1、信息系统外包软件开发管理规定第一章总则第一条为加强信息系统安全保障能力,提高整体的网络与信息安全水平,保证软件开发的服务质量,特制订此软件开发管理规定。第二条本制度适用于()部所辖外包软件开发服务商选择、外包合同及质量要求、外包开发过程、软件测试和上线运行、交付验收等的管理。第二章外包软件开发职责管理第三条外包软件开发是指利用外部信息技术资源为()信息系统业务应用软件开发提供服务,外包以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。第四条外包软件开发由业务需求部门提出需求,业务需求部门与()部共同成立外包开发项目小组。第五条外包开发项目小组负责外包软件开发管理,其基本职能如下:(
2、一)根据()的信息系统建设或外包服务需求,结合IT资源的整体分布和建设情况,确立外包项目的范围和内容、制定外包年度计划及外包阶段性计划;(二)负责协调和组织外包资源,管理外包资源台账信息;(三)规范和制定外包合同和质量的基本要求,根据业务需求部门提出具体的功能和性质指标明确软件开发需求;(四)主持或协助相关部门签订外包服务合同和安全协议;(五)负责外包软件开发过程的里程碑控制,负责定期形成外包项目情况汇总报告,提交上级领导及外包相关管理部门;(六)负责软件测试、上线运行过程的环境和资源保证;(七)负责根据合同要求进行交付和验收;第六条享有信息系统外包服务或外包服务的直接应用部门为外包使用部门,
3、基本职能如下:(一)负责编写提交信息系统服务需求,提出具体的功能和性能指标;(二)参与外包服务合同和质量要求的制定,外包使用部门主要负责业务指标的制定;(三)协助进行软件功能和性能测试;(四)协助外包管理部门共同管理外包过程。第七条商务合作部负责外包项目的商务活动,负责外包项目的招投标相关工作,对于大宗外包项目需要技术部领导审批。第八条外包项目审批通过后,项目申请部门需要向产品管理部登记,以便进行外包管理。第三章外包服务提供商资质要求第九条外包服务提供商(外包公司)资质评审由商务合作部负责统一组织,根据需要安排评审。第十条参加评审的外包公司应同时满足以下基本要求:(八)中华人民共和国境内外注册
4、的独立法人;(九)境内企业注册资金在200万元以上,境外企业注册资金在50万美元以上;(十)通过ISO900。CMM鼠具有国家、行业同等资质认证资格;(十一)能够提供满足我单位要求、合格稳定的技术人员及服务。第十一条外包公司参与评审应提供的基本材料包括:(一)公司营业执照、税务登记证、组织机构代码证、人员相关资质证书等资质证明文件;(二)公司技术能力及技术实力说明文件;(三)公司服务能力、售后服务能力说明文件;(四)公司过往提供的外包服务清单(包括客户和服务内容等)。(五)公司具有良好履约信誉的证明;(六)公司持续履约及保障所提供技术人员稳定性承诺;(七)公司一般性服务水准承诺;(八)系统整体
5、外包服务提供商应具备信息产业部颁发的计算机系统集成资质或同等资格说明。第四章外包合同及质量要求管理第十二条为保证外包人员持续在我单位工作,降低人员流动增加的管理及培训成本,应在外包合同中明确许可的人员流动比例以及对外包人员的资质和技术能力要求。第十三条外包合同需明确以下方面的内容:(一)开发产品的名称,软件产品的功能描述及具体指标参数、质量要求;(二)外包开发商需提供的服务(开发、测试、安装和维护等)及计费和付款方式;(三)交付物要求,包括软件源代码、软件概要设计文档、软件详细设计文档、软件测试文档和数据(包括测试用例、测试数据和测试报告等)、用户使用和维护手册等;(四)里程碑控制要求;(五)
6、测试、安装、试运行过程的要求;(六)维护和培训要求;(七)知识产权归属、数据安全、违约责任和保密等相关要求。第十四条外包公司需与我单位签署保密协议,以保证整个项目过程中相关的文档、代码等资料的安全。第十五条外包公司需要严格保证外包过程中涉及易融德利的数据安全、保密、知识产权,控制人员变更、转包等风险,如果因外包公司或其相关人员原因造成的损失将由外包公司承担赔偿责任第五章外包开发过程管理第十六条外包公司需要明确一名项目经理(或项目负责人)负责协调项目相关重要事项。第十七条()对于外包人员的管理方式以管理外包公司项目经理为主,也可以根据实际需要直接管理和调配外包人员。第十八条在确定外包人员后,在整
