1.0 目的

為了公司系統(tǒng)的安全，確保將安全構(gòu)建成信息系統(tǒng)的一部分。防止在應(yīng)用軟件系統(tǒng)中的用戶數(shù)據(jù)的丟失、改動或者誤用。維持應(yīng)用程序系統(tǒng)軟件和信息的安全。

2.0 適用范圍

適用于公司內(nèi)部網(wǎng)絡(luò)、系統(tǒng)、軟件的開發(fā)活動及過程控制，不包括電源監(jiān)控軟件、生產(chǎn)測試軟件的開發(fā)活動及過程控制。

3.0 職責

3.1 總經(jīng)理負責網(wǎng)絡(luò)或系統(tǒng)開發(fā)需求、評審的批準，以及網(wǎng)絡(luò)或系統(tǒng)開發(fā)更改的批準，并為網(wǎng)絡(luò)或系統(tǒng)開發(fā)工作提供必要的資源。

3.2 信息安全主任負責網(wǎng)絡(luò)或系統(tǒng)開發(fā)需求、評審的審核，以及網(wǎng)絡(luò)或系統(tǒng)開發(fā)更改批準，并參與以及網(wǎng)絡(luò)或系統(tǒng)開發(fā)的協(xié)調(diào)工作。

3.3 電腦部門負責網(wǎng)絡(luò)或系統(tǒng)開發(fā)的策劃和實施工作，主導網(wǎng)絡(luò)或系統(tǒng)開發(fā)的更改評審及網(wǎng)絡(luò)，主導系統(tǒng)開發(fā)產(chǎn)品或服務(wù)評估驗收工作，同時負責開發(fā)產(chǎn)品或服務(wù)過程的相關(guān)記錄資料的保管，以及網(wǎng)絡(luò)或系統(tǒng)開發(fā)使用中的問題或故障的處理。

3.4 各部門負責以及網(wǎng)絡(luò)或系統(tǒng)開發(fā)需求、更改的提出，參與網(wǎng)絡(luò)或系統(tǒng)開發(fā)各階段的評審，以及網(wǎng)絡(luò)或系統(tǒng)開發(fā)產(chǎn)品或服務(wù)的評估、驗收、使用，并及時反饋網(wǎng)絡(luò)或系統(tǒng)開發(fā)產(chǎn)品的使用情況。

4.0 規(guī)定

4.1 網(wǎng)絡(luò)和系統(tǒng)開發(fā)的評審

4.1.1 相關(guān)部門根據(jù)實際業(yè)務(wù)和工作的需要，申請以下類型的網(wǎng)絡(luò)或系統(tǒng)開發(fā)需求：

a. 系統(tǒng)或軟件功能開發(fā)（包括：功能擴充、功能優(yōu)化、功能刪減等）；

b. 新系統(tǒng)或軟件開發(fā)。（主要指市場無標準版，需要定制的）

c. 網(wǎng)絡(luò)工程項目開發(fā)（包括：網(wǎng)絡(luò)改造、網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)擴建等工程項目）

4.1.2 需求部門填寫《網(wǎng)絡(luò)或系統(tǒng)開發(fā)申請表》說明網(wǎng)絡(luò)或系統(tǒng)開發(fā)要求，部門經(jīng)理及信息安全主任審核后交電腦部。需求說明時應(yīng)滿足以下要求：

a. 系統(tǒng)或軟件功能開發(fā)時，應(yīng)詳細準確的描述系統(tǒng)或軟件功能開發(fā)后需要實現(xiàn)的功能，以及時間要求。

b. 新系統(tǒng)或軟件開發(fā)，應(yīng)形成書面的新系統(tǒng)或軟件的主要技術(shù)規(guī)格和功能說明材料，以及時間要求。

c. 網(wǎng)絡(luò)工程項目開發(fā)時，并詳細的說明網(wǎng)絡(luò)工程的具體技術(shù)要求（如：網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量設(shè)計等技術(shù)要求）。

4.1.3 電腦部應(yīng)組織相關(guān)部門以及相關(guān)工程人員進行網(wǎng)絡(luò)或系統(tǒng)開發(fā)要求進行可行性分析和評審，評審結(jié)果記錄至《網(wǎng)絡(luò)或系統(tǒng)開發(fā)申請表》，評審內(nèi)容為：

a. 網(wǎng)絡(luò)或系統(tǒng)開發(fā)的兼容性；

b. 開發(fā)技術(shù)能力實現(xiàn)程度；

c. 網(wǎng)絡(luò)或系統(tǒng)的信息安全策略；

d. 網(wǎng)絡(luò)或系統(tǒng)開發(fā)交付要求；

e. 網(wǎng)絡(luò)或系統(tǒng)開發(fā)的成本。

4.1.4 電腦部根據(jù)可行性評審結(jié)果綜合考慮，確定開發(fā)方式（內(nèi)部開發(fā)或外部開發(fā)），并報總經(jīng)理或授權(quán)人審批，審批未通過應(yīng)放棄開發(fā)。

