信息系統(tǒng)開(kāi)發(fā)管理程序

1、信息系統(tǒng)開(kāi)發(fā)管理程序1、目的為確保信息系統(tǒng)的獲取、開(kāi)發(fā)全過(guò)程中的信息安全, 并保證公司信息系統(tǒng)整體的安全，特制定本程序。2、適用范圍ISMS范圍內(nèi)所有參與信息系統(tǒng)的獲取、開(kāi)發(fā)過(guò)程的相關(guān)人員。3、術(shù)語(yǔ)和定義4、職責(zé)和權(quán)限D(zhuǎn)KC負(fù)責(zé)信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)；相關(guān)部門(mén)配合DXC,及時(shí)響應(yīng)相關(guān)要求。5、相關(guān)浯動(dòng)5.1 信息系統(tǒng)的安全要求信息系統(tǒng)在建設(shè)或升級(jí)之前 , 根據(jù)業(yè)務(wù)活動(dòng)要求 , 要通過(guò)調(diào)研、風(fēng)險(xiǎn)評(píng)估等手段識(shí)別存在的各種安全風(fēng)險(xiǎn) , 并依據(jù)公司信息安全管理相關(guān)規(guī)定 , 提出信息安全需求 , 作為信息系統(tǒng)整體功能需求的一部分。 安全需求包括：信息系統(tǒng)安全需求的準(zhǔn)確性；系統(tǒng)容量設(shè)計(jì)的合理性；技術(shù)設(shè)

2、計(jì)和施工組織兩方面的安全性:對(duì)項(xiàng)目建設(shè)過(guò)程中可能存在的安全風(fēng)險(xiǎn)和處理辦法；與國(guó)家相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)、公司信息安全有關(guān)規(guī)定的符合性。精選文庫(kù)5.2 信息系統(tǒng)的獲取與開(kāi)發(fā)信息系統(tǒng)開(kāi)發(fā)管理對(duì)承建單位在幾個(gè)方面提出要求:保守公司商業(yè)秘密的責(zé)任和義務(wù)要求；保護(hù)知識(shí)產(chǎn)權(quán)的責(zé)任和義務(wù)要求；使用公司信息處理設(shè)施的信息安全責(zé)任和義務(wù)要求。對(duì)使用的產(chǎn)品 , 應(yīng)有相應(yīng)的證明材料, 如軟件產(chǎn)品必須為正版的商業(yè)軟件 , 信息安全產(chǎn)品必須通過(guò)國(guó)家相應(yīng)機(jī)構(gòu)的檢測(cè)認(rèn)證 , 特別是涉密產(chǎn)品 , 必須使用國(guó)家保密單位批的信息安全產(chǎn)品。在條件允許的前提下 , 要將開(kāi)發(fā)、測(cè)試與運(yùn)行系統(tǒng)分離 , 避免開(kāi)發(fā)和測(cè)試活動(dòng)對(duì)運(yùn)行系統(tǒng)的穩(wěn)定和安全造成影向。在信息系統(tǒng)開(kāi)發(fā)過(guò)程中 , 出 DXC負(fù)責(zé)安全控制與管理 , 重點(diǎn)監(jiān)控以下內(nèi)容 :測(cè)試數(shù)據(jù)的輸入驗(yàn)證 , 以減少輸入錯(cuò)誤造成的風(fēng)險(xiǎn):系統(tǒng)對(duì)處理過(guò)程中的數(shù)據(jù)完整性驗(yàn)證檢查 , 防止因數(shù)據(jù)完整性的錯(cuò)誤造成的風(fēng)險(xiǎn)；要對(duì)輸出進(jìn)行驗(yàn)證 , 確保輸出的完整、正確；對(duì)程序源代碼的訪問(wèn)要做出明確的規(guī)定；公司的敏感數(shù)據(jù)不允許作為測(cè)試數(shù)據(jù)使用。重要信息的保護(hù)信息系統(tǒng)的運(yùn)行系統(tǒng)文件、 重要要測(cè)試數(shù)據(jù)、 程序源代碼是采取措施加以保護(hù)。這些數(shù)據(jù)必須進(jìn)行備份 , 條件允許的前提下 , 對(duì)備份數(shù)2精選文庫(kù)據(jù)要保存在不同的地點(diǎn)。對(duì)上述數(shù)據(jù)的使用和訪問(wèn), 必須經(jīng)過(guò)相關(guān)人員的同意, 同吋做好相關(guān)