(気議IS027001蹦帯)1.目的为规范公司软件开发的安全管理,包括软件系统从计划、需求、设计、开发、测试、部署过程中的安全管理,特制定本程序。2.范围本程序适用于公司的软件系统在需求分析、开发测试、上线运行阶段的安全管理,包括软件外包开发的安全管理。3.职责与权限3.1 技术部负责公司相关信息系统的软件开发、外包软件开发过程的安全管理,以及软件开发相关文档及软件源代码的归档保管。3.2 其他部门其他相关部门协助技术部进行软件/系统需求收集、分析、系统测试等工作。4.相关文件a)《软件控制程序》5.术语定义无6.控制程序6.1软件开发任务提出公司根据客户反馈和调研,编写用户需求分析报告,经过公司总经理批准后,交付技术部进行设计开发。6.2 软件开发的策划技术部在接到用户需求后,首先要判断可行性,如果接受,技术部根据用户申请书和要求部门共同协商,编写软件设计开发计划,明确设计开发的各个阶段评审与测试要求及设计开发人员的职责与权限,设计开发计划方案由要求部门和技术部负责人共同批准后予以实施;必要时,如果对计划进行更改也需要获得双方经理共同批准。软件设计开发计划应包括以下内容:a)软件功能要求;b)详尽的业务流程;c)信息安全要求;d)时间进度要求;e)设计开发的各个阶段评审与测试要求;f)设计开发人员的职责与权限;g)其它要求,例如在复杂系统环境下,应考虑业务信息系统互联相关的信息,并考虑安全保护。6.3软件开发方案的评审及开发过程控制6.3.1 技术部应根据软件设计开发计划的要求,编制软件设计开发方案,由技术部负责人对方案的技术可行性及系统的安全性进行确认。6.3.2 对于大型软件开发方案应由设计开发人员、应用部门(用户)人员、内部 IT 方面的专家共同进行评审。方案确认与审批的结果及任何必要的措施应予以记录。6.3.3 软件设计开发方案应包括以下内容:a)确定软件开发工具;b)应用系统功能;c)业务实现流程;d)输入数据确认要求;e)必要时,系统内部数据确认检查的要求;f)输出数据的确认要求;g)应用系统的安全要求;h)对系统硬件配置的要求;i)系统验收标准。6.3.4.软件开发人员的要求软件设计开发人员须经技术部负责人授权,并应具备一定的软件开发能力和良好的职业道德。6.3.5.软件开发的环境要求在进行软件开发时,应采取适宜的方法将开发、测试与运营设施分离:a)开发与运营应当在不同的环境;b)进行黑盒与白盒测试时,测试系统应该独立于上述两系统。c)进行单元测试时,测...
