《应用系统开发及维护管理制度.pdf》由会员分享,可在线阅读,更多相关《应用系统开发及维护管理制度.pdf(8页珍藏版)》请在三一文库上搜索。
1、精品文档 . 某单位 应用系统开发及维护管理制度 第一章总 则 第一条为进一步规范某单位计算机软件系统采购、开发、 安装、测试和运行维护相关工作,确保信息系统正常运行,根据 国家安全管理有关规定制定本制度。 第二条软件管理范围包括操作系统、数据库系统、 应用服 务系统、应用软件、安全软件和工具软件等。 第二章软件采购及安装 第三条采购的软件必须是正版软件,严禁使用盗版软件。 如需采用共享版软件,必须由管理员进行严格测试。 第四条重要服务器操作系统和应用系统软件必须在安全 管理员监督之下进行安装,计算机上安装的软件需事先经安全管 理员审查认可。 第五条软件安装后, 须使用可靠检测软件或手段进行安
2、全 性测试,了解其脆弱性,并根据脆弱性程度采取措施,使风险降 至最小。 第六条软件安装后,原件(盘)应进行登记造册,并由专 人保管。 第七条软件安装时,填写软件安装记录表。 精品文档 . 第八条软件更新后, 软件的新旧版本均应登记造册,并由 专人保管,旧版本销毁应经审批登记。 第三章软件使用维护 第九条系统管理员和安全管理员负责维护操作系统、数据 库管理系统以及安全管理软件,并对维护情况进行记录。 第十条及时更新操作系统、 数据库管理系统及其它相关软 件的系统补丁。 第十一条及时对操作系统、数据库管理系统及其它相关软 件进行稽核审计,分析与安全有关的事件,堵塞安全漏洞。 第十二条软件更新后,须
3、重新审查系统安全状态,必要时 对安全策略进行调整。 第四章应用软件开发管理 第十三条联合开发信息系统软件,应选择有相应软件开发 资质的单位,并令其签订安全承诺书。网络信息中心应对具体参 与人员登记备案,并对其进行必要的安全教育和监督。 第十四条应用软件开发必须根据信息安全等级,同步进行 相应的安全设计,并制定各阶段安全目标,按目标进行管理和实 施。 第十五条应用软件开发必须有安全管理专业技术人员参 加,其主要任务是:对系统方案与开发进行安全审查和监督,负 责系统安全设计和实施。 精品文档 . 第十六条开发环境和现场必须与办公环境和工作现场分 开,软件设计方案、数据结构、安全管理、操作监控手段、
4、数据 加密形式、原代码等,只能在有关开发人员及有关管理机构中流 动,严禁散失或外泄。 第十七条应用软件开发必须符合软件工程规范。 第十八条应用系统变更需要进行风险评估,并填写相应系 统任务单,并由主管领导批准同意。 第十九条对于系统软件,必须从身份鉴别、访问控制和安 全审计等几个方面进行安全功能同步开发。 第二十条开发、测试业务应用系统所使用的网络环境和设 备应与系统实际运行环境、设备隔离。 第二十一条测试、联调业务应用系统时,应禁止使用实际 工作信息作为测试数据。 第二十二条应有专人对进入现场进行后期维护或升级的 服务人员进行陪同,禁止服务人员将具有存储功能的自带设备接 入网内,并限制其对网
5、内操作访问的权限、禁止其访问网内的工 作信息。 第五章人员管理 第二十三条设置系统管理员、安全管理员、安全审计员, 各员必须严格按照操作权限操作,不得越权操作。 第二十四条系统重要配置变更必须记录相应操作日志,日 精品文档 . 志包括操作时间、执行命令等,并由安全审计员审计。 第二十五条操作人员离开系统时,应退出系统或进行系统 封锁。 第二十六条操作人员随时监控设备运行状况,发现异常情 况应立即按照规程进行操作,并及时上报和详细记录。 第二十七条未经允许, 任何人不得以任何方式试图登录进 入网内服务器等设备并对其进行修改、设置、删除等操作。 第六章系统运行管理 第二十八条启动与关闭: 应用系统
6、和数据库系统启动和关 闭应严格按照系统启动和关闭流程和步骤由系统管理员和安全管 理员负责操作。应用系统一旦启动,在没有特殊需要的情况下, 应始终处于运行状态。 第二十九条系统正常运行情况下的停机:系统正常运行情 况下任何停机要求应按照下列处理流程处理: (一)网络信息中心提前一日报分管领导进行批准,提前半 日通知系统用户,内容应包括:停机原因、预计恢复时间等。 (二)紧急停机:网络信息中心为应付突发事件,如黑客攻 击或其他无法预料事件,避免系统受到损坏,可以采取临时紧急 停机措施。采取措施同时,通知网络信息中心领导;1 小时内通 知所有用户,内容应该包括:停机原因、预计恢复机房时间等。 精品文
7、档 . 第七章系统使用管理 第三十条需定期对系统内安全产品的安全策略规则进行审 核、测试、校正,并作好相关审批手续和记录。 第三十一条禁止在机房终端计算机私自安装、卸载各种软 件、操作系统或硬盘、网卡等。 第三十二条每月对系统运行情况和用户操作行为进行安 全法规等方面检查。 第三十三条每月根据系统变化情况,及时更新系统文档资 料,使之与实际状况保持一致。 第八章系统变更管理 第三十四条系统变更前,变更申请人填写系统变更申请 表 ,向主管领导提出申请,并对系统进行备份,以确保系统变更 失败后能恢复到变更前的状态。 第三十五条明确系统中要发生的变更,并根据变更类型, 制定变更方案;变更方案要经过主
8、管领导批准后才可实施。 第三十六条应对变更过程进行控制,对变更影响进行分析 并形成文档。 第三十七条应对变更实施过程进行记录,并妥善保存所有 文档和记录。 第三十八条变更方案中要明确中止变更的条件,以及从失 败变更中恢复的程序,明确过程控制方法和人员职责。必要时对 精品文档 . 恢复过程进行演练。 第三十九条变更实施完成后, 要将变更内容及变更情况向 相关人员进行通告。 第九章补丁管理 第四十条向现有业务系统中追加任何补丁需经测试和审 批。 第四十一条对系统添加补丁的操作由安全管理员登记。 第十章附则 第四十二条本制度由某单位网络信息中心负责解释。 第四十三条本制度自发布之日起执行。 精品文档 . 某单位 软件安装记录表 软件类别软件提供单位 软件名称软件使用单位 安装时间安装人员 安装位置使用范围 基本功能 网络信息中心 测试意见 签字(盖章): 年月日 审批意见 签字(盖章): 年月日 备注 注: 信息系统中未安装使用过的软件需要某单位网络信息中心进行测试并且提供测试意 见。 精品文档 . 某单位 系统变更申请表 系统名称 变更申请人联系电话变更日期 变更类型需求设计或文档数据其他_ 变更来源客户实施单位其他 _ 变更原因说明: 申请变更内容: 网络信息中心 审批意见 签字(盖章): 年月日 变更实施委托人 变更前版本号变更后版本号 验证测试完成日期验证用户姓名