4.2 網(wǎng)絡(luò)和系統(tǒng)開發(fā)的策劃

4.3.1 電腦部制定詳細的《網(wǎng)絡(luò)或系統(tǒng)開發(fā)計劃表》，明確項目的開發(fā)的進度、責任人、步驟，以及相關(guān)技術(shù)要求和功能更改程度。

4.3.2 電腦部應(yīng)根據(jù)《網(wǎng)絡(luò)或系統(tǒng)開發(fā)申請表》以及評審的結(jié)果，制定詳細的《網(wǎng)絡(luò)或系統(tǒng)開發(fā)設(shè)計方案》，方案中應(yīng)包括安全策略、技術(shù)要求、功能清單、交付要求等。系統(tǒng)或軟件功能開發(fā)由內(nèi)部進行時可不形成《網(wǎng)絡(luò)或系統(tǒng)開發(fā)設(shè)計方案》；

4.3.3 確定為外部開發(fā)時，必須選擇有資質(zhì)的外部開發(fā)方，簽訂相關(guān)的商務(wù)協(xié)議和《保密協(xié)議》后委托其開發(fā)。并將《網(wǎng)絡(luò)或系統(tǒng)開發(fā)設(shè)計方案》交于外部開發(fā)方。進行系統(tǒng)或軟件功能開發(fā)時，根據(jù)外部開發(fā)方的要求，確定是否遞交需功能開發(fā)的系統(tǒng)或軟件；必要時，提供系統(tǒng)或軟件源代碼。

4.3.4 確定為內(nèi)部開發(fā)時，電腦部應(yīng)準備相應(yīng)的源代碼、設(shè)計文檔或相關(guān)的履歷表，必要時可聯(lián)系系統(tǒng)或軟件提供商獲取必要的系統(tǒng)或軟件相關(guān)的信息。

4.3 網(wǎng)絡(luò)和系統(tǒng)開發(fā)過程控制

4.3.1 電腦部根據(jù)《網(wǎng)絡(luò)或系統(tǒng)開發(fā)計劃表》的要求進行開發(fā)工作，及時跟進內(nèi)外部開發(fā)進度，并在《網(wǎng)絡(luò)或系統(tǒng)開發(fā)計劃表》注明進度情況，同時應(yīng)對內(nèi)外部開發(fā)工作進行協(xié)調(diào)，確保開發(fā)和維護工作在計劃時間內(nèi)完成。

4.3.2 網(wǎng)絡(luò)或系統(tǒng)開發(fā)過程中根據(jù)項目的進展程度，必要時電腦部應(yīng)組織相應(yīng)的評審，以確保網(wǎng)絡(luò)或系統(tǒng)的開發(fā)工作順利實施，并形成《網(wǎng)絡(luò)或系統(tǒng)開發(fā)評審表》，根據(jù)評審結(jié)果更新《網(wǎng)絡(luò)或系統(tǒng)開發(fā)設(shè)計方案》。

4.3.3 網(wǎng)絡(luò)或系統(tǒng)開發(fā)的輸出結(jié)果應(yīng)進行收集和管理，對于外部開發(fā)方開發(fā)產(chǎn)品或服務(wù)交付時，電腦部應(yīng)根據(jù)商務(wù)協(xié)議要求情況，要求其提供相應(yīng)的資料。

a. 對于系統(tǒng)或軟件功能開發(fā)或新系統(tǒng)或軟件開發(fā)的輸出包括：源代碼、設(shè)計文檔、功能清單、開發(fā)后的系統(tǒng)或軟件、新系統(tǒng)或軟件、用戶說明書等。

b. 網(wǎng)絡(luò)工程項目開發(fā)的輸出包括：網(wǎng)絡(luò)設(shè)備設(shè)施規(guī)格清單、網(wǎng)絡(luò)布線圖、安裝后的網(wǎng)絡(luò)設(shè)備或設(shè)施、網(wǎng)絡(luò)接口標識等。

