外包软件开发安全管理规定-等保安全管理制度.docxVIP

XXX平台

--外包软件开发安全管理规定--

文档编号

使用部门

XXX

编制日期

XXX

发行日期

修订及审核记录

文档信息

文档名称

外包软件开发安全管理规定

文档编号

服务对象

XXX

创建日期

XXX

文档版本

V1.0

发行日期

文档审核

审核人

职务

审核时间

审核意见

修订记录

修正章节

修订日期

修订人

变更记录

整篇文档

XXX

XXX

修订版式、内容

目录

TOC\o1-3\h\z\u第一章总则 4

第二章人员及职责 4

第三章内容 4

3.1软件系统采购 4

3.2软件版权管理 4

3.3软件版权管理 5

第四章安全要求 6

第五章检查表 7

第六章相关记录 7

第七章相关文件 7

第八章附则 8

附件一：软件及许可证资产清单 8

附件二：正版软件安装情况检查表 9

第一章总则

第一条确保XXX在软件系统采购、使用和维护过程，能够充分考虑信息安全方面的内容，并保证符合信息安全的要求得以实现。

第二条XXX现有使用的软件系统；XXX以后新增的软件系统

第二章人员及职责

第三条负责软件采购和维护的管理员、负责软件安全测试的信息安全管理员、信息资产管理员。

第四条负责软件采购和维护的管理员需在软件采购和维护期间，负责相关安全条款，如软件的版权；

第五条负责安全测试的信息安全管理员，需要在软件采购时进行安全测试，同时定期对现有软件系统进行安全测试；

第三章内容

3.1软件系统采购

第六条XXX,安全运维商或第三方向XXX提交软件采购需求申请表，由XXX办负责采购所需的软件；

第七条XXX统一使用由XXX采购的正版软件，不得使用盗版软件；

第八条对于定制开发或二次开发的应用系统，关于信息安全的具体要求需要反映在相应的《软件开发安全规范》里。

第九条当软件应用系统外包给第三方开发时，要求外包方严格遵守《软件开发安全规范》，《软件开发安全规范》做为合同的一部分，保证软件开发安全质量。

3.2软件版权管理

第十条安装在XXX所有设备上的软件，由XXX信息资产管理员统一管理。信息资产管理员获得软件后，应在3天内登记备案，录入《软件及许可证资产清单》，并按《介质安全管理规定》统一保存；或是当无人看管时，要将这些介质存放在必威体育官网网址柜中。由信息资产管理员对软件和借用记录进行更新。

第十一条所有软件的许可证由信息资产管理员保管，相关电子文件保存时必须加密（许可证存放在文件服务器的专用文件夹中，只有信息资产管理员有访问权限，许可证需用加密工具加密），许可证加文件用光盘每月备份，并和软件存放在一起。

第十二条信息资产管理员定期（每季度）检查许可证的是否到期，对即将过期的许可证更加需要提前提出许可证购买申请。

第十三条因工作需要须用光盘进行软件安装或需要借用软件许可证时，要进行借用、归还手续。信息资产管理员要在《软件及许可证借用记录》记录软件的借用信息，包括借用人，借用理由，是否得到部门领导审批等信息，并由申请人签字。

第十四条在借用过程中，不得私自将软件转借他人。

第十五条借用时间最长不得超过5个工作日，超过5个工作日必须办理续借手续。归还时要办理归还手续，信息资产管理员在收到归还的软件后在《软件及许可证借用记录》签字确认。

3.3软件版权管理

第十六条正版软件的安装方式是光盘安装，免费和开源的软件安装必须是到其官方网站上下载安装包，并经过Md5校验，方可安装使用。

第十七条XXX相关人员根据工作需要在自己所负责的设备上安装正版软件，及免费软件、共享软件。工作需要但XXX不能提供的软件，应确保该软件来源可靠（正版软件，免费软件或共享软件），并不会造成系统出现安全隐患或产生知识产权的纠纷，然后必须取得XXX系统管理人员的同意并登记许可之后方可安装使用。

第十八条不得私自下载、安装、使用非法软件。

第十九条不得私自在所有设备上安装非工作所需的软件。

第二十条严禁在所有设备上使用黑客、系统破解或口令破解等软件。

第四章安全要求

第二十一条外包的服务和服务标准协议

（一）在特定的业务情况下，可以向第三方管理层外包XXX管理的部分网络或维护工作。在任何管理职责外包的情况下，XXX都应保留所有权和必威体育官网网址信息的合法控制。此外XXX还应保留对所有外包资源的完全管理访问。

（二）当XXX外包部分系统服务时，所有第三方需按照服务合同中所述的特定工作职责去执行，所有对外包系统的管理和访问都必须遵守XXX的相关安全策略和程序。此外，还必须同外包的服务供应商达成服务标准协议，以确保XXX能够获得正确的数值来衡量服务供应商的表现。

（三）业务合作伙伴和所外包系统的系统管理员负责维护他们