ISMS-B-17 軟件開發(fā)安全控制程序-ISO27001_第1頁
ISMS-B-17 軟件開發(fā)安全控制程序-ISO27001_第2頁
ISMS-B-17 軟件開發(fā)安全控制程序-ISO27001_第3頁
ISMS-B-17 軟件開發(fā)安全控制程序-ISO27001_第4頁
ISMS-B-17 軟件開發(fā)安全控制程序-ISO27001_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、軟件開發(fā)安全控制程序文件編號(hào):ISMS-B-17版 本:A/0頁 碼:第5頁 共5頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄:r 市場中心r 項(xiàng)目中心r 模具中心r 采購部r 品質(zhì)中心r 貨倉課r 財(cái)務(wù)部r 總經(jīng)辦r 人力資源中心r 設(shè)備課r 計(jì)劃部r 生產(chǎn)中心1. 目的為規(guī)范公司軟件開發(fā)的安全管理,包括軟件系統(tǒng)從計(jì)劃、需求、設(shè)計(jì)、開發(fā)、測試、部署過程中的安全管理,特制定本程序。2. 范圍本程序適用于公司的軟件系統(tǒng)在需求分析、開發(fā)測試、上線運(yùn)行階段的安全管理,包括軟件外包開發(fā)的安全管理。3. 職責(zé)與權(quán)限3.1 信息管理部負(fù)責(zé)公司相關(guān)信息系統(tǒng)的軟件開發(fā)、外包軟件開發(fā)

2、過程的安全管理,以及軟件開發(fā)相關(guān)文檔及軟件源代碼的歸檔保管。3.2 其他部門其他相關(guān)部門協(xié)助軟件研發(fā)支持部進(jìn)行軟件/系統(tǒng)需求收集、分析、系統(tǒng)測試等工作。4. 相關(guān)文件a) 軟件控制程序5. 術(shù)語定義無6. 控制程序6.1 軟件開發(fā)任務(wù)提出公司根據(jù)客戶反饋和調(diào)研,編寫用戶需求分析報(bào)告,經(jīng)過公司總經(jīng)理批準(zhǔn)后,交付信息部進(jìn)行設(shè)計(jì)開發(fā)。6.2 軟件開發(fā)的策劃信息部在接到用戶需求后,首先要判斷可行性,如果接受,信息部根據(jù)用戶申請書和要求部門共同協(xié)商,編寫軟件設(shè)計(jì)開發(fā)計(jì)劃,明確設(shè)計(jì)開發(fā)的各個(gè)階段評(píng)審與測試要求及設(shè)計(jì)開發(fā)人員的職責(zé)與權(quán)限,設(shè)計(jì)開發(fā)計(jì)劃方案由要求部門和信息部負(fù)責(zé)人共同批準(zhǔn)后予以實(shí)施;必要時(shí),如

3、果對(duì)計(jì)劃進(jìn)行更改也需要獲得雙方經(jīng)理共同批準(zhǔn)。軟件設(shè)計(jì)開發(fā)計(jì)劃應(yīng)包括以下內(nèi)容:a) 軟件功能要求;b) 詳盡的業(yè)務(wù)流程;c) 信息安全要求;d) 時(shí)間進(jìn)度要求;e) 設(shè)計(jì)開發(fā)的各個(gè)階段評(píng)審與測試要求;f) 設(shè)計(jì)開發(fā)人員的職責(zé)與權(quán)限;g) 其它要求,例如在復(fù)雜系統(tǒng)環(huán)境下,應(yīng)考慮業(yè)務(wù)信息系統(tǒng)互聯(lián)相關(guān)的信息,并考慮安全保護(hù)。6.3 軟件開發(fā)方案的評(píng)審及開發(fā)過程控制6.3.1應(yīng)根據(jù)軟件設(shè)計(jì)開發(fā)計(jì)劃的要求,編制軟件設(shè)計(jì)開發(fā)方案,由軟件研發(fā)支持部門負(fù)責(zé)人對(duì)方案的技術(shù)可行性及系統(tǒng)的安全性進(jìn)行確認(rèn)。6.3.2對(duì)于大型軟件開發(fā)方案應(yīng)由設(shè)計(jì)開發(fā)人員、應(yīng)用部門(用戶)人員、內(nèi)部 IT 方面的專家共同進(jìn)行評(píng)審。方案確認(rèn)

4、與審批的結(jié)果及任何必要的措施應(yīng)予以記錄。6.3.3軟件設(shè)計(jì)開發(fā)方案應(yīng)包括以下內(nèi)容:a) 確定軟件開發(fā)工具;b) 應(yīng)用系統(tǒng)功能;c) 業(yè)務(wù)實(shí)現(xiàn)流程;d) 輸入數(shù)據(jù)確認(rèn)要求;e) 必要時(shí),系統(tǒng)內(nèi)部數(shù)據(jù)確認(rèn)檢查的要求;f) 輸出數(shù)據(jù)的確認(rèn)要求;g) 應(yīng)用系統(tǒng)的安全要求;h) 對(duì)系統(tǒng)硬件配置的要求;i) 系統(tǒng)驗(yàn)收標(biāo)準(zhǔn)。6.3.4. 軟件開發(fā)人員的要求軟件設(shè)計(jì)開發(fā)人員須經(jīng)信息部負(fù)責(zé)人授權(quán),并應(yīng)具備一定的軟件開發(fā)能力和良好的職業(yè)道德。6.3.5. 軟件開發(fā)的環(huán)境要求在進(jìn)行軟件開發(fā)時(shí),應(yīng)采取適宜的方法將開發(fā)、測試與運(yùn)營設(shè)施分離:a) 開發(fā)與運(yùn)營應(yīng)當(dāng)在不同的環(huán)境;b) 進(jìn)行黑盒與白盒測試時(shí),測試系統(tǒng)應(yīng)該獨(dú)立于

