文档密级:普通
文件编号:slsw_kf_001
新利软件有限公司软件开发管理规范
(讨论稿)
编写: 新利软件技术部
审批: 新利软件质量管理部
发布日期: 2001年6月15日
目录
1.0 实施ISO9000的目的 (3)
2.0 组织结构与角色定义 (3)
2.1组织结构图 (3)
2.2角色定义 (4)
3.0 流程描述 (6)
3.1新项目或老产品新版本业务流程 (6)
3.1.1 项目开发阶段性工作汇总表 (7)
3.1.2 人员角色工作概览 (10)
3.2 定制开发项目业务流程图及其说明 (11)
3.3 外包流程 (12)
3.4维护流程 (12)
3.4.1客户服务中心组织结构图 (12)
3.4.2维护流程图 (13)
3.5变更处理 (14)
1.0 实施ISO9000的目的
有效管理新利公司的产品研究发展过程,实现过程的可视性,改进新利公司有效开发软件的能力,使新利公司成为一个具有全组织范围的管理软件开发和维护过程能力的、成熟的软件开发组织。具体如下:
清楚地定义技术开发的各个过程;
清楚地定义技术开发过程中各岗位及其职责;
使产品开发过程的进度、预算得到有效控制,软件产品的成本、进度、功能等达
到预期结果;
使软件产品的质量和顾客的满意程度得到有效监控,在判断产品质量和分析产品
及过程问题方面有客观的、定量的基础;
使公司的所有研究开发过程遵循一个有纪律的过程
2.0 组织结构与角色定义
2.1组织结构图
项目指导委员会
项目执行委员会
产品管理Product Mgt
程序管理
Program Mgt
项目组
测试管理
Testing Mgt
发布管理
Release Mgt
产品经理程序经理测试经理发布经理
系统分析员开发工程师测试工程师文档人员
配置管理员
发布人员
项目指导委员会
由各支持部门能独立做最终决策的人员组成。有关项目的重大问题在本委员会内48小时内必须做出最终决定,而不能再上升至公司最高领导处。当由于事件复杂等原因引起委员会内部争执时,必须在同一48小时内邀请到公司高层决策人员进行裁决。
项目执行委员会
由项目经理及项目组骨干人员、相关支持部门指定的支持人员等组成。该委员会的主要职责为项目组的日常工作提供指导和支持,解决项目组级别问题。在解决项目级问题时,该委员会在24小时内必须提出或解决或上报的事件处理方案。
产品管理
客户利益的倡导者、掌握产品的愿景/范围、管理客户的需求定义、维护业务规则、设置客户的期望值、把握功能与时间进度之间的权衡并决策、营销策略、管理行销宣传和公共关系。
程序管理
控制整个项目的开发过程、管理产品的功能规范、推动组内的交流和沟通、维护项目的时间表和报告项目状态、把握全部重要的权衡与决策。详细说明并规范物理设计的功能、估计完成各项功能时间、开发实现这些功能。
测试管理
确保所有的问题可知。测试必须应用于项目的全过程。
发布管理
在线帮助、操作手册、培训手册的编写;协作项目组进行安装程序的制作;配置管理;工程实施培训;版本控制等发布准备工作。
2.2角色定义
1、Product Manager:(产品经理)
——归属市场部;
——对产品的整个生命周期负责;
——主要工作:市场调研、分析,产品策划,立项申请,参与、监控项目开发过程各项活动(含评审、向项目指导委员会汇报进度等),营销、公关策划等
系统开发安全管理办法
文档说明(一)变更信息 (二)文档审核人
目录 第一章目的 (4) 第二章适用范围 (4) 第三章术语、定义、缩略语 (4) 第四章组织与职责 (4) 第五章安全需求 (5) 第六章安全设计 (5) 第七章安全编码 (5) 第八章安全测试 (6) 第九章安全上线 (6) 第十章开发外包 (7) 第十一章附则 (7)
第一章目的 第一条为规范本单位的应用系统开发过程,提升交付系统的安全性,有效降低安全风险,特制定本管理办法。 第二条系统开发安全管理是指在系统开发阶段,建立若干安全的开发流程,对其进行有效管理,将符合安全需求的安全机制与措施在应用系统中实现,提高交付系统的安全性,减少后续安全更正和维护所产生的成本。 第二章适用范围 第三条本管理办法中应用系统开发安全管理涉及的过程包括:安全需求分析、安全设计、安全编码、安全测试、安全上线、以及应用系统开发外包的安全管理。 第四条本管理办法适用于应用系统开发类项目,以及与项目相关的项目管理人员、项目实施人员。 第三章术语、定义、缩略语 第五条安全需求是指为保障应用系统安全,满足应用系统合规性需求和敏感信息保护需求,而针对应用系统提出的一系列安全要求。 第四章组织与职责 第六条应用系统开发安全管理的统一归口管理部门是技术部,职责包括:
(一)总体负责应用系统开发类项目开发安全管理; (二)组织制定安全开发相关规章制度、流程、实施细则; (三)执行安全需求分析、安全设计、安全编码、安全测试、安全上线的实施工作; (四)参与开发人员安全技能培训。 第五章安全需求 第七条应用系统需求分析阶段必须进行安全需求分析。 第八条安全需求分析应该明确应用系统的业务安全需求,合规性需求以及敏感信息保护需求。 第九条安全需求确定后,应该进行安全需求评审,得到安全需求相关各方的认可。 第六章安全设计 第十条应用系统设计阶段必须进行安全设计。 第十一条安全设计应该明确系统安全逻辑架构,数据安全架构和部署环境安全架构。 第十二条安全设计应该满足系统的安全需求,能够直接指导系统安全功能的编码工作。 第十三条安全设计确定后,应该进行安全设计评审。 第七章安全编码 第十四条应用系统编码前,应该制定安全编码规范,明确代码编写的原则和要求,同时应对开发人员进行安全编码培训。
