外包軟件開發(fā)安全管理規(guī)定-等保安全管理制度一、總則（一）目的為加強(qiáng)外包軟件開發(fā)過程中的安全管理，確保外包軟件系統(tǒng)符合國家信息安全等級(jí)保護(hù)（以下簡稱“等?！保┫嚓P(guān)要求，保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，保護(hù)用戶信息安全和公司利益，特制定本規(guī)定。（二）適用范圍本規(guī)定適用于公司所有外包軟件開發(fā)項(xiàng)目，包括但不限于定制軟件開發(fā)、軟件系統(tǒng)集成、軟件維護(hù)與升級(jí)等涉及外包形式的軟件開發(fā)活動(dòng)。（三）遵循原則1.合法性原則：外包軟件開發(fā)活動(dòng)必須嚴(yán)格遵守國家相關(guān)法律法規(guī)、等保相關(guān)標(biāo)準(zhǔn)以及行業(yè)規(guī)范要求。2.安全性原則：將信息安全貫穿于外包軟件開發(fā)的全過程，采取必要的安全技術(shù)和管理措施，確保軟件系統(tǒng)的安全性。3.可控性原則：對(duì)軟件開發(fā)的各個(gè)環(huán)節(jié)進(jìn)行有效監(jiān)控和管理，確保外包商按照合同要求和公司規(guī)定開展工作。4.保密性原則：嚴(yán)格保護(hù)公司的商業(yè)秘密、用戶信息以及軟件開發(fā)過程中的敏感信息，防止信息泄露。二、外包商選擇與管理（一）外包商資質(zhì)審查1.技術(shù)能力：審查外包商的技術(shù)團(tuán)隊(duì)規(guī)模、技術(shù)人員資質(zhì)和經(jīng)驗(yàn)，確保其具備開發(fā)所需軟件系統(tǒng)的技術(shù)能力。要求外包商提供技術(shù)人員的簡歷、相關(guān)技術(shù)證書等證明材料。2.安全管理能力：考察外包商的信息安全管理制度、安全技術(shù)措施以及安全事件應(yīng)急處理能力。要求外包商提供信息安全管理體系認(rèn)證證書（如ISO27001等）、安全管理制度文檔和安全事件處理案例等。3.信譽(yù)與業(yè)績：了解外包商的商業(yè)信譽(yù)和過往項(xiàng)目業(yè)績，可通過查詢行業(yè)評(píng)價(jià)、客戶反饋等方式進(jìn)行評(píng)估。要求外包商提供至少3個(gè)類似項(xiàng)目的成功案例，并提供客戶聯(lián)系方式以供核實(shí)。（二）合同簽訂1.安全條款：在合同中明確雙方的安全責(zé)任和義務(wù)，包括外包商對(duì)軟件系統(tǒng)安全的保障責(zé)任、對(duì)公司信息的保密責(zé)任、安全事件的處理流程和賠償責(zé)任等。2.知識(shí)產(chǎn)權(quán)條款：明確軟件系統(tǒng)的知識(shí)產(chǎn)權(quán)歸屬，確保公司擁有軟件系統(tǒng)的合法使用權(quán)和相關(guān)知識(shí)產(chǎn)權(quán)。3.驗(yàn)收條款：制定詳細(xì)的軟件驗(yàn)收標(biāo)準(zhǔn)和流程，包括功能驗(yàn)收、性能驗(yàn)收、安全驗(yàn)收等，確保軟件系統(tǒng)符合公司的需求和等保要求。（三）外包商監(jiān)督與評(píng)估1.定期檢查：定期對(duì)外包商的工作進(jìn)行檢查，包括軟件開發(fā)進(jìn)度、質(zhì)量、安全措施落實(shí)情況等。檢查周期為每月一次，檢查結(jié)果形成書面報(bào)告。2.安全審計(jì)：每年至少對(duì)外包商進(jìn)行一次安全審計(jì)，評(píng)估其安全管理體系的有效性和合規(guī)性。審計(jì)內(nèi)容包括安全管理制度執(zhí)行情況、安全技術(shù)措施落實(shí)情況、人員安全意識(shí)培訓(xùn)情況等。