軟件控制程序

1、軟件控制程序撰寫： 發(fā)布：2021年4月1日文件編號：YJF-SP-036版本：A1文檔秘級：秘密版本歷史序號版本修訂內(nèi)容修訂部門/人修訂時間1A0制定2020-8-12A1制定2021-4-13451 .范圍本標(biāo)準(zhǔn)規(guī)定了*科技管理企業(yè)軟件的收集、發(fā)放、管理、使用、 更改、修訂、備份、外包軟件開發(fā)等過程的控制要求。本標(biāo)準(zhǔn)適用于公司軟件和系統(tǒng)的控制。2規(guī)范性引用文件以下文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。但凡注日期的引用文 件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓 勵各部門研究是否可使用這些文件的最新版本。但凡不注日期的引用文件，其最新版本 適用于

2、本標(biāo)準(zhǔn)。變更控制程序3術(shù)語和定義無4職責(zé)和權(quán)限1系統(tǒng)運維部公司企業(yè)電腦軟件的歸口管理部門。負(fù)責(zé)軟件的購置、維護(hù)、作廢及資料、 介質(zhì)的收集、統(tǒng)計、歸檔、存放和發(fā)放使用、外包軟件開發(fā)等工作。4.2其他各部門負(fù)責(zé)各部門的軟件資料、介質(zhì)的收集、統(tǒng)計、歸檔、存放和發(fā)放使用。5活動描述1軟件分類信息系統(tǒng)涉及的軟件分為以下3類：a）操作系統(tǒng)軟件；b）數(shù)據(jù)庫軟件；c）各類專業(yè)應(yīng)用軟件；d）微信公眾號。2軟件的收集對軟件的管理首先要對公司使用的軟件進(jìn)行，軟件來源主要有以下幾個方面:a）已有商業(yè)軟件購買。b）與廠家以合同形式進(jìn)行新軟件的共同開發(fā)。c）免費軟件的下載。d）已有軟件的技術(shù)轉(zhuǎn)讓。5.3軟件/信息系統(tǒng)信息

3、平安要求分析3.1獲取或擴(kuò)展IT系統(tǒng)相關(guān)的信息平安要求應(yīng)依據(jù)信息平安策略的要求審查需 求說明；3. 2信息系統(tǒng)功能性、適用性評價3. 2. 1獲取信息系統(tǒng)前，由系統(tǒng)運維部門負(fù)責(zé)組織相關(guān)部門進(jìn)行必要的調(diào)研和評 估工作，確保系統(tǒng)功能完備，符合公司應(yīng)用，具備可行性；3. 2. 2獲取信息系統(tǒng)前，由系統(tǒng)運維部門負(fù)責(zé)組織相關(guān)部門，對供應(yīng)商的資質(zhì)、 技術(shù)實力和信譽度進(jìn)行評估，確保風(fēng)險度降低；3. 2. 3獲取信息系統(tǒng)前，由系統(tǒng)運維部門負(fù)責(zé)組織相關(guān)部門，必要時請公司協(xié)調(diào) 專業(yè)機(jī)構(gòu)、人員給予幫助，訂立好相關(guān)合同、協(xié)議，確保公司利益得到足夠的保護(hù)。3. 2. 4涉及信息系統(tǒng)的供應(yīng)商相關(guān)人員必須簽定保密協(xié)議書。3

4、. 3信息系統(tǒng)變更、維護(hù)的有關(guān)規(guī)定3. 3. 1IT人員指定人員負(fù)責(zé)信息系統(tǒng)的更新。3. 3. 2公司的所有運行軟件必須且只能由IT人員負(fù)責(zé)安裝；3. 3. 3公司信息系統(tǒng)的變更必須且只能由IT人員負(fù)責(zé)，且變更前必須進(jìn)行內(nèi)部評 審，由部門主任審批，以盡可能減少信息泄露的可能性。3. 3. 4信息系統(tǒng)更新前必須按照上述的要求，進(jìn)行測試和驗證工作。3. 3. 5IT人員負(fù)責(zé)測試環(huán)境的提供和維護(hù)。3. 3. 6IT人員指定人員負(fù)責(zé)信息系統(tǒng)數(shù)據(jù)庫的更新、備份工作。3. 4設(shè)計的隱私原那么和默認(rèn)的隱私原那么如果適用，也同樣適用于外包信息系統(tǒng)。軟件的審核、批準(zhǔn)、發(fā)布新的軟件由綜合辦公室進(jìn)行測試或使用檢驗，

