信息系統(tǒng)開發(fā)管理程序

1、信息系統(tǒng)開發(fā)管理程序1、目的為確保信息系統(tǒng)的獲取、開發(fā)全過程中的信息安全, 并保證公司信息系統(tǒng)整體的安全，特制定本程序。2、適用范圍ISMS范圍內(nèi)所有參與信息系統(tǒng)的獲取、開發(fā)過程的相關(guān)人員。3、術(shù)語和定義4、職責(zé)和權(quán)限D(zhuǎn)KC負(fù)責(zé)信息系統(tǒng)的獲取、開發(fā)和維護(hù)；相關(guān)部門配合DXC,及時響應(yīng)相關(guān)要求。5、相關(guān)浯動5.1 信息系統(tǒng)的安全要求信息系統(tǒng)在建設(shè)或升級之前 , 根據(jù)業(yè)務(wù)活動要求 , 要通過調(diào)研、風(fēng)險(xiǎn)評估等手段識別存在的各種安全風(fēng)險(xiǎn) , 并依據(jù)公司信息安全管理相關(guān)規(guī)定 , 提出信息安全需求 , 作為信息系統(tǒng)整體功能需求的一部分。 安全需求包括：信息系統(tǒng)安全需求的準(zhǔn)確性；系統(tǒng)容量設(shè)計(jì)的合理性；技術(shù)設(shè)

2、計(jì)和施工組織兩方面的安全性:對項(xiàng)目建設(shè)過程中可能存在的安全風(fēng)險(xiǎn)和處理辦法；與國家相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)、公司信息安全有關(guān)規(guī)定的符合性。精選文庫5.2 信息系統(tǒng)的獲取與開發(fā)信息系統(tǒng)開發(fā)管理對承建單位在幾個方面提出要求:保守公司商業(yè)秘密的責(zé)任和義務(wù)要求；保護(hù)知識產(chǎn)權(quán)的責(zé)任和義務(wù)要求；使用公司信息處理設(shè)施的信息安全責(zé)任和義務(wù)要求。對使用的產(chǎn)品 , 應(yīng)有相應(yīng)的證明材料, 如軟件產(chǎn)品必須為正版的商業(yè)軟件 , 信息安全產(chǎn)品必須通過國家相應(yīng)機(jī)構(gòu)的檢測認(rèn)證 , 特別是涉密產(chǎn)品 , 必須使用國家保密單位批的信息安全產(chǎn)品。在條件允許的前提下 , 要將開發(fā)、測試與運(yùn)行系統(tǒng)分離 , 避免開發(fā)和測試活動對運(yùn)行系統(tǒng)的穩(wěn)定和安全造成影向。在信息系統(tǒng)開發(fā)過程中 , 出 DXC負(fù)責(zé)安全控制與管理 , 重點(diǎn)監(jiān)控以下內(nèi)容 :測試數(shù)據(jù)的輸入驗(yàn)證 , 以減少輸入錯誤造成的風(fēng)險(xiǎn):系統(tǒng)對處理過程中的數(shù)據(jù)完整性驗(yàn)證檢查 , 防止因數(shù)據(jù)完整性的錯誤造成的風(fēng)險(xiǎn)；要對輸出進(jìn)行驗(yàn)證 , 確保輸出的完整、正確；對程序源代碼的訪問要做出明確的規(guī)定；公司的敏感數(shù)據(jù)不允許作為測試數(shù)據(jù)使用。重要信息的保護(hù)信息系統(tǒng)的運(yùn)行系統(tǒng)文件、 重要要測試數(shù)據(jù)、 程序源代碼是采取措施加以保護(hù)。這些數(shù)據(jù)必須進(jìn)行備份 , 條件允許的前提下 , 對備份數(shù)2精選文庫據(jù)要保存在不同的地點(diǎn)。對上述數(shù)據(jù)的使用和訪問, 必須經(jīng)過相關(guān)人員的同意, 同吋做好相關(guān)