3.績效評(píng)估：每半年對(duì)外包商的工作績效進(jìn)行評(píng)估，評(píng)估指標(biāo)包括軟件開發(fā)質(zhì)量、進(jìn)度、安全管理等方面。根據(jù)評(píng)估結(jié)果，對(duì)表現(xiàn)優(yōu)秀的外包商給予獎(jiǎng)勵(lì)，對(duì)不符合要求的外包商進(jìn)行警告或終止合作。三、軟件開發(fā)過程安全管理（一）需求分析階段1.安全需求識(shí)別：在需求分析過程中，明確軟件系統(tǒng)的安全需求，包括用戶身份認(rèn)證、訪問控制、數(shù)據(jù)加密、安全審計(jì)等方面的要求。與業(yè)務(wù)部門和安全部門共同進(jìn)行安全需求調(diào)研，形成安全需求文檔。2.風(fēng)險(xiǎn)評(píng)估：對(duì)軟件系統(tǒng)可能面臨的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，識(shí)別潛在的安全威脅和漏洞。采用風(fēng)險(xiǎn)評(píng)估工具和方法，如資產(chǎn)識(shí)別、威脅分析、脆弱性評(píng)估等，形成風(fēng)險(xiǎn)評(píng)估報(bào)告。（二）設(shè)計(jì)階段1.安全架構(gòu)設(shè)計(jì)：根據(jù)安全需求和風(fēng)險(xiǎn)評(píng)估結(jié)果，設(shè)計(jì)軟件系統(tǒng)的安全架構(gòu)，包括安全技術(shù)體系、安全管理體系和安全運(yùn)營體系。采用分層架構(gòu)、模塊化設(shè)計(jì)等方法，確保軟件系統(tǒng)的安全性和可擴(kuò)展性。2.安全策略制定：制定軟件系統(tǒng)的安全策略，包括訪問控制策略、數(shù)據(jù)保護(hù)策略、安全審計(jì)策略等。安全策略應(yīng)符合等保相關(guān)標(biāo)準(zhǔn)和公司的安全管理制度。（三）開發(fā)階段1.安全編碼規(guī)范：制定安全編碼規(guī)范，要求外包商開發(fā)人員嚴(yán)格按照規(guī)范進(jìn)行編碼。規(guī)范內(nèi)容包括代碼注釋、輸入驗(yàn)證、錯(cuò)誤處理、密碼管理等方面的要求。2.安全測試：對(duì)外包商開發(fā)的軟件進(jìn)行安全測試，包括漏洞掃描、滲透測試、代碼審計(jì)等。測試周期為每周一次，測試結(jié)果及時(shí)反饋給外包商進(jìn)行整改。3.版本管理：建立軟件版本管理系統(tǒng)，對(duì)外包商開發(fā)的軟件版本進(jìn)行嚴(yán)格管理。記錄軟件版本的變更歷史、變更內(nèi)容和變更原因，確保軟件版本的可追溯性。（四）測試階段1.功能測試：對(duì)軟件系統(tǒng)的功能進(jìn)行全面測試，確保軟件系統(tǒng)滿足業(yè)務(wù)需求。測試用例應(yīng)覆蓋軟件系統(tǒng)的所有功能模塊和業(yè)務(wù)流程。2.性能測試：對(duì)軟件系統(tǒng)的性能進(jìn)行測試，包括響應(yīng)時(shí)間、吞吐量、并發(fā)處理能力等方面的測試。測試環(huán)境應(yīng)與生產(chǎn)環(huán)境盡量一致。3.安全測試：在功能測試和性能測試的基礎(chǔ)上，對(duì)軟件系統(tǒng)進(jìn)行安全測試，確保軟件系統(tǒng)符合等保相關(guān)標(biāo)準(zhǔn)和公司的安全要求。（五）上線階段1.上線審批：在軟件系統(tǒng)上線前，進(jìn)行上線審批。審批內(nèi)容包括軟件系統(tǒng)的功能、性能、安全等方面的測試報(bào)告，以及上線實(shí)施方案和應(yīng)急預(yù)案。2.