231 GB 8567-88软件开发主要文档编写规范 本附录中列出了《计算机软件产品开发文件编制指南》GB 8567-88中主要软件文档的编写说明,供编写时参考。这些文档主要是:可行性研究报告、项目开发计划、软件需求说明书、概要设计说明书、详细设计说明书、模块开发卷宗、测试计划、测试分析报告、项目开发总结报告。 一、可行性研究报告 l 引言 1.1 编写目的 说明:说明本可行性研究报告的编写目的,指出预期的读者。 1.2 背景 说明: a .所建议开发的软件系统的名称。 b .本项目的任务提出者、开发者、用户及实现该软件的计算中心或计算机网络。 c .该软件系统同其他系统或其他机构的基本的相互来往关系。 1.3 定义 列出本文件中用到的专门术语的定义和外文首字母组词的原词组。 1.4 参考资料 列出用得着的参考资料,如: a .本项目的经核准的计划任务书或合同、上级机关的批文。 b .属干本项目的其他已发表的文件。 c. 本文件中各处引用的文件、资料,包括所需用到的软件开发标准。 列出这些文件资料的标题、文件编号、发表日期和出版单位,说明能够得到这些文件资料的来源。 2 可行性研究的前提 说明对建议开发项目进行可行性研究的前提,如要求、目标、条件、假定和限制等。 2.1 要求 说明对所建议开发软件的基本要求,如: a .功能。 b .性能。 c .输出如报告、文件或数据,对每项输出要说明其特征,如用途、产生频度、接口以及分发对象。 d. 输入说明。系统的输入包括数据的来源、类型、数量、数据的组织以及提供的频度。 e .处理流程和数据流程。用图表的方式表示出最基本的数据流程和处理流程,并输之以叙述。 f. 在安全与保密方面的要求。 g. 同本系统相连接的其他系统。 h. 完成期限。 2.2 目标 说明所建议系统的主要开发目标,如: a. 人力与设备费用的减少。 b. 处理速度的提高。 c. 控制精度或生产能力的提高。
软件开发管理制度 版本:V1.0 2013年1月
第一节总则 第一条为规自有软件研发以及外包软件的管理工作,特制定本制度。本制度适用于公司总公司软件研发与管理,分公司参照执行。 第二条本制度中软件开发指新系统开发和现有系统重大改造。 第三条本制度中自行开发是指主要依赖公司自身的管理、业务和技术力量进行系统设计、软件开发、集成和相关的技术支持工作,一般仅向外购置有关的硬件 设备和支撑软件平台;合作开发是公司与专业IT公司(合作商)共同协作完 成IT应用的项目实施和技术支持工作,一般形式是公司负责提供业务框架, 合作商提供技术框架,双组成开发团队进行项目实施,IT系统的日常支持由 IT技术中心和合作商共同承担,IT技术中心负责部(一级)支持,合作商负 责外部(二级)支持;外包开发是指将IT应用项目的设计、开发、集成、培 训等任务承包给某家专业公司(可以是专业的IT公司或咨询公司等),由该 公司(承包商)负责应用项目的实施。 第四条软件开发遵循项目管理和软件工程的基本原则。项目管理涉及立项管理、项目计划和监控、配置管理、合作开发管理和结项管理。软件工程涉及需求管 理、系统设计、系统实现、系统测试、用户接受测试、试运行、系统验收、 系统上线和数据迁移。 第五条除特别指定,本制度中项目组包括业务组(或需求提出组)、IT组(可能包括网络管理员和合作开发商)。 第二节立项管理 第六条提出开发需求的信息技术部门参与公司层面立项,进行立项的技术可行性分析,编写《立项分析报告》(附件一),开展前期筹备工作。《立项分析报 告》应明确项目的围和边界。 第七条应用系统主要使用部门将《立项分析报告》上交公司总裁室进行立项审批,以保证系统项目与公司整体策略相一致。 第八条《立项分析报告》得到批准后,成立项目组(如果是外包开发,则成立外包商项目组;如果是合作开发,则与外包商共同成立合作开发项目组,以下统 称“项目组”),项目组应包括业务组(由公司相关业务部门组成)和IT组 (自行开发为办公室网络管理员;外包开发为外包商成员;合作开发为网络
附2: 软件文档编写向导 文档分类 项目包括如下几类文档: 项目管理文档。包括:《软件项目计划》、《项目进度报告》、《项目开发总结报告》 软件开发文档。包括:《需求规格说明》、《概要设计说明》、《详细设计说明》、《测试计划》、《软件测试分析报告》。 产品文档。包括:《用户操作手册》《演示文件》。 软件项目计划 (Software Project Plan) 一?引言 1?编写目的(阐明编写软件计划的目的,指出读者对象。) 2?项目背景(可包括:(1 )项目委托单位、开发单位和主管部门;(2)该软件系统与 其他系统的关系。) 3?定义(列出本文档中用到的专门术语的定义和缩略词的原文。) 4?参考资料(可包括:文档所引用的资料、规范等;列出资料的作者、标题、编号、发 表日期、出版单位或资料来源。) 二?项目概述 1.工作内容(简要说明项目的各项主要工作,介绍所开发软件的功能性能等?若不编写可行性研究报告,则应在本节给出较详细的介绍。) 2.条件与限制(阐明为完成项目应具备的条件开发单位已具备的条件以及尚需创造的 条件?必要时还应说明用户及分合同承包者承担的工作完成期限及其它条件与限制。) 3.产品 (1)程序(列出应交付的程序名称使用的语言及存储形式。) (2)文档(列出应交付的文档。) (3 )运行环境(应包括硬件环境软件环境。) 4?服务(阐明开发单位可向用户提供的服务?如人员培训安装保修维护和其他运行支持。 5.验收标准
