软件开发测试及准生产环境管理规范

软件开发、测试及准生产环境管理规范

（ISO27001-2013）

第一章总则

第一条为加强公司开发测试及准生产环境的管理，确保开发测试及准生产环境项目文档、代码及数据安全，明确开发测试及准生产环境软硬件平台的维护职责，保证开发测试及准生产环境的稳定运行，提高开发效率，特制定本办法。第二条本办法所指开发测试及准生产环境是指公司软件项目在开发过程中所使用的相关环境，包括并不仅限于开发环境、用户测试环境、准生产环境、配置版本库环境等。

第三条开发测试及准生产环境的管理和建设应遵循以下原则：

(一) 安全性：通过相应管理制度和技术手段，保证开发环境数据、代码、文档等信息的安全可靠，保证不会丢失。

(二) 保密性：通过相应管理制度和技术手段，保证公司的商业秘密及数据、代码、文档等重要信息不会被非法访问或泄露。

(三) 高效性：通过采用合适的软硬件平台和技术手段，保证开发环境的各套系统的运行速度和效率，保证项目开发进度。

(四) 稳定性：通过采用合适的软硬件平台和技术手段，保证开发环境各套系统的稳定运行，减低系统故障率。

第二章分工及职责

第四条信息部运维组主要负责如下工作：

(一) 负责开发测试及准生产环境的机房设备、硬件设备、网络设备、系统软件的安装、管理、维护、故障报告后的性能监控及排查等工作。

(二) 负责开发测试及准生产环境的病毒防治工作。

(三) 根据项目组的要求，配合完成开发测试及准生产环境的数据及版本配置库的备份与恢复工作。

(四) 协助项目组完成开发测试及准生产环境的性能优化工作。

(五) 对开发过程中遇到的硬件平台、系统软件、网络等技术问题提供支持。第五条信息部项目组成员主要负责如下工作：

(一) 准生产系统权限、密码管理。

(二) 准生产环境的应用系统搭建、配置工作。

(三) 准生产环境程序、数据的同步。

(四) 准生产环境的版本管理及配置管理。

(五) 准生产环境的维护和软件系统投产前验证。

(六) 准生产环境应用软件故障的调查、分析。

第六条开发厂商职责。

(一) 开发测试环境系统权限、密码管理

(二) 开发测试环境系统搭建、配置工作。

(三) 开发测试环境程序版本发布。

(四) 开发人员客户端程序代码、文档的管理、备份工作。

(五) 开发测试环境的程序开发、测试维护和投产前验证。

(六) 开发测试环境应用软件故障的排查、分析。

第三章保密管理

第七条为加强项目开发、实施期间的保密管理，维护公司的商业秘密和权益，所有参与项目的厂商必须与公司签订《保密承诺书》，所有参与项目的厂商人员必须签字承诺遵守《保密承诺书》，否则不允许厂商及人员进场。

第八条外包人员不得在办公区内部接待与工作无关的访客，如有人员来访，应在会客区接待；对因工作需要，需要在办公区接待的访客，应会知工作人员，并填写《项目组外来人员访客登记表》，《项目组外来人员访客登记表》的格式请参考附件一。

第九条为保证准生产环境中业务数据的保密性，必须保证准生产环境网络与开发环境网络严格隔离，保证开发环境网段、业务测试环境网段的人员不能访问准生产环境。

第十条为保证准生产环境数据的保密性，准生产环境网段的所有机器的USB 端口必须屏蔽，防止信息泄露。

第十一条原则上，开发厂商人员不允许访问准生产环境，特殊情况下，开发人员必须访问准生产环境的，要由IT人员会同，通过指定的机器访问，并填写《准