外包软件开发安全管理规定-等保安全管理制度

XXX平台

--外包软件开发安全管理规定--

文档编号 使用部门 编制日期 发行日期 XXX XXX

修订及审核记录

文档信息 文档名称 外包软件开发安全管理规定 XXX 服务对象 文档版本 V1.0 文档审核 审核人 职务 修订记录 修正章节 整篇文档 修订日期 XXX 修订人 XXX 变更记录 修订版式、内容 审核时间 审核意见 创建日期 发行日期 XXX 文档编号

目录

第一章 总 则 ............................................................................................................................. 4 第二章 人员及职责.................................................................................................................... 4 第三章 内容 ................................................................................................................................. 4

3.1 软件系统采购 ................................................................................................................ 4 3.2 软件版权管理 ................................................................................................................ 4 3.3 软件版权管理 ................................................................................................................ 5 第四章 安全要求 ........................................................................................................................ 5 第五章 检查表 ............................................................................................................................. 6 第六章 相关记录 ........................................................................................................................ 7 第七章 相关文件 ........................................................................................................................ 7 第八章 附 则 ............................................................................................................................. 7 附件一：软件及许可证资产清单 ........................................................................................... 7 附件二：正版软件安装情况检查表 ...................................................................................... 8

第一章 总 则

第一条 确保XXX在软件系统采购、使用和维护过程，能够充分考虑信息安全方面的内容，并保证符合信息安全的要求得以实现。

第二条 XXX现有使用的软件系统；XXX以后新增的软件系统

第二章 人员及职责

第三条 负责软件采购和维护的管理员、负责软件安全测试的信息安全管理员、信息资产管理员。

第四条 负责软件采购和维护的管理员需在软件采购和维护期间，负责相关安全条款，如软件的版权；

第五条 负责安全测试的信息安全管理员，需要在软件采购时进行安全测试，同时定期对现有软件系统进行安全测试；

第三章 内容

3.1 软件系统采购

第六条 XXX,安全运维商或第三方向XXX提交软件采购需求申请表，由XXX办负责采购所需的软件；

第七条 XXX统一使用由XXX采购的正版软件，不得使用盗版软件； 第八条 对于定制开发或二次开发的应用系统，关于信息安全的具体要求需要反映在相应的《软件开发安全规范》里。

第九条 当软件应用系统外包给第三方开发时，要求外包方严格遵守《软件开发安全规范》，《软件开发安全规范》做为合同的一部分，保证软件开发安全质量。 3.2 软件版权管理

第十条 安装在XXX所有设备上的软件，由XXX信息资产管理员统一管理。信息资产管理员获得软件后，应在3天内登记备案，录入《软件及许可证资产清单》，并按《介质安全管理规定》统一保存；或是当无人看

管时，要将这些介质存放在保密柜中。由信息资产管理员对软件和借用记录进行更新。

第十一条 所有软件的许可证由信息资产管理员保管，相关电子文件保存时必须加密（许可证存放在文件服务器的专用文件夹中，只有信息资产管理员有访问权限，许可证需用加密工具加密），许可证加文件用光盘每月备份，并和软件存放在一起。

第十二条 信息资产管理员定期（每季度）检查许可证的是否到期，对即将过期的许可证更加需要提前提出许可证购买申请。

第十三条 因工作需要须用光盘进行软件安装或需要借用软件许可证时，要进行借用、归还手续。信息资产管理员要在《软件及许可证借用记录》记录软件的借用信息，包括借用人，借用理由，是否得到部门领导审批等信息，并由申请人签字。

第十四条 在借用过程中，不得私自将软件转借他人。

第十五条 借用时间最长不得超过5个工作日，超过5个工作日必须办理续借手续。归还时要办理归还手续，信息资产管理员在收到归还的软件后在《软件及许可证借用记录》签字确认。 3.3 软件版权管理

