1、总则
1.1、目的
为推动XXXXX单位的信息系统管理的规范化、程序化、制度化,加强XXXXX单位的业务外包管理,规范业务外包行为,防范业务外包风险,进一步加强应用软件开发的安全性,保障信息网络的安全、稳定运行,根据有关法律法规和相关控制要求,特制定本制度。
1.2、范围
本制度适用于XXXXX单位的外包软件开发管理。
1.3、职责
1) XXXXX单位负责对软件开发方(外包方)的调查、评定和选择。
2) XXXXX单位提出外包要求,并组织对外包要求的审核,确定后将细节要求纳入外包开发合同。
3) XXXXX单位实施对外包过程的控制,并组织在项目结束时对外包供方的评估。
2、管理细则
2.1、外包服务管理
1)为确保安全,须签订合同书记载有安全要件的合同。
2)所有外包项目都必须签订协议或合同,协议必须约定保密事项和安全责任。业务外包过程中形成的商业信息材料,业务部门按照合同中约定的保密条款对承包方的保密工作进行监督。
3)XXXXX单位应根据项目需要,对实施方案的重要方面进行深入评估以及复核,包括承包方的选择方案、外包业务的成本效益及风险、外包合同期限、外包方式、员工培训计划等,确保方案的可行性。
4)XXXXX单位对重大的业务外包项目应组织可行性分析,必要时可征询外部专家的意见,并根据其合理化建议完善实施方案。
5)签订外包合同后,出现将委托业务转包给第三方的情况时,须向XXXXX单位报告,在选定转包对象时,只有判断能维持XXXXX单位所要求的安全水准者方能许可转包。
6)签订外包合同后,应与外包服务公司及外包服务人员签订安全保密协议,明确安全责任,且人员变动后,保密协议需要重新签订。
7)要制定将XXXXX单位信息系统外包时的开发管理规程和验收标准。关于外包服务公司的工作人员必须遵守的安全事项,应令其彻底了解。将业务委托给外包服务公司时,要明确该业务内容、递交的信息、赋予的访问权限以及XXXXX单位负责该委托业务的管理者。委托业务结束时,要迅速地使信息系统以及出入的权限变成不可使用的状态。
2.2、外包项目过程控制
各部门根据本部门的工作需要,提出软件开发和应用的需求报告。根据需求报告,进行可行性分析,提出可行性方案,报局审定后方可实施。
应用软件开发过程管理重点确保以下四方面:
Ø 安全设计。软件的设计和实现需考虑如何保护其本身(和存储的信息)抵御外部攻击。
Ø 安全配置。软件的缺省配置运行环境应考虑如何降低安全风险。
Ø 安全部署。软件需提供相应的文档和工具,指导用户如何安全的使用。
Ø 交流。开发人员需要对发布产品中的安全漏洞准备响应方案。
2.4、安全设计
在安全设计阶段,需重点考虑:
Ø 减少攻击界面。例如,对一个网络软件的设计,它需要监听那些网络端口,是否可以减少监听端口的数目?那些用户可以与这些端口建立连接,是否要加强身份验证?
Ø 深层防御。底层模块的设计中,假设上层模块有可能出现安全漏洞。对传递的数据考虑进一步校验。
2.5、编码阶段
编码阶段应严格遵循安全编码规范,主要包括:
Ø 使用最新的编译器和编译选项。
Ø 尽量不使用特定的危险API,如strcpy, strcat等。
Ø 使用静态语言分析工具以扫描安全漏洞
Ø 定期进行安全代码复查。
2.6、软件测试阶段
软件安全测试阶段需模拟恶意输入,即创建恶意的输入数据,模拟软件被恶意攻击时的行为。包括文件测试、网络数据测试、用户界面输入数据测试等。
3、附则
本制度由XXXXX单位负责解释,自发布之日起实施。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。