外包软件开发安全管理规定等保安全管理制度.docx
《外包软件开发安全管理规定等保安全管理制度.docx》由会员分享,可在线阅读,更多相关《外包软件开发安全管理规定等保安全管理制度.docx(8页珍藏版)》请在冰点文库上搜索。
外包软件开发安全管理规定等保安全管理制度
XXX平台
--外包软件开发安全管理规定--
文档编号
使用部门
XXX
编制日期
XXX
发行日期
修订及审核记录
文档信息
文档名称
外包软件幵发安全管
理规定
文档编号
服务对象
XXX
创建日期
XXX
文档版本
V1.0
发行日期
文档审核
审核人
职务
审核时间
审核意见
修订记录
修正章节
修订日期
修订人
变更记录
整篇文档
XXX
XXX
修订版式、内容
第一章总则4
第二章人员及职责4
第三章内容4
3.1软件系统采购4
3.2软件版权管理4
3.3软件版权管理5
第四章安全要求5
第五章检查表6
第六章相关记录7
第七章相关文件7
第八章附则7
附件一:
软件及许可证资产清单7
附件二:
正版软件安装情况检查表8
第一章总则
第一条确保XXX在软件系统采购、使用和维护过程,能够充分考虑信息安全方面的内容,并保证符合信息安全的要求得以实现。
第二条XXX现有使用的软件系统;XXX以后新增的软件系统
第二章人员及职责
第三条负责软件采购和维护的管理员、负责软件安全测试的信息安全管理员、信息资产管理员。
第四条负责软件采购和维护的管理员需在软件采购和维护期间,负责相关安全条款,如软件的版权;
第五条负责安全测试的信息安全管理员,需要在软件采购时进行安全测试,同时定期对现有软件系统进行安全测试;
第三章内容
3.1软件系统采购
第六条XXX,安全运维商或第三方向XXX提交软件采购需求申请表,由XXX办负责采购所需的软件;
第七条XXX统一使用由XXX采购的正版软件,不得使用盗版软件;第八条对于定制开发或二次开发的应用系统,关于信息安全的具体要求需要反映在相应的《软件开发安全规范》里。
第九条当软件应用系统外包给第三方开发时,要求外包方严格遵守《软件开发安全规范》,《软件开发安全规范》做为合同的一部分,保证软件开发安全质量。
3.2软件版权管理
第十条安装在XXX所有设备上的软件,由XXX信息资产管理员统一管理。
信息资产管理员获得软件后,应在3天内登记备案,录入《软件及许可证资产清单》,并按《介质安全管理规定》统一保存;或是当无人看
管时,要将这些介质存放在保密柜中。
由信息资产管理员对软件和借用记录进行更新。
第十一条所有软件的许可证由信息资产管理员保管,相关电子文件保存时必须加密(许可证存放在文件服务器的专用文件夹中,只有信息资产管理员有访问权限,许可证需用加密工具加密),许可证加文件用光盘每月备份,并和软件存放在一起。
第十二条信息资产管理员定期(每季度)检查许可证的是否到期,对即将过期的许可证更加需要提前提出许可证购买申请。
第十三条因工作需要须用光盘进行软件安装或需要借用软件许可证时,要进行借用、归还手续。
信息资产管理员要在《软件及许可证借用记录》记录软件的借用信息,包括借用人,借用理由,是否得到部门领导审批等信息,并由申请人签字。
第十四条在借用过程中,不得私自将软件转借他人。
第十五条借用时间最长不得超过5个工作日,超过5个工作日必须办理续借手续。
归还时要办理归还手续,信息资产管理员在收到归还的软件后在《软件及许可证借用记录》签字确认。
3.3软件版权管理
第十六条正版软件的安装方式是光盘安装,免费和开源的软件安装必须是到其官方网站上下载安装包,并经过Md5校验,方可安装使用。
