某局网络安全管理制度汇编(第13/22页)

（2）审批软件需求报告。

（3）审批开发方式。

（4）审批软件开发计划。

（5）审批软件设计开发商。

（6）审批软件开发设计报告。

4、管理活动的内容与方法

（1）软件开发与维护管理

信息化职能部门或者业务部门提出开发软件需求。

（2）组织调研

信息化职能部门组织需求部门专责人和信息化专责人根据实际工作需要进行调研。做好需求调研分析及软件设计是提高软件质量的基础。

（3）编制初步需求报告、审批

信息化职能部门组织编制被调研的用户需求报告。上报主管领导审批需求报告。

（4）提出申请

相关单位、部门提出软件开发项目申请,重大软件开发项目按照规定报单位网络信息化领导小组审批，必要情况下组织技术论证工作。

（5）制定开发方式、审批

信息化职能部门对申请批复的项目拟订开发方式（包括自主开发或与外单位合作开发），上报分管领导审批开发方式。

（6）自测

开发结束后，信息化职能部门要组织开发软件的自测试。

（7）用户测试

用户对软件进行运行测试。

（8）投入使用

信息化职能部门组织验收合格后，正式投入运行。

（9）反馈意见

用户在实际应用过程中及时反馈使用意见。

（10）调整程序

信息化职能部门根据用户意见，自行或组织开发单位对应用系统进行适合的调整改进。

5、软件自行开发与维护管理

（1）确定自主开发项目

信息化职能部门确定需要自行开发的软件项目，成立自主软件开发项目组。

（2）签订协议

信息化职能部门与需求单位签定软件开发协议。

（3）制定开发计划

信息化职能部门制定具体实施开发计划。

（4）形成调研报告

信息化职能部门组织对要开发软件进行详细需求调研。

A、制定调研计划。必须事先制定一个调研计划，以便双方有关人员，特别是用户方面的人员，安排好工作时间。调研计划中应包含调研计划基本信息、时间安排、调研内容、接待部门和人员、调研成果等5个方面的信息；

B、选择调研方法和工具：经常采取的调查方法主要有表格调查法、座谈调查法、查阅资料法和现场观察法4种，同时还要使用与之相匹配的调研工具，比如统计表格、图形等；

C、进行资料收集。收集到了相应的反馈单、审批表、领料单、台账、物料卡、报表等资料，这些资料可以用作数据库设计的依据；

D、绘制业务流程图。描述不仅仅是对系统原流程的机械拷贝，而应该是对原有系统的业务流程进行重新思考、设计、再造；

E、调研人员应全面了解所有项目干系人的需求，并按照重要性优先级进行权衡取舍；

F、应注意需求包含明确的和隐含的两方面。需求调研分析人员应善于想用户所想，不但要确定明确的需求，还要善于用启发的方式与用户探讨隐含的或潜在的需求，并结合各种调研分析技术挖掘超出用户期望的令人兴奋的需求；

G、调研人员充分与实际软件使用者进行充分沟通，避免"从头再来"的发生。

（5）确定运行平台

信息化职能部门根据需求单位或部门对软件开发环境的要求确立本次软件开发平台、用户应用平台、后台运行平台。为了降低系统成本，信息化职能部门应最大程度地利用现有的资源、兼容现有的环境。

（6）编制总体设计报告、审批

信息化职能部门进行开发软件的总体设计，并形成总体设计报告。报分管领导审批设计报告后。组织实施设计报告。

（7）划分软件模块

信息化职能部门进行软件功能模块划分，并形成各模块的详细说明文件，信息化职能部门整理评审资料。

（8）移交、指导、应用软件

信息化职能部门将软件移交协议部门。协议部门现场应用软件。信息化职能部门对软件的应用过程进行技术指导。

（9）反馈软件运行情况

协议部门将软件应用的情况准确、全面地反馈给信息化职能部门。填写"软件使用情况反馈表"（由信息化职能部门提供表格样式）。

（10）分析不足

信息化职能部门依据现场指导掌握及协议部门反馈的情况，全面分析应用效果，找出不足。

（11）改进和完善

信息化职能部门依据分析结果进行软件的改进和完善。

（12）申请验收或鉴定

信息化职能部门负责申请并组织实施软件开发项目的验收或鉴定。

21.信息系统权限划分实施细则

一、总则

1、为加强对网络层和系统层的访问控制，对网络设备和安全专用设备，以及操作系统和数据库系统的安全配置和日常运行进行管理，保障信息网络的安全、稳定运行，特制订本文档。

2、本文档适用于xx市xx区农业农村局的信息系统的所有网络设备和安全专用设备，以及操作系统和数据库系统的访问控制策略配置管理。

二、访问控制策略的制定

1、信息化职能部门负责访问控制策略的制定和组织实施工作，并指定网络管理员协同系统管理员、数据库管理员负责有关工作。

2、在制定本单位的网络访问控制策略、操作系统访问控制策略和数据库系统访问控制策略前，应掌握以下已形成文档的资料，并必须根据变化作出即时的更新：

（1） 根据业务需求和系统安全分析制定系统的访问控制策略。

（2） 控制分配文件及服务的访问权限。

（3）控制用户对资源的访问

a、文件权限；b、默认共享

（4） 数据库用户和系统管理员用户的权限分离。

（5）限制默认用户的访问权限。

（6）关于共享帐户的限制

（7）控制用户组/用户对系统功能和用户数据的访问

三、 对操作系统的安全控制：

1、用户名，口令长度的修改。

不得存在多余的账户， 口令长度需大于八位，修改重复输入次数为5次，并设定再次输入时间参考时间为30分钟。

2、系统当前为必需的默认用户进行权限限制（根据情况删除、禁用、更改

权限），如Windows操作系统guest账户。

3、 关闭默认共享盘符（例如c$,d$,e$）。

4、 启用登录失败处理功能。

5、 即使更新系统补丁，安装和更新杀毒软件。

四、对数据库的访问权限进行限定：

1、对数据库的最高权限账户进行权限降低，或者更名，根据业务需求，数据库管理员与应用系统，服务器，操作系统管理员应区分，不得重名，不允许多人共用一个账户。

2、将用户对文件资料的读取，修改等操作进行限定口令长度需大于八位。

3、根据业务需求开放默认账户。

五、对网络设备的访问权限进行限定：

1、对接入方式进行限定采用KVM本地管理，关闭telnet远程登录方式

2.、用户名口令必须需大于八位，存储方式必须密文存储，显示方式必须密文显示。

3、内部网络所使用的关键网络设备及安全专用设备的用户名和口令应由专人管理，并定期修改。用于管理有关设备的客户端软件应由专人管理，未经信息系统运行管理部门负责人同意，任何个人不得擅自安装或使用。