數(shù)據(jù)遷移：在軟件系統(tǒng)上線過程中，進(jìn)行數(shù)據(jù)遷移。數(shù)據(jù)遷移過程中應(yīng)采取必要的安全措施，確保數(shù)據(jù)的完整性和保密性。3.應(yīng)急處理：制定軟件系統(tǒng)上線應(yīng)急預(yù)案，明確應(yīng)急處理流程和責(zé)任分工。在軟件系統(tǒng)上線過程中，如出現(xiàn)安全事件，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案進(jìn)行處理。四、等保安全管理（一）等保定級(jí)1.確定定級(jí)對(duì)象：根據(jù)軟件系統(tǒng)的功能、服務(wù)范圍、數(shù)據(jù)重要性等因素，確定軟件系統(tǒng)的等保定級(jí)對(duì)象。2.開展定級(jí)工作：按照等保相關(guān)標(biāo)準(zhǔn)和規(guī)范，開展軟件系統(tǒng)的等保定級(jí)工作。定級(jí)結(jié)果應(yīng)報(bào)當(dāng)?shù)毓矙C(jī)關(guān)備案。（二）等保測評(píng)1.選擇測評(píng)機(jī)構(gòu)：選擇具有資質(zhì)的等保測評(píng)機(jī)構(gòu)對(duì)軟件系統(tǒng)進(jìn)行測評(píng)。測評(píng)機(jī)構(gòu)應(yīng)具備國家認(rèn)可的測評(píng)資質(zhì)和豐富的測評(píng)經(jīng)驗(yàn)。2.開展測評(píng)工作：按照等保測評(píng)流程和標(biāo)準(zhǔn)，對(duì)軟件系統(tǒng)進(jìn)行全面測評(píng)。測評(píng)內(nèi)容包括安全技術(shù)和安全管理兩個(gè)方面。3.整改落實(shí)：根據(jù)等保測評(píng)報(bào)告，對(duì)外包商開發(fā)的軟件系統(tǒng)進(jìn)行整改。整改工作應(yīng)在規(guī)定的時(shí)間內(nèi)完成，并重新進(jìn)行測評(píng)，確保軟件系統(tǒng)符合等保相關(guān)標(biāo)準(zhǔn)。（三）等保備案與監(jiān)督檢查1.備案工作：在軟件系統(tǒng)通過等保測評(píng)后，及時(shí)向當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行備案。備案材料包括等保測評(píng)報(bào)告、安全管理制度文檔、應(yīng)急預(yù)案等。2.監(jiān)督檢查：配合公安機(jī)關(guān)的監(jiān)督檢查工作，定期對(duì)軟件系統(tǒng)的等保安全情況進(jìn)行自查自糾。每年至少進(jìn)行一次自查，并將自查結(jié)果報(bào)當(dāng)?shù)毓矙C(jī)關(guān)。五、人員安全管理（一）人員背景審查1.外包商人員：要求外包商對(duì)參與軟件開發(fā)的人員進(jìn)行背景審查，審查內(nèi)容包括個(gè)人基本信息、工作經(jīng)歷、犯罪記錄等。外包商應(yīng)向公司提供人員背景審查報(bào)告。2.公司內(nèi)部人員：對(duì)參與外包軟件開發(fā)項(xiàng)目的公司內(nèi)部人員進(jìn)行背景審查，確保其具備相應(yīng)的安全意識(shí)和責(zé)任心。（二）安全培訓(xùn)1.外包商人員：要求外包商對(duì)參與軟件開發(fā)的人員進(jìn)行安全培訓(xùn)，培訓(xùn)內(nèi)容包括信息安全法律法規(guī)、公司安全管理制度、安全技術(shù)知識(shí)等。培訓(xùn)時(shí)間不少于40學(xué)時(shí)，并進(jìn)行考試，考試合格后方可上崗。2.