软件控制程序

1、软件控制程序撰写： 发布：2021年4月1日文件编号：YJF-SP-036版本：A1文档秘级：秘密版本历史序号版本修订内容修订部门/人修订时间1A0制定2020-8-12A1制定2021-4-13451 .范围本标准规定了*科技管理企业软件的收集、发放、管理、使用、 更改、修订、备份、外包软件开发等过程的控制要求。本标准适用于公司软件和系统的控制。2规范性引用文件以下文件中的条款通过本标准的引用而成为本标准的条款。但凡注日期的引用文 件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓 励各部门研究是否可使用这些文件的最新版本。但凡不注日期的引用文件，其最新版本 适用于

2、本标准。变更控制程序3术语和定义无4职责和权限1系统运维部公司企业电脑软件的归口管理部门。负责软件的购置、维护、作废及资料、 介质的收集、统计、归档、存放和发放使用、外包软件开发等工作。4.2其他各部门负责各部门的软件资料、介质的收集、统计、归档、存放和发放使用。5活动描述1软件分类信息系统涉及的软件分为以下3类：a）操作系统软件；b）数据库软件；c）各类专业应用软件；d）微信公众号。2软件的收集对软件的管理首先要对公司使用的软件进行，软件来源主要有以下几个方面:a）已有商业软件购买。b）与厂家以合同形式进行新软件的共同开发。c）免费软件的下载。d）已有软件的技术转让。5.3软件/信息系统信息

3、平安要求分析3.1获取或扩展IT系统相关的信息平安要求应依据信息平安策略的要求审查需 求说明；3. 2信息系统功能性、适用性评价3. 2. 1获取信息系统前，由系统运维部门负责组织相关部门进行必要的调研和评 估工作，确保系统功能完备，符合公司应用，具备可行性；3. 2. 2获取信息系统前，由系统运维部门负责组织相关部门，对供应商的资质、 技术实力和信誉度进行评估，确保风险度降低；3. 2. 3获取信息系统前，由系统运维部门负责组织相关部门，必要时请公司协调 专业机构、人员给予帮助，订立好相关合同、协议，确保公司利益得到足够的保护。3. 2. 4涉及信息系统的供应商相关人员必须签定保密协议书。3

4、. 3信息系统变更、维护的有关规定3. 3. 1IT人员指定人员负责信息系统的更新。3. 3. 2公司的所有运行软件必须且只能由IT人员负责安装；3. 3. 3公司信息系统的变更必须且只能由IT人员负责，且变更前必须进行内部评 审，由部门主任审批，以尽可能减少信息泄露的可能性。3. 3. 4信息系统更新前必须按照上述的要求，进行测试和验证工作。3. 3. 5IT人员负责测试环境的提供和维护。3. 3. 6IT人员指定人员负责信息系统数据库的更新、备份工作。3. 4设计的隐私原那么和默认的隐私原那么如果适用，也同样适用于外包信息系统。软件的审核、批准、发布新的软件由综合办公室进行测试或使用检验，

5、测试应当包括可用性、平安性, 对其它系统影响和用户友好性，测试应当在与应用系统隔离的系统中进行。新的软件测试或使用检验合格后，经系统运维部网络组及领导审核并批准后 发布。软件归档和存放所有软件收集后统一登记，包括软件的开发厂家，软件数量，软件版本，许可证编 号等。软件登记好后统一存放于指定位置。磁盘文件存放于指定存储空间中，由专人负责 整理，各软件建立独立的文件夹，标识明确清晰，并做好软件的备份工作。光盘统一存 放入文件柜中，并有明显易识别的标识，便于整理和取用。6软件使用a）系统运维部网络组统一负责软件的发放及安装，做到及时升级和故障排除。b）各部门及用户负责软件的使用，如有问题及时反应给系

6、统运维部网络组c）未经许可，任何人不得将内部使用的软件外带、传播、贩卖，不得将软件用于 任何违法或非正当用途。d）软件使用过程中应加强保护，保持软件完整、可用，不受病毒侵害。5.7运行系统软件的安装运行系统上软件的安装变更，主要控制有以下几个方面：由受过培训的管理员，根据合适的管理授权，进行允许软件、应用和程序库的更新;运行系统宜仅具有经过批准的可执行代码，而不能具有开发代码和编译程序；应用和操作系统的影响和用户友好性的测试、成功的测试后予以实现；这种测试包 括实用性、平安性、对其他系统的影响和用户友好性的测试，且测试在独立的系统上完 成，确保所有对应的程序源码库已经更新；使用配置控制系统对所

