《應用軟件系統(tǒng)開發(fā)與維護控制程序.doc》由會員分享，可在線閱讀，更多相關《應用軟件系統(tǒng)開發(fā)與維護控制程序.doc（5頁珍藏版）》請在裝配圖網(wǎng)上搜索。

應用軟件系統(tǒng)開發(fā)與維護控制程序 1 適用 本程序適用于本公司應用系統(tǒng)軟件的開發(fā)（包括外包軟件開發(fā)）及系統(tǒng)的維護的控制。不包括日常生產(chǎn)、管理、設計時所需的測試程序。 2 目的 為對公司系統(tǒng)開發(fā)與系統(tǒng)維護過程實施有效控制，確保系統(tǒng)開發(fā)與維護的各項安全要求得到識別并執(zhí)行，保證系統(tǒng)安全，特制定本程序。 3 職責 3.1 各職能部門負責應用軟件的開發(fā)任務的提出。 3.2 DXC負責全公司范圍內(nèi)應用軟件的開發(fā)、測試和綜合信息系統(tǒng)的維護管理。 3.3 DXC負責對公司范圍內(nèi)的信息網(wǎng)絡系統(tǒng)的容量進行規(guī)劃。 4 程序 4.1 應用軟件設計開發(fā)的控制 4.1.1 設計開發(fā)任務提出 各職能部門根據(jù)日常經(jīng)營管理工作的需要，經(jīng)過本部門部長批準后，交付開發(fā)部進行設計開發(fā)。 4.1.2 設計開發(fā)的策劃 DXC在接到任務通知后，首先要判斷可行性，明確規(guī)定設計開發(fā)的各個階段的評審與測試要求及設計開發(fā)人員的職責與權限，設計開發(fā)計劃方案由要求部門和開發(fā)部負責人共同批準后予以實施；必要時，如果對計劃進行更改也需要獲得雙方部長共同批準。軟件設計開發(fā)計劃應包括以下內(nèi)容： a) 軟件功能要求； b) 詳盡的業(yè)務流程； c) 信息安全要求； d) 時間進度要求； e) 設計開發(fā)的各個階段評審與測試要求； f) 設計開發(fā)人員的職責與權限； g) 其它要求。 4.1.3 設計開發(fā)人員的要求 軟件設計開發(fā)人員須經(jīng)開發(fā)部負責人授權，并應具備一定的軟件開發(fā)能力和良好的職業(yè)道德。 4.1.4 設計開發(fā)方案的技術評審 4.1.4.1 設計開發(fā)負責人應根據(jù)軟件設計開發(fā)計劃的要求，編制軟件設計開發(fā)方案，由開發(fā)部負責人對方案的技術可行性及系統(tǒng)的安全性進行確認。 4.1.4.2 對于大型軟件開發(fā)方案應由設計開發(fā)人員、應用部門人員、內(nèi)部IT方面的專家共同進行評審。 4.1.4.3軟件設計開發(fā)方案應包括以下內(nèi)容： a) 確定軟件開發(fā)工具； b) 應用系統(tǒng)功能； c) 業(yè)務實現(xiàn)流程； d) 輸入數(shù)據(jù)確認要求； e) 必要時，系統(tǒng)內(nèi)部數(shù)據(jù)確認檢查的要求； f) 輸出數(shù)據(jù)的確認要求； g) 應用系統(tǒng)的安全要求； h) 對系統(tǒng)硬件配置的要求； i) 系統(tǒng)驗收標準。 方案確認與審批的結果及任何必要的措施應予以記錄。 4.1.5 設計開發(fā)的環(huán)境要求 在進行軟件開發(fā)時，應采取適宜的方法將開發(fā)與運作設施分離： a) 開發(fā)和運行應當在不同的環(huán)境； b) 測試系統(tǒng)應該獨立于運行系統(tǒng)。 4.1.6 軟件的測試與試運行 4.1.6.1 源程序編制好以后，應在規(guī)定的測試環(huán)境條件并依據(jù)軟件測試要求由軟件設計開發(fā)負責人組織有關人員測試活動，填寫《應用軟件測試報告》。 