第一章 目的
第一条 明确重庆XX中学对于软件外包开发的过程控制方法,通过对外包软件过程的有效控制,使外包开发软件满足等级保护的规范和要求。
第二条 本管理办法适用于重庆XX中学对于外包软件的开发管理。
第三条 网络安全办公室负责对软件开发方(外包方)的调查、评定和选择。
第四条 网络安全办公室提出外包要求,并组织对外包要求的审核,确定后将细节要求纳入外包开发合同。
第五条 网络安全办公室实施对外包过程的控制,并组织在项目结束时对外包供方的评估。
第六条 由网络安全办公室按照外包合同的规定,对外包项目过程进行控制。
第七条 外包软件验收
- 由网络安全办公室组织专业服务商在软件安装之前 检测软件包中可能存在的恶意代码,做代码级审计。
- 要求开发单位提供软件设计的相关文档和使用指南, 作为项目验收的标准之一。
- 要求开发单位提供软件源代码,并聘请专业服务商审查软件中可能存在的后门。
- 上述验收无误后,由网络安全办公室按照外包合同规定的接收准则和方法,参照开发需求检测软件质量,对外包软件进行验收。
第八条 外包软件维护
- 在外包合同规定的维护期内,若要对外包软件进行维护,由网络安全办公室按外包合同规定的维护方法,向该软件开发供方提出维护要求。
- 由网络安全办公室按照外包合同规定的维护结果接收方法,对维护结果进行确认。
- 将维护过程中产生的文档,按开发和维护过程配置管理要求,分别纳入配置控制。
上一篇:代码编写安全规范
下一篇:信息系统工程实施管理
相关文章
-
GB/T 24364-2023 信息安全技术 信息安全风险管理实施指南
《GB/T 24364-2023 信息安全技术 信息安全风险管理实施指南》是中国国家标准委员会发布的最新信息安全标准之一,旨在为各类组织提供关于信息安全风险管理的实施指导。该标准帮助组织建立有效的风险管理体系,识别、评估、控制和监测信息安全风险,从而提升组织的整体安全防护能力。 1. 标准背景与意义 在数字化转型的过程中,信息安全已成为企业和组织的关键议题。随着网络攻击、数据泄露、内部威胁等安全事件的频发,如何有效识别和管理信息安全风险已成为确保组织信息系统安全运行的必要条件。《GB/T 243…
-
信息系统资产安全管理制度
规范重庆XX中学信息资产的管理、使用和处置,防止其滥用和丢失,保护数据安全。适用于重庆XX中学信息资产的管理, 包括:获得、分类分级、使用和处置。 第一章 目的 第一条 规范重庆XX中学信息资产的管理、使用和处置,防止其滥用和丢失,保护数据安全。 第二章 范围 第二条 适用于重庆XX中学信息资产的管理, 包括:获得、分类分级、使用和处置。 第三章 职责 第三条 网络安全办公室:主要负责信息资产的采购、入库、领用、为资产建立台账,负责使用与处置方法,并监督各部门的执行情况。各部门:按照相关规定,对…
-
医院HIS系统应用高可用及备份一体机方案
这是年初给渝东南某二甲医院做的容灾备份方案,当时信息科的领导要求首先是要数据灾备,其次还要做到应用接管,所以本方案的标题有点儿奇怪,叫应用容灾及数据备份方案。有朋友可能会问了,为啥不用Rac呢?问就是没钱呗! 方案整体采用了RoseHA的高可用方案,为了方便,备份一体机也是用的他们家的。当然你也可以根据实际情况做些改变,比如爱数、英方、精容数安都是不错的选择。 一、 医院信息化现状和需求 1.1 前言 在信息技术广泛应用的今天,系统停机意味着不能正常进行业务流程,可能失去一些业务订单;业务数据丢…
-
网络信息安全技能专业培养,校企合作方案
随着前几年《网络安全法》的正式发布,网络安全越来越受到政府、企事业单位的关注和重视,对应的信心安全人才也逐渐走俏,人才市场上有大量岗位空缺。于是,一大波网络安全厂商便向各个高效推出了校企合作的模式,对口培训、招收人才。各个厂商之间的方案或许都有不同,本文主要参考了启明星辰的方案,当然替换成其他品牌如奇安信、深信服、绿盟等都是可以的。 您若是需要摘抄即可,整个文档约18页,登录即可下载,文档目录见末尾,本文是原WORD的摘抄。 一、招生对象及学制 招生对象:普通高等院校毕业生、社招人员 学制:四个…
-
信息安全部门岗位职责说明
本系列文章来自于此前的真实项目案例,是给一个学校的的一套《安全制度汇编》,本篇文章信息安全部门岗位职责说明,可以一定程度地规范岗位的职责、处罚等等。原文档开放下载中~ 第一章 目的 第一条 为规范信息安全管理系统中各安全岗位的人员职责,特制订本规范。 第二章 范围 第二条 本规范适用于重庆XX中学各信息安全管理岗位和人员。 第三章 职责 第三条 网络安全办公室主任负责分配、协调各信息安全管理岗位的人员角色和日常工作,各岗位人员负责本岗位的日常信息安全管理。 第四章 各安…
-
数据中心的主机安全建设,系统加固策略
数据中心的主机包括物理服务器和虚拟化云主机,所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面: 对于数据中心的服务器和云主机,无论系统或应用本身安全与否,都可能存在漏洞,安全管理员应负责定期(例如 1 月/次)对包括物理服务器和云主机等进行安全加固。系统加固策略包括: 1、使用 GRUB 的 password 参数对 GRUB 设置密码,防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码,从而造成安全隐患; 2、对 ssh 服务进行加固,关闭 root 账号远程…
