應(yīng)用軟件系統(tǒng)開發(fā)與維護(hù)控制程序.doc

應(yīng)用軟件系統(tǒng)開發(fā)與維護(hù)控制程序1 適用本程序適用于本公司應(yīng)用系統(tǒng)軟件的開發(fā)（包括外包軟件開發(fā)）及系統(tǒng)的維護(hù)的控制。不包括日常生產(chǎn)、管理、設(shè)計(jì)時(shí)所需的測試程序。2 目的 為對公司系統(tǒng)開發(fā)與系統(tǒng)維護(hù)過程實(shí)施有效控制，確保系統(tǒng)開發(fā)與維護(hù)的各項(xiàng)安全要求得到識別并執(zhí)行，保證系統(tǒng)安全，特制定本程序。3 職責(zé)3.1 各職能部門負(fù)責(zé)應(yīng)用軟件的開發(fā)任務(wù)的提出。3.2 DXC負(fù)責(zé)全公司范圍內(nèi)應(yīng)用軟件的開發(fā)、測試和綜合信息系統(tǒng)的維護(hù)管理。3.3 DXC負(fù)責(zé)對公司范圍內(nèi)的信息網(wǎng)絡(luò)系統(tǒng)的容量進(jìn)行規(guī)劃。4 程序4.1 應(yīng)用軟件設(shè)計(jì)開發(fā)的控制4.1.1 設(shè)計(jì)開發(fā)任務(wù)提出各職能部門根據(jù)日常經(jīng)營管理工作的需要，經(jīng)過本部門部長批準(zhǔn)后，交付開發(fā)部進(jìn)行設(shè)計(jì)開發(fā)。4.1.2 設(shè)計(jì)開發(fā)的策劃DXC在接到任務(wù)通知后，首先要判斷可行性，明確規(guī)定設(shè)計(jì)開發(fā)的各個(gè)階段的評審與測試要求及設(shè)計(jì)開發(fā)人員的職責(zé)與權(quán)限，設(shè)計(jì)開發(fā)計(jì)劃方案由要求部門和開發(fā)部負(fù)責(zé)人共同批準(zhǔn)后予以實(shí)施；必要時(shí)，如果對計(jì)劃進(jìn)行更改也需要獲得雙方部長共同批準(zhǔn)。軟件設(shè)計(jì)開發(fā)計(jì)劃應(yīng)包括以下內(nèi)容：a) 軟件功能要求；b) 詳盡的業(yè)務(wù)流程；c) 信息安全要求；d) 時(shí)間進(jìn)度要求；e) 設(shè)計(jì)開發(fā)的各個(gè)階段評審與測試要求；f) 設(shè)計(jì)開發(fā)人員的職責(zé)與權(quán)限；g) 其它要求。4.1.3 設(shè)計(jì)開發(fā)人員的要求軟件設(shè)計(jì)開發(fā)人員須經(jīng)開發(fā)部負(fù)責(zé)人授權(quán)，并應(yīng)具備一定的軟件開發(fā)能力和良好的職業(yè)道德。4.1.4 設(shè)計(jì)開發(fā)方案的技術(shù)評審4.1.4.1 設(shè)計(jì)開發(fā)負(fù)責(zé)人應(yīng)根據(jù)軟件設(shè)計(jì)開發(fā)計(jì)劃的要求，編制軟件設(shè)計(jì)開發(fā)方案，由開發(fā)部負(fù)責(zé)人對方案的技術(shù)可行性及系統(tǒng)的安全性進(jìn)行確認(rèn)。4.1.4.2 對于大型軟件開發(fā)方案應(yīng)由設(shè)計(jì)開發(fā)人員、應(yīng)用部門人員、內(nèi)部IT方面的專家共同進(jìn)行評審。4.1.4.3軟件設(shè)計(jì)開發(fā)方案應(yīng)包括以下內(nèi)容：a) 確定軟件開發(fā)工具；b) 應(yīng)用系統(tǒng)功能；c) 業(yè)務(wù)實(shí)現(xiàn)流程；d) 輸入數(shù)據(jù)確認(rèn)要求；e) 必要時(shí)，系統(tǒng)內(nèi)部數(shù)據(jù)確認(rèn)檢查的要求；f) 輸出數(shù)據(jù)的確認(rèn)要求；g) 應(yīng)用系統(tǒng)的安全要求；h) 對系統(tǒng)硬件配置的要求；i) 系統(tǒng)驗(yàn)收標(biāo)準(zhǔn)。方案確認(rèn)與審批的結(jié)果及任何必要的措施應(yīng)予以記錄。4.1.5 設(shè)計(jì)開發(fā)的環(huán)境要求在進(jìn)行軟件開發(fā)時(shí)，應(yīng)采取適宜的方法將開發(fā)與運(yùn)作設(shè)施分離：a) 開發(fā)和運(yùn)行應(yīng)當(dāng)在不同的環(huán)境；b) 測試系統(tǒng)應(yīng)該獨(dú)立于運(yùn)行系統(tǒng)。4.1.6 軟件的測試與試運(yùn)行4.1.6.1 源程序編制好以后，應(yīng)在規(guī)定的測試環(huán)境條件并依據(jù)軟件測試要求由軟件設(shè)計(jì)開發(fā)負(fù)責(zé)人組織有關(guān)人員測試活動(dòng)，填寫應(yīng)用軟件測試報(bào)告。4.1.6.2 當(dāng)軟件含有數(shù)據(jù)處理功能時(shí)，軟件測試活動(dòng)應(yīng)包括以下方面的內(nèi)容：a) 應(yīng)用測試數(shù)據(jù)，驗(yàn)證內(nèi)部數(shù)據(jù)處理的正確性；b) 應(yīng)用測試數(shù)據(jù)，確認(rèn)輸出數(shù)據(jù)的正確性并與環(huán)境相適應(yīng)。