F4-B-研發(fā)服務(wù)體系-009-V1.0-信息系統(tǒng)獲取、開發(fā)與維護(hù)管理制度

【信息系統(tǒng)獲取、開發(fā)與維護(hù)管理制度】F4-B- 研發(fā)服務(wù)體系-009-V1.0第頁信息系統(tǒng)獲取、開發(fā)與維護(hù)管理制度目錄TOC1. 目的和范圍 42. 引用文件 43. 職責(zé)和權(quán)限 44. 確定信息系統(tǒng)安全需求 45. 在應(yīng)用中建立安全措施 55.1. 輸入數(shù)據(jù)驗證 55.2. 內(nèi)部處理的控制 65.3. 輸出數(shù)據(jù)驗證 66. 密碼控制 76.1. 使用密碼控制的策略 76.2. 密鑰管理 77. 系統(tǒng)文件的安全 87.1. 運行軟件的控制 87.2. 系統(tǒng)測試數(shù)據(jù)的保護(hù) 87.3. 對程序源代碼的訪問控制 87.4. 測試和運行設(shè)施分離 97.5. 系統(tǒng)安全性測試 98. 開發(fā)和支持過程中的安全 98.1. 變更控制制度 98.2. 操作系統(tǒng)變更后應(yīng)用的技術(shù)評審 108.3. 軟件包變更的限制 108.4. 信息泄露 108.5. 系統(tǒng)驗收 119. 技術(shù)脆弱性的控制 1110. 公共網(wǎng)絡(luò)應(yīng)用服務(wù)的安全 1111. 安全的開發(fā)環(huán)境 1212. 項目管理中的信息安全 1313. 支持文件 13目的和范圍為確保安全成為所開發(fā)的信息系統(tǒng)一個有機(jī)組成部分，保證開發(fā)過程安全，特制定本程序。適用于本公司所有信息系統(tǒng)的開發(fā)活動，信息系統(tǒng)內(nèi)在安全性的管理。本制度作為軟件開發(fā)項目管理規(guī)定的補充，而不是作為軟件開發(fā)項目管理的整體規(guī)范。引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則職責(zé)和權(quán)限開發(fā)部門：負(fù)責(zé)信息系統(tǒng)開發(fā)過程中的安全管理,負(fù)責(zé)保證開發(fā)過程安全。測試部門：負(fù)責(zé)信息系統(tǒng)測試過程中的安全管理，負(fù)責(zé)測試過程安全。源代碼管理人員負(fù)責(zé)源代碼的安全管理。確定信息系統(tǒng)安全需求控制描述在新的信息系統(tǒng)或增強(qiáng)已有信息系統(tǒng)的業(yè)務(wù)要求陳述中，應(yīng)規(guī)定對安全控制措施的要求。安全要求在軟件開發(fā)生命周期中的分布如下圖所示：安全需求分析內(nèi)容可包括以下項：確認(rèn)需要保護(hù)的資產(chǎn)；評估這些資產(chǎn)需要采取什么安全控制措施；考慮是否在系統(tǒng)中加入自動安全控制措施還是建立人工安全控制措施。需求開發(fā)與需求管理過程參見《軟件開發(fā)安全管理辦法》的需求開發(fā)與需求管理過程的管理部分。密碼控制使用密碼控制的策略控制描述應(yīng)開發(fā)和實施使用密碼控制措施來保護(hù)信息的策略。實施指南制定密碼策略時，應(yīng)考慮下列（但不僅限于）內(nèi)容：組織間使用密碼控制的管理方法，包括保護(hù)業(yè)務(wù)信息的一般原則；使用加密技術(shù)保護(hù)通過可移動介質(zhì)、設(shè)備或者通過通信線路傳輸?shù)拿舾行畔?；基于風(fēng)險評估，應(yīng)確定需要的保護(hù)級別，并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量；加密可能帶來不利影響。