公司內(nèi)部人員：對(duì)參與外包軟件開發(fā)項(xiàng)目的公司內(nèi)部人員進(jìn)行安全培訓(xùn)，提高其安全意識(shí)和應(yīng)急處理能力。培訓(xùn)時(shí)間不少于20學(xué)時(shí)。（三）人員訪問控制1.權(quán)限管理：對(duì)外包商人員和公司內(nèi)部人員的訪問權(quán)限進(jìn)行嚴(yán)格管理。根據(jù)工作需要，分配相應(yīng)的訪問權(quán)限，確保人員只能訪問其工作所需的信息和資源。2.身份認(rèn)證：采用身份認(rèn)證技術(shù)，對(duì)外包商人員和公司內(nèi)部人員進(jìn)行身份認(rèn)證。身份認(rèn)證方式包括用戶名/密碼、數(shù)字證書、生物識(shí)別等。六、數(shù)據(jù)安全管理（一）數(shù)據(jù)分類分級(jí)1.數(shù)據(jù)分類：根據(jù)數(shù)據(jù)的性質(zhì)和用途，將軟件系統(tǒng)中的數(shù)據(jù)分為不同的類別，如用戶信息、業(yè)務(wù)數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)等。2.數(shù)據(jù)分級(jí)：根據(jù)數(shù)據(jù)的重要性和敏感程度，將數(shù)據(jù)分為不同的級(jí)別，如公開數(shù)據(jù)、內(nèi)部數(shù)據(jù)、敏感數(shù)據(jù)、核心數(shù)據(jù)等。（二）數(shù)據(jù)保護(hù)措施1.數(shù)據(jù)加密：對(duì)敏感數(shù)據(jù)和核心數(shù)據(jù)進(jìn)行加密處理，確保數(shù)據(jù)在存儲(chǔ)和傳輸過程中的保密性。加密算法應(yīng)采用國家認(rèn)可的加密算法。2.訪問控制：對(duì)數(shù)據(jù)的訪問進(jìn)行嚴(yán)格控制，只有經(jīng)過授權(quán)的人員才能訪問相應(yīng)的數(shù)據(jù)。訪問控制策略應(yīng)根據(jù)數(shù)據(jù)的分類分級(jí)情況進(jìn)行制定。3.數(shù)據(jù)備份與恢復(fù)：定期對(duì)軟件系統(tǒng)中的數(shù)據(jù)進(jìn)行備份，并制定數(shù)據(jù)恢復(fù)策略。備份數(shù)據(jù)應(yīng)存儲(chǔ)在安全的位置，確保數(shù)據(jù)的可用性。（三）數(shù)據(jù)共享與交換1.數(shù)據(jù)共享審批：在進(jìn)行數(shù)據(jù)共享和交換時(shí)，應(yīng)進(jìn)行審批。審批內(nèi)容包括數(shù)據(jù)共享的目的、范圍、方式、接收方的安全保障措施等。2.數(shù)據(jù)脫敏處理：在數(shù)據(jù)共享和交換過程中，對(duì)敏感數(shù)據(jù)進(jìn)行脫敏處理，確保數(shù)據(jù)的安全性。七、應(yīng)急管理（一）應(yīng)急預(yù)案制定1.制定應(yīng)急預(yù)案：制定外包軟件開發(fā)安全應(yīng)急預(yù)案，明確應(yīng)急處理流程和責(zé)任分工。應(yīng)急預(yù)案應(yīng)包括安全事件的分類分級(jí)、應(yīng)急響應(yīng)流程、應(yīng)急處理措施、恢復(fù)策略等內(nèi)容。2.應(yīng)急演練：定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，提高應(yīng)急處理能力。演練周期為每年至少一次。（二）安全事件處理1.事件報(bào)告：在發(fā)生安全事件后，應(yīng)立即向上級(jí)領(lǐng)導(dǎo)和安全管理部門報(bào)告。報(bào)告內(nèi)容包括安全事件的發(fā)生