4.1.6.2 當軟件含有數(shù)據(jù)處理功能時，軟件測試活動應包括以下方面的內(nèi)容： a) 應用測試數(shù)據(jù)，驗證內(nèi)部數(shù)據(jù)處理的正確性； b) 應用測試數(shù)據(jù)，確認輸出數(shù)據(jù)的正確性并與環(huán)境相適應。 4.1.6.3 當系統(tǒng)測試數(shù)據(jù)使用業(yè)務數(shù)據(jù)，并且包含敏感信息時，應按以下要求對測試數(shù)據(jù)進行保護： a) 用于運作系統(tǒng)的訪問控制過程也應用于測試系統(tǒng)； b) 業(yè)務數(shù)據(jù)每一次復制到測試應用系統(tǒng)，應被系統(tǒng)主管部門授權； c) 測試完成之后，應立即從測試系統(tǒng)中消除。 4.1.6.4應用部門在試運行期間，應將使用中存在的問題及時反饋給開發(fā)部進行修改。試運行結束后，對試運行情況進行總結，并由DXC和應用部門負責人簽字認可，投入使用。 4.1.7 更改控制 在設計開發(fā)過程中，涉及到系統(tǒng)功能、安全技術要求的更改應經(jīng)過開發(fā)部負責人批準后予以實施，并經(jīng)過測試合格后方可投入使用。 4.1.8 源程序庫（程序源代碼）管理及技術文檔管理 4.1.8.1 為降低計算機程序被破壞的可能性，設計開發(fā)軟件的源程序庫應按以下要求實施管理： a) 源程序庫不應保存在運作系統(tǒng)中； b) 各項應用應指定源程序庫管理員； c) 信息技術維護人員不應自由訪問源程序庫。 4.1.8.2 DXC明確源代碼管理責任人及保存方式。 4.1.8.3 源程序的管理應包括歷史版本的管理。 4.1.9 軟件開發(fā)外包控制 4.1.9.1 開發(fā)軟件外包應該遵守《信息處理設備管理程序》。委托部門應明確軟件開發(fā)的安全技術要求，由開發(fā)部審核，報分管公司負責人批準后，計劃部與軟件開發(fā)方簽訂軟件開發(fā)合同，必要時，應簽訂保密協(xié)議，在協(xié)議中明確規(guī)定安全保密要求。 4.1.9.2 軟件安裝使用前，應由軟件開發(fā)方及我方技術人員共同進行測試，測試結束應填寫《應用軟件測試報告》，測試符合技術協(xié)議要求且經(jīng)委托部門認可后，方可投入試運行；試運行結束后且使用中發(fā)現(xiàn)的問題已經(jīng)得到圓滿解決后，雙方進行正式的驗收。 4.1.9.3 軟件外包方在我公司進行軟件開發(fā)活動，應事先得到委托部門負責人的授權，有我方人員在場的情況下方可進行。 4.1.10新的應用系統(tǒng)（或軟件）在正式投入前，系統(tǒng)應用主管部門應對系統(tǒng)的訪問權限規(guī)定并按照《用戶訪問控制程序》要求進行用戶訪問授權。 4.1.11新的應用系統(tǒng)（或軟件）投入使用后，相關部門應進行風險識別和評估，根據(jù)評估結果確定資產(chǎn)重要度，必要時制訂相應的控制措施。 4.2系統(tǒng)的維護管理 4.2.1 為確保系統(tǒng)的安全，各系統(tǒng)主管部門應對以下方面實施控制： a) 系統(tǒng)容量策劃； b) 系統(tǒng)更改； c) 操作系統(tǒng)更改； d) 軟件包變更。 4.2.2 容量策劃 DXC應對信息網(wǎng)絡系統(tǒng)的容量（CPU利用率、內(nèi)存和硬盤空間大小、傳輸線路帶寬）需求進行監(jiān)控，并對將來容量需求進行策劃，適當時機進行容量擴充。 4.2.3 軟件的安裝和升級引用《更改控制程序》。 4.2.4 防范隱藏通道及特洛伊碼。 對軟件的采購、使用及變更有關部門應加以控制和檢查以防止可能的隱藏通道和特洛伊碼，具體執(zhí)行《惡意軟件管理程序》。 4.3 當系統(tǒng)發(fā)生事故與故障時，系統(tǒng)維護主管部門應立即進行處理，確保系統(tǒng)安全，具體執(zhí)行《事故、事件、薄弱點與故障管理程序》。 5 記錄 記錄名稱 保存部門 保存期限 《應用軟件測試報告》 10年