三.实施计划 1.任务分解(任务的划分及各项任务的负责人。) 2?进度(按阶段完成的项目,用图表说明开始时间完成时间。) 3?预算 4?关键问题(说明可能影响项目的关键问题,如设备条件技术难点或其他风险因素,并说明对策。) 四.人员组织及分工 五.交付期限 六.专题计划要点(如测试计划等。) 项目开发进度报告 一.报告时间及所处的开发阶段 二.给出进度 1.本周的主要活动 2.实际进展与计划比较 三.所用工时(按不同层次人员分别计时。) 四.所有机时 五.工作遇到的问题及采取的对策 六.本周完成的成果 七.下周的工作计划 八.特殊问题 项目开发总结报告 一.引言 1.编写目的(阐明编写总结报告的目的,指明读者对象。) 2.项目背景(说明项目的来源、委托单位、开发单位及主管部门。) 3.定义(列出报告中用到的专门术语定义和缩写词的原意。) 4.参考资料(列出这些资料的作者、标题、编号、发表日期、出版单位或资料来源,可包括: (1 )项目开发计划;(2 )需求规格说明书;(3 )概要设计说明书;(4 )详细设计说明
一、引言 1.1目的 随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重要指标。 计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。两者虽有很大不同,但又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是一个综合性的系统工程。 本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。 1.2范围 本规范是一份指导性文件,适用于国家各部门的计算机系统。 在弓I用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采用。 二、安全组织与管理 2.1安全机构 2.1.1单位最高领导必须主管计算机安全工作。 2.1.2建立安全组织: 2.1.2.1安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。 2.1.2.2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。 2.1.2.3安全负责人负责安全组织的具体工作。 2.1.2.4安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。 2.1.3安全负责人制: 2.1.3.I确定安全负责人对本单位的计算机安全负全部责任。 2.1.3.2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。 2.1.3.3安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。2.1.3.4安全负责人负责制定安全培训计划。 2.1.3.5若终端分布在不同地点,则各地都应有地区安全负责人,可设专职,也可以兼任,并接受中心安全负责人的领导。 2.1.3.6各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。 2.1.4计算机系统的建设应与计算机安全工作同步进行。 2.2人事管理 2.2.1人员审查:必须根据计算机系统所定的密级确定审查标准。如:处理机要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。
软件开发过程管理规范文件管理序列号:[K8UY-K9IO69-O6M243-OL889-F88688]
0 引言 如果要提高软件开发人员的开发质量,必须有相应的考核制度,有了制度后才能推动开发人员想方设法改善自已的开发质量。目前研发对软件开发的过程缺乏细粒度的度量,所以不能依据有效的度量数据来考核开发人员的工作绩效,大部份只是凭考核人主观意志来考核,不能形成对被考核人有效的说服力。此绩效考核办法旨在结合实际情况合理客观地评价开发效率和质量。 1 目的 对软件开发的过程所产生的软件项的质量和过程进行定量的评价,用评价的结果指导软件的开发过程,不断地提高软件开发质量水平,并依据度量记录来考核软件开发人员的工作绩效。 2 软件项包括 1)技术文档:主要包括:可行性分析报告、需求分析报告、软件功能规格说明、开发计划、系统设计报告、测试文档、用户手册、总结报告等; 2)计算机程序。 3 度量数据的来源 1)项目计划; 2)评审报告; 3)测试报告; 4)问题报告; 5)软件维护记录; 4 质量度量
4.1 度量指标 主要根据各类软件项检查表的检查指标来确定,例如,软件需求规格说明书检查表(见附录1),有10个检查指标,则根据具体项目检查侧重点不同,可从中选择相应的检查指标作为度量指标。 4.2 质量等级 1)软件项的质量等级的确定根据度量综合指标进行。 2)度量综合指标计算公式为:Total = ∑QiMi。 3)其中i=1,2,...n代表指标数量; 4)Q代表度量的指标; 5)M代表度量的指标Q在整个指标体系中所占的权重系数,对不同的开发项目可能不同,此系数根据开发的不同着重点给出。 度量指标权重系数表: 序号指标权重 1 指标1 权数1 2 指标2 权数2 3 指标3 权数3 4 指标4 权数4 5 指标5 权数5 加权平均分 1.0 6)质量评价:一般地,根据度量综合指标值,有以下评分标准。 质量评价计分标准表 序号得分质量评价
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
武汉新英赛研发管理 第一节 软件研发岗位职责 一、软件研发部经理岗位职责 软件研发部经理在总经理或主管副总的领导下, 全面负责软件研发部的日常管理, 组织 开展软件研发与测试工作,完成企业研发目标和经营目标。其具体职责如表 二、高级研发工程师岗位职责 高级研发工程师参与建立研发工作标准与规范,协助部门经理组织完成软件研发工作, 管理软件研发项目,改良升级进行软件。其具体职责如表 8-1所示。 8-2所示。
