CyberSecurity

系統發展生命週期與資訊系統委外開發

  1. 說明
    1. 採購流程
    2. 系統發展生命週期
    3. 關鍵術語
  2. RFP
  3. 需求分析
  4. 相關文件
    1. 應用軟體或系統開發服務
  5. 學習資源

筆記資訊系統委外開發與 SSDLC (系統發展生命週期) 以及採購作業流程的相關知識。

logo

說明

基於業務單位的需求,但受限於機關內部資訊、資安人員人力、能力的限制,採取委外措施。委外廠商基於成本進行專案,而資訊人員的參與系統發展生命週期,資安人員參與落實系統發展生命週期的各項資安要求,而所有的過程同時也是採購流程,從最初的計畫作業到最終的保固作業。

三方(有時候資訊人員即資安人員),不斷的透過會議溝通以及各式實作,成就資訊系統系統發展完整的生命週期。

採購法一定要的,但內容多如牛毛還要搭配各種判例、函釋以及各種行政辦法。

學習資源可以用E學院的資訊委外,內容主要是以採購的生命週期以及相關需要注意的事情。值得深入研究的文件是資訊服務委外範本,是所有採購案(除了共同供應契約或小額採購)通用的範本,而各機關通常會在發展成自己版本的範本。

此外工程會另有專門的參考範本,可以供同類案例參考;如果有電子採購網帳號,可以從歷史案件中尋找參考資料。契約類似定型化契約,但有調整文字內容的空間,多數情況下內容則是用勾選的方式符合購案需求。

在近日工程會公布《政府資訊服務採購作業指引》後,在範本的附件應該要加入相關的資安要求、服務水準要求,並且應該要依照指引的方式來設計契約以及RFP。

而RFP可以參考資安研究院的委外指引《政府資訊作業委外資安參考指引v6.3》,當中包含各種資訊委外類型的RFP範本,對應在近日工程會提出的則是各式委外的資安要求。

在常見的網站委外類型,有兩種RFP範本可以參考,包含上述的資安研究院指引當中的RFP個人資料及WEB範本,以及另一個明確且專門的範本《資通系統委外開發RFP資安需求範本(V3.0)》,當中包含《資通系統資安需求項目查檢表》。

在資安研究院的指引當中,包含附件一的《政府資訊委外資安注意事項或常見缺失》以及附件二的《政府資訊委外資安檢核表》可以用以自我審視。

另外在數位發展部的部分,需要參考《資通系統籌獲各階段資安強化措施》,並搭配《資訊服務採購案之資安檢核事項》,來採購契約以及RFP對於資安的要求是否足夠,這部分又與最新出爐的工程會資安指引相關聯。

採購流程

  • 計畫作業
  • 招標
  • 決標
  • 履約管理
  • 驗收
  • 保固作業

採購契約要項

系統發展生命週期

  • 需求分析
  • 系統分析
  • 系統設計
  • 系統開發
  • 系統測試
  • 系統部署
  • 系統維運
  • 系統擴充

測試的細分:單元測試、整合測試、系統測試

測試階段使用軟體品質的方式,提出監測軟體的指標,依據品質變化調整關注潛在問題的投入人時,指標的選用可能是單元測試的涵蓋率、問題的解決與總數比例。

關鍵術語

RFI
RFC
RFP
RFQ
服務建議書
工作說明書
資訊服務採購契約範本
機關提出「資訊委外資安管理計畫」
廠商提出「資安管理計畫」

RFP

提前於採購的計畫作業階段就開始規劃 RFP,並且在預算取得前就先進行招標及保留決標。

🔥 常見問題

需求不明確
專案管理規範不足
RFP 與契約無法匹配
SLA 未要求或不合理

透過參考 常用資訊服務等級協議 (SLA) 參考項目 來檢核點盤 RFP 在訂定上的問題。

需求分析

可行性分析
業務需求、使用者需求及功能需求
功能需求、非功能需求及限制條件需求
使用者的需求、廠商的成本、資訊單位的時程規劃
蒐集需求的方式:文獻、訪談、觀察、問卷、會議、實習

業務、使用者、功能需求
資料需求
介面需求
測試與驗證需求
系統轉換需求
需求類型:Function, Service, Process, Data Information
系統的品質需求:功能滿足需求、系統易於使用、系統穩定、系統效能、系統支援、系統安全

📊 輔助釐清需求的圖表

  • 作業流程圖
  • 資料流程圖
  • Entity Relationship Diagram
  • WBS 拆解需求

新進、異動、離退情境的數據流程圖(DFD)

graph TD
  subgraph External Entities
    A[人事管理者]
    B[系統管理者]
  end
  subgraph Processes
    C[系統]
    D[管理人員新進]
    E[處理人員異動]
    F[處理人員離退]
  end
  subgraph Data Stores
    G[人員資料庫]
  end
  subgraph Data Flows
    A --> C
    B --> C
    C --> D
    C --> E
    C --> F
    D --> G
    E --> G
    F --> G
  end

WBS 拆解人事管理系統開發專案的需求

1. 人事管理系統開發專案
   1.1 需求分析
      1.1.1 收集使用者需求
      1.1.2 分析需求
      1.1.3 定義系統功能和特性
   1.2 設計
      1.2.1 系統架構設計
      1.2.2 使用者界面設計
      1.2.3 資料庫設計
   1.3 開發
      1.3.1 前端程式碼開發
      1.3.2 後端程式碼開發
      1.3.3 資料庫開發
   1.4 測試
      1.4.1 單元測試
      1.4.2 整合測試
      1.4.3 系統測試
   1.5 修復錯誤和問題
   1.6 實施和部署
   1.7 培訓
      1.7.1 系統使用培訓
      1.7.2 管理者培訓
   1.8 文件
      1.8.1 使用手冊編寫
      1.8.2 技術文件編寫
   1.9 專案管理
      1.9.1 計劃和排程
      1.9.2 資源分配
      1.9.3 進度監控
   1.10 測試和驗收

相關文件

資訊系統委外開發參考規範

🦈 政府資訊服務採購作業指引

🦈 各類資訊(服務)採購之共通性資通安全基本要求參考一覽表

應用軟體或系統開發服務 - 採購之共通性資通安全基本要求參考一覽表

應用軟體或系統開發服務

學習資源

🦑 資訊職能數位學習專區 資訊採購作業與履約管理要領窺探 上集 下集

課程介紹政府資訊採購流程,評估各階段資訊採購的重點。以實務案例方式,了解資訊委外整體概念。

🦑 資安人才培訓服務網 政府資訊作業委外安全管理

說明資訊委外安全,了解資訊委外整體概念遵循政府採購流程各階段及如何配合機關資安管理政策、符合機關資安防護水準於資訊委外作業中。運用「政府資訊委外資安檢核表」與「RFP資安需求範例」(依新版參考指引修正) 檢查重點項目,並解決資訊委外過程中衍生的資安議題、常見缺失及注意事項