由于某些控制措施依賴于內(nèi)容檢查，要求數(shù)據(jù)處于未加密狀態(tài)（應(yīng)確認(rèn)加密前的病毒檢測）。密鑰管理控制描述應(yīng)有密鑰管理以支持組織使用密碼技術(shù)。實施指南應(yīng)保護(hù)所有的密碼密鑰免遭修改、丟失和毀壞。另外，秘密和私有密鑰需要防范非授權(quán)的泄露。用來生成、存儲和歸檔密鑰的設(shè)備應(yīng)進(jìn)行物理保護(hù)。對于一些部門所使用的USBKEY密鑰必須做到專人保管、專人使用，不用時必須防止在保險柜內(nèi)或帶鎖的鐵柜中妥善保管。（按一級數(shù)據(jù)資產(chǎn)和硬件資產(chǎn)實施保護(hù)）系統(tǒng)文件的安全運行軟件的控制控制措施應(yīng)有制度來控制在運行系統(tǒng)上安裝軟件。實施指南應(yīng)僅由受過培訓(xùn)的管理員，在取得管理授權(quán)之后，進(jìn)行軟件、應(yīng)用和程序庫的更新；操作系統(tǒng)應(yīng)僅安裝經(jīng)過批準(zhǔn)的可執(zhí)行代碼，不安裝開發(fā)代碼和編譯程序，如特殊情況下，在不影響系統(tǒng)運行調(diào)試時需安裝開發(fā)代碼和編譯程序，應(yīng)在調(diào)試完成后，立即卸載并刪除所有代碼和程序目錄。在系統(tǒng)安裝前，應(yīng)有完整的安裝步驟。系統(tǒng)測試數(shù)據(jù)的保護(hù)控制措施測試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制。 實施指南應(yīng)避免使用包含敏感數(shù)據(jù)的運行數(shù)據(jù)庫用于測試。如果測試使用了個人或其他敏感信息，那么在完成測試之后應(yīng)去除或修改所有的敏感細(xì)節(jié)和內(nèi)容。當(dāng)用于測試時，應(yīng)使用下列（但不僅限于）指南保護(hù)運行數(shù)據(jù)：正式系統(tǒng)上的訪問控制措施也要應(yīng)用到測試系統(tǒng)上；在測試中使用敏感數(shù)據(jù)應(yīng)取得適當(dāng)?shù)氖跈?quán)；在測試完成之后，應(yīng)從測試系統(tǒng)清除主要的敏感數(shù)據(jù)；對程序源代碼的訪問控制控制措施應(yīng)限制訪問程序源代碼。 實施指南對程序源代碼和相關(guān)事項（諸如設(shè)計、說明書、確認(rèn)計劃和驗證計劃）的訪問應(yīng)嚴(yán)格控制，以防引入非授權(quán)功能和避免無意識的變更。對于程序源代碼的保存，通過代碼集中存儲控制來實現(xiàn)，放在公司指定的配置管理庫中。應(yīng)考慮下列（但不僅限于）指南：若有可能，在運行系統(tǒng)中不應(yīng)保留源程序庫；應(yīng)限制客服和技術(shù)支持人員訪問配置管理庫；更新配置項或向程序員發(fā)布程序源碼應(yīng)獲得適當(dāng)?shù)氖跈?quán)；應(yīng)維護(hù)配置庫的訪問日志；測試和運行設(shè)施分離為防止運行問題，需識別運行與測試環(huán)境之間的分離級別：測試環(huán)境與運行環(huán)境要嚴(yán)格分離，不允許在運行環(huán)境中進(jìn)行測試工作；測試系統(tǒng)要盡可能的仿效運行系統(tǒng)的環(huán)境；敏感數(shù)據(jù)不要拷貝到測試系統(tǒng)環(huán)境中。系統(tǒng)安全性測試系統(tǒng)安全性測試需要開發(fā)人員測試，開發(fā)人員相互測試，測試小組測試；測試完成后，應(yīng)該消除測試用的后門、用戶名及口令等。開發(fā)和支持過程中的安全變更控制制度控制措施嚴(yán)格控制軟件包的變更，只限于必要的變更。關(guān)鍵應(yīng)用的操作系統(tǒng)的變更，需要進(jìn)行評審和測試。