表8-2 高级研发工程师岗位职责 三、软件研发工程师岗位职责 软件研发工程师协助高级工程师进行软件的设计与开发,收集整理相关行业信息与资料,为软件产品决策提供依据。其具体职责如表8-3所示。
四、软件测试工程师岗位职责 软件测试工程师主要负责软件测试工作, 根据软件产品规格和测试需求,编写测试方案、测试用例、测试脚本软件等。其具体职责如表8-4所示。 第二节软件研发管理制度 六、软件研发费用管理制度 第1章总则 第1条目的。 为了加强软件研发费用管理,规范资金的使用,减少公司不必要的损失,根据公司的实
际情况,特制定本制度。 第2 条研发费用管理原则。 1.计划统筹安排原则。 2.节约使用、讲求经济效益原则。 第3 条职责分工。 1.公司财务部负责研发费用的审批和报销,并随时监督费用的使用情况。 2.软件研发部负责研发费用的预算与使用控制。 第2 章研发费用的来源及使用范围 第4 条研发费用的来源。 1.公司对重点研发产品的专项拨款。 2.公司成本列支的研发费用。 3.从其他方面筹措来用于研发的费用。 第5 条研发费用的使用范围。 1.研发活动直接消耗的材料、燃料和动力费用。 2.研发人员的工资、奖金、社会保险费、住房公积金等人工费用以及外聘研发人员的劳务费用。 3.用于研发活动的仪器、设备、房屋等固定资产的折旧费或租赁费以及相关固定资产的运行维护、维修等费用。 4.用于研发活动的软件、专利权、非专利技术等无形资产的摊销费用。 5.用于中间试验和产品试制的模具、工艺装备开发及制造费,设备调整及检验费,样品、样机及一般测试手段的购置费,试制产品的检验费等。 用。用。6.研发成果的论证、评审、验收、评估以及知识产权的申请费、注册费、代理费等费7.通过外包、合作研发等方式,委托其他单位、个人或与之合作进行研发而支付的费8.与研发活动直接相关的其他费用,包括技术图书资料费、资料翻译费、会议费、差 旅费、办公费、外事费、研发人员培训费、专家咨询费、高新科技研发保险费用等。 第3章研发费用的使用管理 第6 条专款专用。
安全开发过程规范 一、SDL简介 SDL security development lifecycle(安全开发生命周期),是微软提出的从安全角度指导软件开发过程的管理模式。SDL是一个安全保证的过程,起重点是软件开发,它在开发的所有阶段都引入了安全和隐私的原则。自2004年起,SDL一直都是微软在全公司实施的强制性策略。 二、SDL步骤图 SDL中的方法,试图从安全漏洞产生的根源上解决问题,通过对软件工程的控制,保证产品的安全性。 美国国家标准与技术研究所(NIST)估计,如果是在项目发布后在执行漏洞修复计划,其修复成本相当于在设计阶段执行修复的30倍 三、SDL的步骤包括: 阶段1:培训 开发团队的所有成员都必须接受适当的安全培训,了解相关的安全知识,培训对象包括开发人员、测试人员、项目经理、产品经理等。 阶段2:安全要求 在项目确立之前,需要提前与项目经理或者产品owner进行沟通,确定安全的要求和需要做的事情。确认项目计划和里程碑,尽量避免因为安全问题而导致项目延期发布。 阶段3:质量门/bug栏 质量门和bug栏用于确定安全和隐私质量的最低可接受级别。 Bug栏是应用于整个开发项目的质量门,用于定义安全漏洞的严重性阈值。例如,应用程序在发布时不得包含具有“关键”或“重要”评级的已知漏洞。Bug栏一经设定,便绝不能放松。 阶段4:安全和隐私风险评估 安全风险评估(SRA)和隐私风险评估(PRA)是一个必需的过程,必须包括以下信息: 1、(安全)项目的哪些部分在发布前需要威胁模型? 2、(安全)项目的哪些部分在发布前需要进行安全设计评析? 3、(安全)项目的哪些部分需要并不食欲项目团队且双方认可的小组进行渗透测试? 4、(安全)是否存在安全顾问认为有必要增加的测试或分析要求已缓解安全风险? 5、(安全)模糊测试要求的具体范围是什么? 6、(安全)隐私影响评级如何? 阶段5:设计要求 在设计阶段应仔细考虑安全和隐私问题,在项目初期确定好安全需求,尽可能避免安全引起的需求变更。 阶段6:减小攻击面 减小攻击面与威胁建模紧密相关,不过它解决安全问题的角度稍有不同。减小攻击面通过减小攻击者利用潜在弱点或漏洞的机会来降低风险,减小攻击面包括:关闭或限制对系统服务的访问,应用“最小权限原则”,以及尽可能进行分层防御。 阶段7:威胁建模 为项目或产品面临的威胁建立模型,明确可能来自的攻击有哪些方面。
软件开发与维护管理规范 1 目的通过规范软件的开发与维护过程,达到提高软件质量,降低维护成本的目的。 2 范围适用于新产品的软件开发设计以及定型产品的改进升级。 3 职责与权限 研发中心负责: a)编制软件开发过程的实施、协调和控制工作; b)编制各阶段的技术文件; c)组织软件的测试、验收、升级和维护工作。 各部门参与软件开发过程中有关的设计评审。 4 内容 软件项目的开发实施过程管理要求 软件项目实施过程总体要求 本部分主要要求工程师制定软件开发工作计划,对过程进行控制,一般包括以下的内容。a) 工程师提交软件开发工作大纲,项目组织者对工作大纲进行评审,并提出整改意见。 b)通过评审后,工程师根据整改意见完善工作大纲,经过项目经理认可后组织项目组进行 软件开发。软件开发工作按照需求分析、概要设计、详细设计、编码、测试等几个阶段进行,在开发过程中,工程师需分阶段提交相关文档。 c)在软件开发工作完成后,工程师应向项目组提交完整的软件文档,相关人员组织验收组对软件进行验收审查。 软件项目实施变更要求在开发过程中,需求或设计不可避免地需要发生变更,相关变更必须提交《软件变更申请》经过项目组书面同意方可进行。在需求或设计发生变更时,需要对原有文档进行修改,并提供完整的变更记录,以使变更处于可控制的状态。 软件项目实施里程碑控制本部分主要对软件开发过程中的重要节点进行控制。项目组将分四个阶段进行把关,召开审查会。 a)需求分析(结合原型进行审查)确认;
