì)和施工組織兩方面的安全性；

l對項(xiàng)目建設(shè)過程中可能存在的安全風(fēng)險(xiǎn)和處理辦法；

l與國家相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)、公司信息安全有關(guān)規(guī)定的符合性。

5.2

信息系統(tǒng)的獲取與開發(fā)

5.2.1

信息系統(tǒng)開發(fā)管理

對承建單位在幾個方面提出要求：

l保守公司商業(yè)秘密的責(zé)任和義務(wù)要求；

l保護(hù)知識產(chǎn)權(quán)的責(zé)任和義務(wù)要求；

l使用公司信息處理設(shè)施的信息安全責(zé)任和義務(wù)要求

對使用的產(chǎn)品，應(yīng)有相應(yīng)的證明材料，如軟件產(chǎn)品必須為正版的商業(yè)軟件，信息安全產(chǎn)品必須

通過國家相應(yīng)機(jī)構(gòu)的檢測認(rèn)證，特別是涉密產(chǎn)品，必須使用國家保密單位批準(zhǔn)的信息安全產(chǎn)品。

在條件允許的前提下，要將開發(fā)、測試與運(yùn)行系統(tǒng)分離，避免開發(fā)和測試活動對運(yùn)行系統(tǒng)的穩(wěn)定和安全造成影響。

在信息系統(tǒng)開發(fā)過程中，由DXC負(fù)責(zé)安全控制與管理，重點(diǎn)監(jiān)控以下內(nèi)容：

l測試數(shù)據(jù)的輸入驗(yàn)證，以減少輸入錯誤造成的風(fēng)險(xiǎn)；

l系統(tǒng)對處理過程中的數(shù)據(jù)完整性驗(yàn)證檢查，防止因數(shù)據(jù)完整性的錯誤造成的風(fēng)險(xiǎn)；

l要對輸出進(jìn)行驗(yàn)證，確保輸出的完整、正確；

l對程序源代碼的訪問要做出明確的規(guī)定；

l公司的敏感數(shù)據(jù)不允許作為測試數(shù)據(jù)使用。

5.2.2

重要信息的保護(hù)

信息系統(tǒng)的運(yùn)行系統(tǒng)文件、重要測試數(shù)據(jù)、程序源代碼是采取措施加以保護(hù)。這些數(shù)據(jù)必須進(jìn)行備份，條件允許的前提下，對備份數(shù)據(jù)要保存在不同的地點(diǎn)。

對上述數(shù)據(jù)的使用和訪問，必須經(jīng)過相關(guān)人員的同意，同時(shí)做好相關(guān)使用記錄。

5.2.3

外包軟件開發(fā)

對外包軟件開發(fā)，按《第三方服務(wù)安全管理程序》執(zhí)行。

相關(guān)文件和記錄