ISO27001：2013软件开发安全管理办法.pdfVIP

XXXXXX软件有限公司 人性化科技提升业绩 软件开发安全管理办法 目 录 1. 目的 2 2.适用范围 2 3.依据标准和文件 2 4.职责分工 2 5.术语和定义 3 6. 管理细则 3 6.1.开发条件及方式 3 6.2.软件开发项目管理 3 6.3.开发安全管理 4 第 1 页 共 8 页 内部公开 【软件开发安全管理办法】 F4-C- 研发服务体系 -013-V1.0 1. 目的 为规范公司的开发管理，进一步加强应用系统软件开发过程 及开发交付 的安全性，特制定本管理办法。 2. 适用范围 适用于公司软件开发过程的安全管理。 3. 依据标准和文件 GB/T 22080-2016/ISO/IEC 27001:2013 《信息技术安全技术信息安全 管理体系要求》 GB/T 22081-2016/ISO/IEC 27002:2013 《信息技术安全技术信息安全 管理实用规则》 4. 职责分工 信息安全工作小组：负责组织编写并推广本管理办法； 各开发部各产品（项目）或系统开发组：负责软件开发。 测试部：开发完成后的测试和试运行。 系统服务部：正式运行的维护工作。 第 2 页 共 8 页 内部公开 【软件开发安全管理办法】 F4-C- 研发服务体系 -013-V1.0 5. 术语和定义 1) 缓冲区溢出：指当计算机向缓冲区内填充数据位数时超过了缓冲区本身 的 容量溢出的数据覆盖在合法数据上；通过往程序的缓冲区写超出其长 度的 内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或 使程序 转而执行其它指令，以达到攻击的目的。 2) 静态代码分析：指在不运行代码的方式下，通过词法分析、语法分析、控 制流分析等技术对程序代码进行扫描，验证代码是否满足规范性、安全可 靠性、可维护性等指标的一种代码分析技术。 6. 管理细则 6.1. 开发条件及方式 6.1.1. 开发条件 符合开发条件的软件项目应该是能够有效利用现有的资源，开拓新业务； 或能有效地提高生产效率，减少工作中机械繁琐操作的项目。 6.1.2. 开发方式 软件开发可以采用下列三种开发方式之一： a) 自主开发：由需求部门或公司自主开发。 6.2. 软件开发项目管理 软件开发项目的整体流程包括项目建议及审批、需求分析、系统设 计、系统实现、测试及试运行、系统验收、上线运行维护升级等阶段。 第 3 页 共 8 页 内部公开