5、測試應(yīng)當(dāng)包括可用性、平安性, 對其它系統(tǒng)影響和用戶友好性，測試應(yīng)當(dāng)在與應(yīng)用系統(tǒng)隔離的系統(tǒng)中進(jìn)行。新的軟件測試或使用檢驗合格后，經(jīng)系統(tǒng)運維部網(wǎng)絡(luò)組及領(lǐng)導(dǎo)審核并批準(zhǔn)后 發(fā)布。軟件歸檔和存放所有軟件收集后統(tǒng)一登記，包括軟件的開發(fā)廠家，軟件數(shù)量，軟件版本，許可證編 號等。軟件登記好后統(tǒng)一存放于指定位置。磁盤文件存放于指定存儲空間中，由專人負(fù)責(zé) 整理，各軟件建立獨立的文件夾，標(biāo)識明確清晰，并做好軟件的備份工作。光盤統(tǒng)一存 放入文件柜中，并有明顯易識別的標(biāo)識，便于整理和取用。6軟件使用a）系統(tǒng)運維部網(wǎng)絡(luò)組統(tǒng)一負(fù)責(zé)軟件的發(fā)放及安裝，做到及時升級和故障排除。b）各部門及用戶負(fù)責(zé)軟件的使用，如有問題及時反應(yīng)給系

6、統(tǒng)運維部網(wǎng)絡(luò)組c）未經(jīng)許可，任何人不得將內(nèi)部使用的軟件外帶、傳播、販賣，不得將軟件用于 任何違法或非正當(dāng)用途。d）軟件使用過程中應(yīng)加強(qiáng)保護(hù)，保持軟件完整、可用，不受病毒侵害。5.7運行系統(tǒng)軟件的安裝運行系統(tǒng)上軟件的安裝變更，主要控制有以下幾個方面：由受過培訓(xùn)的管理員，根據(jù)合適的管理授權(quán)，進(jìn)行允許軟件、應(yīng)用和程序庫的更新;運行系統(tǒng)宜僅具有經(jīng)過批準(zhǔn)的可執(zhí)行代碼，而不能具有開發(fā)代碼和編譯程序；應(yīng)用和操作系統(tǒng)的影響和用戶友好性的測試、成功的測試后予以實現(xiàn)；這種測試包 括實用性、平安性、對其他系統(tǒng)的影響和用戶友好性的測試，且測試在獨立的系統(tǒng)上完 成，確保所有對應(yīng)的程序源碼庫已經(jīng)更新；使用配置控制系統(tǒng)對所

7、有已開發(fā)的軟件和系統(tǒng)文件進(jìn)行控制；在變更實現(xiàn)之前有回調(diào)的策略；已維護(hù)對運行程序庫的所有更新的審計日志；保存應(yīng)用軟件的先前版本作為應(yīng)急措施；軟件安裝限制使用最小授權(quán)原那么，如獲得了某些特權(quán)，用戶就可能具有安裝軟件的能力。組織確 定允許安裝的軟件類型和禁止安裝的軟件類型。針對用戶所涉及的角色授予這些特權(quán)。平安性測試及部署信息系統(tǒng)正式應(yīng)用前，要進(jìn)行測試、驗證和必要的控制1由系統(tǒng)運維部門負(fù)責(zé)組織相關(guān)部門、人員，對信息系統(tǒng)進(jìn)行測試、驗證工作。系統(tǒng)運維部門確定信息系統(tǒng)相關(guān)功能的負(fù)責(zé)人員，各負(fù)責(zé)人員負(fù)責(zé)組織協(xié) 調(diào)、溝通公司內(nèi)部相關(guān)部門、人員和供應(yīng)商對信息系統(tǒng)進(jìn)行驗收、測試和必要的修改工 作。測試的數(shù)據(jù)、結(jié)果

8、，要使用或者模擬公司實際業(yè)務(wù)數(shù)據(jù)進(jìn)行，該項工作由系 統(tǒng)運維部門負(fù)責(zé)組織，各相關(guān)部門和人員對測試的數(shù)據(jù)及結(jié)果負(fù)責(zé)。5. 9. 4根據(jù)測試、驗證結(jié)果，負(fù)責(zé)將信息系統(tǒng)安裝在正式環(huán)境中。由IT負(fù)責(zé)根據(jù)各部門需求，確定相關(guān)人員相應(yīng)的使用權(quán)限，使用人員負(fù)責(zé)自 己口令的管理。9. 6系統(tǒng)測試數(shù)據(jù)的保護(hù)6. 1控制措施測試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制。6. 2實施指南應(yīng)防止使用包含敏感數(shù)據(jù)的運行數(shù)據(jù)庫用于測試。如果測試使用了個人或其他敏感 信息，那么在完成測試之后應(yīng)去除或修改所有的敏感細(xì)節(jié)和內(nèi)容。當(dāng)用于測試時，應(yīng)使 用以下（但不僅限于）指南保護(hù)運行數(shù)據(jù)：正式系統(tǒng)上的訪問控制措施也要應(yīng)用到測試系統(tǒng)上；在測試

