文档编号
XX_2_COM_信息系统获取、开发和维护管理办法
版 本 号
V1.0 密 级
内部公开
信息系统获取、开发和维护管理办法
XXX信息技术有限公司
文档信息
发布版本：V1.0 最后发布时间：XX
编写人：XX
审核人：XX
文档编写目的
本文档的编写是为了提升XXX信息技术有限公司在信息系统获取、开发和维护过程中的安全管理水平，降低获取、开发和维护信息系统的风险。
文档主要内容
文档主要阐述了XXX信息技术有限公司，在信息系统获取、开发和维护过程中的信息安全管理要求，包括：信息系统的安全要求、应用中的正确处理、密码控制、系统文件的安全、开发和维护过程中的安全、技术脆弱性管理等方面。
文档适用范围
本文档适用于XXX信息技术有限公司。
版本控制
编号
修订人
修订时间
版本号
修订内容说明
12 3
4目 录
第一章 总则 4
第二章 信息系统的安全需求 4
第三章 应用中的正确处理 5
第四章 密码控制 7
第五章 系统文件的安全 10 第六章 开发和维护过程中的安全 13
第七章 技术脆弱性管理 16
第八章 附则 18
第一章 总则
为保障XXX信息技术有限公司（以下简称“XX”）获取、开发和维护信息系统的安全，提升信息系统获取、开发和维护过程中的安全管理水平，特制定本文件。
第二章 信息系统的安全需求
信息系统包括操作系统、基础设施、业务应用、服务和自开发的应用。在信息系统开发或实现之前，需要识别安全需求。
安全需求包括两方面的内容：一是信息系统本身的安全需求，如信息系统具备安全通信、加密、用户身份鉴别等功能，在确定安全需求时，要考虑信息系统中的自动控制和支持人工控制的需求；另一方面，对信息系统设计开发过程也要进行控制，例如在不同的设计开发阶段的评审与验证，确保设计输出满足设计输入的需求，确保对程序源代码的保护、对人员的操作与授权控制等。
在项目需求分析阶段识别所有安全需求，并证明这些安全需求的合理性，对这些安全需求加以确定，并且将这些安全需求形成文档作为信息系统整体需求的一部分。
安全需求和控制措施应反映出所涉及的信息资产的业务价值，以及可能由于安全故障或安全措施不足引起的潜在业务损害。
在信息系统项目的设计阶段和开发过程中，需集成信息安全需求和实施安全的过程。
购买产品时，需尽量使用经过专业评估和认证的产品，