外包软件开发安全管理规定-等保安全管理制度

1、XXX平台-外包软件开发安全管理规定-文档编号使用部门XXX编制日期XXX发行日期修订及审核记录文档信息文档名称外包软件幵发安全管理规定文档编号服务对象XXX创建日期XXX文档版本VI. 0发行日期文档审核审核人职务审核时间审核意见修订记录修正章节修订日期修订人变更记录整篇文档XXXXXX修订版式、内容目录第一章总贝I4第二章人员及职责4第三章内容43. 1软件系统采购43. 2软件版权管理43. 3软件版权管理5第四章安全要求5第五章检查表6第六章相关记录7第七章相关文件7第八章附则7附件一：软件及许可证资产清单7附件二正版软件安装情况检查表8第一条确保XXX在软件系统采购、使用和维护过程，

2、能够充分考虑信息安全方面的内 容，并保证符合信息安全的要求得以实现。第二条XXX现有使用的软件系统；XXX以后新增的软件系统第二章人员及职责第三条负责软件采购和维护的管理员、负责软件安全测试的信息安全 管理员、信息资 产管理员。第四条负责软件采购和维护的管理员需在软件采购和维护期间，负责相关安全条款， 如软件的版权；第五条负责安全测试的信息安全管理员，需要在软件采购时进行安全测试，同时定期 对现有软件系统进行安全测试；第三章内容3. 1软件系统采购第六条XXX,安全运维商或第三方向XXX提交软件采购需求申请表，由XXX办负责 采购所需的软件；第七条XXX统一使用由XXX采购的正版软件，不得使用

3、盗版软件；第八条对于定制 开发或二次开发的应用系统，关于信息安全的具体要 求需要反映在相应的软件开发安全规 范里。第九条当软件应用系统外包给第三方开发时，要求外包方严格遵守软件开发安全规 范，软件开发安全规范做为合同的一部分，保证 软件开发安全质量。3. 2软件版权管理第十条安装在XXX所有设备上的软件，由XXX信息资产管理员统一管理。信息资 产管理员获得软件后，应在3天内登记备案，录入软件及许可证资产清单，并按介质 安全管理规定统一保存；或是当无人看管时，要将这些介质存放在保密柜中。由信息资产管理员对软件和借用记录进行更新。第十一条 所有软件的许可证由信息资产管理员保管，相关电子文件保 存时

4、必须加密 （许可证存放在文件服务器的专用文件夹中，只有信息资产 管理员有访问权限，许可证需用 加密工具加密），许可证加文件用光盘每月备份，并和软件存放在一起。第十二条信息资产管理员定期（每季度）检查许可证的是否到期，对 即将过期的许可 证更加需要提前提岀许可证购买申请。第十三条因工作需要须用光盘进行软件安装或需要借用软件许可证 时，要进行借用、 归还手续。信息资产管理员要在软件及许可证借用记 录记录软件的借用信息，包括借用 人，借用理由，是否得到部门领导审批等信息，并由申请人签字。第十四条在借用过程中，不得私自将软件转借他人。第十五条借用时间最长不得超过5个工作日，超过5个工作日必须办理续借手

5、续。 归还时要办理归还手续，信息资产管理员在收到归还的软件后在软件及许可证借用记录 签字确认。3. 3软件版权管理第十六条正版软件的安装方式是光盘安装，免费和开源的软件安装必须是到其官方网 站上下载安装包，并经过Md5校验，方可安装使用。第十七条XXX相关人员根据工作需要在自己所负责的设备上安装正版软件，及免费软 件、共享软件。工作需要但XXX不能提供的软件，应确保该软件来源可靠（正版软件，免 费软件或共享软件），并不会造成系统岀现安全隐患或产生知识产权的纠纷，然后必须取得 XXX系统管理人员的同意并登记许可之后方可安装使用。第十八条不得私自下载、安装、使用非法软件。第十九条不得私自在所有设备

6、上安装非工作所需的软件。第二十条严禁在所有设备上使用黑客、系统破解或口令破解等软件。第四章安全要求第二十一条外包的服务和服务标准协议（一）在特定的业务情况下，可以向第三方管理层外包XXX管理的部分网络或维护工作。在任何管理职责外包的情况下，XXX都应保留所有权和保密信息的合法控制。此外XXX还应保留对所有外包资源的完全管理访问。（二）当XXX外包部分系统服务时，所有第三方需按照服务合同中所述的特定工作职责去执行，所有对外包系统的管理和访问都必须遵守XXX的相关安全策略和程序。此外，还必须同外包的服务供应商达成服务标准协议，以确保XXX能够获得正确的数值来衡量服务供应商的表现。（三）业务合作伙伴

7、和所外包系统的系统管理员负责维护他们的用户ID和口令符合 XXX的安全管理策略。（四）XXX信息安全委员会所辖的信息安全审计组负责审计和确保外 包的业务操作及 人员符合XXX的既定信息安全策略。第二十二条不泄漏协议（一）不泄漏协议必须由法律部门制定和批准；（二）在允许访问信息处理设备之前，应要求现有合同没有涵盖的签约商和第三方签 订保密协议或不泄漏协议。第二十三条第三方和厂商策略（一）通常，不应允许非XXX的内部人员访问XXX的高度保密、必 须知道或XXX数 据安全策略规定的其他受限制的数据。在已达成业务协议允许第三方或供应商伙伴访问XXX 网络或数据的情况下，应将访问仅限于合作伙伴所允许的最

8、少访问。（二）此外，业务伙伴应通过限制所需最少访问的应用程序来访问XXX的信息系统。如果是远程访问，在允许访问前还应严格的验证业务伙伴的身份（使用双重令 牌验证过程）。XXX希望在允许这类访问的时候，允许的仅是XXX的业务伙伴官方代理本 人，而不是伪装成代理的人，因为XXX无法知道第三方人员的雇佣情况（可以索取要求厂商和第三方必须遵守的有 关身份识别和验 证过程的额外细节。如有需要请详细说明）。第五章检查表任务编号检查点检杳内容检查方法检查周期1检查软件资产记录检查信息资产管理员的软件及许可证资产清 单查阅记录每季度2检查借用手续检查软件及许可证借用记录查阅记录每月3检查软件的保存核对软件及许可证资 产清单和信息资产管 理 员实际所管理的软件查阅记录每月4正版软件资产 安装情况检杳软件及许可证资产清单和员工所负责的设备上安装的软件现场勘察按需抽查第六章相关记录软件及许可证借用记录、软件及许可证资产清单、正版软件安装情况检查 表第七章相关文件介质安全管理规定、软件开发安全规范第八章附则第二十四条 本管理规定自发布之日起开始实施；第二十五条本管理规定的解释和修改权属于XXX ；第二十六条XXX在业务环境