《05项目监督与控制过程.docx》由会员分享,可在线阅读,更多相关《05项目监督与控制过程.docx(5页珍藏版)》请在课桌文档上搜索。
1、目录目录11目的22范围23职责23. 1总经理23.2市场部24程序24. 1信息系统方案需求分析24.2 供应商选择34.3 方案的确定和实施34.4 系统测试和上线运行34.5 信息系统交付44.6 系统文件的安全45渤足客户要求56引用文件57记录51目的为了对公司信息系统项目建设的策划、开发、实施、检查等进行有效的控制,特制定本程序。2范围本程序规定了公司信息系统项目建设的策划、开发、实施、检查等控制要求,适用于信息系统开发建设的控制。3职责3. 1总经理负责批准各种信息系统的建设项目和建设方案。3.2市场部负责信息系统开发建设项目的研发,研发过程中控制信息系统开发建设项目的信息安全
2、和技术支持。负责在业务范围内提出信息系统开发建设需求提供,进行项目验收和项目质量的监控等工作。4程序4.1 信息系统方案需求分析4.1.1 市场部应根据业务的应用需求,简要提出新增信息系统或者现有信息系统更新、升级、由综合部门完成的信息系统开发需求书。信息系统开发需求书包括以下内容:一一功能需求背景:简单描述系统现状及项目建设的必要性。一一项目建设目标:描述项目建设或软件开发拟达到的目标。一一项目建设原则:描述项目开发所依赖的主客观条件。一一具体功能需求:详细描述每一个具体功能需求。一一项目进度要求:列出项目开发的时间要求4.1.2 项目组应制定开发计划书并通过项目干系人审核。开发计划书应包括
3、软硬件结构、软件性能要求、项目投资估算。并根据业务功能要求及信息安全要求,明确规定信息系统安全控制的要求,考虑整合到信息系统中的自动控制措施和支持人工控制的需要。在对系统验证时应考虑:a)系统的安全特性及对现有系统安全的影响;b)系统容量的要求;c)由于系统安全的失效或缺失所带来的业务破坏;d)设计过程中的安全控制要求。4.1.3 如果仅是购买产品和软件,在与供应商的合同中应提出己经识别的安全需求,有经过正式的测试说明。当产品和软件的安全功能不能满足指定的需求时,应在购买产品前进行风险评估和采取相关的控制措施。如果提供的附加功能引起安全风险,应对提议的控制结构进行评审以决定是否能从增强的功能中
4、获得利益。4.1.4开发计划书和信息系统开发需求书应报综合部经理批准。4. 2供应商选择4. 2.1综合部按公司采购管理的要求选择硬件供应商和/或软件开发商。4. 2.2硬件供应商和/或软件开发商以及他们提供的产品和服务的控制按照供应商管理程序进行。4.3方案的确定和实施4. 3.1开发计划书审批后提交给各项目组。各项目组根据信息系统开发需求书,负责平台的搭建等一系列环境准备工作。5. 3.2应防止应用系统中的信息的错误、遗失、未授权的修改及误用。在确定信息系统开发需求书时应考虑:a)应用系统内应设计合适的控制措施以确保正确处理。这些控制措施应包括对输入数据、内部处理和输出数据的验证;b)识别
5、确保真实性和保护消息完整性的要求,必要时采取适当的控制措施;c)使用密码控制措施来保护信息,使用密码时,应基于风险评估,确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量,并符合信息系统开发控制程序的要求;4.3.4质量保证人员应监督软件开发商按合同条款进行相关的开发或者部署。4.3.5市场部负责信息系统的研发和实施。4.3.6如果需要对开发计划书变更时,项目组应提出变更申请,经市场部审核批准后实施。4.4系统测试和上线运行4.4.1系统正式上线前需进行测试,在测试前根据设计方案或合同要求等制订测试验收方案,在测试验收过程中详细记录测试验收结果。测试应按信息系统开发需求书、信息系统开发
