【文章內(nèi)容簡介】 理的工作職責和內(nèi)容2. 重點關注（職位差異）能力項成就導向、主動性、發(fā)展他人、溝通能力、領導能力3. 培養(yǎng)途徑附錄附錄A縮略語軟件：由與數(shù)據(jù)處理有關的計算機程序、規(guī)程以及相關的文檔和數(shù)據(jù)組成的智力創(chuàng)作。產(chǎn)品項目：公司根據(jù)市場的調(diào)研、預測等結果而自行開發(fā)的軟件項目。合同項目：指根據(jù)合同需求進行開發(fā)的軟件項目。解決方案：將軟、硬件產(chǎn)品和研發(fā)能力進行結合，準確把握客戶需求，為客戶提供個性化的服務。二次開發(fā)：指在公司已有產(chǎn)品的基礎上根據(jù)用戶的實際需要定制開發(fā)及時快速輔助于業(yè)務的查詢、各種實際業(yè)務應用的報表、輔助業(yè)務的應用和其他系統(tǒng)集成的應用等程序的過程。工作產(chǎn)品：在項目進行的里程碑或其他階段點提交的技術或管理活動的產(chǎn)物。軟件生命周期：從軟件的設計開始到軟件不能再使用時為止的時間周期，包括需求分析階段、設計階段、實現(xiàn)階段（編碼階段）、測試階段、安裝與驗收階段、運行和維護階段等。客戶：公司提供的軟件、系統(tǒng)集成以及技術服務的接受者，有時也稱用戶。合同：專指公司與客戶簽定的約束雙方的合法協(xié)議。系統(tǒng)特性：指項目開發(fā)的軟件可為用戶提供的主要服務。系統(tǒng)特性通常在需求分析階段識別并確認，一個系統(tǒng)特性通常由與其相關的多個功能需求組成。設計：為使一軟件系統(tǒng)滿足規(guī)定的需求而確定軟件體系結構、組成成分、模塊、接口、測試途徑和數(shù)據(jù)的過程。實現(xiàn)：指把設計翻譯為代碼，然后對代碼排除隱含錯誤的過程，是設計的具體體現(xiàn)，有時也稱編碼。釋放：指在軟件生存周期的各個階段結束時，由該階段向下階段提交該階段的階段產(chǎn)品的過程。也指將系統(tǒng)測試結束后所獲得的最終產(chǎn)品向客戶提交的過程。維護：指在軟件交付之后對其進行修改，以糾正錯誤、改進性能和其它屬性，或使產(chǎn)品適應改變了的環(huán)境。項目管理：應用項目所擁有的各種資源對項目的成本、人員、進度、質(zhì)量、風險等進行分析和管理，使項目能夠按照預定的成本、進度、質(zhì)量順利完成的活動。配置項：項目開發(fā)或系統(tǒng)集成實施過程中所需要的或產(chǎn)生的軟件、硬件、工具、釋放產(chǎn)品、文檔，包括基準配置項與非基準配置項。基準配置項：通過正式評審成為下一步開發(fā)或實施基礎的配置項，只有通過規(guī)范要求的變更控制程序才能被更改。公司：特指東軟集團股份有限公司。開發(fā)部門：泛指公司內(nèi)部從事軟件開發(fā)的部門，可以是軟件事業(yè)部、軟件開發(fā)部，也可以是一個項目組。設計人員：在開發(fā)部門中，從事軟件設計的人員。在一定階段設計人員又是開發(fā)人員。開發(fā)人員：在開發(fā)部門中，從事實現(xiàn)軟件系統(tǒng)的人員。測試人員：在開發(fā)部門或產(chǎn)品質(zhì)量控制部門中，從事軟件的測試工作的人員。驗證(verification)：與工作產(chǎn)品開發(fā)活動同時執(zhí)行的，對系統(tǒng)或單元評價的過程，以確定一個給定的工作產(chǎn)品是否滿足在此階段開始時所給定的條件；驗證一般要回答的問題是我們正在構造的產(chǎn)品正確嗎？確認(validation)：在工作產(chǎn)品開發(fā)過程期間或結束時，評價系統(tǒng)或單元的過程，以確定工作產(chǎn)品是否滿足特定的需求；確認一般要回答的問題是我們已經(jīng)構造的產(chǎn)品正確嗎？ 軟件復用：為避免在應用系統(tǒng)開發(fā)中重復勞動、采用一切從零開始的模式，而在已有的工作為基礎上，充分利用過去應用系統(tǒng)開發(fā)中積累的知識和經(jīng)驗所使用的一系列方法。