信息系统采购开发和维护制度.doc
《信息系统采购开发和维护制度.doc》由会员分享,可在线阅读,更多相关《信息系统采购开发和维护制度.doc(6页珍藏版)》请在启牛文库网上搜索。
1、信息系统采购、开发和维护制度 11.1 系统安全需求 11.1.1 系统的安全需求分析与范围 第243条 在系统开发的整个过程(特别是在系统需求阶段)都必须考虑安全需求,包括但不限于: 1)系统架构 2)用户认证 3)访问控制和授权 4)事务处理的机密性和完整性 5)日志记录功能 6)系统配臵 7)法律法规和兼容性要求 8)系统恢复 第244条 在系统的需求和设计阶段,需要对系统进行安全方面的评审。 第245条 应该在开发的整个周期对安全需求实施的正确性进行阶段性检查,以确保其对应的安全措施按照要求被定义、设计、部署和测试。 第246条 在使用商业软件或软件包前,必须按照上述安全需求进行评估。
2、对于软件的安全控制要求应该在评估之前定义好。 第247条 软件必须通过用户的正式验收后才能投入生产。软件在正式使用前必须经过安全方面的测试,测试内容必须包括所有设计文档中的安全要求。 第248条 为了对用户的操作进行检查和审计,系统必须提供日志记录功能。系统应提供只有日志审计人员可以访问的用来查看日志记录的审计接口。日志文件必须设臵严格的访问控制,包括系统管理员、日志审核员在内所有角色都只能有查看权限。 11.2 应用系统中的安全 11.2.1 数据输入的验证 第249条 所有接受数据输入的入口必须有相应的验证处理,包括但不限于: 1)数据的长度 2)数据的类型 3)数据的范围 4)字符的限制
3、 第250条 根据业务需要,对于按照纸面信息输入的数据,系统应该提供“数据在输入被确认”之后才能提交的功能。 第251条 系统应该对错误的输入数据提供有帮助的提示信息。必须对数据输入验证功能进行全面的测试,以保证其正确性和有效性。系统在使用过程中,应该明确定义参与数据输入各环节所有相关人员的职责。 11.2.2 内部处理的控制 第252条 应用系统的设计应该考虑以下因素,防止正确输入的数据因错误处理或人为因素等遭到破坏: 1)程序应该有处理的校验机制 2)程序应该有相应的例外处理机制 3)对于有先后执行顺序的程序或程序模块,内部必须有执行顺序的限制机制 第253条 控制措施的选择应根据应用的性
4、质和数据受损对业务造成的影响而定,可选择的措施包括但不限于: 1)会话或批处理控制措施,在事务更新后协调相关数据文件的一致性 2)验证系统生成数据的正确性 3)检查数据完整性,特别是在计算机之间传输的数据 4)计算记录和文件的哈希值以便验证 5)确保程序以正确的顺序运行,在出现故障时终止,在问题解决前暂停处理 11.2.3 消息验证 第254条 对需要确保消息内容完整性的应用(例如电子交易)应该使用消息验证。 第255条 在采用消息验证之前,应该通过安全风险评估,以确定其是否能满足需要或采取其他更适合的解决方式。 11.2.4 数据输出的验证 第256条 应该使用检查输出数据合理性的机制。应该
5、使用确保数据被全部处理的机制。 第257条 输出的数据应该含有相关标志,以便判断数据的状态(例如是否准确、是否完整等)。必须对数据输出验证功能进行全面的测试,以保证其正确性和有效性。 第258条 系统在使用过程中,应该明确定义参与数据输出各环节所有相关人员的职责。 11.3 加密控制 11.3.1 加密的使用管理办法 第259条 敏感信息应该根据信息分类的要求采用加密措施进行保护。 第260条 加密措施的采用不但要考虑到信息存储,也应该考虑到信息传输的要求。应该使用被公司认可的标准加密算法。 第261条 未经安全管理委员会的同意,用户不能安装任何未经授权的加密软件。 第262条 加密算法应该根
6、据算法强度和密钥长度进行选择,以符合信息保护的要求。 第263条 数字签名的使用必须符合国家电子签名法的相关规定。 11.3.2 密钥管理 第264条 密钥管理系统应该包括以下活动: 1)密钥产生 2)密钥变更 3)密钥存储 4)密钥交换和分发 5)密钥注销 6)密钥恢复和备份 7)密钥销毁 11.4 系统文件的安全 11.4.1 生产系统的应用软件控制 第265条 生产系统的应用软件更新必须由获得授权的管理员来执行。 第266条 严禁在生产系统中保留应用软件的源代码。必须建立程序库统一保管和维护应用程序的可执行代码。 第267条 在测试成功、用户验收完成或相关的程序库被更新前,严禁更新生产系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统 采购 开发 维护 制度