第十七条XXX相关人员根据工作需要在自己所负责的设备上安装正版软件,及免费软件、共享软件。
工作需要但XXX不能提供的软件,应确保该软件来源可靠(正版软件,免费软件或共享软件),并不会造成系统出现安全隐患或产生知识产权的纠纷,然后必须取得XXX系统管理人员的同意并登记许可之后方可安装使用。
第十八条不得私自下载、安装、使用非法软件。
第十九条不得私自在所有设备上安装非工作所需的软件。
第二十条严禁在所有设备上使用黑客、系统破解或口令破解等软件。
第四章安全要求
第二十一条外包的服务和服务标准协议
(一)在特定的业务情况下,可以向第三方管理层外包XXX管理的部
分网络或维护工作。
在任何管理职责外包的情况下,XXX都应保留所有权
和保密信息的合法控制。
此外XXX还应保留对所有外包资源的完全管理访问。
(二)当XXX外包部分系统服务时,所有第三方需按照服务合同中所
述的特定工作职责去执行,所有对外包系统的管理和访问都必须遵守XXX
的相关安全策略和程序。
此外,还必须同外包的服务供应商达成服务标准协议,以确保XXX能够获得正确的数值来衡量服务供应商的表现。
(三)业务合作伙伴和所外包系统的系统管理员负责维护他们的用户ID和口令符合XXX的安全管理策略。
(四)XXX信息安全委员会所辖的信息安全审计组负责审计和确保外包的业务操作及人员符合XXX的既定信息安全策略。
第二十二条不泄漏协议
(一)不泄漏协议必须由法律部门制定和批准;
(二)在允许访问信息处理设备之前,应要求现有合同没有涵盖的签约商和第三方签订保密协议或不泄漏协议。
第二十三条第三方和厂商策略
(一)通常,不应允许非XXX的内部人员访问XXX的高度保密、必须知道或XXX数据安全策略规定的其他受限制的数据。
在已达成业务协议允许第三方或供应商伙伴访问XXX网络或数据的情况下,应将访问仅限于合作伙伴所允许的最少访问。
(二)此外,业务伙伴应通过限制所需最少访问的应用程序来访问XXX
的信息系统。
如果是远程访问,在允许访问前还应严格的验证业务伙伴的身份(使用双重令牌验证过程)。
XXX希望在允许这类访问的时候,允许的仅是XXX的业务伙伴官方代理本人,而不是伪装成代理的人,因为XXX
无法知道第三方人员的雇佣情况(可以索取要求厂商和第三方必须遵守的有关身份识别和验证过程的额外细节。
如有需要请详细说明)。
第五章检查表
任务编号
检查点
检杳内容
检查方法
检查周期
1
检查软件资产记录
检查信息资产管理员的《软件及许可证资产清单》
查阅记录
每季度
2
检查借用手续
检查《软件及许可证借用记录》
查阅记录
每月
3
检查软件的保存
核对《软件及许可证资产清单》和信息资产管理员实际所管理的软件
查阅记录
每月
4
正版软件资产安装情况
检杳《软件及许可证资产清单》和员工所负责的设备上安装的软件
现场勘察
按需抽查
第六章相关记录
《软件及许可证借用记录》、《软件及许可证资产清单》、《正版软件安装情况检查表》
第七章相关文件
《介质安全管理规定》、《软件开发安全规范》
第八章附则
第二十四条本管理规定自发布之日起开始实施;
第二十五条本管理规定的解释和修改权属于XXX;
第二十六条XXX在业务环境和安全需求发生重大变化时,XXX信息安全委员会应对本管理规定进行审核并及时由XXX负责更新和加以说明。
附件一:
软件及许可证资产清单
序号
软件
名称
软件
性质
许可
证
系统
购买
时间
有效
期
所安装
的机器
负责人
部门
附件二:
正版软件安装情况检查表
日期
检杳人
检杳部门
检杳对象
检杳内容
检杳结
果
备注
升级会员 