XXX平台外包软件开发安全管理规定文档编号使用部门XXX编制日期 XXX发行日期修订及审核记录文档信息文档名称外包软件幵发安全管理规定文档编号服务对象XXX创建日期XXX文档版本VI .0发行日期文档审核审核人职务审核时间审核意见修订记录修正章节修订日期修订人变更记录整篇文档XXXXXX修订版式、内容目录第一章 总 则 4第二章 人员及职责 4第三章 内容 43.1 软件系统采购 43.2 软件版权管理 43.3 软件版权管理 5第四章 安全要求 5第五章 检查表 6第六章 相关记录 7第七章 相关文件 7第八章 附 则 7附件一:软件及许可证资产清单 7附件二:正版软件安装情况检查表 8第一章 总 则第一条 确保 XXX 在软件系统采购、使用和维护过程,能够充分考虑 信息安全方面的内 容,并保证符合信息安全的要求得以实现第二条 XXX 现有使用的软件系统; XXX 以后新增的软件系统第二章 人员及职责第三条 负责软件采购和维护的管理员、负责软件安全测试的信息安全 管理员、信息资 产管理员第四条 负责软件采购和维护的管理员需在软件采购和维护期间,负责 相关安全条款, 如软件的版权;第五条 负责安全测试的信息安全管理员,需要在软件采购时进行安全 测试,同时定期 对现有软件系统进行安全测试;第三章 内容3.1 软件系统采购第六条 XXX, 安全运维商或第三方向 XXX 提交软件采购需求申请表, 由 XXX 办负责 采购所需的软件;第七条 XXX 统一使用由 XXX 采购的正版软件,不得使用盗版软件; 第八条 对于定制 开发或二次开发的应用系统,关于信息安全的具体要 求需要反映在相应的《软件开发安全规 范》里。
第九条 当软件应用系统外包给第三方开发时,要求外包方严格遵守 《软件开发安全规 范》,《软件开发安全规范》做为合同的一部分,保证 软件开发安全质量3.2 软件版权管理第十条 安装在 XXX 所有设备上的软件, 由 XXX 信息资产管理员统一 管理信息资 产管理员获得软件后,应在 3 天内登记备案,录入《软件及 许可证资产清单》,并按《介质 安全管理规定》统一保存;或是当无人看管时,要将这些介质存放在保密柜中由信息资产管理员对软件和借用记 录进行更新 第十一条 所有软件的许可证由信息资产管理员保管,相关电子文件保 存时必须加密 (许可证存放在文件服务器的专用文件夹中,只有信息资产 管理员有访问权限,许可证需用 加密工具加密),许可证加文件用光盘每 月备份,并和软件存放在一起第十二条 信息资产管理员定期(每季度)检查许可证的是否到期,对 即将过期的许可 证更加需要提前提出许可证购买申请第十三条 因工作需要须用光盘进行软件安装或需要借用软件许可证 时,要进行借用、 归还手续信息资产管理员要在《软件及许可证借用记 录》记录软件的借用信息,包括借用 人,借用理由,是否得到部门领导审 批等信息,并由申请人签字。
第十四条 在借用过程中,不得私自将软件转借他人第十五条 借用时间最长不得超过 5 个工作日,超过 5 个工作日必须办 理续借手续 归还时要办理归还手续,信息资产管理员在收到归还的软件 后在《软件及许可证借用记录》 签字确认3.3 软件版权管理第十六条 正版软件的安装方式是光盘安装,免费和开源的软件安装必 须是到其官方网 站上下载安装包,并经过 Md5 校验,方可安装使用第十七条 XXX 相关人员根据工作需要在自己所负责的设备上安装正 版软件,及免费软 件、共享软件工作需要但 XXX 不能提供的软件,应确 保该软件来源可靠(正版软件,免 费软件或共享软件),并不会造成系统 出现安全隐患或产生知识产权的纠纷, 然后必须取得 XXX 系统管理人员的 同意并登记许可之后方可安装使用第十八条 不得私自下载、安装、使用非法软件第十九条 不得私自在所有设备上安装非工作所需的软件第二十条 严禁在所有设备上使用黑客、系统破解或口令破解等软件第四章 安全要求第二十一条 外包的服务和服务标准协议(一) 在特定的业务情况下,可以向第三方管理层外包 XXX 管理的部 分网络或维护工作在任何管理职责外包的情况下, XXX 都应保留所有权 和保密信息的合法控制。
此外 XXX 还应保留对所有外包资源的完全管理访 问二) 当 XXX 外包部分系统服务时,所有第三方需按照服务合同中所 述的特定工作职责去执行,所有对外包系统的管理和访问都必须遵守 XXX 的相关安全策略和程序此外,还必须同外包的服务供应商达成服务标准 协议,以确保 XXX能够获得正确的数值来衡量服务供应商的表现三) 业务合作伙伴和所外包系统的系统管理员负责维护他们的用户 ID 和口令符合 XXX 的安全管理策略四) XXX 信息安全委员会所辖的信息安全审计组负责审计和确保外 包的业务操作及 人员符合 XXX 的既定信息安全策略第二十二条不泄漏协议(一) 不泄漏协议必须由法律部门制定和批准;(二) 在允许访问信息处理设备之前,应要求现有合同没有涵盖的签 约商和第三方签 订保密协议或不泄漏协议第二十三条第三方和厂商策略(一) 通常,不应允许非 XXX 的内部人员访问 XXX 的高度保密、必 须知道或 XXX 数 据安全策略规定的其他受限制的数据 在已达成业务协议 允许第三方或供应商伙伴访问 XXX 网络或数据的情况下,应将访问仅限于 合作伙伴所允许的最少访问二) 此外,业务伙伴应通过限制所需最少访问的应用程序来访问 XXX 的信息系统。
如果是远程访问,在允许访问前还应严格的验证业务伙伴的 身份(使用双重令 牌验证过程)XXX希望在允许这类访问的时候,允许的仅是XXX的业务伙伴官方代理本 人,而不是伪装成代理的人,因为 XXX无法知道第三方人员的雇佣情况(可以索取要求厂商和第三方必须遵守的有 关身份识别和验 证过程的额外细节如有需要请详细说明 )第五章检查表任务编号检查点检杳内容检查方法检查周期检查软件资产记录检查借用手续检查软件的保 存检查信息资产管理员的《软件及许可证资产清 单》检查《软件及许可证借用记录》核对《软件及许可证资 产清单》和信息资产管理 员实际所管理的软件查阅记录查阅记录查阅记录每季度每月每月4正版软件资产 安装情况现场勘察按需抽查检杳《软件及许可证资产清单》和员工所负责的设备上安装的软件第六章相关记录《软件及许可证借用记录》、《软件及许可证资产清单》、《正版软 件安装情况检查 表》第七章相关文件《介质安全管理规定》、《软件开发安全规范》第八章附则第二十四条 本管理规定自发布之日起开始实施; 第二十五条本管理规定的解释和修改权属于 XXX ;第二十六条XXX在业务环境和安全需求发生重大变化时,XXX信息安全委员会应对本管 理规定进行审核并及时由XXX负责更新和加以说明。
附件一:软件及许可证资产清单附件二:正版软件安装情况检查表。