應(yīng)使用正式的變更控制制度控制變更的實施。 實施指南應(yīng)按照《變更管理規(guī)定》執(zhí)行相應(yīng)的變更操作，以將信息系統(tǒng)的損壞減到最小。操作系統(tǒng)變更后應(yīng)用的技術(shù)評審控制措施當(dāng)操作系統(tǒng)發(fā)生變更后，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試，以確保對組織的運行和安全沒有負(fù)面影響。實施指南這一過程應(yīng)涵蓋：檢查應(yīng)用系統(tǒng)的控制措施，以確保它們不因操作系統(tǒng)變更而損壞；確保及時提供操作系統(tǒng)變更的通知，以便于在實施之前進(jìn)行合適的測試和評審；應(yīng)對業(yè)務(wù)連續(xù)性計劃進(jìn)行適當(dāng)?shù)恼{(diào)整或變更。軟件包變更的限制控制措施應(yīng)對軟件包的修改進(jìn)行勸阻，限制必要的變更，且對所有的變更加以嚴(yán)格控制。 實施指南如果可能且可行，應(yīng)使用廠商提供的軟件包，而無需修改。在必須修改軟件包時，應(yīng)考慮下列各點：內(nèi)置控制措施和完整性過程被損壞的風(fēng)險；是否應(yīng)獲得廠商的同意；當(dāng)標(biāo)準(zhǔn)程序更新時，從廠商獲得所需要變更的可能性；信息泄露控制措施應(yīng)防止信息泄露的可能性。 實施指南應(yīng)考慮下列事項以限制信息泄露的風(fēng)險，如通過利用隱蔽通道泄露敏感數(shù)據(jù)：掃描可能隱藏信息的外發(fā)介質(zhì)和通信；調(diào)整應(yīng)用系統(tǒng)和通信的行為，以減少第三方從這些行為中推斷信息的可能性；監(jiān)視計算機(jī)系統(tǒng)的資源使用。系統(tǒng)驗收應(yīng)確保驗收新系統(tǒng)的要求和準(zhǔn)則被明確定義。新信息系統(tǒng)升級和新版本只有在獲得正式驗收后，才能進(jìn)入生產(chǎn)環(huán)節(jié)。技術(shù)脆弱性的控制控制措施應(yīng)及時得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息，從供應(yīng)商的官方網(wǎng)站或者相關(guān)的權(quán)威安全網(wǎng)站，獲得現(xiàn)用系統(tǒng)的技術(shù)脆弱性，評價組織對這些脆弱性的暴露程度，并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險。實施指南應(yīng)采取適當(dāng)?shù)?、及時的措施以響應(yīng)潛在的技術(shù)脆弱性。建立有效的技術(shù)脆弱性管理過程，應(yīng)遵循下面的指南：組織應(yīng)定義和建立與技術(shù)脆弱性管理相關(guān)的角色和職責(zé)，包括脆弱性監(jiān)視、脆弱性風(fēng)險評估、打補丁、資產(chǎn)追蹤和協(xié)調(diào)責(zé)任；一旦潛在的技術(shù)脆弱性被確定，組織應(yīng)識別相關(guān)的風(fēng)險并采取措施；這些措施可能包括對脆弱的系統(tǒng)打補丁，或者應(yīng)用其它控制措施；如果有可用的補丁，則應(yīng)評估安裝該補丁的風(fēng)險；在安裝補丁之前，應(yīng)進(jìn)行測試與評估，以確保它們是有效的，且不會導(dǎo)致不能容忍的負(fù)面影響；處于高風(fēng)險中的系統(tǒng)應(yīng)首先解決。公共網(wǎng)絡(luò)應(yīng)用服務(wù)的安全控制措施應(yīng)保護(hù)公共網(wǎng)絡(luò)中的應(yīng)用服務(wù)信息，以防止欺騙行為、合同糾紛、未授權(quán)泄露和修改。