1、信息系统开发安全管控办法讲解了公司自主开发及委外开发信息系统的安全管理和要求,覆盖了从开发阶段到上线阶段的全生命周期。文件首先定义了信息系统相关概念和构成,并指明适用的相关国家法规和行业标准。在职责分配方面,该办法明确了不同部门在信息系统各阶段的责任:公司内部的XXXX部门、卷烟厂计算机中心主要负责各类文档审批、测试组织和系统验收;实施单位则负责需求分析和内部流程的具体操作。文件的核心内容集中在管理和控制要求。总体上强调信息系统开发必须遵循计算机安全保护法律法规,并规定开发过程须提交的安全性文件及其审批流程。对信息系统的开发生命周期进行了详细管理说明,在需求收集与分析阶段,从技术可行性、需求可
2、行性、经济可行性和安全可行性等多个维度进行全面分析。针对设计阶段的安全要求,该办法涵盖了从单点访问控制、人员权限划分、敏感信息安全存储、模块间通信安全、日志管理和容量规划等多个角度提出安全管理机制。每一部分都旨在构建一个完整而严密的信息安全保障体系。信息系统开发安全管控办法适用于所有参与信息系统开发的机构和个人,包括企业自主研发项目和外部委托开发项目中涉及的所有相关人员。具体而言,适用于负责公司整体信息技术管理的企业内部IT部门和负责实际软件编码工作的工作室或外包团队。此外,本标准同样适用于任何需要建立并维护高质量信息管理系统,保证信息安全性与数据隐私的重要行业和领域,特别是对于那些需要满足严格法律规定的业务场景,如金融机构、政府机关等。
安全达人 