文档编号 xxxxxxxxxxxxxxxxxxxx
X X X信息技术(北京)股份限公司
业务系统规划建设安全规定
Ver10
第1章 总
第1条 提高公司业务系统规划建设安全水特制定理规定
第2条 规范适公司网络IT基础设施业务系统安全规划设计建设
第2章 项目规划安全理
第3条 业务系统安全规划设计时应遵循原:
1 充分考虑应安全实现控性便降低信息安全系统应系统结合程风险
2. 保持信息安全系统应系统相互独立性避免功实现交叉跨越
3. 建立完善安全控制机制包括:户标识认证逻辑访问控制公访问控制审计踪等
第4条 须进行系统安全性需求分析少包括信息安全方面容:
1 安全威胁分析
2 系统脆弱性分析
3 影响性分析
4 风险分析
5 系统安全需求
第5条 行性分析中须包括信息安全方面容:
1 明确项目总体安全目标增加针前面分析出安全需求提出相应安全策安全需求少应安全策安全策强度根相应资产系统重性选择选择方法参见X X X信息技术(北京)股份限公司网络信息安全基线标准
2 应描述技术理两方面实现安全策形成安全方案
3 增加项目建设中安全理模式安全组织结构员安全职责建设实施中安全操作程序相应安全理求
4 安全方案进行成效益分析
第6条 涉系统开发外包合作开发时安全需求应双方认合协议中予明确规定果采通公正第三方独立评估认证产品
第3章 项目审批安全理
第7条 项目总体方案报xxx部进行项目行性审批技术方案需信息中心进行技术行性审批安全设计方案公司网络信息安全规划工作组审批
第8条 安全方案审批程中应项目安全需求分析安全策总体安全方案进行成效益合理性行性效性分析
第9条 项目立项项目务书中须包括信息安全方面容:
1 项目建设中安全理模式安全组织结构员安全职责
2 项目建设实施中安全操作程序相应安全理求
3 总体安全目标安全策实现安全策安全方案
4 描述系统拥具体安全功安全功强度
5 安全性测试考核指标
第4章 项目实施方案安全理
第10条 项目实施方案设计阶段包括概设计详细设计阶段工作项目开发承担单位完成工程建设部负责监督实施
第11条 必须应系统开发修改者投入前指定应系统责方便结合维护需求设计建设系统
第12条 概设计说明书中少应包括信息安全求:
1 子系统描述系统安全体系结构
2 描述子系统提供安全功
第13条 详细设计说明书中少包括信息安全容:
1 详细设计中须提出相应具体安全方案标明实现安全功检查技术原理
2 系统层面模块层面安全设计进行审查
3 完成安全测试评估求(通常包括完整系统软件硬件安全测试方案少相关测试程序草案)
4 确认模块设计模块间接口设计满足系统层面安全求
第5章 项目实施程安全理
第1节 基程理
第14条 项目实施程中项目开发承担单位应遵循安全求:
1 完善系统运行程序全生命期支持安全计划密钥分发
2 系统集成操作手册中制定安全集成操作程序
3 系统配置理手册中制定系统安全配置理细安全操作手册
4 项目参员进行信息安全意识培训
5 工程建设部门应项目成员进行安全职责检查
第2节 软件修改理
第15条 项目实施阶段应软件修改会影响运营环境行应软件业务运营变更控制程序应结合起实施变更控制包括容:
1 实施前详细变更方案必须获正式批准
2 选择恰变更时间确保具体实施程中限度减少业务影响
3 确保操作系统更改会应系统安全性完整性造成良影响
4 确保系统文档次修改时更新确保旧文档正确档处置
5 做软件升级版控制保存历史版
第16条
应量避免修改厂商提供软件包必须修改应注意点:
1 应征原厂商意话原厂商提供标准升级程序实现软件包更改
2 考虑变更带软件维护责方面潜负面影响修改需公司负责软件维护工作
3 修改必少应保留原始软件原始软件清洁拷贝进行
4 全面测试作修改记录案便必时重新应软件升级
第17条 门逻辑炸弹特洛伊代码属恶意代码范畴网络信息系统重潜威胁软件原始采购开发维护程中应采取防范控制措施:
1 仅信誉卓著厂商处购买软件
2 购买提供源代码软件便进行检验
3 通权威机构评估测试软件产品
4 旦安装完毕控制源代码访问修改
第18条 外包软件开发时应注意点求:
1 选择信誉质量保证力软件承包商
2 软件许权协议代码关系知识产权
3 外包工作质量准确性检验保留检查权利
4 承包方违约时应该采取措施
第3节 数安全理
第19条 保证系统安全性必须开发程中输入应系统中数进行严格检查确保正确性适性避免效数系统造成危害输入数验证般通应系统身实现应系统开发中实现输入数验证功
第20条 已正确输入数受错误处理者意破坏系统应采取效验证检查措施检测类破坏应系统设计时引入数处理控制减数完整性破坏导致障率
第21条 应系统输出数应验证确保数处理正确性合理性
第4节 软件测试理
第22条 系统验收测试数通常含量操作系统相关信息应系统测试数加保护控制避免含隐私敏感信息数测试系统确保测试数普遍性
第23条 降低系统程序遭受破坏性应严格控制系统源代码访问
第6章 项目验收安全理
第24条 项目验收须公司xxx部xxx部公司网络信息安全规划工作组确认签字验收
第25条 项目须达项目务书中制定总体安全目标安全指标实现全部安全功
第26条 验收报告中应包括项目设计总体安全目标容
第27条 验收报告中应包括项目采关键安全技术容
第28条 系统验收移交必须立修改系统中相关口令
第7章 文档声明
第29条 规定解释修改权X X X
信息技术(北京)股份限公司
文香网httpwwwxiangdangnet
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档