9、中使用敏感數(shù)據(jù)應(yīng)取得適當(dāng)?shù)氖跈?quán)進(jìn)行訪問；在測試完成之后，應(yīng)從測試系統(tǒng)清除主要的敏感數(shù)據(jù)；生產(chǎn)數(shù)據(jù)的匿名化和筆名化；盡量防止使用生產(chǎn)數(shù)據(jù)進(jìn)行測試。測試和運行設(shè)施別離；為防止運行問題，需識別運行與測試環(huán)境之間的別離級別：測試環(huán)境與運行環(huán)境要嚴(yán)格別離，不允許在運行環(huán)境中進(jìn)行測試工作；測試系統(tǒng)要盡可能的仿效運行系統(tǒng)的環(huán)境；敏感數(shù)據(jù)不要拷貝到測試系統(tǒng)環(huán)境中。PH不應(yīng)用于測試目的。應(yīng)使用假的或合成的PH。如果無法防止將PH用于測試 目的，那么應(yīng)實施與生產(chǎn)環(huán)境中使用的等效的技術(shù)和組織措施。如果這種等效措施不可行, 那么應(yīng)進(jìn)行風(fēng)險評估，并用于選擇適當(dāng)?shù)臏p緩風(fēng)險的控制措施。5. 10驗收當(dāng)完成軟件/信息系統(tǒng)的開

10、發(fā)后，依據(jù)需求組織驗收，驗收完成后由IT簽署驗收確 認(rèn)單。IT根據(jù)操作手冊上的具體說明以及前期需求來驗收系統(tǒng)是否存在問題，對發(fā)現(xiàn)的問 題要及時與軟件開發(fā)企業(yè)人員聯(lián)系，軟件供應(yīng)商實施人員負(fù)責(zé)對應(yīng)所有問題直到被解 決。在系統(tǒng)缺陷全部被修改完畢后，軟件供應(yīng)商派出開發(fā)員工負(fù)責(zé)將系統(tǒng)上線。系統(tǒng)上線后三個月內(nèi)，供應(yīng)商有義務(wù)免費為客戶修改在使用系統(tǒng)中出現(xiàn)的問題，直 至系統(tǒng)驗收合格。5. 11軟件的修訂與升級5. 11.1各部門和人員應(yīng)根據(jù)軟件的使用情況，提出軟件的修訂意見，經(jīng)公司領(lǐng)導(dǎo)批 準(zhǔn)后，形成統(tǒng)一的修訂意見，由綜合辦公室負(fù)責(zé)實施。軟件的升級/補丁按變更控制程序進(jìn)行。5. 12軟件作廢5. 12. 1修訂

11、軟件批準(zhǔn)生效后，原軟件應(yīng)予以作廢。軟件使用部門接到新版本軟件后, 從新版本軟件實施之日起，原軟件作廢。5.12. 2應(yīng)當(dāng)保存原軟件的以前版本作為應(yīng)急之用，包括所有需要的信息和參數(shù)、程 序、具體配置，以及用于數(shù)據(jù)保存存檔的支持軟件。5. 12. 3原軟件作廢版本的光盤應(yīng)有明確標(biāo)識，并與其他在用光盤分開存放，電子文 件應(yīng)予以回收，防止引起作廢軟件的非預(yù)期使用。5. 13 軟件外包開發(fā)5. 13. 1對于軟件外包開發(fā)供應(yīng)商需要與供應(yīng)商簽訂保密協(xié)議書；5.13. 2在開發(fā)過程中，IT需要對軟件開發(fā)供應(yīng)商的軟件開發(fā)進(jìn)度及要求進(jìn)行跟進(jìn)、 監(jiān)督，有問題及時進(jìn)行溝通。5. 14技術(shù)符合性評審公司IT工程師每年

12、組織對信息系統(tǒng)進(jìn)行一次技術(shù)性評估，如果需要可以邀請有經(jīng)驗的系統(tǒng)工程師使用一些檢測工具軟件，如滲透測試、入侵檢測。對系統(tǒng)進(jìn)行技術(shù)符合 性性核查必須由經(jīng)過總經(jīng)理授權(quán)的人員執(zhí)行。作為遵守平安策略和標(biāo)準(zhǔn)的技術(shù)評審的一局部，組織應(yīng)包括審查與處理PII相關(guān)的 工具和組件的方法，這可以包括：-持續(xù)監(jiān)控以確認(rèn)只進(jìn)允許的處理可以實施，和/或-特定的滲透或漏洞測試（例如，去識別化數(shù)據(jù)集可以應(yīng)對有動機(jī)的入侵測試， 以驗證去識別化方法是否符合組織要求的）。檢查結(jié)果填寫在信息系統(tǒng)技術(shù)符合性評審表。15信息系統(tǒng)審計15. 1信息系統(tǒng)審計控制措施每年對信息系統(tǒng)進(jìn)行一次審計，審核實施按照5.15技術(shù)符合性評審進(jìn)行。15.2審計工具的