软件安全系统系统白皮书指标.pdf

实用标准 软件安全白皮书指标 前言 介于我司现阶段对于软件产品项目的质量及安全性要求， 特此制作此文， 以便日后工作对应 开展及提升品牌价值，软件产品质量做出指导性描述。 目的 安全性是软件的质量的一个重要属性。 狭义较多关注软件的失效安全性问题， 即软件运行不 引起系统事故的能力，强调的是一类安全关键软件的安全性失效可能造成重大安全，生产， 及核心数据丢失等高风险事故， 因此对于失效安全性的度量主要简历在可靠性理论基础的安 全度，失效度，平均事故间隔，软件事故率等。对于失效安全性测试，常用测试方法目前有 基于故障树的测试基于最小割集测试。对于保密安全性。 ISO9126 质量模型将其定义为与 防止对程序和数据进行非法存储的预防能力有关的质量属性。 软件安全性是软件在收到恶意 攻击时仍提供所需功能的能力。 以此为作为软件自身的一个质量管理重要系数， 因此特别指 定此指标 1. 白皮书格式要求 1.标题标头：包含明确的产品及时间信息 2. 前言：包含软件自身的需求关系和基础定义，方向目的等 3. 术语定义：文章中出现的对应学术名词或专业名词的一个标准化解释 4. 自安全：自身安全逻辑，一般包括组织安全，法规安全，人员安全等 5. 数据安全：对于数据的安全体系要求，及配套的保密规则 6. 应用安全：软件自身功能是否存在逻辑漏洞，是否存在其他数据被调用转出 文案大全 实用标准 7. 系统 环境（逻辑）安全：对于软件逻辑，开发系统配置的具体要求 8. 环境（物理）安全：对于服务器或端口及使用人的一部分约束要求 9. 灾难恢复与业务连续性（容错）：对于软件自身的一定管控要求 2. 安全测试分类 安全功能测试 1.安全功能目的测试 2. 安全漏洞测试 渗透测试 1.信息渗透测试 2. 注入渗透测试 验证过程测试 3. 安全指标的选择 基于产品本身的需求作为出发点，根据不同的环境及时间周期，制定不同的安全指标 文案大全 实用标准 4. 基于组织或个人的安全指标 1. 基于人 1.1 尽职调查 在职软工，我司需要在国家法律法规允许的情况，通过一系列背景调查手段确保入职的 员工符合公司的行为准则，保密规定，商业道德和信息安全政策，背景调查手段涉及刑事、 职业履历和信息安全等发面，背景调查的程度取决于岗位的需求 1.2 安全生产调查 在入职后，所有员工必须签署保密协议，确认收到并准守我司的安全策略和保密要求， 尤其有关于核心数据的机密性要求， 将在入职培训过正中被重点强调。 此外应对于核心数据 岗位定期进行额外信息安全培训， 确保员工管理的数据必须按照安全策略进行执行， 同时通 过企业价值观， 核心价值观， 自身价值观来多维确认员工是否诚信， 敬业的态度管理其每一 个项目数据，保证其对于需求方，合作伙伴和竞争对手的尊重；建立内部反安全应对策略 2. 基于合规 2.1 基于安全体系 1 ）IOS/IEC 27002 ，推动信息安全体系（ ISMS ）建立与实施，采用以风险管理为核心 的方法管理公司和用户信息，保障信息的保密性，完整性及可用性 ;安全审计团队依据该安 全标准，审批软件技术方案与技术框架内部信息的安全管理同国际信息安全最佳实践接轨， 完成对于软件整体附加值的提升 文案大全 实用标准 2 ）等级保护基础要求：根据国家下发的《关于信息安全等级保护工作的实施意见》、 《信息安全等级保护管理办法》 开展信息安全你等级保护工作，主要是指对国家、 法人