咸阳市政府信息系统安全检查(11)

咸阳市政府信息系统安全检查

c) 检查是否具有软件设计的相关文档（应用软件设计程序文件、源代码文

档等）和软件使用指南或操作手册和维护手册等；

d) 检查软件开发环境与系统运行环境在物理上是否是分开的；

e) 检查是否具有系统开发文档的使用控制记录。

4.4外包软件开发

检查项

a) 应与软件开发单位签订协议，明确知识产权的归属和安全方面的要求； b) 应根据协议的要求检测软件质量；

c) 应在软件安装之前检测软件包中可能存在的恶意代码；

d) 应确保提供软件设计的相关文档和使用指南。

检查对象

系统建设负责人，软件开发安全协议，软件开发文档。

检查实施

a) 访谈系统建设负责人，询问在外包软件前是否对软件开发单位以书面文

档形式（如软件开发安全协议）规范软件开发单位的责任、开发过程中的安全行为、开发环境要求和软件质量等相关内容，是否具有能够独立的对软件进行日常维护和使用所需的文档；

b) 访谈系统建设负责人，询问软件交付前是否依据开发协议的技术指标对

软件功能和性能等进行验收检测，验收检测是否是由开发商和委托方共同参与，软件安装之前是否检测软件中的恶意代码，检测工具是否是第三方的商业产品；

c) 检查软件开发协议是否规定知识产权归属、安全行为等内容；

d) 检查是否具有需求分析说明书、软件设计说明书和软件操作手册等开发

文档。

4.5工程实施

检查项

a) 应与工程实施单位签订与安全相关的协议，约束工程实施单位的行为； b) 应指定或授权专门的人员或部门负责工程实施过程的管理；

c) 应制定详细的工程实施方案控制实施过程。

检查对象

系统建设负责人，工程安全建设协议，工程实施方案。