YD_T 3763.6-2021 研发运营一体化（DevOps）能力成熟度模型 第6部分：安全及风险管理.docx

ICS 35.020 L70 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3763.6—2021 研发运营一体化 (DevOps) 能力成熟度模型 第6部分：安全及风险管理 The capability maturity model of devops—Part 6: security risk management 2021-05-17发布 2021-07-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3763.6—2021 目 次 前言 Ⅱ 1 范围 1 2 规范性引用文件 1 3 术语、定义及缩略语 1 4 安全及风险管理 4 5 研发运营一体化控制通用风险 4 5.1 组织建设和人员管理 4 5.2 安全工具链 8 5.3 基础设施管理 8 5.4 第三方管理 8 5.5 数据管理 8 5.6 度量与反馈改进 8 6 研发运营一体化控制开发过程风险 8 6.1 需求管理 8 6.2 设计管理 9 6.3 开发过程管理 9 7 研发运营一体化控制交付过程风险 10 7.1 配置管理 12 7.2 构建管理 12 7.3 测试管理 12 7.4 部署与发布管理 12 8 研发运营一体化控制技术运营过程的安全风险 12 8.1 安全监控 12 8.2 运营安全 12 8.3 应急响应 12 8.4 运营反馈 13 Ⅱ YD/T 3763.6—2021 前 言 本标准是研发运营一体化 (DevOps) 能力成熟度模型系列标准之一。该系列标准的结构及名称如下： ——研发运营一体化 (DevOps) 能力成熟度模型第1部分：总体架构； 研发运营一体化 (DevOps) 能力成熟度模型第2部分：敏捷开发管理： ——研发运营一体化 (DevOps) 能力成熟度模型第3部分：持续交付； ——研发运营一体化 (DevOps) 能力成熟度模型第4部分：技术运营； ——研发运营一体化 (DevOps) 能力成熟度模型第5部分：应用设计； ——研发运营一体化 (DevOps) 能力成熟度模型第6部分：安全及风险管理； ——研发运营一体化 (DevOps) 能力成熟度模型第7部分：评估方法； ——研发运营一体化 (DevOps) 能力成熟度模型第8部分：系统和工具技术要求。 本部分是第6部分：安全及风险管理 本部分按照GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由中国通信标准化协会提出并归口。 本部分起草单位：中国信息通信研究院、北京华佑科技有限公司、腾讯云计算(北京)有限责任公 司、阿里巴巴(中国)有限公司、 OPPO 广东移动通信有限公司、奇安信科技集团股份有限公司、浙江 蚂蚁小微金融服务集团股份有限公司、杭州安恒信息技术股份有限公司、北京金山云网络技术有限公司、 中国移动通信集团有限公司、中国联合网络通信集团有限公司、普元信息技术股份有限公司、畅捷通信 息技术股份有限公司、苏宁消费金融有限公司、中软国际科技服务有限公司。 本部分主要起草人：牛晓玲、萧田国、刘凯铃、景韵、张嵩、赵锐、韩方、韩晓光、庄飞、李青、 李滨、张祖优、武鑫、程岩、袁明坤、杨廷峰、毛茂德、陈雪秀、郑锐、王广清、郭雪、张娜、邸望春、 王晓翔、侯大鹏、公丽丽、王永霞、程莹、张婷婷、叶林、周麟、王浏明、李明亮、王迪、李卜、熊昌 伟、戚文平、顾黄亮、王云峰、马婷、李励立。 YD/T 3763.6—2021 研发运营一体化 (DevOps) 能力成熟度模型 第6部分：安全及风险管理 1 范围 本部分规定了IT 软件或相关服务在采用研发运营一体化 (DevOps) 统一开发模式下，如何保障IT 软件和相关服务的安全，进行风险管理。 本部分适用于具备IT 软件研发交付运营能力的组织实施IT 软件开发和服务过程的能力进行评价和指 导；可供其他相关行业或组织进行参考；也可作为第三方权威评估机构衡量软件开发交付成熟的标准依据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 37988—2019 信息安全技术数据安全能力成熟度模型 3 术语、定义及缩略语 3.1 术语及定义 下列术语和定义适用于本文件。 3.1.1 安全基线