應(yīng)用系統(tǒng)開發(fā)及維護管理制度

1、【精品文檔】如有侵權(quán)，請聯(lián)系網(wǎng)站刪除，僅供學(xué)習(xí)與交流應(yīng)用系統(tǒng)開發(fā)及維護管理制度.精品文檔.某單位應(yīng)用系統(tǒng)開發(fā)及維護管理制度第一章 總 則第一條 為進一步規(guī)范某單位計算機軟件系統(tǒng)采購、開發(fā)、安裝、測試和運行維護相關(guān)工作，確保信息系統(tǒng)正常運行，根據(jù)國家安全管理有關(guān)規(guī)定制定本制度。第二條 軟件管理范圍包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用服務(wù)系統(tǒng)、應(yīng)用軟件、安全軟件和工具軟件等。第二章 軟件采購及安裝第三條 采購的軟件必須是正版軟件，嚴禁使用盜版軟件。如需采用共享版軟件，必須由管理員進行嚴格測試。第四條 重要服務(wù)器操作系統(tǒng)和應(yīng)用系統(tǒng)軟件必須在安全管理員監(jiān)督之下進行安裝，計算機上安裝的軟件需事先經(jīng)安全管理員審

2、查認可。第五條 軟件安裝后，須使用可靠檢測軟件或手段進行安全性測試，了解其脆弱性，并根據(jù)脆弱性程度采取措施，使風(fēng)險降至最小。第六條 軟件安裝后，原件（盤）應(yīng)進行登記造冊，并由專人保管。第七條 軟件安裝時，填寫軟件安裝記錄表。第八條 軟件更新后，軟件的新舊版本均應(yīng)登記造冊，并由專人保管，舊版本銷毀應(yīng)經(jīng)審批登記。第三章 軟件使用維護第九條 系統(tǒng)管理員和安全管理員負責(zé)維護操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及安全管理軟件，并對維護情況進行記錄。第十條 及時更新操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)及其它相關(guān)軟件的系統(tǒng)補丁。第十一條 及時對操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)及其它相關(guān)軟件進行稽核審計，分析與安全有關(guān)的事件，堵塞安全漏洞

3、。第十二條 軟件更新后，須重新審查系統(tǒng)安全狀態(tài)，必要時對安全策略進行調(diào)整。第四章 應(yīng)用軟件開發(fā)管理第十三條 聯(lián)合開發(fā)信息系統(tǒng)軟件，應(yīng)選擇有相應(yīng)軟件開發(fā)資質(zhì)的單位，并令其簽訂安全承諾書。網(wǎng)絡(luò)信息中心應(yīng)對具體參與人員登記備案，并對其進行必要的安全教育和監(jiān)督。第十四條 應(yīng)用軟件開發(fā)必須根據(jù)信息安全等級，同步進行相應(yīng)的安全設(shè)計，并制定各階段安全目標，按目標進行管理和實施。第十五條 應(yīng)用軟件開發(fā)必須有安全管理專業(yè)技術(shù)人員參加，其主要任務(wù)是：對系統(tǒng)方案與開發(fā)進行安全審查和監(jiān)督，負責(zé)系統(tǒng)安全設(shè)計和實施。第十六條 開發(fā)環(huán)境和現(xiàn)場必須與辦公環(huán)境和工作現(xiàn)場分開，軟件設(shè)計方案、數(shù)據(jù)結(jié)構(gòu)、安全管理、操作監(jiān)控手段、數(shù)據(jù)

4、加密形式、原代碼等，只能在有關(guān)開發(fā)人員及有關(guān)管理機構(gòu)中流動，嚴禁散失或外泄。第十七條 應(yīng)用軟件開發(fā)必須符合軟件工程規(guī)范。第十八條 應(yīng)用系統(tǒng)變更需要進行風(fēng)險評估，并填寫相應(yīng)系統(tǒng)任務(wù)單，并由主管領(lǐng)導(dǎo)批準同意。第十九條 對于系統(tǒng)軟件，必須從身份鑒別、訪問控制和安全審計等幾個方面進行安全功能同步開發(fā)。第二十條 開發(fā)、測試業(yè)務(wù)應(yīng)用系統(tǒng)所使用的網(wǎng)絡(luò)環(huán)境和設(shè)備應(yīng)與系統(tǒng)實際運行環(huán)境、設(shè)備隔離。第二十一條 測試、聯(lián)調(diào)業(yè)務(wù)應(yīng)用系統(tǒng)時，應(yīng)禁止使用實際工作信息作為測試數(shù)據(jù)。第二十二條 應(yīng)有專人對進入現(xiàn)場進行后期維護或升級的服務(wù)人員進行陪同，禁止服務(wù)人員將具有存儲功能的自帶設(shè)備接入網(wǎng)內(nèi)，并限制其對網(wǎng)內(nèi)操作訪問的權(quán)限、禁