4.4 網(wǎng)絡(luò)和系統(tǒng)開發(fā)的更改控制

4.4.1 網(wǎng)絡(luò)和系統(tǒng)開發(fā)更改時，更改提出單位必須將詳細更改內(nèi)容以書面形式反饋至電腦部，電腦部應(yīng)將更改信息記錄至《網(wǎng)絡(luò)或系統(tǒng)更改評審表》；對于外部開發(fā)方提出更改，電腦部應(yīng)在《網(wǎng)絡(luò)或系統(tǒng)更改評審表》后附注有效的更改文本，更改文本應(yīng)有具備有效性（如：外部開發(fā)方的簽字或公章等）。

4.4.2 電腦部組織相關(guān)的部門進行更改評審，評審方式可采用會議或表單會簽方式，評審及更改處理結(jié)果必須記錄至《網(wǎng)絡(luò)或系統(tǒng)更改評審表》中。評審內(nèi)容包括：

a. 技術(shù)要求評審，應(yīng)考慮更改引起的內(nèi)/外部技術(shù)能力滿足情況，還應(yīng)考慮《網(wǎng)絡(luò)或系統(tǒng)開發(fā)設(shè)計方案》技術(shù)要求滿足程度。

b. 網(wǎng)絡(luò)或系統(tǒng)的信息安全策略；當信息安全策略有影響時，應(yīng)考慮放棄更改。

c. 交付期限的評審，若內(nèi)部提出更改影響外部開發(fā)方交付時，電腦部應(yīng)及時與外部開發(fā)方協(xié)商，確定交付時間。若外部提出更改影響公司的交付期限時，電腦部可根據(jù)商務(wù)協(xié)議要求，進行協(xié)商處理，同時應(yīng)及時通知內(nèi)部需求部門。

d. 更改成本的評審，電腦部應(yīng)根據(jù)更改情況，估算更改引起的成本，根據(jù)責任權(quán)重確定成本的消化處理方式（內(nèi)部承擔或外部承擔）。

4.4.3 電腦部綜合考慮網(wǎng)絡(luò)或系統(tǒng)更改評審結(jié)果，確定其更改的可行性結(jié)論，記錄至《網(wǎng)絡(luò)或系統(tǒng)更改評審表》中，交由信息安全主任審核，經(jīng)總經(jīng)理批準生效，并將更改信息以書面形式向承擔開發(fā)單位發(fā)布。

4.4.4 電腦部應(yīng)該及時修改《網(wǎng)絡(luò)或系統(tǒng)開發(fā)設(shè)計方案》、《網(wǎng)絡(luò)布線圖》、《網(wǎng)絡(luò)或系統(tǒng)開發(fā)計劃表》等開發(fā)記錄或檔案。必要時應(yīng)與外部開發(fā)方簽訂相關(guān)補充協(xié)議。

4.4.5 電腦部并對開發(fā)更改過程進行確認和驗證，確認和驗證的方式應(yīng)考慮實際更改的情況（交付期限更改，一般可不進行驗證）；確認和驗證結(jié)果必須形成相應(yīng)的書面記錄。技術(shù)更改時應(yīng)按照以下要求進行確認和驗證：

a. 若內(nèi)部開發(fā)，電腦部根據(jù)開發(fā)記錄和檔案確認更改的實施，應(yīng)將確認結(jié)果記錄至《網(wǎng)絡(luò)或系統(tǒng)更改評審表》中，驗證根據(jù)實際情況則的確定驗證方式，若當時無法驗證時，應(yīng)在開發(fā)工作完成后按4.5的要求進行驗證。

b. 若外部開發(fā)，電腦部應(yīng)根據(jù)實際情況進行更改確認，必要時應(yīng)到外部開發(fā)方現(xiàn)場確認，驗證過程一般在外部開發(fā)方交付產(chǎn)品或服務(wù)后，按照4.5要求驗證。

4.5 網(wǎng)絡(luò)和系統(tǒng)開發(fā)的評估

4.5.1 網(wǎng)絡(luò)或系統(tǒng)開發(fā)的評估由電腦部主導,電腦部充分利用現(xiàn)有資源采用適當?shù)姆绞竭M行網(wǎng)絡(luò)運行能力或系統(tǒng)功能模擬測試或評估(必要時還應(yīng)包括風險評估)，若無法評估時，可采用需求部門試用方式評估，模擬測試評估時還應(yīng)注意以下事項：

a. 系統(tǒng)模擬測試評估時，系統(tǒng)安裝前應(yīng)進行殺毒處理，并且必須在單機上進行。如果需求部門試用，則必須采取相應(yīng)的防護（如：即時備份等）。

b. 網(wǎng)絡(luò)模擬測試評估時，可通過虛擬計算方式，或者使用隔離網(wǎng)絡(luò)運行模擬測試。如果需求部門試用，則必須采取相應(yīng)的防護（如：即時備份，設(shè)置防火墻等）。

