软件系统安全测试管理规范.docVIP

软件系统安全测试管理规范 软件系统安全测试管理规范 PAGE上海理想信息产业（集团）有限公司 PAGE 4 软件系统安全测试管理规范 软件系统安全测试 管理规范 上海理想信息产业（集团）有限公司 TIME \@ yyyy年M月d日 2017年8月15日 版本历史 版本 提案人 批准人 日期 描述 甘XX 初建  【目录】 TOC \o 1-3 \h \z \u 1 概述 5 编写目的 5 适用范围 5 角色定义 5 参考资料 5 2 项目背景 6 3 软件系统安全测试流程 7 4 测试准备 9 测试准备 9 测试对象 9 测试范围 9 工作权责 9 测试方案 10 测试准备 10 测试分析 11 制作测试用例 12 实施测试方法 13 回归测试方法 14 测试计划 14 实施测试 15 回归测试 15 测试总结 15 上海理想信息产业（集团）有限公司 PAGE 15 概述 编写目的 建立和完善-系统安全测试管理制度。规范软件系统安全测试各环节的要求、规范各岗位人员的工作职责、明确软件系统安全测试实施过程中的管理行为及文档要求。 以规范化的文档指导软件系统安全测试工作，提升管理效率、降低项目风险。 适用范围 本规范适用于智能信息化系统建设项目软件安全测试管理过程。 角色定义 角色简称 角色定义 备注 总集PM 总集方负责业务系统的项目经理 信息中心PM 信息中心负责业务系统的项目经理 信息中心主任 信息中心负责人 厂商接口人 软件厂商负责学校的负责人 安全测试人员 安全测试团队成员 参考资料 参考文件 备注 项目背景 校园内信息化软件众多，这些软件不光承载着学校核心业务，同时还生成、处理、存储着学校的核心敏感信息：账户、隐私、科研、薪资等，一旦软件的安全性不足，将可能造成业务中断、数据泄露等问题的出现。 希望通过规范软件系统安全测试管理，改善和提高学校软件安全测试水准，将学校软件系统可能发生的风险控制在可以接受的范围内，提高系统的安全性能。 软件系统安全测试流程 软件系统安全测试流程分为6个阶段： 测试准备：确定测试对象、测试范围、测试相关人员权责； 测试方案：按要求整理撰写《安全测试方案》，并完成方案审批； 测试计划：测试方案通过后，协调确认各相关人员时间，形成测试计划； 实施测试：按计划实施软件安全测试工作，输出《软件安全测试报告》； 回归测试：问题修复，回归测试循环进行，直到没有新的问题出现； 测试总结：测试过程总结，输出文档评审，相关文档归档。 其整体流程见流程图（下图）： 测试准备 测试准备 明确本次安全测试的软件系统及其测试范围，并对涉及各方权责做出说明 测试对象 软件系统名称，软件厂商信息、软件开发语言等 LINK C:\\Users\\Administrator\\Desktop\\新建 Microsoft Excel 工作表.xlsx 系统信息!R3C4:R9C5 \a \f 4 \h 系统信息 开发商： 　 体系结构： 　 编程语言： 　 操作系统： 　 WEB服务器： 　 数据库： 　 测试范围 软件内部程序、软件外部接口、数据库、网络服务器环境等 工作权责 序号 涉及各方 权责说明 1 安全测试团队 1、? 组织讨论、编写安全测试方案并通过评审 2、? 测试人员分工安排 3、? 搭建安全测试环境 4、? 安全测试实施 2 图信 1、? 参与讨论并确认测试方案 2、? 进行程序开发或修改等集成相关的实施工作 3 总集 1、? 协调安全测试团队 2、 审核安全测试团队制定的安全测试方案 3、 其他协调配合工作 4 系统厂商 1、? 提供测试软件的相关信息 2、? 其他协调配合工作 测试方案 安全测试团队根据软件构成、软件环境以及图信安全需求编制《X软件系统安全测试方案》 ； 此方案要求图信PM、总集PM均审核通过； 若审核未通过，由安全测试团队根据反馈建议，针对未通过的业务内容进行修改或重新调研，完成后进行再提交审核 。 软件系统安全测试方案至少要覆盖以下内容： 测试准备（对象、范围、分工） 测试分析（系统分析、威胁分析） 制作测试用例 实施测试方法 回归测试方法 测试准备 明确本次安全测试的软件系统及其测试范围，并对涉及各方权责做出说明 测试分析 测试分析主要是熟悉被测系统，