ISO2700軟件開發安全控制程序_第1頁
ISO2700軟件開發安全控制程序_第2頁
ISO2700軟件開發安全控制程序_第3頁
ISO2700軟件開發安全控制程序_第4頁
ISO2700軟件開發安全控制程序_第5頁
已閱讀5頁,還剩1頁未讀 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、軟件開發安全控制程(依據ISO27001標準)1.目的為規范公司軟件開發的安全管理,包括軟件系統從計劃、需求、設 計、開發、測試、部署過程中的安全管理,特制定本程序。.范圍本程序適用于公司的軟件系統在需求分析、開發測試、上線運行階 段的安全管理,包括軟件外包開發的安全管理。.職責與權限技術部負責公司相關信息系統的軟件開發、外包軟件開發過程的安全管理, 以及軟件開發相關文檔及軟件源代碼的歸檔保管。其他部門其他相關部門協助技術部進行軟件/系統需求收集、分析、系統測試 等工作。.相關文件a)軟件控制程序.術語定義無.控制程序軟件開發任務提出公司根據客戶反饋和調研,編寫用戶需求分析報告,經過公司總經

2、理批準后,交付技術部進行設計開發。軟件開發的策劃技術部在接到用戶需求后,首先要判斷可行性,如果接受,技術部 根據用戶申請書和要求部門共同協商,編寫軟件設計開發計劃,明確設計開發的各個階段評審與測試要求及設計開發人員的職責與權限,設計開發計劃方案由要求部門和技術部負責人共同批準后予以實施;必要時, 如果對計劃進行更改也需要獲得雙方經理共同批準。軟件設計開發計劃 應包括以下內容:a)軟件功能要求;b)詳盡的業務流程;c)信息安全要求;d)時間進度要求;e)設計開發的各個階段評審與測試要求;f)設計開發人員的職責與權限;g)其它要求,例如在復雜系統環境下,應考慮業務信息系統互聯相 關的信息,并考慮安

3、全保護。軟件開發方案的評審及開發過程控制技術部應根據軟件設計開發計劃的要求,編制軟件設計開發方 案,由技術部負責人對方案的技術可行性及系統的安全性進行確認。對于大型軟件開發方案應由設計開發人員、應用部門(用戶) 人員、內部IT方面的專家共同進行評審。方案確認與審批的結果及任 何必要的措施應予以記錄。軟件設計開發方案應包括以下內容:a)確定軟件開發工具;應用系統功能;c)業務實現流程;d)輸入數據確認要求;e)必要時,系統內部數據確認檢查的要求;f)輸出數據的確認要求;g) 應用系統的安全要求;h)對系統硬件配置的要求;i)系統驗收標準。軟件開發人員的要求軟件設計開發人員須經技術部負責人授權,并

4、應具備一定的軟件開 發能力和良好的職業道德。軟件開發的環境要求在進行軟件開發時,應采取適宜的方法將開發、測試與運營設施分離:a)開發與運營應當在不同的環境;b)進行黑盒與白盒測試時,測試系統應該獨立于上述兩系統。c)進行單元測試時,測試系統可與開發系統共存,但必須獨立于運 營系統。d)進行集成測試、確認測試、驗收測試以及系統測試時,測試系統 應該獨立于上述兩系統。e)進行測試時,測試人員應首先確保測試系統與其他系統不得處于 公司內部局域網同一子網網段。技術部負責人可隨時抽查測試人員是否違反上述要求,一經發現,視情節輕重對相關責任人進行處罰。軟件開發的變更控制在設計開發過程中,涉及到系統功能、安

5、全技術要求的更改應經過 技術部負責人批準后予以實施,并經過測試合格后方可投入使用。軟件的測試與試運行源程序編制好以后,應在規定的測試環境條件并依據軟件測試 要求由軟件設計開發負責人組織有關人員進行測試,編寫應用軟件測試報告。當軟件含有數據處理功能時,軟件測試活動應包括以下方面的內容:a)應用測試數據,驗證內部數據處理的正確性;b)應用測試數據,確認輸出數據的正確性并與環境相適應。當系統測試數據使用業務數據,并且包含敏感信息時,應按以 下要求對測試數據進行保護:a)用于運作系統的訪問控制過程也應用于測試系統;b)將業務數據每一次復制或導入到測試應用系統前,應被系統主管 部門授權;c)測試完成之后

6、,應立即從測試系統中消除測試用的文件、用戶名 及口令等。d)如果選擇的是真實數據,測試完成后必須刪除全部數據。應用部門(用戶)在試運行期間,應將使用中存在的問題及時 反饋給技術部進行修改。試運行結束后,應形成正式的軟件驗收報告, 由技術部和應用部門(用戶)負責人簽字認可,投入使用。源程序庫(程序源代碼)管理及技術文檔管理為降低計算機程序被破壞的可能性,設計開發軟件的源程序庫應按以下要求實施管理:a)源程序庫不應保存在運作系統中;b)各項應用應指定源程序庫管理員;c)信息技術維護人員不應自由訪問源程序庫。軟件開發部門應明確源代碼管理責任人及保存方式。源程序的管理應包括歷史版本的管理,可通過Microsoft VSS、 SVN等版本管理軟件進行管控。軟件開發部門應及時備份和回收程序的源代碼,做好源代碼及 相關文檔的歸檔保管,防止源代碼及技術文檔的泄露。軟件外包開發的管理對于軟件外包開發時,公司應加強對外包軟件開發的監視及管 理。包括但不限于以下要求:a)選擇有相關資質及項目經驗的軟件外包開發商;b)與軟件外包開發方簽訂合同及保密協議,并明確代碼質量及安全 功能要求;c)應明確外包開發的軟件知識產權及許可證使用;d)定期對軟件外包開發方工作進行評審。對于外包開發人員要使用公司網絡環境的,應經過技術部負責 人授權

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論