软件开发安全管理办法.pdfVIP

软件开发安全管理办法

1•目的2

2•适用范圉2

3•依据标准和文件2

4•职责分工2

5.术语和定义2

6.管理细则2

6.1..开

发条件及方式2

6.2•软件开发项目管理3

63开发安全管理3

1.目的

为规范公司的开发管理，进一步加强应用系统软件开发过程及开发交付的安全性，特

制定本管理办法。

2.适用范围

适用于公司软件开发过程的安全管理。

3.依据标准和文件

GB/T22080-2016/ISO/IEC27001:2013《信息技术安全技术信息安全

管理体系要求》

GB/T22081-2016/ISO/IEC27002:2013《信息技术安全技术信息安全

管理实用规则》

4.职责分工

信息安全工作小组：负责组织编写并推广本管理办法；

各开发部各产品（项EJ）或系统开发组：负责软件开发。

测试部：开发完成后的测试和试运行。

系统服务部：正式运行的维护丄作。

5.术语和定义

1）缓冲区溢出：指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢岀的

数据覆盖在合法数据上；通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢

出，从而破坏程序的堆栈，造成程序崩溃或使程序转而执行其它指令，以达到攻击的

目的。

2）静态代码分析：指在不运行代码的方式下，通过词法分析、语法分析、控制流分析等

技术对程序代码进行扫描，验证代码是否满足规范性、安全可靠性、可维护性等指标

的一种代码分析技术。

6.管理细则

开发条件及方式

6.1.

6.1.1.开发条件

符合开发条件的软件项LI应该是能够有效利用现有的资源，开拓新业务；或

能有效地提高生产效率，减少工作中机械繁琐操作的项Lh

6.1.2.开发方式

软件开发可以采用下列三种开发方式之一：

a）自主开发：由需求部门或公司自主开发。

62软件开发项目管理

软件开发项LI的整体流程包括项LI建议及审批、需求分析、系统设计、系统实

现、测试及试运行、系统验收、上线运行维护升级等阶段。

6.3.开发安全管理

全需求分析

6.3.1.$

安全需求分析在项目需求分析阶段完成，具体要求如下：

1）项口组首先在应用系统实现的业务功能的基础上进行风险评佔，识别应用系统所

涉及的重要的信息资产，分析山于故障或安全问题可能导致的潜在损失，分析为

保护这些信息资产、避免重大损失而应采取的控制措施。

2）项目组人员应调研应用系统开发完成后的系统维护人员、系统应用人员及网络安

全管理人员，提取硬件部署、平台搭建、网络架构等方面的安全需求，将相关的

安全需求和建议作为获取安全设计的依据。

3）根据风险分析以及充分调研的结果，对应用系统的基本安全功能和安全功能的强

度进行需求确认。

4）安全需求分析应在项口详细的需求分析文档中用独立章节进行详细描述，包括

对每个基本安全功能实现的必要性陈述以及不能实现某种安全功能的原因。

6.32系统设计安全

系统安全设计是系统设计阶段重要组成部分，具体要求：

1）应用系统应满足系统对于身份认证的需求，应明确提岀用户身份认证的强度以

及认证失败后的处置方式。

2）应用系统应包含用户权限分配和管理功能，应根据系统所处理的业务数据的保

密性和完整性要求,确定系统釆用的用户权限访问控制模型和权限的划分。

3）应用系统应包括安全日志记录功能，应明确对于日志内容的要求，

审计日志应涵盖用户创建、登录审计、访问和被拒绝记录等。

4）应用系统应包含可能出现的各种异常悄况的安全处理设计。

5）应用系统总体结构的设计或部署必须考虑重要子系统、部件的备