7、有已开发的软件和系统文件进行控制；在变更实现之前有回调的策略；已维护对运行程序库的所有更新的审计日志；保存应用软件的先前版本作为应急措施；软件安装限制使用最小授权原那么，如获得了某些特权，用户就可能具有安装软件的能力。组织确 定允许安装的软件类型和禁止安装的软件类型。针对用户所涉及的角色授予这些特权。平安性测试及部署信息系统正式应用前，要进行测试、验证和必要的控制1由系统运维部门负责组织相关部门、人员，对信息系统进行测试、验证工作。系统运维部门确定信息系统相关功能的负责人员，各负责人员负责组织协 调、沟通公司内部相关部门、人员和供应商对信息系统进行验收、测试和必要的修改工 作。测试的数据、结果

8、，要使用或者模拟公司实际业务数据进行，该项工作由系 统运维部门负责组织，各相关部门和人员对测试的数据及结果负责。5. 9. 4根据测试、验证结果，负责将信息系统安装在正式环境中。由IT负责根据各部门需求，确定相关人员相应的使用权限，使用人员负责自 己口令的管理。9. 6系统测试数据的保护6. 1控制措施测试数据应认真地加以选择、保护和控制。6. 2实施指南应防止使用包含敏感数据的运行数据库用于测试。如果测试使用了个人或其他敏感 信息，那么在完成测试之后应去除或修改所有的敏感细节和内容。当用于测试时，应使 用以下（但不仅限于）指南保护运行数据：正式系统上的访问控制措施也要应用到测试系统上；在测试

9、中使用敏感数据应取得适当的授权进行访问；在测试完成之后，应从测试系统清除主要的敏感数据；生产数据的匿名化和笔名化；尽量防止使用生产数据进行测试。测试和运行设施别离；为防止运行问题，需识别运行与测试环境之间的别离级别：测试环境与运行环境要严格别离，不允许在运行环境中进行测试工作；测试系统要尽可能的仿效运行系统的环境；敏感数据不要拷贝到测试系统环境中。PH不应用于测试目的。应使用假的或合成的PH。如果无法防止将PH用于测试 目的，那么应实施与生产环境中使用的等效的技术和组织措施。如果这种等效措施不可行, 那么应进行风险评估，并用于选择适当的减缓风险的控制措施。5. 10验收当完成软件/信息系统的开

10、发后，依据需求组织验收，验收完成后由IT签署验收确 认单。IT根据操作手册上的具体说明以及前期需求来验收系统是否存在问题，对发现的问 题要及时与软件开发企业人员联系，软件供应商实施人员负责对应所有问题直到被解 决。在系统缺陷全部被修改完毕后，软件供应商派出开发员工负责将系统上线。系统上线后三个月内，供应商有义务免费为客户修改在使用系统中出现的问题，直 至系统验收合格。5. 11软件的修订与升级5. 11.1各部门和人员应根据软件的使用情况，提出软件的修订意见，经公司领导批 准后，形成统一的修订意见，由综合办公室负责实施。软件的升级/补丁按变更控制程序进行。5. 12软件作废5. 12. 1修订

11、软件批准生效后，原软件应予以作废。软件使用部门接到新版本软件后, 从新版本软件实施之日起，原软件作废。5.12. 2应当保存原软件的以前版本作为应急之用，包括所有需要的信息和参数、程 序、具体配置，以及用于数据保存存档的支持软件。5. 12. 3原软件作废版本的光盘应有明确标识，并与其他在用光盘分开存放，电子文 件应予以回收，防止引起作废软件的非预期使用。5. 13 软件外包开发5. 13. 1对于软件外包开发供应商需要与供应商签订保密协议书；5.13. 2在开发过程中，IT需要对软件开发供应商的软件开发进度及要求进行跟进、 监督，有问题及时进行沟通。5. 14技术符合性评审公司IT工程师每年

12、组织对信息系统进行一次技术性评估，如果需要可以邀请有经验的系统工程师使用一些检测工具软件，如渗透测试、入侵检测。对系统进行技术符合 性性核查必须由经过总经理授权的人员执行。作为遵守平安策略和标准的技术评审的一局部，组织应包括审查与处理PII相关的 工具和组件的方法，这可以包括：-持续监控以确认只进允许的处理可以实施，和/或-特定的渗透或漏洞测试（例如，去识别化数据集可以应对有动机的入侵测试， 以验证去识别化方法是否符合组织要求的）。检查结果填写在信息系统技术符合性评审表。15信息系统审计15. 1信息系统审计控制措施每年对信息系统进行一次审计，审核实施按照5.15技术符合性评审进行。15.2审计工具的