0306-信息系统开发建设管理程序.doc

信息系统开发建设管理程序LHHJ-ISMS-0306-2020 版本：A/0 第0次修改 第 PAGE 6 页共 6 页 信息系统开发建设管理程序 1 目的 为了对公司信息系统建设的策划、开发、实施、检查等进行有效的控制，特制定本程序。 2 范围 本程序规定了公司信息系统建设的策划、开发、实施、检查等控制要求，适用于信息系统开发建设的控制。 3 职责 3.1 总经理 负责批准各种信息系统的建设项目和建设方案。 3.2 平台研发部 负责全公司范围内产品软件的开发、测试和综合信息系统的维护管理。 3.3 各职能部门 负责在业务范围内提出信息系统开发建设需求计划，进行可行性研究、项目实施、测试验收和项目质量的监控等工作。 4 程序 4.1 应用软件设计开发的控制 4.1.1 设计开发任务提出 各职能部门根据日常经营管理工作的需要，经过本部门经理批准后，交付平台研发部进行设计开发。 4.1.2 设计开发的策划 平台研发部在接到任务通知后，首先要判断可行性，明确规定设计开发的各个阶段的评审与测试要求及设计开发人员的职责与权限，设计开发计划方案由要求部门和平台研发部负责人共同批准后予以实施；必要时，如果对计划进行更改也需要获得双方经理共同批准。软件设计开发计划应包括以下内容： a) 软件功能要求； b) 详尽的业务流程； c) 信息安全要求； d) 时间进度要求； e) 设计开发的各个阶段评审与测试要求； f) 设计开发人员的职责与权限； g) 其它要求。 4.1.3 设计开发人员的要求 软件设计开发人员须经平台研发部负责人授权，并应具备一定的软件开发能力和良好的职业道德。 4.1.4 设计开发方案的技术评审 4.1.4.1 设计开发负责人应根据软件设计开发计划的要求，编制软件设计开发方案，由平台研发部负责人对方案的技术可行性及系统的安全性进行确认。 4.1.4.2 对于大型软件开发方案应由设计开发人员、应用部门人员、内部IT方面的专家共同进行评审。 4.1.4.3软件设计开发方案应包括以下内容： a) 确定软件开发工具； b) 应用系统功能； c) 业务实现流程； d) 输入数据确认要求； e) 必要时，系统内部数据确认检查的要求； f) 输出数据的确认要求； g) 应用系统的安全要求； h) 对密码控制技术的要求； i) 对系统硬件配置的要求； k) 系统验收标准。 方案确认与审批的结果及任何必要的措施应予以记录。 4.1.5 设计开发的环境要求 在进行软件开发时，应采取适宜的方法将开发与运作设施分离： a) 开发和运作应当在不同的环境； b) 测试系统应该独立于运作系统。 4.1.6 软件的测试与试运行 4.1.6.1 源程序编制好以后，应在规定的测试环境条件并依据软件测试要求由软件设计开发负责人组织有关人员测试活动，填写《应用软件测试报告》。 4.1.6.2 当软件含有数据处理功能时，软件测试活动应包括以下方面的内容： a) 应用测试数据，验证内部数据处理的正确性；即设计程序时，对于数据的输入类型和范围进行严格的定义，对于模拟输入部分的输入进行合适的硬件限制，以保证输入的数据量在正确的范围；同时进行严格的测试，以检验非法数据的处理情况。应当检查业务交易的输入、固定数据（姓名和地址、信贷限额、客户基准数）的输入和参数表（售价、货币兑换率、税率）的输入。如：通过双重输入或其他输入检查超范围数值错误、丢失或不完整数据错误等。 b) 应用测试数据，确认输出数据的正确性并与环境相适应。 4.1.6.3 当系统测试数据使用业务数据，并且包含敏感信息时，应按以下要求对测试数据进行保护： a) 用于运作系统的访问控制过程也应用于测试系统； b) 业务数据每一次复制到测试应用系统，应被系统主管部门授权； c) 测试完成之后，应立即从测试系统中消除。 4.1.6.4应用部门在试运行期间，应将使用中存在的问题及时反馈给平台研发部进行修改。试运行结束后，应形成正式的《硬件软件验收报告》，由平台研发部和应用部门负责人签字认可，投入使用。 4.1.7 更改控制 在设计开发过程中，涉及到系统功能、安全技术要求的更改应经过平台研发部负责人批准后予以实施，并经过测试合格后方可投入使用。 4.1.8 源程序库（程序源代码）管理及技术文档管理 4.1.8.1 为降低计算机程序被破坏的可能性，设计开发软件的源程序库应按以下要求实施管理： a) 源程序库不应保存在运作系统中； b) 各项应用应指定源程序库管理员； c) 信息技术维护人员不应自由访问源程序库。 4.1.8.2 平台研发部明确源代码管理责任人及保存方式。