只有授权人员才能获得源代码以进行系统维护;4、在进行自有系统的程序变更时,应建立版本控制制度确保每次在最新的代码基础上进行更改,当多名程序员同时进行更改工作时,能够进行适当协调;5、通过对系统日志的审阅,监督系统维护人员在系统中的操作,确认维护工作的授权;6、在进行自有系统的程序变更时,应防止源代码在完成测试到正式上线之间的非授权修改。系统变更过程中,采取各种措施保证生产系统应用程序访问权限受到良好控制。这些措施包括:1、通过生产环境的访问控制,限制对生产环境的访问;2、通过物理隔离的手段,限制对生产环境的访问;3、通过逻辑隔离的手段,限制对生产环境的访问;4、对授权访问生产环境的人员进行详细记录,使用该记录对生产环境访问权限的检查,确保只有经授权人员才能访问生产环境;5、普通用户只能通过前台登录系统,不能通过后台(如使用生产环境操作系统的命令行)进行操作;6、信息技术人员不应该拥有前台应用程序的业务操作访问权限,更不应该在前台应用程序中担任实际的业务操作任务;7、从技术角度限制开发人员对生产环境中应用程序文件夹的访问权限,只有经过授权的人员对程序拥有读、写和执行的权限;8、禁止信息技术人员共享操作系统级别的账号。附录1、系统变更申请表系统名称:申请人:申请时间:变更原因:变更内容:物理安全变更□网络安全变更□主机安全变更□应用安全变更□数据安全变更□变更描述:变更影响:系统主管部门审批意见:审批人签名:信息安全管理部门审批意见:审批人签名:信息安全领导机构审批意见:审批人签名:备注:注:可加附页2、变更过程记录系统名称:变更执行时间开始:结束:变更结果成功□失败□(是否完成回退操作是□否□)变更执行机构及人员:变更相关资料系统变更申请□风险管理威胁控制计划□变更操作指南□系统回退方案□变更实施过程描述:变更操作资产管理资产名称类型责任人变更处理变更结果确认验收人员:备注:
全文预览
