ISO27001-軟件開發(fā)安全控制程序_第1頁
ISO27001-軟件開發(fā)安全控制程序_第2頁
ISO27001-軟件開發(fā)安全控制程序_第3頁
ISO27001-軟件開發(fā)安全控制程序_第4頁
ISO27001-軟件開發(fā)安全控制程序_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余2頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、(迪晅IOOzZOSI曙年)1目的為規(guī)范公司軟件開發(fā)的安全管理,包括軟件系統(tǒng)從訃劃、需求、設(shè) 計(jì)、開發(fā)、測(cè)試、部署過程中的安全管理,特制定本程序。2.范圍本程序適用于公司的軟件系統(tǒng)在需求分析、開發(fā)測(cè)試、上線運(yùn)行階 段的安全管理,包括軟件外包開發(fā)的安全管理。3職責(zé)與權(quán)限3.1技術(shù)部負(fù)責(zé)公司相關(guān)信息系統(tǒng)的軟件開發(fā)、外包軟件開發(fā)過程的安全管理, 以及軟件開發(fā)相關(guān)文檔及軟件源代碼的歸檔保管。3.2其他部門其他相關(guān)部門協(xié)助技術(shù)部進(jìn)行軟件/系統(tǒng)需求收集、分析、系統(tǒng)測(cè)試 等工作。4. 相關(guān)文件a)軟件控制程序5. 術(shù)語定義無6. 控制程序6.1軟件開發(fā)任務(wù)提出公司根據(jù)客戶反饋和調(diào)研,編寫用戶需求分析報(bào)告,經(jīng)

2、過公司總經(jīng) 理批準(zhǔn)后,交付技術(shù)部進(jìn)行設(shè)計(jì)開發(fā)。6.2軟件開發(fā)的策劃技術(shù)部在接到用戶需求后,首先要判斷可行性,如果接受,技術(shù)部 根據(jù)用戶申請(qǐng)書和要求部門共同協(xié)商,編寫軟件設(shè)計(jì)開發(fā)訃劃,明確設(shè) 計(jì)開發(fā)的各個(gè)階段評(píng)審與測(cè)試要求及設(shè)計(jì)開發(fā)人員的職責(zé)與權(quán)限,設(shè)計(jì) 開發(fā)計(jì)劃方案山要求部門和技術(shù)部負(fù)責(zé)人共同批準(zhǔn)后予以實(shí)施:必要時(shí), 如果對(duì)計(jì)劃進(jìn)行更改也需要獲得雙方經(jīng)理共同批準(zhǔn)。軟件設(shè)計(jì)開發(fā)計(jì)劃 應(yīng)包括以下內(nèi)容:a)軟件功能要求;b)詳盡的業(yè)務(wù)流程;C)信息安全要求;Ci)時(shí)間進(jìn)度要求;e)設(shè)訃開發(fā)的各個(gè)階段評(píng)審與測(cè)試要求;D設(shè)計(jì)開發(fā)人員的職責(zé)與權(quán)限;g)其它要求,例如在復(fù)雜系統(tǒng)環(huán)境下,應(yīng)考慮業(yè)務(wù)信息系統(tǒng)互聯(lián)

3、相 關(guān)的信息,并考慮安全保護(hù)。63軟件開發(fā)方案的評(píng)審及開發(fā)過程控制6.3.1技術(shù)部應(yīng)根據(jù)軟件設(shè)計(jì)開發(fā)計(jì)劃的要求,編制軟件設(shè)計(jì)開發(fā)方 案,山技術(shù)部負(fù)責(zé)人對(duì)方案的技術(shù)可行性及系統(tǒng)的安全性進(jìn)行確認(rèn)。6.3.2對(duì)于大型軟件開發(fā)方案應(yīng)由設(shè)計(jì)開發(fā)人員、應(yīng)用部門(用戶) 人員、內(nèi)部IT方面的專家共同進(jìn)行評(píng)審。方案確認(rèn)與審批的結(jié)果及任 何必要的措施應(yīng)予以記錄。6.3.3軟件設(shè)計(jì)開發(fā)方案應(yīng)包括以下內(nèi)容:a)確定軟件開發(fā)工具;b)應(yīng)用系統(tǒng)功能;C)業(yè)務(wù)實(shí)現(xiàn)流程;Cl)輸入數(shù)據(jù)確認(rèn)要求;e)必要時(shí),系統(tǒng)內(nèi)部數(shù)據(jù)確認(rèn)檢查的要求;D 輸出數(shù)據(jù)的確認(rèn)要求;g)應(yīng)用系統(tǒng)的安全要求;h)對(duì)系統(tǒng)硬件配置的要求;i)系統(tǒng)驗(yàn)收標(biāo)準(zhǔn)

