XXX 单位系统建设管理规范V1.020XX 年 XX 月 XX 日目录1目的........................................................................................................................12适用范围................................................................................................................13信息系统要求........................................................................................................14产品采购和使用.....................................................................................................14.1 产品采购......................................................................................................14.2 产品使用......................................................................................................15系统开发项目........................................................................................................15.1 开发人员和组织..........................................................................................15.2 需求分析......................................................................................................25.3 开发环境......................................................................................................25.1 开发安全......................................................................................................25.2 软件验收......................................................................................................35.3 上线部署及运营..........................................................................................36安全服务商要求.....................................................................................................47附则........................................................................................................................41目的为规范信息系统项目建设安全管理,提升信息系统建设和管理水平,保障信息系统项目建设安全,特制定本文档。2适用范围本文档适用于 XXX 单位信息系统项目管理。3信息系统要求1)信息系统建设完成后,具有信息系统说明文件,对信息系统的定级结果进行说明。2)具有系统建设规划总体方针和安全方案文档。4产品采购和使用4.1产品采购1)安全产品采购和使用符合国家的有关规定。2)密码产品采购和使用符合国家密码主管部门的要求。3)单位具有专门的部门负责产品采购。4.2产品使用1)具有产品使用说明和指南手册。2)对产品的使用建立流程规范。 1 / 745系统开发项目5.1开发人员和组织1)在应用开发过程中,应指定或授权专门的部门或人员负责软件开发,如外包给软件开发商,应指定人员负责监督和监视系统开发活动。2)应对负责系统运行维护的技术人员进行相应的技能培训。3)具有开发过程的控制方法和人员行为准则。5.2需求分析1)在应用软件开发过程中必须进行充分的安全需求分析。2)应用软件安全需求分析须结合相关信息安全法律法规政策要求和应用软件面临的潜在安全风险。3)应用软件需求分析需要从技术、需求、投资和影响四个角度进行可行性分析,出具可行性分析报告。4)应用软件的安全功能设计至少包括以下方面:身份鉴别、访问控制、剩余信息保护、抗抵赖、资源控制、数据保密性、通信保密性、数据完整性、通信完整性、软件容错、安全审计。5)分析完成后,制定详细的工程实施方案,控制工程实施过程。5.3开发环境1)组织应针对覆盖系统开发全生命周期的系统开发和集成活动,建立安全开发环境,并予以适当保护。2)开发环境、测试环境与生产环境须有效隔离。 3)开发环境、测试环境须在物理安全、网络安全、设备安全、介质安全等方面进行安全控制。4)开发环境应具有应急措施,确保在突发情况中能够有效的进行应...