5、上述兩系統(tǒng)。c) 進(jìn)行單元測試時(shí),測試系統(tǒng)可與開發(fā)系統(tǒng)共存,但必須獨(dú)立于運(yùn)營系統(tǒng)。d) 進(jìn)行集成測試、確認(rèn)測試、驗(yàn)收測試以及系統(tǒng)測試時(shí),測試系統(tǒng)應(yīng)該獨(dú)立于上述兩系統(tǒng)。e) 進(jìn)行測試時(shí),測試人員應(yīng)首先確保測試系統(tǒng)與其他系統(tǒng)不得處于公司內(nèi)部局域網(wǎng)同一子網(wǎng)網(wǎng)段。信息部負(fù)責(zé)人可隨時(shí)抽查測試人員是否違反上述要求,一經(jīng)發(fā)現(xiàn),視情節(jié)輕重對(duì)相關(guān)責(zé)任人進(jìn)行處罰。6.3.6. 軟件開發(fā)的變更控制在設(shè)計(jì)開發(fā)過程中,涉及到系統(tǒng)功能、安全技術(shù)要求的更改應(yīng)經(jīng)過信息部負(fù)責(zé)人批準(zhǔn)后予以實(shí)施,并經(jīng)過測試合格后方可投入使用。 6.4 軟件的測試與試運(yùn)行6.4.1 源程序編制好以后,應(yīng)在規(guī)定的測試環(huán)境條件并依據(jù)軟件測試要求由軟件設(shè)

6、計(jì)開發(fā)負(fù)責(zé)人組織有關(guān)人員進(jìn)行測試,編寫應(yīng)用軟件測試報(bào)告。6.4.2 當(dāng)軟件含有數(shù)據(jù)處理功能時(shí),軟件測試活動(dòng)應(yīng)包括以下方面的內(nèi)容:a) 應(yīng)用測試數(shù)據(jù),驗(yàn)證內(nèi)部數(shù)據(jù)處理的正確性;b) 應(yīng)用測試數(shù)據(jù),確認(rèn)輸出數(shù)據(jù)的正確性并與環(huán)境相適應(yīng)。6.4.3 當(dāng)系統(tǒng)測試數(shù)據(jù)使用業(yè)務(wù)數(shù)據(jù),并且包含敏感信息時(shí),應(yīng)按以下要求對(duì)測試數(shù)據(jù)進(jìn)行保護(hù):a) 用于運(yùn)作系統(tǒng)的訪問控制過程也應(yīng)用于測試系統(tǒng);b) 將業(yè)務(wù)數(shù)據(jù)每一次復(fù)制或?qū)氲綔y試應(yīng)用系統(tǒng)前,應(yīng)被系統(tǒng)主管部門授權(quán);c) 測試完成之后,應(yīng)立即從測試系統(tǒng)中消除測試用的文件、用戶名及口令等。d) 如果選擇的是真實(shí)數(shù)據(jù),測試完成后必須刪除全部數(shù)據(jù)。6.4.4 應(yīng)用部門(用戶)

7、在試運(yùn)行期間,應(yīng)將使用中存在的問題及時(shí)反饋給信息部進(jìn)行修改。試運(yùn)行結(jié)束后,應(yīng)形成正式的軟件驗(yàn)收報(bào)告,由信息部和應(yīng)用部門(用戶)負(fù)責(zé)人簽字認(rèn)可,投入使用。6.5 源程序庫(程序源代碼)管理及技術(shù)文檔管理 6.5.1為降低計(jì)算機(jī)程序被破壞的可能性,設(shè)計(jì)開發(fā)軟件的源程序庫應(yīng)按以下要求實(shí)施管理:a) 源程序庫不應(yīng)保存在運(yùn)作系統(tǒng)中;b) 各項(xiàng)應(yīng)用應(yīng)指定源程序庫管理員;c) 信息技術(shù)維護(hù)人員不應(yīng)自由訪問源程序庫。6.5.2信息部應(yīng)明確源代碼管理責(zé)任人及保存方式。6.5.3源程序的管理應(yīng)包括歷史版本的管理,可通過 Microsoft VSS、SVN等版本管理軟件進(jìn)行管控。6.5.4信息部應(yīng)及時(shí)備份和回收程序的源代碼,做好源代碼及相關(guān)文檔的歸檔保管,防止源代碼及技術(shù)文檔的泄露。6.6 軟件外包開發(fā)的管理 6.6.1對(duì)于軟件外包開發(fā)時(shí),公司應(yīng)加強(qiáng)對(duì)外包軟件開發(fā)的監(jiān)視及管理。包括但不限于以下要求:a) 選擇有相關(guān)資質(zhì)及項(xiàng)目經(jīng)驗(yàn)的軟件外包開發(fā)商;b) 與軟件外包開發(fā)方簽訂合同及保密協(xié)議,并明確代碼質(zhì)量及安全功能要求;c) 應(yīng)明確外包開發(fā)的軟件知識(shí)產(chǎn)權(quán)及許可證使用;d) 定期對(duì)軟件外包開發(fā)方工作進(jìn)行評(píng)審。6.6.2對(duì)于外包開發(fā)人員要使用公司網(wǎng)絡(luò)環(huán)境的,應(yīng)經(jīng)過信息

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論