7、体项目交付前不得无故撤换,确需撤换人员的须经我单位书面认可。第十九条外包人员在我单位服务期间,应严格遵守我单位作息及考勤制度,并按要求签署保密协议书,对其使用的机器安装防病毒软件、系统补丁,对于非全时在我单位工作的外包人员,应严格遵照合同有关履约时间的约定。第二十条项目组或使用部门负责对外包人员使用环境和权限配置管理,对使用环境中的系统权限、文件读写权限必须严格控制,以满足工作需要为前提,遵循权限最小化原则,不得授予与工作无关的权限。第二十一条对于向外包人员提供我单位内部资料必须严格审核,严禁未经授权提供,对于提供的内部资料需要严格进行登记备案。第二十二条项目组或使用部门可根据工作需要为外包方
8、项目经理(或项目负责人)提供上网账号,仅供其工作使用。第二十三条项目组或使用部门如发现外包人员违反有关规定和规章制度,须立即制止并纠正,通知外包管理部门,多次违反情节严重的,有权停止其在我单位的一切活动,并通知外包管理部门纳入外包公司考核过程。第二十四条项目组或使用部门对其使用的外包人员的工作饱满度负责,应及时制订和适时调整外包人员工作计划,经常检查、督促外包人员工作。第二十五条对由于工作调整无须再使用的外包人员,项目组或使用部门应及时通知外包管理部门进行外部资源台账更新,并确认占用我单位的资源已全部退还。第二十六条在整个项目开发过程的几个阶段(可行性与计划研究阶段、需求分析阶段、设计阶段、实
9、现阶段、测试阶段、运行与维护阶段)中,外包公司需分阶段向外包开发项目小组提供下列资料并书面签收:(一)可行性与计划研究阶段:提交可行性分析报告、开发计划等交付物;(二)需求分析阶段:提交软件规格需求说明、数据要求说明及初步的用户手册等交付物;(三)设计阶段:提交结构设计说明,详细设计说明和测试计划初稿等交付物;(四)实现阶段:提交项目进度报告(周报、月报),用户手册,操作手册等面向用户的文档和测试计划等交付物;(五)测试阶段:提交测试分析报告,项目开发总结报告等交付物。第二十七条运行和维护阶段:在运行和维护过程中根据新提出的需求进行必要而且可能的扩充和删改、更新和升级。第六章系统测试、上线运行
10、的管理第二十八条系统测试应对软件系统进行全面的测试,应在测试环境中进行,以确保系统的功能和技术设计满足企业的业务需求,并能正常运行。第二十九条系统测试阶段应包括以下主要流程和工作内容:制订测试计划,编制测试用例,建立测试环境。第三十条在测试环境中,项目组根据需要,对系统依次进行单元测试、集成测试、压力测试和用户接受测试;提交测试报告、用户确认签字;项目组撰写测试报告,将测试报告提交给外包开发项目小组各相关人员,由各相关人员在测试报告上签字确认。第三十一条系统在测试中的所有测试数据、测试手段、测试结果应严格保密,所有数据禁止带出(xx公司)。第三十二条系统上线前应做好准备工作,在上线前,外包开发
11、项目小组要组织软件开发方共同制定系统上线计划,系统上线计划应经过技术部主要领导的正式批准,并通知各相关部门。第三十三条在外包开发软件安装前,软件外包开发商应先组织不涉及此软件开发的资深技术人员或第三方检测机构,严格检测软件包中可能存在的恶意代码,并对软件源代码进行审查发现可能存在的后门。第三十四条所有的上线准备工作做好之后,由项目开发小组确认软件上线的版本、确认系统上线时间,下达上线指令。系统上线操作人员将最后版本的系统程序移植到生产环境。第三十五条外包软件开发人员负责软件试运行阶段的软件调试和维护。第七章外包交付验收第三十六条外包人员应按时交付服务工作成果,项目组或使用部门应及时组织人员根据
12、合同要求对交付物进行验收。第三十七条开发类外包人员的交付物必须经过验收后才可以投产试用。第三十八条对于外包交付物验收不合格的,应要求外包公司重新提供产品,并重新组织验收,直到验收通过,并纳入外包公司考核评价过程。第三十九条由于外包公司原因导致未按计划完成或完成项目质量不高,并造成一定影响的,作为不良合作记录登记,对未完成服务由外包公司继续完成,并不再追加费用。第四十条对于外包人员提交的源代码,须经我单位人员审核编译。所产生的执行程序,须经我单位相关人员测试通过后,按规定流程投入生产系统。第四十一条对于外包开发人员提交的关键代码(有关安全加密、认证的代码),项目组人员必须对源代码进行复核;对于非关键代码,应进行抽查。第四十二条对于外包测试人员提交的测试方案和测试案例,使用部门必须组织人员进行复核确认;外包测试人员编写的测试脚本和测试用程序必须满足我单位项目测试性能要求。第四十三条外包咨询人员应及时对我单位咨询要求做出响应,按时帮助解决问题,或提供符合要求的咨询建议或报告。第四十四条外包维护人员必须及时响应业务需求,并按我单位统一形象要求和服务方式要求对外提供服务。第八章附则第四十五条本制度的解释权归()部。附件附件1:外包软件开发管理流程图信息系统服务外包流程图部全安人员派驻外包合同签订商供提务服包外