XX企业_信息化系统安全开发管理办法.pdf

XX企业

信息化系统安全开发管理办法

信息部

20xx年xx月

目录

一、总则4

二、安全开发管理4

三、安全开发方法5

四、附则9

修改记录

版次号生效日期修改原因

A/0制度文件第一版首次发布

注：以上为版本修改记录，首次发布为A/0版，编写者可

以不作改动。

一、总则

第一条为指导我司信息系统安全开发设计，参照人民

银行相关安全规范，结合我司实际情况，特制订《我司信息

系统安全开发指引》，指导信息系统设计、开发、测试人员

在软件设计、编码、测试等环节应遵循的安全要求，以提升

信息系统安全健壮性。

第二条本办法适用于我司开发建设的所有信息系统。

二、安全开发管理

第三条外包开发人员入场前必须签署保密协议，保守

内部秘密，禁止拷贝、泄露项目需求、设计方案、程序代码

等敏感文档与信息。

第四条项目经理应组织开发人员学习我司开发安全相

关规范，确保所有开发人员在项目设计、开发过程中能够贯

彻执行。

第五条信息系统项目组内应设立项目安全管理人员，

主要指导、监督开发人员开展安全开发工作，并配合科技信

息部安全科开展项目安全评估工作。

第六条信息系统主管业务部门应在安全合规的前提

下，充分考虑业务需求安全性，将业务安全需求纳入需求设

计中。科技信息部安全部门应参与新建信息系统需求评审，

向项目需求提出合理安全建议，需求评审通过后才能开展后

续开发工作。

第七条信息系统上线前，项目安全管理员应组织相关

人员对照《我司信息系统开发安全自查表》开展对标自查。

项目组自查无误后，应在上线前至少一个月提交科技信息部

安全科开展系统上线前安全评估工作。评估手段包括但不限

于代码扫描、基线核查、渗透测试、组件安全检查等，相关

安全问题整改后方可上线。

三、安全开发方法

第八条开发设计人员应按照安全性、可靠性、易用性、

可维护性和可扩展等原则，尽量选择成熟的开发框架，按照

科技信息部发布《我司信息系统基础软件安全版本推荐表》，

在信息系统中使用安全可靠的基础软件版本。

第九条面向互联网开放的信息系统，可参考人民银行

《JR∕T0068-2020网上银行系统信息安全通用规范》执行。

信息系统应按照纵深部署架构，在互联网平台DMZ、APP

等区域部署业务处理服务器，而非流量转发或代理服务器。

面向互联网开放最小服务，后台管理服务禁止暴露在公网

中。

第十条直接面向公众的业务系统（例如手机银行、个

人网银、微信银行等），应与公众用户签订服务协议，按照

合法、正当、必要的原则收集个人金融信息，不收集与所提

供服务无关的个人金融信息。收集信息前，必须告知客户收

集目的和用途，并需经得客户授权同意。

第十一条信息系统当涉及客户姓名、手机号、卡号、

余额等个人金融信息展示时，应采取屏蔽展示，或由用户选

择是否屏蔽展示。具体要求依据《我司数据脱敏展示安全开

发设计规范》执行。

第十二条对互联网开放的信息系统，应采取前端代码

混淆、传输通道加密、数据报文校验、敏感字段加密等安全

措施，防范数据泄漏、篡改等风险。

第十三条开发测试环境所使用的测试数据不能为真实

生产业务数据，生产环境导入到测试环境的数据必须进行数

据脱敏处理。

第十四条开发人员在编码的过程中，应遵从安全编码

规范，基于默认不信任用户输入的原则，做好接口认证、授

权、校验等功能的编码设计，避免使用危险函数或对敏感数

据硬编码。具体安全编码规范依据《安全编码规范》等执行。

第十五条信息系统API接口应充分考虑接口安全授

权，禁止API接口未采取授权机制，避免接口存在水平越

权、垂直越权、诱导授权等问题，保证资金交易和个人信息

安全。具体依据《