它有助于將開發(fā)的重點集中于應用的特有構成成分上。資產(chǎn)：指公司所有的或經(jīng)授權使用的有形資產(chǎn)和無形資產(chǎn)的總稱。有形資產(chǎn)：指公司所有的或經(jīng)授權使用的具有實體形態(tài)的資產(chǎn)，包括設施、配套產(chǎn)品等。無形資產(chǎn)：指公司所有的或經(jīng)授權使用的不具實體形態(tài)而具有價值的知識產(chǎn)權和其他資產(chǎn)，如產(chǎn)品品牌、注冊商標、專有技術、資格資質(zhì)等。Ramp。D（Research and development）：研究與開發(fā)。SMG（Senior Manager Group ）：高級管理者，各體系決策層。PM（Project Manager）：項目經(jīng)理。PSM（Project Software Manager）：項目軟件經(jīng)理。CML（Configuration Management Leader）：配置管理負責人。SQAL（Software Quality Assurance Leader）：軟件質(zhì)量保證負責人。TL（Test Leader）：測試負責人。SIL（Software Implement Leader）：軟件實施負責人。HIL（Hardware Implement Leader）：硬件集成實施負責人。SOW（State of work ）： 工作陳述。信息安全：信息安全保護信息不受各種威脅，以確保業(yè)務營運持續(xù)，將企業(yè)損失降低至最低，將投資收益與企業(yè)機會最大化。信息安全方針：在組織或信息系統(tǒng)范圍內(nèi)，用來指導資產(chǎn)，包括敏感信息的管理、保護及分派的規(guī)則，標準及慣例。資產(chǎn)：任何對組織有價值的事物。風險：特定的威脅利用某個或某些資產(chǎn)的弱點繼而對組織造成損害的潛在可能性。威脅：一種可能使系統(tǒng)或組織受到損害的事故的潛在的原因。弱點/漏洞：可以被一個或多個威脅利用的某個或某些資產(chǎn)的缺陷。風險評估：風險識別、風險分析以及風險評價的綜合過程。風險識別：以業(yè)務目標、威脅和弱點等因素為基礎確認風險的過程，是進一步風險分析的基礎。風險管理：識別、控制、避免和最小化可能影響信息系統(tǒng)服務資源事件的整個過程。第3部分 項目信息安全作業(yè)規(guī)程文件編號：PMO200901 生效日期：200993 受控編號： 密級：秘密 版次： 修改狀態(tài)： 編制：吳鋼 審核：韓冬梅 批準：盧朝霞 總則為全面落實公司信息安全管理方針和策略，建立信息安全生產(chǎn)長效管理機制，預防和減少軟件生產(chǎn)安全事件，保障公司及客戶資產(chǎn)安全，依據(jù)《東軟信息安全管理辦法》、《ISMS信息安全管理體系文件》等公司管理制度，制定本安全作業(yè)規(guī)程。凡參與公司合同項目的全體人員（包括本部門正式員工、公司內(nèi)部借用員工、實習人員、第三方協(xié)力或勞務人員等）須遵守本規(guī)程要求。公司：如果無特殊說明，本規(guī)范中的公司特指東軟集團股份有限公司。人員（員工）：包括項目中的公司正式員工、外包人員、合同方、第三方用戶 等與項目活動有關聯(lián)的各種人員。ISMS：信息安全管理體系的英文縮寫。 信息安全組織建設各部門須建立多層次、職責明確的信息安全組織；從組織上須覆蓋部門所有在行項目，項目信息安全負責人職責須明確。組織機構建設和角色職責劃分的具體要求請參照《ISMSNEUR0310信息安全組織建設規(guī)范》執(zhí)行。 信息安全作業(yè)規(guī)程人員進入項目組時，須組織與新進人員崗位相關的安全培訓，并根據(jù)項目需要安排簽訂項目保密協(xié)議。