第十六条 正版软件的安装方式是光盘安装，免费和开源的软件安装必须是到其官方网站上下载安装包，并经过Md5校验，方可安装使用。 第十七条 XXX相关人员根据工作需要在自己所负责的设备上安装正版软件，及免费软件、共享软件。工作需要但XXX不能提供的软件，应确保该软件来源可靠（正版软件，免费软件或共享软件），并不会造成系统出现安全隐患或产生知识产权的纠纷，然后必须取得XXX系统管理人员的同意并登记许可之后方可安装使用。

第十八条 不得私自下载、安装、使用非法软件。 第十九条 不得私自在所有设备上安装非工作所需的软件。

第二十条 严禁在所有设备上使用黑客、系统破解或口令破解等软件。

第四章 安全要求

第二十一条 外包的服务和服务标准协议

（一）在特定的业务情况下，可以向第三方管理层外包XXX管理的部分网络或维护工作。在任何管理职责外包的情况下，XXX都应保留所有权和保密信息的合法控制。此外XXX还应保留对所有外包资源的完全管理访问。

（二）当XXX外包部分系统服务时，所有第三方需按照服务合同中所述的特定工作职责去执行，所有对外包系统的管理和访问都必须遵守XXX的相关安全策略和程序。此外，还必须同外包的服务供应商达成服务标准协议，以确保XXX能够获得正确的数值来衡量服务供应商的表现。 （三）业务合作伙伴和所外包系统的系统管理员负责维护他们的用户ID和口令符合XXX的安全管理策略。

（四）XXX信息安全委员会所辖的信息安全审计组负责审计和确保外包的业务操作及人员符合XXX的既定信息安全策略。

第二十二条 不泄漏协议

（一）不泄漏协议必须由法律部门制定和批准；

（二）在允许访问信息处理设备之前，应要求现有合同没有涵盖的签约商和第三方签订保密协议或不泄漏协议。

第二十三条 第三方和厂商策略

（一）通常，不应允许非XXX的内部人员访问XXX的高度保密、必须知道或XXX数据安全策略规定的其他受限制的数据。在已达成业务协议允许第三方或供应商伙伴访问XXX网络或数据的情况下，应将访问仅限于合作伙伴所允许的最少访问。

（二）此外，业务伙伴应通过限制所需最少访问的应用程序来访问XXX的信息系统。如果是远程访问，在允许访问前还应严格的验证业务伙伴的身份(使用双重令牌验证过程)。XXX希望在允许这类访问的时候，允许的仅是XXX的业务伙伴官方代理本人，而不是伪装成代理的人，因为XXX无法知道第三方人员的雇佣情况(可以索取要求厂商和第三方必须遵守的有关身份识别和验证过程的额外细节。如有需要请详细说明)。

第五章 检查表

任务编号 检查点 检查内容 检查方法 检查周期 1 2 3 4

检查信息资产管理员的《软件及许可证资产清单》 检查借用手检查《软件及许可证借续 用记录》 核对《软件及许可证资检查软件的产清单》和信息资产管保存 理员实际所管理的软件 检查《软件及许可证资正版软件资产清单》和员工所负责产安装情况 的设备上安装的软件 检查软件资产记录 查阅记录 每季度 查阅记录 每月 查阅记录 每月 现场勘察 按需抽查 第六章 相关记录

《软件及许可证借用记录》、《软件及许可证资产清单》、《正版软件安装情况检查表》

第七章 相关文件

《介质安全管理规定》、《软件开发安全规范》

第八章 附 则

第二十四条 本管理规定自发布之日起开始实施； 第二十五条 本管理规定的解释和修改权属于XXX；

第二十六条 XXX在业务环境和安全需求发生重大变化时，XXX信息安全委员会应对本管理规定进行审核并及时由XXX负责更新和加以说明。

附件一：软件及许可证资产清单

序号

软 件 名 称 软 件 许可性 质 证 系统 购 买 时 间 有效所安装 期 的机 器 负责人 部门

附件二：正版软件安装情况检查表

日期 检查人 检查部门 检查对象 检查内容 检查结果 备注