信息系统采购、开发和维护制度.doc

信息系统采购、开发和维护制度 11.1 系统安全需求 11.1.1 系统的安全需求分析与范围 第243条 在系统开发的整个过程（特别是在系统需求阶段）都必须考虑安全需求，包括但不限于： 1)系统架构 2)用户认证 3)访问控制和授权 4)事务处理的机密性和完整性 5)日志记录功能 6)系统配臵 7)法律法规和兼容性要求 8)系统恢复 第244条 在系统的需求和设计阶段，需要对系统进行安全方面的评审。 第245条 应该在开发的整个周期对安全需求实施的正确性进行阶段性检查，以确保其对应的安全措施按照要求被定义、设计、部署和测试。 第246条 在使用商业软件或软件包前，必须按照上述安全需求进行评估。对于软件的安全控制要求应该在评估之前定义好。 第247条 软件必须通过用户的正式验收后才能投入生产。软件在正式使用前必须经过安全方面的测试，测试内容必须包括所有设计文档中的安全要求。 第248条 为