人員離開項目組時，項目相關設備、信息資產(chǎn)和系統(tǒng)訪問權限須及時收回。項目信息安全負責人應指定人員依據(jù)外包協(xié)議中的安全標準對項目的外包活動實施監(jiān)控和管理，外包人員須遵守組織、客戶、項目的各項規(guī)定和要求。員工出入公司工作區(qū)域須出示員工卡，陪同或帶領來訪人員須遵守登記制度。員工使用的個人桌面須安裝系統(tǒng)防病毒軟件，應用軟件的安裝須符合部門軟件清單的要求，不得傳播、安裝和使用非法渠道獲得的軟件；操作系統(tǒng)的配置包括帳號與密碼、系統(tǒng)自動更新、安全審計、時間同步等配置須符合桌面系統(tǒng) 安全管理規(guī)范的要求。員工在公司辦公區(qū)域接入網(wǎng)絡須使用部門指定IP地址，訪問外網(wǎng)須通過公司代理服務器，不得使用公司郵箱收發(fā)與工作無關的郵件；嚴禁在互聯(lián)網(wǎng)發(fā)布與項目相關的工作成果及信息。開發(fā)環(huán)境的服務器須指定專人負責管理，項目服務器須安置在指定區(qū)域，設備配件進行拆卸時須部門信息安全專員陪同。部門內(nèi)部的開發(fā)工具包括需求管理工具、配置管理系統(tǒng)、BugBase、日報等 系統(tǒng)，須定期核對系統(tǒng)權限設置、檢查運行環(huán)境漏洞和系統(tǒng)漏洞，并定期進行 數(shù)據(jù)備份（必要時進行異地備份）。部門公用的可移動的有形資產(chǎn)（如筆記本、移動硬盤、U盤等）須進行有效標識、存放在安全控制區(qū)域并專人專管；設備在維護、變更和報廢前，必須進行安全處理。項目信息安全負責人應在進場前，與客戶確認客戶對現(xiàn)場物理環(huán)境、設備使用、網(wǎng)絡訪問的要求，并對出差人員明確現(xiàn)場信息安全管理要求。如需對客戶現(xiàn)場的開發(fā)設備物理位置和配置、網(wǎng)絡訪問行為進行變更，項目負責人應與客戶確認后方可實施。與第三方合作開發(fā)時，須在獨立的辦公區(qū)域內(nèi)工作，嚴禁在合作開發(fā)設備上保留源碼、設計文檔等工作成果物。項目信息安全負責人應對本項目中的信息資產(chǎn)進行識別，形成項目有形資產(chǎn)清單和客戶有形資產(chǎn)清單；客戶資產(chǎn)接收須登記，歸還應得到客戶書面簽收?？蛻艉炞执_認的文檔資料須妥善保管、及時歸檔。項目開發(fā)和實施過程中的成果物須嚴格按照配置管理要求，完整、及時提交到配置庫。開發(fā)實施過程中使用的客戶數(shù)據(jù)，使用時須明確并嚴格控制訪問權限和使用范圍，使用后須及時刪除。向客戶提交項目資料和成果物須嚴格按照合同約定的范圍，超出合同約定范圍的項目資產(chǎn)嚴禁私自提供；項目資產(chǎn)提供給客戶須得到客戶書面簽收確認。出差攜帶項目資產(chǎn)，須加強防范，以防丟失。開發(fā)或實施團隊與客戶溝通須制定溝通計劃，統(tǒng)一溝通接口人；項目信息發(fā)布前須按項目實際情況經(jīng)過不同級別的審批過程。項目信息發(fā)布須嚴格按照溝通計劃限定發(fā)布對象；發(fā)送重要的傳真、郵件或快遞，須電話確認接收人是否已經(jīng)收取。與客戶溝通后已達成共識的結果應形成書面記錄，并得到客戶簽字確認。進行項目策劃活動時，須識別項目資產(chǎn)、定義資產(chǎn)安全級別，并對信息安全級別較高的資產(chǎn)制定管理計劃；使用加密技術的系統(tǒng)須建立密鑰管理制度。進行項目需求分析活動時，須充分考慮系統(tǒng)的業(yè)務特點，識別系統(tǒng)的安全需求。關于安全需求的識別可參見《東軟安全技術架構(STA)》。系統(tǒng)設計活動時，須評估所有第三方軟件的許可；對于處理敏感信息的系統(tǒng)，應考慮密碼策略；對系統(tǒng)進行的重要操作須考慮保留審計記錄。進行編碼時，應確保系統(tǒng)對關鍵輸入、數(shù)據(jù)處理和輸出數(shù)據(jù)進行了驗證。