ISO2700软件开发安全控制程序_第1页
ISO2700软件开发安全控制程序_第2页
ISO2700软件开发安全控制程序_第3页
ISO2700软件开发安全控制程序_第4页
ISO2700软件开发安全控制程序_第5页
已阅读5页,还剩1页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、软件开发安全控制程(依据ISO27001标准)1.目的为规范公司软件开发的安全管理,包括软件系统从计划、需求、设 计、开发、测试、部署过程中的安全管理,特制定本程序。.范围本程序适用于公司的软件系统在需求分析、开发测试、上线运行阶 段的安全管理,包括软件外包开发的安全管理。.职责与权限技术部负责公司相关信息系统的软件开发、外包软件开发过程的安全管理, 以及软件开发相关文档及软件源代码的归档保管。其他部门其他相关部门协助技术部进行软件/系统需求收集、分析、系统测试 等工作。.相关文件a)软件控制程序.术语定义无.控制程序软件开发任务提出公司根据客户反馈和调研,编写用户需求分析报告,经过公司总经

2、理批准后,交付技术部进行设计开发。软件开发的策划技术部在接到用户需求后,首先要判断可行性,如果接受,技术部 根据用户申请书和要求部门共同协商,编写软件设计开发计划,明确设计开发的各个阶段评审与测试要求及设计开发人员的职责与权限,设计开发计划方案由要求部门和技术部负责人共同批准后予以实施;必要时, 如果对计划进行更改也需要获得双方经理共同批准。软件设计开发计划 应包括以下内容:a)软件功能要求;b)详尽的业务流程;c)信息安全要求;d)时间进度要求;e)设计开发的各个阶段评审与测试要求;f)设计开发人员的职责与权限;g)其它要求,例如在复杂系统环境下,应考虑业务信息系统互联相 关的信息,并考虑安

3、全保护。软件开发方案的评审及开发过程控制技术部应根据软件设计开发计划的要求,编制软件设计开发方 案,由技术部负责人对方案的技术可行性及系统的安全性进行确认。对于大型软件开发方案应由设计开发人员、应用部门(用户) 人员、内部IT方面的专家共同进行评审。方案确认与审批的结果及任 何必要的措施应予以记录。软件设计开发方案应包括以下内容:a)确定软件开发工具;应用系统功能;c)业务实现流程;d)输入数据确认要求;e)必要时,系统内部数据确认检查的要求;f)输出数据的确认要求;g) 应用系统的安全要求;h)对系统硬件配置的要求;i)系统验收标准。软件开发人员的要求软件设计开发人员须经技术部负责人授权,并

4、应具备一定的软件开 发能力和良好的职业道德。软件开发的环境要求在进行软件开发时,应采取适宜的方法将开发、测试与运营设施分离:a)开发与运营应当在不同的环境;b)进行黑盒与白盒测试时,测试系统应该独立于上述两系统。c)进行单元测试时,测试系统可与开发系统共存,但必须独立于运 营系统。d)进行集成测试、确认测试、验收测试以及系统测试时,测试系统 应该独立于上述两系统。e)进行测试时,测试人员应首先确保测试系统与其他系统不得处于 公司内部局域网同一子网网段。技术部负责人可随时抽查测试人员是否违反上述要求,一经发现,视情节轻重对相关责任人进行处罚。软件开发的变更控制在设计开发过程中,涉及到系统功能、安

5、全技术要求的更改应经过 技术部负责人批准后予以实施,并经过测试合格后方可投入使用。软件的测试与试运行源程序编制好以后,应在规定的测试环境条件并依据软件测试 要求由软件设计开发负责人组织有关人员进行测试,编写应用软件测试报告。当软件含有数据处理功能时,软件测试活动应包括以下方面的内容:a)应用测试数据,验证内部数据处理的正确性;b)应用测试数据,确认输出数据的正确性并与环境相适应。当系统测试数据使用业务数据,并且包含敏感信息时,应按以 下要求对测试数据进行保护:a)用于运作系统的访问控制过程也应用于测试系统;b)将业务数据每一次复制或导入到测试应用系统前,应被系统主管 部门授权;c)测试完成之后

6、,应立即从测试系统中消除测试用的文件、用户名 及口令等。d)如果选择的是真实数据,测试完成后必须删除全部数据。应用部门(用户)在试运行期间,应将使用中存在的问题及时 反馈给技术部进行修改。试运行结束后,应形成正式的软件验收报告, 由技术部和应用部门(用户)负责人签字认可,投入使用。源程序库(程序源代码)管理及技术文档管理为降低计算机程序被破坏的可能性,设计开发软件的源程序库应按以下要求实施管理:a)源程序库不应保存在运作系统中;b)各项应用应指定源程序库管理员;c)信息技术维护人员不应自由访问源程序库。软件开发部门应明确源代码管理责任人及保存方式。源程序的管理应包括历史版本的管理,可通过Microsoft VSS、 SVN等版本管理软件进行管控。软件开发部门应及时备份和回收程序的源代码,做好源代码及 相关文档的归档保管,防止源代码及技术文档的泄露。软件外包开发的管理对于软件外包开发时,公司应加强对外包软件开发的监视及管 理。包括但不限于以下要求:a)选择有相关资质及项目经验的软件外包开发商;b)与软件外包开发方签订合同及保密协议,并明确代码质量及安全 功能要求;c)应明确外包开发的软件知识产权及许可证使用;d)定期对软件外包开发方工作进行评审。对于外包开发人员要使用公司网络环境的,应经过技术部负责 人授权

人人文库> 全部分类> 行业资料 > 信息产业

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论