信息系统开发与项目安全管理规定
总则
为规范科技发展部信息系统开发相关安全控制，保障信息系统本身的安全性以及开发、测试和投产过程的安全性，规范信息系统获取、开发与维护过程中的职责定义与流程管理，特制定本规定。
本规定适用于科技发展部范围内的信息系统获取、开发、实施、投产各过程及项目实施的管理。
组织与职责
科技发展部风险管理组负责制定相关规定，并监督各部门落实情况。
各部门安全组负责监督和检查本规定在本部门的落实情况。
项目需求部门除提出功能需求外还负责在相关部门的协助下提出系统安全需求。
项目建设部门承担具体信息系统设计、开发实施，负责进行系统安全需求分析。保证系统设计、开发、测试、验收和投产实施阶段满足项目安全需求和现有的系统安全标准和规范。组织系统安全需求、设计和投产评审。
信息系统开发与项目安全管理规定
信息系统建设项目各阶段（尤其是需求设计、测试及投产等重要阶段）评审时，评审内容必须包括相应的安全要求，具体要求参见附件2：信息安全功能设计检查列表。
系统安全评审时，应提交相应安全设计、实现或验证材料，对于评审中发现的问题相关责任部门应及时整改。
对于公共可用系统及重要信息数据的完整性应进行保护，以防止未经授权的修改。同时，网上公开信息的修改发布遵循业务部门的相关管理规定，只有经过授权流程后才能修改相应信息。
安全需求分析
（一） 在项目的计划阶段，项目需求部门与项目建设部门讨论并明确系统安全需求分析，作为项目需求分析报告的组成部分。
（二） 项目需求部门与项目建设部门应对系统进行风险分析，考虑业务处理相关流程的安全技术控制需求、生产系统及其相关在线系统运行过程中的安全要求，在满足相关法律、法规及规章、技术规范和标准等约束条件下，确定系统的安全需求。
（三） 系统安全保护遵循适度保护的原则，需满足以下基本要求，同时实施与业务安全等级要求相应的安全机制：
1. 采取必要的技术手段，建立适当的安全管理控制机制，保证数据信息在处理、存储和传输过程中的完整性和安全性，防止数据信息被非法使用、篡改和复制。
2. 实施必要的数据备份和恢复控制。
3. 实施有效的用户和密码管理，能对不同级别的用户进行有限授权，防止非法用户的侵入和破坏。
4. 涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。
（四） 系统的安全需求及其分析要经过项目组内部充分讨论，技术人员和业务人员对安全需求及其分析的理解要达成一致。
项目建设部门根据确定的安全需求设计系统安全技术方案，必须确保满足以下要求：
（一） 系统安全技术方案要满足所有的安全需求，并且符合公安部、银监会等政府、上级主管部门的法律法规要求。
（二） 系统安全技术方案应至少包括网络安全设计、操作系统和数据库安全、应用软件安全设计等部分。
（三） 系统安全技术方案涉及使用的安全产品，应符合国家有关法律法规和科技发展部现有安全制度的规定。开发人员的安全管理
（一） 信息系统的开发人员或参加开发项目的外协单位应经过严格资格审查，并签订保密协议。
（二） 加强开发人员的职业道德教育，提高开发人员的安全防范和保密意识，对开发人员进行安全防范技术和措施等方面的培训。
（三） 明确开发人员在信息系统开发过程中的职责和信息访问权限。
（四） 严格加强生产系统开发环境和场地的出入管理，进入开发环境和现场要有必要的安全控制措施，详细参见《物理和环境安全管理规定》。
（五） 禁止非项目组人员未经允许进入开发环境和现场，非项目组外协单位人员进入开发现场必须由本部门项目组人员陪同，对于第三方管理的详细规定参见《第三方信息安全管理规定》。
开发设备使用的安全管理
（一） 做好对信息系统开发环境的安全管理，信息系统的开发环境要相对独立，开发环境必须与运行环境分离。
（二） 开发环境中的设备必须明确安全责任人，遵循“谁使用谁负责