信息安全等级保护制度-系统建设安全管理规定.pdf

XXXX有限公司

系统建设安全管理规定

2017年12月

版本控制

版本版本控制信息更新日期更新审批人

人

V1.0创建

备注：

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

-2

-

目录

第一章总则1

第一条目的1

第二条适用范围1

第三条职责权限1

第二章管理规定2

第四条系统需求和设计阶段2

第五条系统开发阶段3

第六条系统测试验收阶段5

第七条系统交付阶段6

第八条外包软件开发6

第三章附件7

附件一：系统安全功能检查列表7

附件二：系统上线管理流程9

附件三：系统上线确认表12

附件四：系统上线审批表13

-3

-

第一章总则

第一条目的

为加强XXXX有限公司信息系统建设过程中的安全控制，保障信息

系统本身以及开发、测试和上线运行过程中的安全性，规范信息系

统获取、开发与维护过程中的职责定义与流程管理，特制订本规定。

第二条适用范围

本规定适用于XXXX有限公司信息系统的获取和开发、实施及上线

投产及下线的全过程。

第三条职责权限

1.信息化建设委员会负责信息系统安全控制的总体规划。

2.系统业务部门在信息安全管理小组协助下提出安全功能需求。

3.平台研发部负责保证系统在设计、开发和测试各个阶段均能满

足项目安全需求，组织相应培训加强开发人员安全意识和安全

编码技能。

4.信息安全管理小组负责保证系统在验收和上线阶段满足项目安

全需求、现有的系统安全标准及规范。

5.增值业务部负责系统开发过程文档和系统测试文档的保管。

第二章管理规定

第四条系统需求和设计阶段

1.应识别系统建设资源需求，包括设备容量、设备性能、人员能力、

开发技术等，除此以外还应识别系统的安全需求，可依照《系统

安全功能设计检查列表》（见附件）明确基本安全需求点。

2.应对系统进行风险分析，考虑业务处理流程中的技术控制要求、

业务系统及其相关在线系统运行过程中的安全控制要求，在满足

相关法律、法规、技术规范和标准等的约束下，确定系统的安全

需求。

3.系统需求部门、技术开发部门应与信息安全管理小组共同讨论信

息系统的安全需求，确保对安全需求及其分析的理解达成一致。

4.对系统安全应遵循适度保护的原则，需在满足基本要求的前提下，

实施与业务安全等级相符合的安全机制。

5.技术开发部门、信息安全管理小组应根据确定的安全需求设计系

统安全技术方案，必须确保满足以下要求：

a.系统安全技术方案应至少包括网络安全设计、操作系统和

数据库安全、应用软件安全设计等部分；

b.系统安全技术方案涉及采用的安全产品，应符合国家有关

法律法规和公司现有安全制度的规定。