XXXX商业银行应用系统开发安全管理办法
9页1、XXXX商业银行应用系统开发安全管理办法1范围本标准规定了信息系统开发阶段、测试阶段、试运行阶段和上线 阶段的管理内容与要求。本标准适用于XXXX商业银行(以下简称:本行)自主开发及委 外开发信息系统的管理。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是 注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或 修订版均不适用于本标准。凡是不注明日期的引用文件,其最新版本 适用于本标准。国务院令(第339号)计算机软件保护条例国务院令(第147号)中华人民共和国计算机信息系统安全保护 条例Q/JYG/GL-SB -16-2013.a投资项目管理办法3术语和定义信息系统:是指由计算机及其相关的配套设备、设施(含网络) 构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、 传输、检索等处理的人机系统。信息系统一般由三部分组成:硬件系统(计算机硬件系统和网络 硬件系统)、系统软件(计算机系统软件和网络系统软件)应用软件 (包括由其处理、存储的信息)。4职责4.1科技信息部门4.1.1负责本行信息系统开发各阶段文档的审批工作;4.1.2负责组织本行新开发信
2、息系统的测试工作;4.1.3负责本行信息系统上线与终止的验收工作。4.2各实施部门或单位4.2.1负责本行信息系统开发过程中的需求提出、测试及验收等工 作。5管理内容与要求5.1总体要求5.1.1信息系统开发须遵循计算机软件保护条例、中华人民共和 国计算机信息系统安全保护条例。5.1.2信息系统开发过程中项目单位(承接信息系统开发的单位)须 提交相应的安全需求、安全设计、安全测试等资料并经过科技信息部 审批,否则不予立项或验收。5.1.3信息系统开发范围的变更(增加或缩减)、新技术的使用、新产 品或新版本的采用、新的开发工具和环境须经过科技信息部审批。5.2信息系统开发生命周期管理要求5.2.1系统需求收集和分析阶段a)技术可行性分析根据业务上提出的需求,信息系统归口管理部门应从技术开发的 角度分析是否现有的技术手段和技术能力是否可以达到业务上要求 的系统功能,主要包括:人员技术能力分析(指本行内的系统开发队 伍是否有足够的软件开发的技术能力来完成系统开发的任务,或第三 方外包的开发公司是否具有开发应用系统的技术能力)、计算机软件 和硬件分析(指本行现有的软件和硬件的性能是否足够满足开
3、发相应 的系统的要求)、管理能力分析(指现有的技术开发管理制度和管理 流程是否成熟且标准化,是否足够系统开发的要求)。b)需求可行性分析:信息系统归口管理部门应对该申请部门所提需 求进行可行性分析,以判断需求是否明确,是否符合实际,是否能在 一定的时间范围实现。c)经济可行性分析:信息系统归口管理部门应根据业务需求和技术 手段的分析,确认投资的数额在可控制和可承受的范围内。d)安全可行性分析:信息系统归口管理部门应明确该系统的安全建 设范围和内容,设定安全性指标要求,合理判定该信息系统是否符合 公司的网络及信息安全要求。5.2.2设计阶段安全管理a)单点访问:任何用户如果希望访问应用系统中的某一个部分,则 必须通过统一且唯一的认证授权方式以及流程。b)人员职责和权限的划分:系统必须具有基于人员职责的用户授权 管理以确保每个用户可以访问到其权利范围内的应用系统部分,也要 确保每个用户无法访问其权限范围以外的应用系统部分。c)保护敏感系统的安全性:通过将应用系统中敏感信息保存在服务 器端以进行集中的加密安全管理,确保客户端系统本身并不能存储任 何信息敏感的数据。d)确保访问层的安全性:系统
4、在要确保系统模块本身安全性的同时, 还需考虑模块与模块之间的通讯的安全性。模块与模块之间的安全性 包括:应用系统内部模块之间的安全、应用系统内部模块和外部模块 之间的安全性,如主机和客户端之间通讯的安全性,服务器和服务器 间通讯的安全性,本地系统和异地系统之间通讯的安全性。e)确保日志管理机制健全:要求建立可以根据情况自由设置的日志 管理机制,即日志纪录的范围和详细程度可以根据需求自行定制,且 可实现在应用系统使用过程中进行日志的定制和记录,并保留所有系 统开发相关程序库的更新审核纪录。f)新系统的容量规划:容量规划是指确定系统的总体规模,性能和系 统弹性。容量规划应充分考虑:系统的预期存储容量和在给定的周期 里面获取生成和存储的数据量;在线进程的数量和估计可能的占用资 料;系统和网络的相应时间和性能,即端对端系统;系统弹性要求和 设计使用率、峰值、槽值和平均值等;安全措施如加密解密数据对系 统的影响等;7*24小时运作要求和可接受的系统宕机次数(维护或 者设备更新导致的必须性宕机)。5.2.3开发阶段安全管理a) 通用要求1)输入验证:在客户机/服务器环境下,系统需进行服务端的验 证
《XXXX商业银行应用系统开发安全管理办法》由会员夏**分享,可在线阅读,更多相关《XXXX商业银行应用系统开发安全管理办法》请在金锄头文库上搜索。
C语言指针精选习题和答案
小学六年级下学期语文期中试卷
广东省深圳市南山区高三上期末考试数学试题理
2014年上期七年级第一次月考语文试卷
学校2023年五一劳动节放假通知三篇
分包预算外签证单
X射线探伤室环评
2015年初中学业考试生物真题
采购与供应商管理选供应商时为何不选择贸易公司
2023教师年度考核个人工作总结标准模板(六篇).doc
2023年办公室文员年度总结(2篇).doc
2012年泸州市普通初中毕业考试与高中升学考试说明英语
标准停车场管理系统方案
审批服务管理局2021年工作总结暨来年工作思路
顾客满意度计算方式举例
颐轩国际外墙保温(EPS板)施工方案4范文
放射事件应急演练
Photoshop教程比较详细的Photoshop照片转手绘教程
人事干部应具备协调工作的能力
食品安全管理员制度
2023-01-04 4页
2023-04-23 5页
2024-02-08 2页
2024-01-17 10页
2022-08-11 2页
2024-02-27 10页
2022-12-13 6页
2024-03-07 7页
2023-10-13 4页
2023-09-04 13页