文档介绍:软件开发安全管理办法
目录
目的 2
适用范围 2
依据标准和文件 2
职责分工 2
术语和定义 2
管理细则 2
2
.软件开发项目管理 3
.开发安全管理 3
目的
为规范公司的开发管理,软件开发安全管理办法
目录
目的 2
适用范围 2
依据标准和文件 2
职责分工 2
术语和定义 2
管理细则 2
2
.软件开发项目管理 3
.开发安全管理 3
目的
为规范公司的开发管理,进一步加强应用系统软件开发过程及开发交付的安全性,特制定本管理办法。
适用范围
适用于公司软件开发过程的安全管理。
依据标准和文件
GB/T22080-2016/ISO/IEC27001:2013《信息技术安全技术信息安全
管理体系要求》
GB/T22081-2016/ISO/IEC27002:2013《信息技术安全技术信息安全
管理实用规则》
职责分工
信息安全工作小组:负责组织编写并推广本管理办法;
各开发部各产品(项目)或系统开发组:负责软件开发。
测试部:开发完成后的测试和试运行。
系统服务部:正式运行的维护工作。
术语和定义
1) 缓冲区溢出:指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上;通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。
2) 静态代码分析:指在不运行代码的方式下,通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全可靠性、可维护性等指标的一种代码分析技术。
管理细则
符合开发条件的软件项目应该是能够有效利用现有的资源,开拓新业务;或
能有效地提高生产效率,减少工作中机械繁琐操作的项目。
软件开发可以采用下列三种开发方式之一:
a)自主开发:由需求部门或公司自主开发。
软件开发项目管理
软件开发项目的整体流程包括项目建议及审批、需求分析、系统设计、系统实现、测试及试运行、系统验收、上线运行维护升级等阶段。
开发安全管理
安全需求分析
安全需求分析在项目需求分析阶段完成,具体要求如下:
1) 项目组首先在应用系统实现的业务功能的基础上进行风险评估,识别应用系统所涉及的重要的信息资产,分析由于故障或安全问题可能导致的潜在损失,分析为保护这些信息资产、避免重大损失而应采取的控制措施。
2) 项目组人员应调研应用系统开发完成后的系统维护人员、系统应用人员及网络安全管理人员,提取硬件部署、平台搭建、网络架构等方面的安全需求,将相关的安全需求和建议作为获取安全设计的依据。
3) 根据风险分析以及充分调研的结果,对应用系统的基本安全功能和安全功能的强度进行需求确认。
4) 安全需求分析应在项目详细的需求分析文档中用独立章节进行详细描述,包括对每个基本安全功能实现的必要性陈述以及不能实现某种安全功能的原因。
系统设计安全
系统安全设计是系统设计阶段重要组成部分,具体要求:
1) 应用系统应满足系统对于身份认证的需求,应明确提出用户身份认证的强度以及认证失败后的处置方式。
2)