ISO27001软件开发安全控制程序.docx

《ISO27001软件开发安全控制程序.docx》由会员分享，可在线阅读，更多相关《ISO27001软件开发安全控制程序.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、软件开发安全掌握程序依据 ISO27001 标准1. 目的为标准公司软件开发的安全治理，包括软件系统从打算、需求、设计、开发、测试、部署过程中的安全治理，特制定本程序。2. 范围本程序适用于公司的软件系统在需求分析、开发测试、上线运行阶段的安全治理，包括软件外包开发的安全治理。3. 职责与权限3.1 技术部负责公司相关信息系统的软件开发、外包软件开发过程的安全治理， 以及软件开发相关文档及软件源代码的归档保管。3.2 其他部门其他相关部门帮助技术部进展软件/系统需求收集、分析、系统测试等工作。4. 相关文件a)软件掌握程序5. 术语定义无6. 掌握程序6.1 软件开发任务提出公司依据客户反响和

2、调研，编写用户需求分析报告，经过公司总经理批准后，交付技术部进展设计开发。6.2 软件开发的筹划技术部在接到用户需求后，首先要推断可行性，假设承受， 技术部依据用户申请书和要求部门共同协商，编写软件设计开发打算，明确设计开发的各个阶段评审与测试要求及设计开发人员的职责与权限，设计开发打算方案由要求部门和技术部负责人共同批准后予以实施；必要时， 假设对打算进展更改也需要获得双方经理共同批准。软件设计开发打算应包括以下内容：a) 软件功能要求；b) 详尽的业务流程；c) 信息安全要求；d) 时间进度要求；e) 设计开发的各个阶段评审与测试要求；f) 设计开发人员的职责与权限；g) 其它要求，例如在

3、简单系统环境下，应考虑业务信息系统互联相关的信息，并考虑安全保护。6.3 软件开发方案的评审及开发过程掌握6.3.1 技术部应依据软件设计开发打算的要求，编制软件设计开发方案，由技术部负责人对方案的技术可行性及系统的安全性进展确认。6.3.2 对于大型软件开发方案应由设计开发人员、应用部门用户 人员、内部 IT 方面的专家共同进展评审。方案确认与审批的结果及任何必要的措施应予以记录。6.3.3 软件设计开发方案应包括以下内容：a) 确定软件开发工具；b) 应用系统功能；c) 业务实现流程；d) 输入数据确认要求；e) 必要时，系统内部数据确认检查的要求；f) 输出数据确实认要求；g) 应用系统

4、的安全要求；h) 对系统硬件配置的要求；i) 系统验收标准。6.3.4. 软件开发人员的要求软件设计开发人员须经技术部负责人授权，并应具备肯定的软件开发力量和良好的职业道德。6.3.5. 软件开发的环境要求在进展软件开发时，应实行适宜的方法将开发、测试与运营设施分别：a) 开发与运营应当在不同的环境；b) 进展黑盒与白盒测试时，测试系统应当独立于上述两系统。c) 进展单元测试时，测试系统可与开发系统共存，但必需独立于运营系统。d) 进展集成测试、确认测试、验收测试以及系统测试时，测试系统应当独立于上述两系统。e) 进展测试时，测试人员应首先确保测试系统与其他系统不得处于公司内部局域网同一子网网

5、段。技术部负责人可随时抽查测试人员是否违反上述要求，一经觉察， 视情节轻重对相关责任人进展惩罚。6.3.6. 软件开发的变更掌握在设计开发过程中，涉及到系统功能、安全技术要求的更改应经过技术部负责人批准后予以实施，并经过测试合格前方可投入使用。6.4 软件的测试与试运行6.4.1 源程序编制好以后，应在规定的测试环境条件并依据软件测试要求由软件设计开发负责人组织有关人员进展测试，编写应用软件测试报告。6.4.2 当软件含有数据处理功能时，软件测试活动应包括以下方面的内容：a) 应用测试数据，验证内部数据处理的正确性；b) 应用测试数据，确认输出数据的正确性并与环境相适应。6.4.3 当系统测试

6、数据使用业务数据，并且包含敏感信息时，应按以下要求对测试数据进展保护：a) 用于运作系统的访问掌握过程也应用于测试系统；b) 将业务数据每一次复制或导入到测试应用系统前，应被系统主管部门授权；c) 测试完成之后，应马上从测试系统中消退测试用的文件、用户名及口令等。d) 假设选择的是真实数据，测试完成后必需删除全部数据。6.4.4 应用部门用户在试运行期间，应将使用中存在的问题准时反响给技术部进展修改。试运行完毕后，应形成正式的软件验收报告， 由技术部和应用部门用户负责人签字认可，投入使用。6.5 源程序库程序源代码)治理及技术文档治理6.5.1 为降低计算机程序被破坏的可能性，设计开发软件的源

7、程序库应按以下要求实施治理：a) 源程序库不应保存在运作系统中；b) 各项应用应指定源程序库治理员；c) 信息技术维护人员不应自由访问源程序库。6.5.2 软件开发部门应明确源代码治理责任人及保存方式。6.5.3 源程序的治理应包括历史版本的治理，可通过 Microsoft VSS、SVN 等版本治理软件进展管控。6.5.4 软件开发部门应准时备份和回收程序的源代码，做好源代码及相关文档的归档保管，防止源代码及技术文档的泄露。6.6 软件外包开发的治理6.6.1 对于软件外包开发时，公司应加强对外包软件开发的监视及治理。包括但不限于以下要求：a) 选择有相关资质及工程阅历的软件外包开发商；b) 与软件外包开发方签订合同及保密协议，并明确代码质量及安全功能要求；c) 应明确外包开发的软件学问产权及许可证使用；d) 定期对软件外包开发方工作进展评审。6.6.2 对于外包开发人员要使用公司网络环境的，应经过技术部负责人授权，并且只能开通相应工作范围内的最小访问权限，且开发测试环境与公司实际生产运行环境应分别。6.6.3 对于外包开发的软件，在安装上线前应进展适当的安全检测， 如恶意代码及特洛伊木马的检测。7 附件、记录7.1 软件开发测试过程中的各种记录