4、。63.4.軟件開發(fā)人員的要求軟件設(shè)計(jì)開發(fā)人員須經(jīng)技術(shù)部負(fù)責(zé)人授權(quán),并應(yīng)具備一定的軟件開 發(fā)能力和良好的職業(yè)道德。6.3.5.軟件開發(fā)的環(huán)境要求在進(jìn)行軟件開發(fā)時(shí),應(yīng)采取適宜的方法將開發(fā)、測(cè)試與運(yùn)營(yíng)設(shè)施分 離:a)開發(fā)與運(yùn)營(yíng)應(yīng)當(dāng)在不同的環(huán)境;b)進(jìn)行黑盒與口盒測(cè)試時(shí),測(cè)試系統(tǒng)應(yīng)該獨(dú)立于上述兩系統(tǒng)。C)進(jìn)行單元測(cè)試時(shí),測(cè)試系統(tǒng)可與開發(fā)系統(tǒng)共存,但必須獨(dú)立于運(yùn) 營(yíng)系統(tǒng)。d)進(jìn)行集成測(cè)試、確認(rèn)測(cè)試、驗(yàn)收測(cè)試以及系統(tǒng)測(cè)試時(shí),測(cè)試系統(tǒng) 應(yīng)該獨(dú)立于上述兩系統(tǒng)。e)進(jìn)行測(cè)試時(shí),測(cè)試人員應(yīng)首先確保測(cè)試系統(tǒng)與其他系統(tǒng)不得處于 公司內(nèi)部局域網(wǎng)同一子網(wǎng)網(wǎng)段。技術(shù)部負(fù)責(zé)人可隨時(shí)抽查測(cè)試人員是否違反上述要求,一經(jīng)發(fā)現(xiàn),

5、視情節(jié)輕重對(duì)相關(guān)責(zé)任人進(jìn)行處罰。63.6.軟件開發(fā)的變更控制在設(shè)計(jì)開發(fā)過程中,涉及到系統(tǒng)功能、安全技術(shù)要求的更改應(yīng)經(jīng)過 技術(shù)部負(fù)責(zé)人批準(zhǔn)后予以實(shí)施,并經(jīng)過測(cè)試合格后方可投入使用。6.4軟件的測(cè)試與試運(yùn)行6.4.1源程序編制好以后,應(yīng)在規(guī)定的測(cè)試環(huán)境條件并依據(jù)軟件測(cè)試 要求山軟件設(shè)計(jì)開發(fā)負(fù)責(zé)人組織有關(guān)人員進(jìn)行測(cè)試,編寫應(yīng)用軟件測(cè)試 報(bào)告。6.4.2當(dāng)軟件含有數(shù)據(jù)處理功能時(shí),軟件測(cè)試活動(dòng)應(yīng)包括以下方面的內(nèi)容:a)應(yīng)用測(cè)試數(shù)據(jù),驗(yàn)證內(nèi)部數(shù)據(jù)處理的正確性;b)應(yīng)用測(cè)試數(shù)據(jù),確認(rèn)輸出數(shù)據(jù)的正確性并與環(huán)境相適應(yīng)。6.4.3當(dāng)系統(tǒng)測(cè)試數(shù)據(jù)使用業(yè)務(wù)數(shù)據(jù),并且包含敬感信息時(shí),應(yīng)按以 下要求對(duì)測(cè)試數(shù)據(jù)進(jìn)行保護(hù):a

6、)用于運(yùn)作系統(tǒng)的訪問控制過程也應(yīng)用于測(cè)試系統(tǒng);b)將業(yè)務(wù)數(shù)據(jù)每一次復(fù)制或?qū)氲綔y(cè)試應(yīng)用系統(tǒng)前,應(yīng)被系統(tǒng)主管 部門授權(quán);C)測(cè)試完成之后,應(yīng)立即從測(cè)試系統(tǒng)中消除測(cè)試用的文件、用戶名 及口令等。Ci)如果選擇的是真實(shí)數(shù)據(jù),測(cè)試完成后必須刪除全部數(shù)據(jù)。6.4.4應(yīng)用部門(用戶)在試運(yùn)行期間,應(yīng)將使用中存在的問題及時(shí) 反饋給技術(shù)部進(jìn)行修改。試運(yùn)行結(jié)束后,應(yīng)形成正式的軟件驗(yàn)收?qǐng)?bào)告, 山技術(shù)部和應(yīng)用部門(用戶)負(fù)責(zé)人簽字認(rèn)可,投入使用。6.5源程序庫(程序源代碼)管理及技術(shù)文檔管理6.5.1為降低計(jì)算機(jī)程序被破壞的可能性,設(shè)訃開發(fā)軟件的源程序庫 應(yīng)按以下要求實(shí)施管理:a)源程序庫不應(yīng)保存在運(yùn)作系統(tǒng)中;b)

7、各項(xiàng)應(yīng)用應(yīng)指定源程序庫管理員;C)信息技術(shù)維護(hù)人員不應(yīng)自由訪問源程序庫。6.5.2軟件開發(fā)部門應(yīng)明確源代碼管理責(zé)任人及保存方式。6.5.3源程序的管理應(yīng)包括歷史版本的管理,可通過MiCroSOft VSS> SVN等版本管理軟件進(jìn)行管控。6.5.4軟件開發(fā)部門應(yīng)及時(shí)備份和回收程序的源代碼,做好源代碼及 相關(guān)文檔的歸檔保管,防止源代碼及技術(shù)文檔的泄露。6.6軟件外包開發(fā)的管理6.6.1對(duì)于軟件外包開發(fā)時(shí),公司應(yīng)加強(qiáng)對(duì)外包軟件開發(fā)的監(jiān)視及管 理。包括但不限于以下要求:a)選擇有相關(guān)資質(zhì)及項(xiàng)Ll經(jīng)驗(yàn)的軟件外包開發(fā)商;b)與軟件外包開發(fā)方簽訂合同及保密協(xié)議,并明確代碼質(zhì)量及安全 功能要求;C)應(yīng)明確外包開發(fā)的軟件知識(shí)產(chǎn)權(quán)及許可證使用;d)定期對(duì)軟件外包開發(fā)方工作進(jìn)行評(píng)審。6.6.2對(duì)于外包開發(fā)人員要使用公司網(wǎng)絡(luò)環(huán)境的,應(yīng)經(jīng)過技術(shù)部負(fù)責(zé) 人授權(quán),

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論