b)概要设计+数据库设计; c)预验收(样机测试时); d)正式验收(产品定型后)。 软件开发 软件开发必须严格按照软件工程的要求进行。开发过程包括工程师的活动和任务。此过程由软件需求分析、概要设计、详细设计、编码、测试、验收、鉴定等活动组成。 软件的需求分析 需求分析 需求分析要求开发人员准确理解用户的需求,进行细致的调查分析,将用户非形式的需求陈述转化为完整的需求定义,再由需求定义转化到相应的形式功能规约《软件需求规格说明书》的过程。 在《软件需求规格说明书》必须描述的基本问题是:功能、性能、强加于实现的设计限制、属性、外部接口。 需求报告评审在软件需求分析工作完成后,软件工程师应向项目组提交《软件需求规格说明书》。项目组组织有关人员(系统客户和系统开发人员等)对需求进行评审,以决定软件需求是否完善和恰当。项目组严格验证这些需求的正确性,一般从一致性,完整性,现实性,有效性四个方面进行验证。评审完成后,就可以进入软件的设计阶段。 软件的概要设计 概要设计 概要设计也称为系统设计,需要确定软件的总体结构,应该由哪些模块组成,以及模块与模块之间的接口关系,软件系统主要的数据结构和出错处理设计等,同时还要制定测试方案,形成概要设计说明书,为软件的详细设计提供基础。在概要设计时一般从以下几方面来考虑,遵循以下的流程。 概要设计和需求分析、详细设计之间的关系和区别需求分析不涉及具体的技术实现,而概要设计注重于从宏观上和框架上来描述采用何种技术手段、方法来实现这些需求。详细设计相对概要设计更注重于微观上和框架内的设计,是编码的依据。概要设计是指导详细设计的依据。 概要设计的评审 在软件概要设计工作完成后,软件工程师应向项目组提交《软件概要设计》。评审通过后,即可进入详细设
软件开发管理制度 软件开发管理是指根据公司统一的信息系统规划和业务需求,对信息系统的开发进行管理。具体包括组织、规划、需求、分析、设计、编程、测试和投产等环节。 本制度适用于公司公司软件开发项目。 1.1 项目立项 信息系统研发前公司成立项目工作小组,重大项目成立项目领导小组,并指定负责人。 项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作。 项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息系统研发质量和进度。 业务部门根据本机构业务发展战略,在充分进行市场调查、产品效益分析的基础上制定信息系统研发项目可行性报告。 1.2. 系统开发 公司业务部门编写项目需求说明书,提出业务需求和系统需求。 信息技术部和业务部门领导组织人员对项目需求进行评审,意见统一后形成定稿后的“项目需求分析报告”和“项目风险报告”,加盖相关部门签章归档。 公司信息技术部根据项目需求编制项目功能说明书。 公司信息技术部依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求。评审通过后加盖部门签章归档。 公司业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练。 在编码阶段,软件开发人员应有良好的编写习惯,做好代码注释和说明,并做好单元测试工作。 1.3. 测试 公司应建立独立的测试环境,以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。 公司信息技术部应根据测试结果修补系统的功能和缺陷,提高系统的整体质量。 由业务部门组织人员完成软件的最终测试,并保留软件测试记录,撰写“项目测试报告”并确认签章,原则上要求项目测试人员和项目需求人员是同一批人员。 项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投产使用。 项目小组编写“软件上线计划”,按计划安全稳妥的实现软件产品的上线实施,对核心业务系统的软件上线由版本控制员实施,没有业务部门提交的“项目测试报告”及“上线确认书”的软件项目不允许上线运行。
软件开发规范 Software Development Specification Version: V1.0 Date: 2010-06-22 Prepared by
Document Revision History文档修订记录
Table of Contents目录 1Introduction 简介5 1.1Purpose 目标5 1.2Scope 范围6 1.3Definitions, Acronyms, and Abbreviations. 术语,缩略词6 1.4References 引用7 1.5Overview 文档组织7 2The Overall Description 概述8 2.1Software Development Organizing 开发团队组织结构8 2.2Project Base Process 项目基本流程9 2.3CMM Base Process CMM基本过程10 2.3.1SCM软件配置管理10 2.3.2SPP 计划策划12 2.3.3SPTO项目追踪16 2.3.4PR同行评审18 2.3.5SQA质量保证19 2.4SDLC 生命周期选择20 2.5Development Process 开发过程21 2.5.1Development Phase 开发阶段21 2.5.2Phase Product 阶段制品22 2.6Role Duty 角色职责23 2.7Constraints 限制24 3Specific Requirements 详细描述25 3.1Precondition 前提25 3.1.1SCM配置库25 3.1.2Test Environment 测试环境26 3.2Development Control Process 开发控制流程26 3.2.1项目启动和策划阶段27 3.2.2需求分析、设计、编码阶段27 3.2.3提交测试阶段27 3.2.4生产发布、终测28 3.2.5发布后问题反馈修改过程28 3.3TSP 团队软件过程30 3.3.1会议组织30 3.3.2沟通问题30 3.3.3代码走查30
