1、總則

1.1、目的

為推動XXXXX單位的信息系統(tǒng)管理的規(guī)范化、程序化、制度化，加強XXXXX單位的業(yè)務(wù)外包管理，規(guī)范業(yè)務(wù)外包行為，防范業(yè)務(wù)外包風(fēng)險，進一步加強應(yīng)用軟件開發(fā)的安全性，保障信息網(wǎng)絡(luò)的安全、穩(wěn)定運行，根據(jù)有關(guān)法律法規(guī)和相關(guān)控制要求，特制定本制度。

1.2、范圍

本制度適用于XXXXX單位的外包軟件開發(fā)管理。

1.3、職責(zé)

1) XXXXX單位負責(zé)對軟件開發(fā)方（外包方）的調(diào)查、評定和選擇。

2) XXXXX單位提出外包要求，并組織對外包要求的審核，確定后將細節(jié)要求納入外包開發(fā)合同。

3) XXXXX單位實施對外包過程的控制，并組織在項目結(jié)束時對外包供方的評估。

2、管理細則

2.1、外包服務(wù)管理

1)為確保安全，須簽訂合同書記載有安全要件的合同。

2)所有外包項目都必須簽訂協(xié)議或合同，協(xié)議必須約定保密事項和安全責(zé)任。業(yè)務(wù)外包過程中形成的商業(yè)信息材料，業(yè)務(wù)部門按照合同中約定的保密條款對承包方的保密工作進行監(jiān)督。

3)XXXXX單位應(yīng)根據(jù)項目需要，對實施方案的重要方面進行深入評估以及復(fù)核，包括承包方的選擇方案、外包業(yè)務(wù)的成本效益及風(fēng)險、外包合同期限、外包方式、員工培訓(xùn)計劃等，確保方案的可行性。

4)XXXXX單位對重大的業(yè)務(wù)外包項目應(yīng)組織可行性分析，必要時可征詢外部專家的意見，并根據(jù)其合理化建議完善實施方案。

5)簽訂外包合同后，出現(xiàn)將委托業(yè)務(wù)轉(zhuǎn)包給第三方的情況時，須向XXXXX單位報告，在選定轉(zhuǎn)包對象時，只有判斷能維持XXXXX單位所要求的安全水準者方能許可轉(zhuǎn)包。

6)簽訂外包合同后，應(yīng)與外包服務(wù)公司及外包服務(wù)人員簽訂安全保密協(xié)議，明確安全責(zé)任，且人員變動后，保密協(xié)議需要重新簽訂。

7)要制定將XXXXX單位信息系統(tǒng)外包時的開發(fā)管理規(guī)程和驗收標準。關(guān)于外包服務(wù)公司的工作人員必須遵守的安全事項，應(yīng)令其徹底了解。將業(yè)務(wù)委托給外包服務(wù)公司時，要明確該業(yè)務(wù)內(nèi)容、遞交的信息、賦予的訪問權(quán)限以及XXXXX單位負責(zé)該委托業(yè)務(wù)的管理者。委托業(yè)務(wù)結(jié)束時，要迅速地使信息系統(tǒng)以及出入的權(quán)限變成不可使用的狀態(tài)。

2.2、外包項目過程控制

各部門根據(jù)本部門的工作需要，提出軟件開發(fā)和應(yīng)用的需求報告。根據(jù)需求報告，進行可行性分析，提出可行性方案，報局審定后方可實施。

應(yīng)用軟件開發(fā)過程管理重點確保以下四方面：

? 安全設(shè)計。軟件的設(shè)計和實現(xiàn)需考慮如何保護其本身（和存儲的信息）抵御外部攻擊。

? 安全配置。軟件的缺省配置運行環(huán)境應(yīng)考慮如何降低安全風(fēng)險。

? 安全部署。軟件需提供相應(yīng)的文檔和工具，指導(dǎo)用戶如何安全的使用。

? 交流。開發(fā)人員需要對發(fā)布產(chǎn)品中的安全漏洞準備響應(yīng)方案。

2.4、安全設(shè)計

在安全設(shè)計階段，需重點考慮：

? 減少攻擊界面。例如，對一個網(wǎng)絡(luò)軟件的設(shè)計，它需要監(jiān)聽那些網(wǎng)絡(luò)端口，是否可以減少監(jiān)聽端口的數(shù)目？那些用戶可以與這些端口建立連接，是否要加強身份驗證？

? 深層防御。底層模塊的設(shè)計中，假設(shè)上層模塊有可能出現(xiàn)安全漏洞。對傳遞的數(shù)據(jù)考慮進一步校驗。

2.5、編碼階段

編碼階段應(yīng)嚴格遵循安全編碼規(guī)范，主要包括：

? 使用最新的編譯器和編譯選項。

? 盡量不使用特定的危險API，如strcpy, strcat等。

? 使用靜態(tài)語言分析工具以掃描安全漏洞

? 定期進行安全代碼復(fù)查。

2.6、軟件測試階段

軟件安全測試階段需模擬惡意輸入，即創(chuàng)建惡意的輸入數(shù)據(jù)，模擬軟件被惡意攻擊時的行為。包括文件測試、網(wǎng)絡(luò)數(shù)據(jù)測試、用戶界面輸入數(shù)據(jù)測試等。

3、附則

本制度由XXXXX單位負責(zé)解釋，自發(fā)布之日起實施。