異常處理或記錄日志時，須防范泄露敏感數(shù)據(jù)。嚴禁在系統(tǒng)中留有后門或編制非法腳本。開發(fā)過程中使用的測試數(shù)據(jù)，應盡量避免使用實際的業(yè)務數(shù)據(jù)。對于必須使用實際業(yè)務數(shù)據(jù)的情況，應明確對測試數(shù)據(jù)的訪問權限和管理要求，測試結束后應及時刪除測試數(shù)據(jù)。進入客戶機房，須遵守機房相關管理規(guī)定，并嚴格按照獲得批準的實施維護內(nèi)容進行操作，嚴禁進行超出批準范圍的實施維護活動。硬件設備安裝和配置須按照系統(tǒng)實施方案進行，網(wǎng)絡設備配置嚴禁私自留有遠程登錄端口和帳號。系統(tǒng)和應用軟件安裝和配置須嚴格按照部署手冊操作；系統(tǒng)帳號和密碼應建立清單，嚴禁私自建立系統(tǒng)賬戶。嚴禁安裝合同要求外或未經(jīng)授權的第三方軟件。客戶現(xiàn)場進行數(shù)據(jù)初始化或數(shù)據(jù)移植操作時，嚴禁泄露客戶數(shù)據(jù)。系統(tǒng)上線前，應制定和驗證系統(tǒng)切換方案并做好應急處理方案；系統(tǒng)上線后須進行業(yè)務測試。對正式運行系統(tǒng)進行設備開關機、服務重啟、外設拔插等操作須得到客戶許可，必要時須在客戶陪同下進行。對客戶進行培訓時，培訓資料中不應包含敏感的業(yè)務數(shù)據(jù)或其它客戶的信息 。通過遠程方式接入客戶環(huán)境，須提前向客戶申請，嚴禁泄露遠程登錄方式。對正式系統(tǒng)的維護操作（包括巡檢、升級、數(shù)據(jù)備份等）須準備操作手冊和回退方案，并經(jīng)過客戶審核和確認。進行維護活動時，須嚴格區(qū)分正式環(huán)境和測試環(huán)境，防止在正式環(huán)境上的誤操作。未經(jīng)客戶書面確認，嚴禁直接從后臺修改數(shù)據(jù)庫數(shù)據(jù)。非工作原因嚴禁查看、保留客戶數(shù)據(jù)，嚴禁將客戶數(shù)據(jù)提供給第三方或私自利用、篡改客戶數(shù)據(jù)牟利。嚴禁私自處理未經(jīng)客戶書面委托的業(yè)務。參照公司信息安全管理體系文件《ISMSNEUR0910信息安全事件管理規(guī)范》的要求上報和處理。 罰則違反相關規(guī)定造成危害的，按《東軟信息安全管理辦法》相關獎懲規(guī)定予以處理。 附錄各業(yè)務部門可根據(jù)自身業(yè)務特點，在本規(guī)程的基礎上，制定本部門的信息安全作業(yè)指導書，同時報公司經(jīng)營業(yè)務管理事業(yè)部備案。經(jīng)營業(yè)務管理事業(yè)部PMO負責對本作業(yè)規(guī)程進行解釋。 生效日期本指導書自2009年9月3日起生效。 參考文件《》，2009/06/01《東軟信息安全管理體系ISMS2008》《》，PMO200802《》，PMO200803第4部分 PMO工作介紹經(jīng)營業(yè)務管理部PMO PMO體系簡介定義：PMO是Project Management Office的縮寫，中文意思是“項目管理辦公室”。愿景：成為公司健康持續(xù)發(fā)展中最具有核心競爭力的重要組成部分。使命：致力于改進項目管理實踐并最大程度達到組織目標。TIPS：目前PMO在公司是一個虛擬組織，其類型為職能性PMO。PMO的目標東軟PMO的目標216。 提供公司整體軟件生產(chǎn)和實施能力，有效利用資源，提高項目人均工作效率，降低運營成本。216。 在組織層面保證公司項目按照規(guī)定的時間、成本、質(zhì)量完成。216。 提供充足的回款來源，保證公司回款指標的達成。216。 提升客戶滿意度。通過一個組織鞏固所有的項目控制。PMO體系體：組織架構 組織架構設置、職責劃分人員設置 人員設置、人員培養(yǎng)系：制度規(guī)范 制度規(guī)范文件的編制、發(fā)布、修訂IT支撐系