Q/JYG XXXX单位或公司企业标准 Q/JYG/GL-XX-21-2013a 信息系统开发安全管控办法 2014-10-25发布2014-11-01实施
Q/JYGGL-XX-21-2013a 前言 本标准由XXXX单位或公司标准化管理委员会提出。 本标准由XXXX单位或公司XXXX部门起草并归口管理。 本标准主要起草人: 本标准由批准。 本标准首次发布于2013年8月25号,本次修订为第一次修订。
信息系统开发安全管控办法 1 范围 本标准规定了信息系统开发阶段、测试阶段、试运行阶段和上线阶段的管理内容与要求。 本标准适用于公司自主开发及委外开发信息系统的管理。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。凡是不注明日期的引用文件,其最新版本适用于本标准。 国务院令(第339号)计算机软件保护条例 国务院令(第147号)中华人民共和国计算机信息系统安全保护条例 Q/JYG/GL-SB -16-2013.a 《投资项目管理办法》 3 术语和定义 信息系统:是指由计算机及其相关的配套设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 信息系统一般由三部分组成:硬件系统(计算机硬件系统和网络硬件系统)、系统软件(计算机系统软件和网络系统软件)、应用软件(包括由其处理、存储的信息)。 4 职责 4.1 XXXX部门 4.1.1 负责公司信息系统开发各阶段文档的审批工作; 4.1.2 负责组织公司新开发信息系统的测试工作; 4.1.3 负责公司信息系统上线与终止的验收工作。 4.2 卷烟厂计算机中心 4.2.1 负责本厂信息系统开发各阶段文档的审批工作; 4.2.2 负责组织本厂新开发信息系统的测试工作; 4.2.3 负责本厂信息系统上线与终止的验收工作。 4.3 各实施部门或单位 4.3.1 负责本单位信息系统开发过程中的需求提出、测试及验收等工作。 5 管理内容与要求
软件开发管理办法 修订记录 版本编号修订日期主要修订摘要 审核记录 审核人员属于部门审核日期 第一章总则 第一条为规范公司的开发管理流程,使各开发项目的管理进行标准化管理,特制定本管理办法。 第二条本管理办法详细规定软件开发程的各个阶段及每一阶段的任务、要求、交付文件,使整个软件开发过程阶段清晰、要求明确、任务具体,实现软件开发过程的标准化。 第三条本管理办法适用于计算机的自主软件开发项目。适用对象:软件开发管理人员,软件开发人员,软件维护人员,系统管理人员。 第二章组织机构与职责 第四条软件开发管理人员职责: 第五条软件开发人员职责: 第六条软件维护人员职责: 第七条系统管理人员职责: 第三章软件开发环境管理 第八条软件建设环境根据项目不同的时期,需要搭建生产运行环境、系统测试环境、系统开发环境三种不同的软硬件网络环境,便于生产、开发、测试等工作的安全、顺畅的进行。 第九条生产环境为系统维护管理人间管理的范畴,是系统正式运行,提交给各业务科室的正式环境,包括系统运行的硬件、网络等设备和进行集群处理的软件系统。 第十条测试环境为测试人员提供功能测试、性能测试的运行环境,包括运行环境模拟、测试工具服务器、测试工具客户端。 第十一条开发环境为系统开发人员提供系统开发需要的软件硬件环境,包括数据库服务器、应用服务器、开发工具客户端。 第十二条生产环境、测试环境、开发环境都存在自己独立的数据库服务器、应用服务器、客户端。在开发环境完成内部测试后,提交发布版本到测试环境中,由专门的测试人
员进行集成测试和功能测试。并进行一定的压力性能测试。在测试环境通过的版本在发布到生产环境。 第十三条生产环境与测试环境、开发环境需要物理隔离,保障生产环境的安全。 第四章开发过程管理 第十四条项目开发流程根据软件工程的流程,分为可行性研究与计划、需求分析、总计设计、详细设计、代码开发、系统测试五个阶段。 第十五条可行性研究与计划 1实施要求 1.软件开发部分析人员进行市场调查与分析,确认软件的市场需求 2.在调查研究的基础上进行可行性研究,写出可行性报告 3.评审和审批,决定项目取消或继续 4.若项目可行,制订初步的软件开发计划,建立项目日志 5.根据市场环境、公司软硬件情况预测十大风险因素 2交付文档 1.可行性研究报告* 2.初步的软件开发计划 3.十大风险列表* 4.软件项目日志* 第十六条需求分析 1实施要求 1.调查被开发软件的环境 2.软件开发提出的需求进行分析并给出详细的功能定义 3.做出简单的用户原型,与用户共同研究,直到用户满意 4.对可利用的资源(计算机硬件、软件、人力等)进行估计,制定项目进度计划(可 有相应的缓冲时间) 5.制定详细的软件开发计划 6.测试人员制订质量控制计划和测试计划 7.编写初步的用户手册 8.进行需求方案评审 2交付文档 1.软件需求说明书 2.更新后的软件开发计划 3.项目进度计划 4.计划
