信息系統(tǒng)開發(fā)安全管控辦法.docx

《信息系統(tǒng)開發(fā)安全管控辦法》講解了公司自主開發(fā)及委外開發(fā)信息系統(tǒng)的安全管理和要求，覆蓋了從開發(fā)階段到上線階段的全生命周期。文件首先定義了信息系統(tǒng)相關(guān)概念和構(gòu)成，并指明適用的相關(guān)國家法規(guī)和行業(yè)標(biāo)準(zhǔn)。在職責(zé)分配方面，該辦法明確了不同部門在信息系統(tǒng)各階段的責(zé)任：公司內(nèi)部的XXXX部門、卷煙廠計(jì)算機(jī)中心主要負(fù)責(zé)各類文檔審批、測(cè)試組織和系統(tǒng)驗(yàn)收；實(shí)施單位則負(fù)責(zé)需求分析和內(nèi)部流程的具體操作。 文件的核心內(nèi)容集中在管理和控制要求。總體上強(qiáng)調(diào)信息系統(tǒng)開發(fā)必須遵循計(jì)算機(jī)安全保護(hù)法律法規(guī)，并規(guī)定開發(fā)過程須提交的安全性文件及其審批流程。對(duì)信息系統(tǒng)的開發(fā)生命周期進(jìn)行了詳細(xì)管理說明，在需求收集與分析階段，從技術(shù)可行性、需求可行性、經(jīng)濟(jì)可行性和安全可行性等多個(gè)維度進(jìn)行全面分析。針對(duì)設(shè)計(jì)階段的安全要求，該辦法涵蓋了從單點(diǎn)訪問控制、人員權(quán)限劃分、敏感信息安全存儲(chǔ)、模塊間通信安全、日志管理和容量規(guī)劃等多個(gè)角度提出安全管理機(jī)制。每一部分都旨在構(gòu)建一個(gè)完整而嚴(yán)密的信息安全保障體系。

《信息系統(tǒng)開發(fā)安全管控辦法》適用于所有參與信息系統(tǒng)開發(fā)的機(jī)構(gòu)和個(gè)人，包括企業(yè)自主研發(fā)項(xiàng)目和外部委托開發(fā)項(xiàng)目中涉及的所有相關(guān)人員。具體而言，適用于負(fù)責(zé)公司整體信息技術(shù)管理的企業(yè)內(nèi)部IT部門和負(fù)責(zé)實(shí)際軟件編碼工作的工作室或外包團(tuán)隊(duì)。此外，本標(biāo)準(zhǔn)同樣適用于任何需要建立并維護(hù)高質(zhì)量信息管理系統(tǒng)，保證信息安全性與數(shù)據(jù)隱私的重要行業(yè)和領(lǐng)域，特別是對(duì)于那些需要滿足嚴(yán)格法律規(guī)定的業(yè)務(wù)場(chǎng)景，如金融機(jī)構(gòu)、政府機(jī)關(guān)等。