系统开发与获取

一般

系统开发程序的目的是描述在大学开发和/或实施新的应用软件的需求.

适用性

本程序适用于存储或处理关键任务和/或机密信息的大学信息资源. 本程序的目的是提供一套措施，以减低与系统开发及新应用软件的实施有关的资讯保安风险. 本程序的目标受众包括, 但不限于, 所有信息资源数据/所有者, 管理人员, 系统管理员.

程序

1. 资讯保安业主, 还有他们的设计师, 负责发展, 维护, 并参与系统开发生命周期(SDLC)计划. 所有在生产系统上运行的内部开发的软件都应根据SDLC计划进行开发. 至少, this plan must address the areas of preliminary analysis or feasibility study; risk identification and mitigation; systems analysis; general design; detail design; development; quality assurance and acceptance testing; implementation; and, 实施后的维护和评审. 对这种方法的要求确保软件在投入生产之前得到充分的文档记录和测试.

2. 所有适用的系统都应有指定的所有者和保管人. 主人, 和/或他们的指定人, 应定期对生产系统进行风险评估，以确定所采用的控制措施是否充分.

3. 信息资源的部门主管或所有者应确保所有适用的系统具有文件化的访问控制流程，以限制谁可以访问系统，并限制系统用户可获得的特权. 授予许可的日志也应保持.

4. 在资源允许的地方, 生产之间应当有分离, 质量保证和开发环境. 这确保了严格维护生产系统的安全性, 而开发和测试环境可以在更少的安全限制下最大化生产力. 在将更改转移到生产环境之前，至少需要两个人对其进行审查和批准.

相关法规、政策和要求

高校信息安全标准、变更与配置管理

历史

最后更新2014年3月31日