1、总则
1.1、目的
为推动XXXXX单位的信息系统管理的规范化、程序化、制度化,加强XXXXX单位的业务外包管理,规范业务外包行为,防范业务外包风险,进一步加强应用软件开发的安全性,保障信息网络的安全、稳定运行,根据有关法律法规和相关控制要求,特制定本制度。
1.2、范围
本制度适用于XXXXX单位的外包软件开发管理。
1.3、职责
1) XXXXX单位负责对软件开发方(外包方)的调查、评定和选择。
2) XXXXX单位提出外包要求,并组织对外包要求的审核,确定后将细节要求纳入外包开发合同。
3) XXXXX单位实施对外包过程的控制,并组织在项目结束时对外包供方的评估。
2、管理细则
2.1、外包服务管理
- 为确保安全,须签订合同书记载有安全要件的合同。
- 所有外包项目都必须签订协议或合同,协议必须约定保密事项和安全责任。业务外包过程中形成的商业信息材料,业务部门按照合同中约定的保密条款对承包方的保密工作进行监督。
- XXXXX单位应根据项目需要,对实施方案的重要方面进行深入评估以及复核,包括承包方的选择方案、外包业务的成本效益及风险、外包合同期限、外包方式、员工培训计划等,确保方案的可行性。
- XXXXX单位对重大的业务外包项目应组织可行性分析,必要时可征询外部专家的意见,并根据其合理化建议完善实施方案。
- 签订外包合同后,出现将委托业务转包给第三方的情况时,须向XXXXX单位报告,在选定转包对象时,只有判断能维持XXXXX单位所要求的安全水准者方能许可转包。
- 签订外包合同后,应与外包服务公司及外包服务人员签订安全保密协议,明确安全责任,且人员变动后,保密协议需要重新签订。
- 要制定将XXXXX单位信息系统外包时的开发管理规程和验收标准。关于外包服务公司的工作人员必须遵守的安全事项,应令其彻底了解。将业务委托给外包服务公司时,要明确该业务内容、递交的信息、赋予的访问权限以及XXXXX单位负责该委托业务的管理者。委托业务结束时,要迅速地使信息系统以及出入的权限变成不可使用的状态。
2.2、外包项目过程控制
各部门根据本部门的工作需要,提出软件开发和应用的需求报告。根据需求报告,进行可行性分析,提出可行性方案,报局审定后方可实施。
应用软件开发过程管理重点确保以下四方面:
- 安全设计。软件的设计和实现需考虑如何保护其本身(和存储的信息)抵御外部攻击。
- 安全配置。软件的缺省配置运行环境应考虑如何降低安全风险。
- 安全部署。软件需提供相应的文档和工具,指导用户如何安全的使用。
- 交流。开发人员需要对发布产品中的安全漏洞准备响应方案。
2.4、安全设计
在安全设计阶段,需重点考虑:
- 减少攻击界面。例如,对一个网络软件的设计,它需要监听那些网络端口,是否可以减少监听端口的数目?那些用户可以与这些端口建立连接,是否要加强身份验证?
- 深层防御。底层模块的设计中,假设上层模块有可能出现安全漏洞。对传递的数据考虑进一步校验。
2.5、编码阶段
编码阶段应严格遵循安全编码规范,主要包括:
- 使用最新的编译器和编译选项。
- 尽量不使用特定的危险API,如strcpy, strcat等。
- 使用静态语言分析工具以扫描安全漏洞
- 定期进行安全代码复查。
2.6、软件测试阶段
软件安全测试阶段需模拟恶意输入,即创建恶意的输入数据,模拟软件被恶意攻击时的行为。包括文件测试、网络数据测试、用户界面输入数据测试等。
3、附则
本制度由XXXXX单位负责解释,自发布之日起实施。
1353
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