4.5.2 網(wǎng)絡(luò)或系統(tǒng)開發(fā)的評估結(jié)果記錄至《網(wǎng)絡(luò)/系統(tǒng)/軟件評估驗收表》中，當評估結(jié)果不滿足要求時，電腦部應(yīng)要求承擔開發(fā)單位進行重新進行網(wǎng)絡(luò)或系統(tǒng)開發(fā)。

4.6 網(wǎng)絡(luò)和系統(tǒng)開發(fā)的交付驗收

4.6.1 電腦部主導網(wǎng)絡(luò)或系統(tǒng)開發(fā)產(chǎn)品或服務(wù)的驗收工作，驗收的依據(jù)為《網(wǎng)絡(luò)或系統(tǒng)開發(fā)申請表》或《網(wǎng)絡(luò)或系統(tǒng)開發(fā)設(shè)計方案》，因開發(fā)類型不同驗收內(nèi)容份為：

① 系統(tǒng)或軟件類開發(fā)的驗收包括：

a. 開發(fā)后的系統(tǒng)或軟件功能的滿足程度，或者新系統(tǒng)或軟件功能的滿足程度。

b. 功能清單、使用說明書等附件的充分性、適用性。

c. 源代碼、設(shè)計文檔的正確性。外部開發(fā)時根據(jù)商務(wù)協(xié)議要求情況進行驗收；內(nèi)部開發(fā)時，開發(fā)工程人員必須提供，整理后交由文控中心受控和保存。

② 網(wǎng)絡(luò)工程驗收包括：

a. 安裝后的網(wǎng)絡(luò)設(shè)備或設(shè)施的運行能力及負載能力等的滿足程度

b. 網(wǎng)絡(luò)布線圖、網(wǎng)絡(luò)設(shè)備設(shè)施清單、網(wǎng)絡(luò)接口標識等的充分性和準確性。

4.6.2 網(wǎng)絡(luò)或系統(tǒng)開發(fā)產(chǎn)品或服務(wù)驗收結(jié)果記錄至《網(wǎng)絡(luò)/系統(tǒng)/軟件評估驗收表》，內(nèi)部開發(fā)由需求部門簽字驗收，外部開發(fā)則由電腦部和需求部門簽字驗收。

4.6.3 網(wǎng)絡(luò)或系統(tǒng)開發(fā)產(chǎn)品或服務(wù)驗收后，承擔開發(fā)的單位應(yīng)對需求部門進行培訓和指導，以確保其能掌握網(wǎng)絡(luò)或系統(tǒng)開發(fā)產(chǎn)品或服務(wù)的基本操作要求。

4.7 網(wǎng)絡(luò)和系統(tǒng)開發(fā)產(chǎn)品或服務(wù)的使用

4.7.1 需求部門應(yīng)妥善保管交付的網(wǎng)絡(luò)和系統(tǒng)開發(fā)產(chǎn)品或服務(wù)，并按照培訓和指導以及使用說明書的要求進行使用和操作。

4.7.2 需求部門應(yīng)定期將網(wǎng)絡(luò)和系統(tǒng)開發(fā)產(chǎn)品或服務(wù)的使用情況進行反饋，如果出現(xiàn)異常問題，電腦部可按照《薄弱點、故障及事故控制程序》要求進行處理。

4.7.3 電腦部應(yīng)定期對網(wǎng)絡(luò)和系統(tǒng)開發(fā)產(chǎn)品或服務(wù)的使用情況進行調(diào)查和了解，根據(jù)調(diào)查了解的情況進行相應(yīng)處理，必要時應(yīng)建立相應(yīng)的履歷記錄。

5.0 縮略語及術(shù)語定義

無

6.0 支持文件

6.1 《薄弱點、故障及事故控制程序》

7.0 記錄

7.1 《網(wǎng)絡(luò)或系統(tǒng)開發(fā)申請表》

7.2 《網(wǎng)絡(luò)或系統(tǒng)開發(fā)計劃表》

7.3 《網(wǎng)絡(luò)或系統(tǒng)開發(fā)設(shè)計方案》

7.4 《網(wǎng)絡(luò)或系統(tǒng)開發(fā)評審表》

7.5 《網(wǎng)絡(luò)或系統(tǒng)更改評審表》

7.6 《網(wǎng)絡(luò)拓撲圖》

7.7 《網(wǎng)絡(luò)布線圖》

7.8 《網(wǎng)絡(luò)/系統(tǒng)/軟件評估驗收表》

8.0 附錄

無