信息系统开发平安管控方法1?范围???????本标准规定了信息系统开发阶段、测试阶段、试运转阶段和上线阶段的治理内容与要求。???????本标准适用于公司自主开发及委外开发信息系统的治理。???????2?标准性援用文件???????以下文件中的条款通过本标准的援用而成为本标准的条款。但凡注明日期的援用文件,其随后所有的修正单(不包括订正的内容)或修订版均不适用于本标准。但凡不注明日期的援用文件,其最新版本适用于本标准。???????国务院令(第339号)计算机软件保护条例???????国务院令(第147号)中华人民共和国计算机信息系统平安保护条例???????Q/JYG/GL-SB-16-2013.a《投资工程治理方法》???????3?术语和定义???????信息系统:是指由计算机及其相关的配套设备、设备(含网络)构成的,按照一定的应用目的和规那么对信息进展采集、加工、存储、传输、检索等处理的人机系统。???????信息系统一般由三部分组成:硬件系统(计算机硬件系统和网络硬件系统)、系统软件(计算机系统软件和网络系统软件)、应用软件(包括由其处理、存储的信息)。???????4?职责???????4.1?XXXX部门???????4.1.1?负责公司信息系统开发各阶段文档的审批工作;???????4.1.2?负责组织公司新开发信息系统的测试工作;???????4.1.3?负责公司信息系统上线与终止的验收工作。???????4.2?卷烟厂计算机中心???????4.2.1?负责本厂信息系统开发各阶段文档的审批工作;???????4.2.2?负责组织本厂新开发信息系统的测试工作;???????4.2.3?负责本厂信息系统上线与终止的验收工作。???????4.3?各施行部门或单位???????4.3.1?负责本单位信息系统开发过程中的需求提出、测试及验收等工作。???????5?治理内容与要求???????5.1?总体要求?信息系统开发须遵照《计算机软件保护条例》、《中华人民共和国计算机信息系统平安保护条例》。???????5.1.2?信息系统开发过程中工程单位(承接信息系统开发的单位)须提交相应的平安需求、平安设计、平安测试等材料并通过XXXX部门审批,否那么不予立项或验收。???????5.1.3?信息系统开发范围的变更(增加或缩减)、新技术的使用、新产品或新版本的采纳、新的开发工具和环境须通过XXXX部门审批。???????5.2?信息系统开发生命周期治理要求???????5.2.1?系统需求搜集和分析阶段???????a)?技术可行性分析???????依照业务上提出的需求,信息系统归口治理部门应从技术开发的角度分析是否现有的技术手段和技术才能是否能够到达业务上要求的系统功能,主要包括:人员技术才能分析(指公司内的系统开发队伍是否有足够的软件开发的技术才能来完成系统开发的任务,或第三方外包的开发公司是否具有开发应用系统的技术才能)、计算机软件和硬件分析(指公司现有的软件和硬件的功能是否足够满足开发相应的系统的要求)、治理才能分析(指现有的技术开发治理制度和治理流程是否成熟且标准化,是否足够系统开发的要求)。???????b)?需求可行性分析:信息系统归口治理部门应对该申请部门所提需求进展可行性分析,以推断需求是否明确,是否符合实际,是否能在一定的时间范围实现。???????c)?经济可行性分析:信息系统归口治理部门应依照业务需求和技术手段的分析,确认投资的数额在可操纵和可承受的范围内。???????d)?平安可行性分析:信息系统归口治理部门应明确该系统的平安建立范围和内容,设定平安性指标要求,合理断定该信息系统是否符合公司的网络及信息平安要求。???????5.2.2?设计阶段平安治理???????a)?单点访咨询:任何用户假如希望访咨询应用系统中的某一个部分,那么必须通过统一且唯一的认证受权方式以及流程。???????b)?人员职责和权限的划分:系统必须具有基于人员职责的用户受权治理以确保每个用户能够访咨询到其权利范围内的应用系统部分,也要确保每个用户无法访咨询其权限范围以外的应用系统部分。???????c)?保护敏感系统的平安性:通过将应用系统中敏感信息保存在效劳器端以进展集中的加密平安治理,确保客户端系统本身并不能存储任何信息敏感的数据。???????d)?确保访咨询层的平安性:系统在要确保系统模块本身平安性的同时,还需考虑模块与模块之间的通讯的平安性。模块与模块之间...
