- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
信息系统获取、开发与维护管理制度
目 录
1. 目的和范围 2
2. 引用文件 2
3. 职责和权限 2
4. 确定信息系统安全需求 2
5. 在应用中建立安全措施 错误!未定义书签。
5.1. 输入数据验证 错误!未定义书签。
5.2. 内部处理的控制 错误!未定义书签。
5.3. 输出数据验证 错误!未定义书签。
6. 密码控制 3
6.1. 使用密码控制的策略 3
6.2. 密钥管理 4
7. 系统文件的安全 4
7.1. 运行软件的控制 4
7.2. 系统测试数据的保护 5
7.3. 对程序源代码的访问控制 5
7.4. 测试和运行设施分离 5
7.5. 系统安全性测试 6
8. 开发和支持过程中的安全 6
8.1. 变更控制制度 6
8.2. 操作系统变更后应用的技术评审 6
8.3. 软件包变更的限制 6
8.4. 信息泄露 7
8.5. 系统验收 7
9. 技术脆弱性的控制 7
10. 公共网络应用服务的安全 8
11. 安全的开发环境 8
12. 项目管理中的信息安全 10
13. 支持文件 10
1. 目的和范围
为确保安全成为所开发的信息系统一个有机组成部分,保证开发过程安全,特制定本程序。适用于本公司所有信息系统的开发活动,信息系统内在安全性的管理。本制度作为软件开发项目管理规定的补充,而不是作为软件开发项目管理的整体规范。
2. 引用文件
1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求
3)GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则
3. 职责和权限
开发部门:负责信息系统开发过程中的安全管理,负责保证开发过程安全。
测试部门:负责信息系统测试过程中的安全管理,负责测试过程安全。源代码管理人员负责源代码的安全管理。
4. 确定信息系统安全需求
1)控制描述
在新的信息系统或增强已有信息系统的业务要求陈述中,应规定对安全控制措施
的要求。
2)安全要求在软件开发生命周期中的分布如下图所示:
问题定义
问题定义
软件开发计划
包含安
全要求
风险
评估
需求分析
需求说明书
总体设计
详细设计
安全
功能实施
编码
测试
测试安全要求
维护
更改安全要求
3)安全需求分析内容可包括以下项:
? 确认需要保护的资产;
? 评估这些资产需要采取什么安全控制措施;
? 考虑是否在系统中加入自动安全控制措施还是建立人工安全控制措施。
4)需求开发与需求管理过程
参见《软件开发安全管理办法》的需求开发与需求管理过程的管理部分。
5. 密码控制
5.1.使用密码控制的策略
1)控制描述
应开发和实施使用密码控制措施来保护信息的策略。
2)实施指南
制定密码策略时,应考虑下列(但不仅限于)内容:
? 组织间使用密码控制的管理方法,包括保护业务信息的一般原则;
? 使用加密技术保护通过可移动介质、设备或者通过通信线路传输的敏感信息;
? 基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量;
? 加密可能带来不利影响。由于某些控制措施依赖于内容检查,要求数据处
于未加密状态(应确认加密前的病毒检测)。
5.2.密钥管理
1)控制描述
应有密钥管理以支持组织使用密码技术。
2)实施指南
应保护所有的密码密钥免遭修改、丢失和毁坏。另外,秘密和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备应进行物理保护。对于一些部门所使用的USBKEY密钥必须做到专人保管、专人使用,不用时必须防止在保险柜内或带锁的铁柜中妥善保管。(按一级数据资产和硬件资产实施保护)
6. 系统文件的安全
6.1.运行软件的控制
1)控制措施
应有制度来控制在运行系统上安装软件。
2) 实施指南
? 应仅由受过培训的管理员,在取得管理授权之后,进行软件、应用和程序库的更新;
? 操作系统应仅安装经过批准的可执行代码,不安装开发代码和编译程序,
如特殊情况下,在不影响系统运行调试时需安装开发代码和编译程序,应在调试完成后,立即卸载并删除所有代码和程序目录。
? 在系统安装前,应有完整的安装步骤。
6.2.系统测试数据的保护
1)控制措施
测试数据应认真地加以选择、保护和控制。
2)实施指南
应避免使用包含敏感数据的运行
文档评论(0)