4.1.6.3 當(dāng)系統(tǒng)測試數(shù)據(jù)使用業(yè)務(wù)數(shù)據(jù)，并且包含敏感信息時(shí)，應(yīng)按以下要求對測試數(shù)據(jù)進(jìn)行保護(hù)：a) 用于運(yùn)作系統(tǒng)的訪問控制過程也應(yīng)用于測試系統(tǒng)；b) 業(yè)務(wù)數(shù)據(jù)每一次復(fù)制到測試應(yīng)用系統(tǒng)，應(yīng)被系統(tǒng)主管部門授權(quán)；c) 測試完成之后，應(yīng)立即從測試系統(tǒng)中消除。4.1.6.4應(yīng)用部門在試運(yùn)行期間，應(yīng)將使用中存在的問題及時(shí)反饋給開發(fā)部進(jìn)行修改。試運(yùn)行結(jié)束后，對試運(yùn)行情況進(jìn)行總結(jié)，并由DXC和應(yīng)用部門負(fù)責(zé)人簽字認(rèn)可，投入使用。4.1.7 更改控制在設(shè)計(jì)開發(fā)過程中，涉及到系統(tǒng)功能、安全技術(shù)要求的更改應(yīng)經(jīng)過開發(fā)部負(fù)責(zé)人批準(zhǔn)后予以實(shí)施，并經(jīng)過測試合格后方可投入使用。4.1.8 源程序庫（程序源代碼）管理及技術(shù)文檔管理4.1.8.1 為降低計(jì)算機(jī)程序被破壞的可能性，設(shè)計(jì)開發(fā)軟件的源程序庫應(yīng)按以下要求實(shí)施管理：a) 源程序庫不應(yīng)保存在運(yùn)作系統(tǒng)中；b) 各項(xiàng)應(yīng)用應(yīng)指定源程序庫管理員；c) 信息技術(shù)維護(hù)人員不應(yīng)自由訪問源程序庫。4.1.8.2 DXC明確源代碼管理責(zé)任人及保存方式。4.1.8.3 源程序的管理應(yīng)包括歷史版本的管理。4.1.9 軟件開發(fā)外包控制4.1.9.1 開發(fā)軟件外包應(yīng)該遵守信息處理設(shè)備管理程序。委托部門應(yīng)明確軟件開發(fā)的安全技術(shù)要求，由開發(fā)部審核，報(bào)分管公司負(fù)責(zé)人批準(zhǔn)后，計(jì)劃部與軟件開發(fā)方簽訂軟件開發(fā)合同，必要時(shí)，應(yīng)簽訂保密協(xié)議，在協(xié)議中明確規(guī)定安全保密要求。4.1.9.2 軟件安裝使用前，應(yīng)由軟件開發(fā)方及我方技術(shù)人員共同進(jìn)行測試，測試結(jié)束應(yīng)填寫應(yīng)用軟件測試報(bào)告，測試符合技術(shù)協(xié)議要求且經(jīng)委托部門認(rèn)可后，方可投入試運(yùn)行；試運(yùn)行結(jié)束后且使用中發(fā)現(xiàn)的問題已經(jīng)得到圓滿解決后，雙方進(jìn)行正式的驗(yàn)收。4.1.9.3 軟件外包方在我公司進(jìn)行軟件開發(fā)活動(dòng)，應(yīng)事先得到委托部門負(fù)責(zé)人的授權(quán)，有我方人員在場的情況下方可進(jìn)行。4.1.10新的應(yīng)用系統(tǒng)（或軟件）在正式投入前，系統(tǒng)應(yīng)用主管部門應(yīng)對系統(tǒng)的訪問權(quán)限規(guī)定并按照用戶訪問控制程序要求進(jìn)行用戶訪問授權(quán)。4.1.11新的應(yīng)用系統(tǒng)（或軟件）投入使用后，相關(guān)部門應(yīng)進(jìn)行風(fēng)險(xiǎn)識別和評估，根據(jù)評估結(jié)果確定資產(chǎn)重要度，必要時(shí)制訂相應(yīng)的控制措施。4.2系統(tǒng)的維護(hù)管理4.2.1 為確保系統(tǒng)的安全，各系統(tǒng)主管部門應(yīng)對以下方面實(shí)施控制：a) 系統(tǒng)容量策劃；b) 系統(tǒng)更改；c) 操作系統(tǒng)更改；d) 軟件包變更。4.2.2 容量策劃DXC應(yīng)對信息網(wǎng)絡(luò)系統(tǒng)的容量（CPU利用率、內(nèi)存和硬盤空間大小、傳輸線路帶寬）需求進(jìn)行監(jiān)控，并對將來容量需求進(jìn)行策劃，適當(dāng)時(shí)機(jī)進(jìn)行容量擴(kuò)充。4.2.3 軟件的安裝和升級引用更改控制程序。4.2.4 防范隱藏通道及特洛伊碼。對軟件的采購、使用及變更有關(guān)部門應(yīng)加以控制和檢查以防止可能的隱藏通道和特洛伊碼，具體執(zhí)行惡意軟件管理程序。4.3 當(dāng)系統(tǒng)發(fā)生事故與故障時(shí)，系統(tǒng)維護(hù)主管部門應(yīng)立即進(jìn)行處理，確保系統(tǒng)安全，具體執(zhí)行事故、事件、薄弱點(diǎn)與故障管理程序。5 記錄記錄名稱保存部門保存期限應(yīng)用軟件測試報(bào)告10年