软件开发技术文档编写规范 在项目开发过程中,应该按要求编写好十三种文档,文档编制要求具有针对性、精确性、清晰性、完整性、灵活性、可追溯性。 ◇可行性分析报告:说明该软件开发项目的实现在技术上、经济上和社会因素上的可行性,评述为了合理地达到开发目标可供选择的各种可能实施方案,说明并论证所选定实施方案的理由。 ◇项目开发计划:为软件项目实施方案制订出具体计划,应该包括各部分工作的负责人员、开发的进度、开发经费的预算、所需的硬件及软件资源等。 ◇软件需求说明书(软件规格说明书):对所开发软件的功能、性能、用户界面及运行环境等作出详细的说明。它是在用户与开发人员双方对软件需求取得共同理解并达成协议的条件下编写的,也是实施开发工作的基础。该说明书应给出数据逻辑和数据采集的各项要求,为生成和维护系统数据文件做好准备。 ◇概要设计说明书:该说明书是概要实际阶段的工作成果,它应说明功能分配、模块划分、程序的总体结构、输入输出以及接口设计、运行设计、数据结构设计和出错处理设计等,为详细设计提供基础。 ◇详细设计说明书:着重描述每一模块是怎样实现的,包括实现算法、逻辑流程等。 ◇用户操作手册:本手册详细描述软件的功能、性能和用户界面,使用户对如何使用该软件得到具体的了解,为操作人员提供该软件各种运行情况的有关知识,特别是操作方法的具体细节。 ◇测试计划:为做好集成测试和验收测试,需为如何组织测试制订实施计划。计划应包括测试的内容、进度、条件、人员、测试用例的选取原则、测试结果允许的偏差范围等。 ◇测试分析报告:测试工作完成以后,应提交测试计划执行情况的说明,对测试结果加以分析,并提出测试的结论意见。 ◇开发进度月报:该月报系软件人员按月向管理部门提交的项目进展情况报告,报告应包括进度计划与实际执行情况的比较、阶段成果、遇到的问题和解决的办法以及下个月的打算等。 ◇项目开发总结报告:软件项目开发完成以后,应与项目实施计划对照,总结实际执行的情况,如进度、成果、资源利用、成本和投入的人力,此外,还需对开发工作做出评价,总结出经验和教训。 ◇软件维护手册:主要包括软件系统说明、程序模块说明、操作环境、支持软件的说明、维护过程的说明,便于软件的维护。 ◇软件问题报告:指出软件问题的登记情况,如日期、发现人、状态、问题所属模块等,为软件修改提供准备文档。 ◇软件修改报告:软件产品投入运行以后,发现了需对其进行修正、更改等问题,应将存在的问题、修改的考虑以及修改的影响作出详细的描述,提交审批。 1可行性分析报告 1 引言 1.1 编写目的:阐明编写可行性研究报告的目的,提出读者对象。
信息系统开发与项目安全管理规定 第一章总则 第一条为规范科技发展部信息系统开发相关安全控制,保障信息系统本身的安全性以及开发、测试和投产过程的安全性,规范信息系统获取、开发与维护过程中的职责定义与流程管理,特制定本规定。第二条本规定适用于科技发展部范围内的信息系统获取、开发、实施、投产各过程及项目实施的管理。 第二章组织与职责 第三条科技发展部风险管理组负责制定相关规定,并监督各部门落实情况。 第四条各部门安全组负责监督和检查本规定在本部门的落实情况。 第五条项目需求部门除提出功能需求外还负责在相关部门的协助下提出系统安全需求。 第六条项目建设部门承担具体信息系统设计、开发实施,负责进行系统安全需求分析。保证系统设计、开发、测试、验收和投产实施阶段满足项目安全需求和现有的系统安全标准和规范。组织系统安全
需求、设计和投产评审。 第三章信息系统开发与项目安全管理规定 第七条信息系统建设项目各阶段(尤其是需求设计、测试及投产等重要阶段)评审时,评审内容必须包括相应的安全要求,具体要求参见附件2:信息安全功能设计检查列表。 第八条系统安全评审时,应提交相应安全设计、实现或验证材料,对于评审中发现的问题相关责任部门应及时整改。 第九条对于公共可用系统及重要信息数据的完整性应进行保护,以防止未经授权的修改。同时,网上公开信息的修改发布遵循业务部门的相关管理规定,只有经过授权流程后才能修改相应信息。 第十条安全需求分析 (一)在项目的计划阶段,项目需求部门与项目建设部门讨论并明确系统安全需求分析,作为项目需求分析报告的组成部分。(二)项目需求部门与项目建设部门应对系统进行风险分析,考虑业务处理相关流程的安全技术控制需求、生产系统及其相关在线系统运行过程中的安全要求,在满足相关法律、法规及规章、技术规范和标准等约束条件下,确定系统的安全需求。 (三)系统安全保护遵循适度保护的原则,需满足以下基本要求,同时实施与业务安全等级要求相应的安全机制:
文档密级:一般 文档状态:[ ] 草案 [√]正式发布 [ ]正在修订受控状态:[√] 受控 [ ]非受控
目录
1.适用 本程适用于公司软件生产相关的过程安全管理。 2.目的 为了对公司软件生产相关的策划、开发、测试、交付等进行有效的控制,特制定本程序。 3.职责 1)技术总监 负责批准各种软件的开发项目和开发方案。 2)研发中心 负责软件生产过程,包括策划、开发、测试、交付等过程。 3)信息部 负责基础设施的维护,包括开发服务器、测试服务器、开发PC机的硬件、操作系统、防病毒软件。 4.相关文件 《信息安全管理手册》 5.规定要求 5.1. 安全需求策划分析 研发中心应根据开发任务的需求,编制《软件开发需求书》。《软件开发需求书》应包括功能需求背景、项目建设目标、项目建设原则、具体功能需求、项目开发的时间要求以及安
