(图片来源网络,侵删)
1、总则1.1、目的为推动XXXXX单位的信息系统管理的规范化、程序化、制度化,加强XXXXX单位的业务外包管理,规范业务外包行为,防范业务外包风险,进一步加强应用软件开发的安全性,保障信息网络的安全、稳定运行,根据有关法律法规和相关控制要求,特制定本制度1.2、范围本制度适用于XXXXX单位的外包软件开发管理1.3、职责1) XXXXX单位负责对软件开发方(外包方)的调查、评定和选择2) XXXXX单位提出外包要求,并组织对外包要求的审核,确定后将细节要求纳入外包开发合同3) XXXXX单位实施对外包过程的控制,并组织在项目结束时对外包供方的评估2、管理细则2.1、外包服务管理1)为确保安全,须签订合同书记载有安全要件的合同2)所有外包项目都必须签订协议或合同,协议必须约定保密事项和安全责任业务外包过程中形成的商业信息材料,业务部门按照合同中约定的保密条款对承包方的保密工作进行监督3)XXXXX单位应根据项目需要,对实施方案的重要方面进行深入评估以及复核,包括承包方的选择方案、外包业务的成本效益及风险、外包合同期限、外包方式、员工培训计划等,确保方案的可行性4)XXXXX单位对重大的业务外包项目应组织可行性分析,必要时可征询外部专家的意见,并根据其合理化建议完善实施方案5)签订外包合同后,出现将委托业务转包给第三方的情况时,须向XXXXX单位报告,在选定转包对象时,只有判断能维持XXXXX单位所要求的安全水准者方能许可转包6)签订外包合同后,应与外包服务公司及外包服务人员签订安全保密协议,明确安全责任,且人员变动后,保密协议需要重新签订7)要制定将XXXXX单位信息系统外包时的开发管理规程和验收标准关于外包服务公司的工作人员必须遵守的安全事项,应令其彻底了解将业务委托给外包服务公司时,要明确该业务内容、递交的信息、赋予的访问权限以及XXXXX单位负责该委托业务的管理者委托业务结束时,要迅速地使信息系统以及出入的权限变成不可使用的状态2.2、外包项目过程控制各部门根据本部门的工作需要,提出软件开发和应用的需求报告根据需求报告,进行可行性分析,提出可行性方案,报局审定后方可实施应用软件开发过程管理重点确保以下四方面:Ø 安全设计软件的设计和实现需考虑如何保护其本身(和存储的信息)抵御外部攻击Ø 安全配置软件的缺省配置运行环境应考虑如何降低安全风险Ø 安全部署软件需提供相应的文档和工具,指导用户如何安全的使用Ø 交流开发人员需要对发布产品中的安全漏洞准备响应方案2.4、安全设计在安全设计阶段,需重点考虑:Ø 减少攻击界面例如,对一个网络软件的设计,它需要监听那些网络端口,是否可以减少监听端口的数目?那些用户可以与这些端口建立连接,是否要加强身份验证?Ø 深层防御底层模块的设计中,假设上层模块有可能出现安全漏洞对传递的数据考虑进一步校验2.5、编码阶段编码阶段应严格遵循安全编码规范,主要包括:Ø 使用最新的编译器和编译选项Ø 尽量不使用特定的危险API,如strcpy, strcat等Ø 使用静态语言分析工具以扫描安全漏洞Ø 定期进行安全代码复查2.6、软件测试阶段软件安全测试阶段需模拟恶意输入,即创建恶意的输入数据,模拟软件被恶意攻击时的行为包括文件测试、网络数据测试、用户界面输入数据测试等3、附则本制度由XXXXX单位负责解释,自发布之日起实施
0 评论