iso27001认证 iso270001信息安全管量体系认证 iso27000认证之信息系统获取、开发及维护控制程序
1. 目的
为了保障本单位已有的和新建设的信息系统的安全,维护其正常运行,制定本文件。
2. 范围
本文件适用于ISMS范围内的所有信息系统的获取、开发及维护安全管理。
3. 职责与权限
3.1 研发部
负责公司相关信息系统开发过程的安全管理。
3.2 人事行政部
负责公司外购信息系统的安全管理。
4. 相关文件
《软件控制程序》、《网络安全管理程序》、《变更控制程序》
5. 术语定义
无
6. 控制程序
6.1 信息系统的安全要求
1)本单位建设新的信息系统时,在项目需求提出阶段,要识别所有信息安全要求,并评审这些要求的合理性,并将这些安全要求包含在项目需求分析和说明中。
2)在新系统的设计和实施阶段,就要将满足信息要求的信息安全控制措施集成进去。
3)信息系统建设过程中的产品和服务的采购,应遵循供应商选择的标准和程序,对所采购的产品和服务进行正式的测试验收后,方可投入运行。
4)对已有信息系统和已有信息系统的更新,内业处应进行信息安全要求分析,并在信息系统更新和日常维护中满足这些安全要求。
6.2 开发和支持过程的安全
1)本单位对新建和改建信息系统、新安装和升级操作系统、新引入和升级应用软件必须进行控制。
2)新建和改进信息系统必须在独立的测试环境进行完全测试,确认无误后方可部署在本单位业务环境中。
3)新操作系统和对现有操作系统升级,必须在独立环境中安装和升级,并对本单位所有原有业务系统软硬件与新操作系统的兼容性进行安全测试,确认无误后方可在本单位业务环境中部署新操作系统。
4)新引入和升级应用软件,必须在独立环境中安装和升级,并经过完全测试,确认无误后方可在本单位业务环境中部署新应用软件。
5)本单位在应用软件升级过程中,升级前需对升级包进行安全检测。
6)本单位必须规定开发信息系统时的开发环境安全要求,开发组必须遵守该要求。
7)如本单位在开发信息系统时选择外包方,必须要求外包方遵守上述安全要求。
8)本单位对开发的信息系统(无论是否外包)必须进行系统安全性测试。
9)本单位在开发任务书或外包开发合同中必须明确信息系统验收准则。
10)信息系统、操作系统、应用软件的变更的管理要求,见《变更管理办法》。
6.3 系统上线运行
1)在软件安装在生产环境之前应检测软件包中可能存在的恶意代码。项目组在试运行期间,应将使用中存在的问题及时反馈给开发商或项目组进行协调修改。试运行结束后,应形成正式的《验收报告》,由客户签字认可。
2)正式上线。系统从试运行转为正式投入使用,各营销部门负责系统的平稳运行和维护,并对软件版本的更新进行控制和管理。
6.4 测试数据
1) 控制措施
测试数据应认真地加以选择、保护和控制。
2) 实施指南
应避免使用包含敏感数据的运行数据库用于测试。如果测试使用了个人或其他敏感信息,那么在完成测试之后应去除或修改所有的敏感细节和内容。当用于测试时,应使用下列(但不**于)指南保护运行数据:
l 正式系统上的访问控制措施也要应用到测试系统上;
l 在测试中使用敏感数据应取得适当的授权;
l 在测试完成之后,应从测试系统清除主要的敏感数据;
7 附件、记录
信息系统开发测试、购买过程中的各种记录