PAGE\*Arabic1/NUMPAGES\*Arabic2
现成软件管理规定
目的
规范现成软件使用的要求,明确现成软件使用的管理流程,确保现成软件的风险管理、验证与确认、缺陷管理、可追溯性分析、软件更新、配置管理、文件与记录控制、网络安全保证等活动要求得到满足。
适用范围
适用于公司所有的现成软件的使用。
职责
研发部:负责该文件的实施。
质量部:负责该文件实施的监督。
定义
现成软件:生产企业未进行完整生存周期控制的软件,包括遗留软件、成品软件、外包软件。
遗留软件:生产企业以前开发但现在不能得到足够开发记录的软件。
成品软件:已开发且通常可得到的,但生产企业未进行完整生存周期控制的软件。
外包软件:生产企业委托第三方开发的软件。
内容
5.1分类
现成软件的分类应按照《软件生存周期过程控制程序》中软件安全性级别的要求进行分类。
5.2风险管理
现成软件的使用、更新维护、迭代升级、更换等过程会对产品质量造成影响的,则需要评估其带来的风险大小。按照《风险管理控制程序》的要求进行处理,根据风险的大小来确定是否采取控制措施,相关的评估、分析、处理记录保存于《现成软件使用维护记录》。
5.3验证与确认
现成软件首次使用前,如需要,则需要对现成软件进行验证或确认,保留相关的验证或确认记录于《现成软件使用维护记录》。
若在使用过程中,出现维护更显、迭代升级、更换、配置变更等现象,则需要对其活动实施后,进行相关的验证或确认,保留相关的验证或确认记录。
5.4缺陷管理与软件更新
现成软件使用过程,发现已经存在的缺陷或潜在的缺陷,需要对缺陷进行处理。
如果现成软件为成品软件、外包软件等相关软件,企业没有权限和能力去对缺陷进行修复,则需要记录该缺陷于《软件缺陷报告》中,组织相关的人员对缺陷内容进行评估,评价缺陷的发生的概率和严重程度。若缺陷问题较大,会带来严重的质量影响,则需要将该问题反馈给供应商,由供应商进行缺陷修复。若无法联系到供应商,则根据风险评价的大小,决定是否继续使用该软件,保留相关的评级和处理结果。
现成软件的更新按照上述要求实施。
5.5配置管理
在现成软件首次使用前,需要在《软件版本确认表》中,明确软件的配置说明;现成软件在使用的过程中,由于软件的更新维护,导致软件配置的变化,则在《现成软件维护使用记录》中,明确软件的更新维护变化和相关的配置变化,并根据配置变化的要求,提供相应的配置资源。
5.6网络安全保证
除满足《网络安全事件应急响应管理规程》外,还应采取以下措施以保证网络安全。
1) 定期对现成软件的使用的运行环境进行杀毒防护;
2) 严格控制对网络设备的管理授权,按照最小权限原则对用户进行授权;
3) 网络设备登录是的标识应适当屏蔽内部网络信息内容;
4) 对重的区域实施冷备份和热备份,避免双重失效造成的影响;
5) 根据实际情况及时检查和更新现有的防护墙的配置策略,满足新的安全需求;
6) 采取逻辑或物理隔离方法对网络采取必要的隔离措施,以维护不同网络间的信息的机密性,解决网络信息分区传输的安全问题。
5.7可追溯性
在按照《软件可追溯性分析控制程序》的进行可追溯性分析时,应包括现成软件的内容。
5.8其他要求
遗留软件还应当确定现有文件、上市后使用情况、用户投诉、不良事件、召回情况等评估活动要求。使用开源软件应当遵循相应开源许可协议。
相关文件
无
相关记录
《现成软件使用维护记录》