實施指南確保在與合作伙伴的溝通中，完整地告知了他們有關(guān)服務(wù)供給或使用的授權(quán)；合作伙伴間的應(yīng)用服務(wù)協(xié)議宜形成文件，該協(xié)議列出了雙方達(dá)成一致的服務(wù)條款對于業(yè)務(wù)數(shù)據(jù)的保護(hù)依據(jù)《信息資產(chǎn)分級分類表》進(jìn)行管理；確保訂單交易、支付信息、交付地址細(xì)節(jié)和接收確認(rèn)的保密性和完整性；針對各產(chǎn)品線的風(fēng)險評估活動依據(jù)《風(fēng)險評估管理制度》定期開展。應(yīng)用服務(wù)事務(wù)的保護(hù)1)控制措施保護(hù)應(yīng)用服務(wù)事務(wù)中的信息，以防止不完整的傳輸、錯誤路由、未授權(quán)的消息變更、未授權(quán)的泄露、未授權(quán)的消息復(fù)制或重放通過APP登陸系統(tǒng)進(jìn)行雙向認(rèn)證。Web站點通過https方式進(jìn)行加密傳輸；語音和信令是通過aes加密傳輸。2)實施指南對于業(yè)務(wù)數(shù)據(jù)、管理信息的保護(hù)依據(jù)嚴(yán)格的權(quán)限控制進(jìn)行管理；事務(wù)的所有方面，即確保：各方的用戶秘密鑒別信息是有效的并經(jīng)過驗證的；事務(wù)保持保密性；保持各方相關(guān)聯(lián)的隱私；加密涉及的各方間的通信路徑；在涉及的各方之間通信的協(xié)議是安全的；確保事務(wù)細(xì)節(jié)存儲于任何公開可訪問環(huán)境之外，如存儲于組織內(nèi)部互聯(lián)網(wǎng)的存儲平臺，不留在或暴露于互聯(lián)網(wǎng)可直接訪問的存儲介質(zhì)上；安全的開發(fā)環(huán)境控制措施組織宜針對覆蓋系統(tǒng)開發(fā)全生命周期的系統(tǒng)開發(fā)和集成活動，建立安全開發(fā)環(huán)境，并予以適當(dāng)保護(hù)。實施指南安全的開發(fā)環(huán)境包括與系統(tǒng)開發(fā)和集成相關(guān)的人員、過程和技術(shù)。組織宜評估與單個系統(tǒng)開發(fā)工作相關(guān)的風(fēng)險，并為特定系統(tǒng)的開發(fā)工作建立安全的開發(fā)環(huán)境，考慮：系統(tǒng)所處理、存儲和傳輸?shù)臄?shù)據(jù)的敏感性；適用的外部和內(nèi)部要求，如法律法規(guī)或策略的要求；組織已實現(xiàn)的支持系統(tǒng)開發(fā)的安全控制；工作環(huán)境中人員的可信度；分離不同開發(fā)環(huán)境的需求；訪問開發(fā)環(huán)境的控制；監(jiān)視環(huán)境及其所存儲代碼的變更；在安全的異地存儲備份；控制數(shù)據(jù)移入移出環(huán)境的活動。一旦特定開發(fā)環(huán)境的保護(hù)級別被確定，組織宜將相應(yīng)的過程形成安全開發(fā)規(guī)程文件并提供給有需要的人員。項目管理中的信息安全控制措施宜關(guān)注項目管理中的信息安全問題，無論何種類型的項目。。實施指南項目啟動前對人員和技術(shù)風(fēng)險評估及合同評估。根據(jù)客戶要求簽訂保密協(xié)議。使用的項目管理方法宜要求：信息安全目的被納入項目目的；為識別必要的控制，在項目的早期階段宜進(jìn)行信息安全風(fēng)險評估；信息安全作為所采用的項目管理方法各個階段的一部分。在所有項目中宜解決和定期評審信息安全問題。宜定義信息安全責(zé)任，并分配給在項目管理方法中定義的特定角色。支持文件《軟件開發(fā)安全管理辦法》《源代碼安全管理制度》《訊鳥軟件測試規(guī)范》《詳