全要求等。《软件开发需求书》交技术总监审核。安全需求分析内容可以作为《软件开发需求书》的一个部分,也可单独编写《软件开发安全需求书》 软件开发的安全要求应包括以下方面: 1)客户的安全要求: 与客户沟通过程中,客户明确要求软件应具有的安全功能与安全性能,例如客户要求对存储数据的安全、传输数据的安全、行为审计、权限分配、防抵赖等。 2)技术的安全要求: 技术的安全要求包括两个部分,其一是客户安全要求的技术实现,如客户要求电子商务系统的交易应具备防抵赖的安全要求,则其技术的安全要求为符合第3)项所要求数字签名技术;其二是软件本身所涉及技术的安全,包括业界的通用安全技术,例如数据库安全技术、Java安全技术等; 3)法律法规的安全要求: 法律法规安全包括了国内、国际法律法规所确认要求采用的安全技术与准则,也包括了业界普遍公认的安全技术与准则,例如对口令的保护应采用单向散列技术、国内使用商用加密产品,则该产品应得到国家相关部门的认可等; 5.2. 系统设计与安全编码 在系统设计与编码过程中,开发人员应关注系统架构与软件代码自身的安全性与健壮性:以确保: 1)输入数据的安全: 开发人员应考虑到用户输入数据的不确定性,在设计与编码时,应采用以下控制措施: a)双输入或其他输入校验,例如边界校验或者限制特定输人数据范围的域,以检 测下列差错: i.范围之外的值 ii.数据字段中的无效字符 iii.丢失或不完整的数据 iv.超过数据的上下容量限制 v.未授权的或矛盾的控制数据 b)系统文件不得有何未授权的变更;
1.目的 公司软件产品的开发流程,保障开发过程的顺利实施。为公司提供安全和有冗余的软件开发环境,保障软件开发过程的安全性、完整性、可用性。通过加密和权限管理,有效的保护程序源代码,防止恶意代码和网络攻击的发生。 2.范围 适用公司软件开发全过程。 3.职责 资讯科技部:负责公司软件产品的开发过程、软件加密和权限管理负责软件开发环境的维护。 4.工作流程 根据软件产品开发的标准流程,结合公司的实际情况对软件项目分三个主要阶段进行组织管理,分别为项目立项阶段、项目实施阶段和项目验收总结阶段。 4.1.软件项目立项阶段 4.1.1.公司项目组负责项目的立项审批; 4.1.2.项目组由公司总经理或指定负责人召集,成员为公司管理层人员,包括但不限于:公司常 务副总、营销总监、研发总监、财务总监; 4.1.3.业务需求作为项目申请人,按照外部需求或公司发展需要填写《软件设计需求说明书》; 4.1.4.项目申请人填写《项目建议书》向项目组提出项目立项申请,主要说明项目的背景、目的、 预计效益及成本、资源(软/硬件等)需求等方面,并由资讯科技部提供支持和技术说明。 4.1. 5.项目组收到《项目建议书》组织召开立项评审会议,给出项目评审结论。批准立项交公司 资讯科技部组织开发,如果不批准,给出理由后项目中止。中止后的项目可根据情况重新申请。 4.2.软件项目实施阶段 4.2.1.公司批准立项的项目交由资讯科技部负责组织实施。 4.2.2.资讯科技部根据资源情况和项目需求组织相关技术人员进行项目启动会议,任命项目经理, 组建项目开发团队,并制定《项目计划书》,确定项目周期、具体开发目标等,提交项目组做反馈确认。 4.2.3.《项目计划书》经项目组确认后,项目经理根据研发任务编制《项目计划书》,项目正式 启动后,项目经理根据《项目计划书》的进度对项目进展情况进行管控,并定期定性项目状态分析和汇报。 4.2.4.《项目计划书》必须按照软件项目实施过程分解为需求分析、系统设计、开发编码和测试 提交几个控制过程。 4.3.项目需求分析过程 4.3.1.项目需求分析由研发总监、项目经理、部分软件工程师和项目申请人共同完成。 4.3.2.需求分析应在《项目计划书》审核通过后召开,需求的不足之处应有项目申请人负责完善。
文档密级:普通文件编号:slsw_kf_001 新利软件XX软件开发管理规X (讨论稿) 编写: 新利软件技术部 审批: 新利软件质量管理部 发布日期: 2001年6月15日 目录 1.0 实施ISO9000的目的2 2.0 组织结构与角色定义2 2.1组织结构图2 2.2角色定义4
3.0 流程描述5 3.1新项目或老产品新版本业务流程5 3.1.1 项目开发阶段性工作汇总表6 3.1.2 人员角色工作概览8 3.2 定制开发项目业务流程图及其说明10 3.3 外包流程10 3.4维护流程11 3.4.1客户服务中心组织结构图11 3.4.2维护流程图12 3.5变更处理13 1.0 实施ISO9000的目的 有效管理新利公司的产品研究发展过程,实现过程的可视性,改进新利公司有效开发软件的能力,使新利公司成为一个具有全组织X围的管理软件开发和维护过程能力的、成熟的软件开发组织。具体如下: ●清楚地定义技术开发的各个过程; ●清楚地定义技术开发过程中各岗位及其职责; ●使产品开发过程的进度、预算得到有效控制,软件产品的成本、进度、功能等达 到预期结果; ●使软件产品的质量和顾客的满意程度得到有效监控,在判断产品质量和分析产品 及过程问题方面有客观的、定量的基础; ●使公司的所有研究开发过程遵循一个有纪律的过程 2.0 组织结构与角色定义 2.1组织结构图
项目组 ? 项目指导委员会 由各支持部门能独立做最终决策的人员组成。有关项目的重大问题在本委员会内48小时内必须做出最终决定,而不能再上升至公司最高领导处。当由于事件复杂等原因引起委员会内部争执时,必须在同一48小时内邀请到公司高层决策人员进行裁决。 ? 项目执行委员会 由项目经理及项目组骨干人员、相关支持部门指定的支持人员等组成。该委员会的主要职责为项目组的日常工作提供指导和支持,解决项目组级别问题。在解决项目级问题时,该委员会在24小时内必须提出或解决或上报的事件处理方案。 ? 产品管理 客户利益的倡导者、掌握产品的愿景/X 围、管理客户的需求定义、维护业务规则、设置客户的期望值、把握功能与时间进度之间的权衡并决策、营销策略、管理行销宣传和公共关系。 ? 程序管理