6、建设技术方案上的功能逐项进行,从中发现不满足用户需求的问题,确定开发的软件是否合格,能否交付使用等。4.4.2测试应形成测试报告,包括测试计划、测试用例和测试结果。市场部全程参与,应注意对应用系统输出的数据进行认真核对,对于关键或重要的输出数据应由相应的作业流程所规定的人员进行确认。4.4.3需要提供业务操作手册时由市场部根据相关技术设计文档、完成业务操作手册及系统维护的文档,并组织对相关人员进行培训。4.4.4系统试运行。在软件安装在生产环境之前应检测软件包中可能存在的恶意代码。市场部门在试运行期间,应将使用中存在的问题及时反馈给市场部进行协调修改。试运行结束后,应形成正式的验收报告,由公司
7、相关部门签字认可。4.4.5正式上线。系统从试运行转为正式投入使用,转由市场部负责系统的平稳运行和维护,并由市场部对软件版本的更新进行控制和管理。4.5信息系统交付4.5.1信息系统交付时,应根据用户需求规定要求提供软件源代码,并审查软件中可能存在的后门,以防止信息泄露的可能性。4.5.2信息系统交付时,应制定详细的信息系统交付清单,并根据交付清单对所交接的设备、外包开发的软件和文档等进行清点。4.6系统文件的安全4.6.1在运行系统上安装软件应考虑:a)运行系统应仅安装经过批准的可执行代码,不安装开发代码和编译程序;b)应对系统配置文件进行控制;c)应保留应用软件的先前版本作为应急措施;d)
8、软件的旧版本,连同所有需要的信息和参数、程序、配置细节,以及归档中保留有数据的支持软件,均应被归档。4.6.2应认真地选择、保护和控制测试数据。应避免使用包含个人信息或其它秘密信息的运行数据库用于测试。4.6.3不允许任何人以任何方式访问程序源代码。4.7变更管理4.7.1变更分类本公司涉及的变更分为以下几类:a.信息系统网络、信息处理设施的变更。b.操作系统变更。c.应用系统变更。d.数据库系统变更。4.7.2变更的策划4.7.2. 1当信息系统需要变更时,应先分析其变更原因,公司信息系统变更主要有以下几个方面:a.IT设备的维修、升级或更换,按变更管理程序进行控制。b.操作系统的升级或更换
9、。c.应用系统的升级或更换。d.数据库系统升级或更换。4.7.2.2在明确变更原因后,综合部负责对变更进行策划,提出变更具体实施的变更跟踪表,交由综合部经理审批。4.7.2.3对于重要设备和网络系统的重大变更,应对变更影响进行评价:a.变更实施前,由综合部及相关应用部门提出变更预期目的及影响预测,交总经理审核。b.变更实施后,首先由综合部对变更的实际影响进行评估,提交总经理进行影响评估。c.变更实施后,应用部门和用户对变更产生的影响进行评估,并将意见反馈给综合部。4.7.3变更的实施4.7.3.1变更实施前,综合部负责将变更的信息传达到所有相关用户。4.7.3.2软件版本的升级,应同时按信息系
10、统开发控制程序进行。4.7.3.3应当由经过培训的管理员,根据授权来执行操作系统软件、应用程序软件和程序库的升级或更新。4.7.3.4操作系统软件、应用程序软件和程序库的升级或更新前,应进行数据备份,包括数据、程序和具体配置。4.7.3. 5变更如果影响业务连续性计划,应对业务连续性计划做适当调整或改变。在变更过程中,应采取措施防止信息泄漏(防止隐蔽通道或特洛伊木马等)。4. 7.4变更不成功的恢复措施4.7.4. 1在变更实施时,需要时刻注意对应用系统造成的影响,如影响超出可控范围,需停止变更,并将系统恢匏到变更前的状态。4.7.4.2在变更实施后,由综合部和各应用管理部门及用户对变更的影响作出测试或评估,确保对业务连续性和安全没有不利影响。如评估结果为变更不成功,则应启动变更恢复措施,将变更还原。4.7.5软件包的变更软件包更改时,应保留原始软件,并在完全一样的复制软件上进行更改,更改实施前应得到综合部和应用系统主管部门的授权。5满足客户要求项目实施过程中,可以根据客户要求进行形成项目实施记录文件,但实施内容应遵循本控制程序。6引用文件供应商管理规定信息系统开发控制程序变更管理程序7记录