应用系统开发及维护管理制度.doc

《应用系统开发及维护管理制度.doc》由会员分享，可在线阅读，更多相关《应用系统开发及维护管理制度.doc（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、某单位应用系统开发及维护管理制度第一章 总 则第一条 为进一步规范某单位计算机软件系统采购、开发、安装、测试和运行维护相关工作，确保信息系统正常运行，根据国家安全管理有关规定制定本制度。第二条 软件管理范围包括操作系统、数据库系统、应用服务系统、应用软件、安全软件和工具软件等。第二章 软件采购及安装第三条 采购的软件必须是正版软件，严禁使用盗版软件。如需采用共享版软件，必须由管理员进行严格测试。第四条 重要服务器操作系统和应用系统软件必须在安全管理员监督之下进行安装，计算机上安装的软件需事先经安全管理员审查认可。第五条 软件安装后，须使用可靠检测软件或手段进行安全性测试，了解其脆弱性，并根据脆

2、弱性程度采取措施，使风险降至最小。第六条 软件安装后，原件（盘）应进行登记造册，并由专人保管。第七条 软件安装时，填写软件安装记录表。第八条 软件更新后，软件的新旧版本均应登记造册，并由专人保管，旧版本销毁应经审批登记。第三章 软件使用维护第九条 系统管理员和安全管理员负责维护操作系统、数据库管理系统以及安全管理软件，并对维护情况进行记录。第十条 及时更新操作系统、数据库管理系统及其它相关软件的系统补丁。第十一条 及时对操作系统、数据库管理系统及其它相关软件进行稽核审计，分析与安全有关的事件，堵塞安全漏洞。第十二条 软件更新后，须重新审查系统安全状态，必要时对安全策略进行调整。第四章 应用软件

3、开发管理第十三条 联合开发信息系统软件，应选择有相应软件开发资质的单位，并令其签订安全承诺书。网络信息中心应对具体参与人员登记备案，并对其进行必要的安全教育和监督。第十四条 应用软件开发必须根据信息安全等级，同步进行相应的安全设计，并制定各阶段安全目标，按目标进行管理和实施。第十五条 应用软件开发必须有安全管理专业技术人员参加，其主要任务是：对系统方案与开发进行安全审查和监督，负责系统安全设计和实施。第十六条 开发环境和现场必须与办公环境和工作现场分开，软件设计方案、数据结构、安全管理、操作监控手段、数据加密形式、原代码等，只能在有关开发人员及有关管理机构中流动，严禁散失或外泄。第十七条 应用

4、软件开发必须符合软件工程规范。第十八条 应用系统变更需要进行风险评估，并填写相应系统任务单，并由主管领导批准同意。第十九条 对于系统软件，必须从身份鉴别、访问控制和安全审计等几个方面进行安全功能同步开发。第二十条 开发、测试业务应用系统所使用的网络环境和设备应与系统实际运行环境、设备隔离。第二十一条 测试、联调业务应用系统时，应禁止使用实际工作信息作为测试数据。第二十二条 应有专人对进入现场进行后期维护或升级的服务人员进行陪同，禁止服务人员将具有存储功能的自带设备接入网内，并限制其对网内操作访问的权限、禁止其访问网内的工作信息。第五章 人员管理第二十三条 设置系统管理员、安全管理员、安全审计员

5、，各员必须严格按照操作权限操作，不得越权操作。第二十四条 系统重要配置变更必须记录相应操作日志，日志包括操作时间、执行命令等，并由安全审计员审计。第二十五条 操作人员离开系统时，应退出系统或进行系统封锁。第二十六条 操作人员随时监控设备运行状况，发现异常情况应立即按照规程进行操作，并及时上报和详细记录。第二十七条 未经允许，任何人不得以任何方式试图登录进入网内服务器等设备并对其进行修改、设置、删除等操作。第六章 系统运行管理第二十八条 启动与关闭：应用系统和数据库系统启动和关闭应严格按照系统启动和关闭流程和步骤由系统管理员和安全管理员负责操作。应用系统一旦启动，在没有特殊需要的情况下，应始终处

6、于运行状态。第二十九条 系统正常运行情况下的停机：系统正常运行情况下任何停机要求应按照下列处理流程处理： （一）网络信息中心提前一日报分管领导进行批准，提前半日通知系统用户，内容应包括：停机原因、预计恢复时间等。 （二）紧急停机：网络信息中心为应付突发事件，如黑客攻击或其他无法预料事件，避免系统受到损坏，可以采取临时紧急停机措施。采取措施同时，通知网络信息中心领导；1小时内通知所有用户，内容应该包括：停机原因、预计恢复机房时间等。第七章 系统使用管理第三十条 需定期对系统内安全产品的安全策略规则进行审核、测试、校正，并作好相关审批手续和记录。第三十一条 禁止在机房终端计算机私自安装、卸载各种软

7、件、操作系统或硬盘、网卡等。第三十二条 每月对系统运行情况和用户操作行为进行安全法规等方面检查。第三十三条 每月根据系统变化情况，及时更新系统文档资料，使之与实际状况保持一致。第八章 系统变更管理第三十四条 系统变更前，变更申请人填写系统变更申请表，向主管领导提出申请，并对系统进行备份，以确保系统变更失败后能恢复到变更前的状态。第三十五条 明确系统中要发生的变更，并根据变更类型，制定变更方案；变更方案要经过主管领导批准后才可实施。第三十六条 应对变更过程进行控制，对变更影响进行分析并形成文档。第三十七条 应对变更实施过程进行记录，并妥善保存所有文档和记录。第三十八条 变更方案中要明确中止变更的

8、条件，以及从失败变更中恢复的程序，明确过程控制方法和人员职责。必要时对恢复过程进行演练。第三十九条 变更实施完成后，要将变更内容及变更情况向相关人员进行通告。第九章 补丁管理第四十条 向现有业务系统中追加任何补丁需经测试和审批。第四十一条 对系统添加补丁的操作由安全管理员登记。第十章 附 则第四十二条 本制度由某单位网络信息中心负责解释。第四十三条 本制度自发布之日起执行。8某单位软件安装记录表软件类别软件提供单位软件名称软件使用单位安装时间安装人员安装位置使用范围基本功能网络信息中心测试意见签字（盖章）： 年 月 日审批意见签字（盖章）： 年 月 日备注注：信息系统中未安装使用过的软件需要某单位网络信息中心进行测试并且提供测试意见。某单位系统变更申请表系统名称变更申请人联系电话变更日期变更类型需求 设计或文档 数据 其他_变更来源客户 实施单位 其他_变更原因说明：申请变更内容：网络信息中心审批意见签字（盖章）： 年 月 日变更实施委托人变更前版本号变更后版本号验证测试完成日期验证用户姓名