5、止其訪問網(wǎng)內(nèi)的工作信息。第五章 人員管理第二十三條 設(shè)置系統(tǒng)管理員、安全管理員、安全審計員，各員必須嚴格按照操作權(quán)限操作，不得越權(quán)操作。第二十四條 系統(tǒng)重要配置變更必須記錄相應(yīng)操作日志，日志包括操作時間、執(zhí)行命令等，并由安全審計員審計。第二十五條 操作人員離開系統(tǒng)時，應(yīng)退出系統(tǒng)或進行系統(tǒng)封鎖。第二十六條 操作人員隨時監(jiān)控設(shè)備運行狀況，發(fā)現(xiàn)異常情況應(yīng)立即按照規(guī)程進行操作，并及時上報和詳細記錄。第二十七條 未經(jīng)允許，任何人不得以任何方式試圖登錄進入網(wǎng)內(nèi)服務(wù)器等設(shè)備并對其進行修改、設(shè)置、刪除等操作。第六章 系統(tǒng)運行管理第二十八條 啟動與關(guān)閉：應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)啟動和關(guān)閉應(yīng)嚴格按照系統(tǒng)啟動和關(guān)閉流程

6、和步驟由系統(tǒng)管理員和安全管理員負責(zé)操作。應(yīng)用系統(tǒng)一旦啟動，在沒有特殊需要的情況下，應(yīng)始終處于運行狀態(tài)。第二十九條 系統(tǒng)正常運行情況下的停機：系統(tǒng)正常運行情況下任何停機要求應(yīng)按照下列處理流程處理： （一）網(wǎng)絡(luò)信息中心提前一日報分管領(lǐng)導(dǎo)進行批準，提前半日通知系統(tǒng)用戶，內(nèi)容應(yīng)包括：停機原因、預(yù)計恢復(fù)時間等。 （二）緊急停機：網(wǎng)絡(luò)信息中心為應(yīng)付突發(fā)事件，如黑客攻擊或其他無法預(yù)料事件，避免系統(tǒng)受到損壞，可以采取臨時緊急停機措施。采取措施同時，通知網(wǎng)絡(luò)信息中心領(lǐng)導(dǎo)；1小時內(nèi)通知所有用戶，內(nèi)容應(yīng)該包括：停機原因、預(yù)計恢復(fù)機房時間等。第七章 系統(tǒng)使用管理第三十條 需定期對系統(tǒng)內(nèi)安全產(chǎn)品的安全策略規(guī)則進行審核、

7、測試、校正，并作好相關(guān)審批手續(xù)和記錄。第三十一條 禁止在機房終端計算機私自安裝、卸載各種軟件、操作系統(tǒng)或硬盤、網(wǎng)卡等。第三十二條 每月對系統(tǒng)運行情況和用戶操作行為進行安全法規(guī)等方面檢查。第三十三條 每月根據(jù)系統(tǒng)變化情況，及時更新系統(tǒng)文檔資料，使之與實際狀況保持一致。第八章 系統(tǒng)變更管理第三十四條 系統(tǒng)變更前，變更申請人填寫系統(tǒng)變更申請表，向主管領(lǐng)導(dǎo)提出申請，并對系統(tǒng)進行備份，以確保系統(tǒng)變更失敗后能恢復(fù)到變更前的狀態(tài)。第三十五條 明確系統(tǒng)中要發(fā)生的變更，并根據(jù)變更類型，制定變更方案；變更方案要經(jīng)過主管領(lǐng)導(dǎo)批準后才可實施。第三十六條 應(yīng)對變更過程進行控制，對變更影響進行分析并形成文檔。第三十七條

8、應(yīng)對變更實施過程進行記錄，并妥善保存所有文檔和記錄。第三十八條 變更方案中要明確中止變更的條件，以及從失敗變更中恢復(fù)的程序，明確過程控制方法和人員職責(zé)。必要時對恢復(fù)過程進行演練。第三十九條 變更實施完成后，要將變更內(nèi)容及變更情況向相關(guān)人員進行通告。第九章 補丁管理第四十條 向現(xiàn)有業(yè)務(wù)系統(tǒng)中追加任何補丁需經(jīng)測試和審批。第四十一條 對系統(tǒng)添加補丁的操作由安全管理員登記。第十章 附 則第四十二條 本制度由某單位網(wǎng)絡(luò)信息中心負責(zé)解釋。第四十三條 本制度自發(fā)布之日起執(zhí)行。某單位軟件安裝記錄表軟件類別軟件提供單位軟件名稱軟件使用單位安裝時間安裝人員安裝位置使用范圍基本功能網(wǎng)絡(luò)信息中心測試意見簽字（蓋章）： 年 月 日審批意見簽字（蓋章）： 年 月 日備注注：信息系統(tǒng)中未安裝使用過的軟件需要某單位網(wǎng)絡(luò)信息中心進行測試并且提供測試意見。某單