ISO27001-軟件開發(fā)安全控制程序

1、(迪晅IOOzZOSI曙年)1目的為規(guī)范公司軟件開發(fā)的安全管理，包括軟件系統(tǒng)從訃劃、需求、設 計、開發(fā)、測試、部署過程中的安全管理，特制定本程序。2.范圍本程序適用于公司的軟件系統(tǒng)在需求分析、開發(fā)測試、上線運行階 段的安全管理，包括軟件外包開發(fā)的安全管理。3職責與權限3.1技術部負責公司相關信息系統(tǒng)的軟件開發(fā)、外包軟件開發(fā)過程的安全管理, 以及軟件開發(fā)相關文檔及軟件源代碼的歸檔保管。3.2其他部門其他相關部門協(xié)助技術部進行軟件/系統(tǒng)需求收集、分析、系統(tǒng)測試 等工作。4. 相關文件a）軟件控制程序5. 術語定義無6. 控制程序6.1軟件開發(fā)任務提出公司根據(jù)客戶反饋和調研，編寫用戶需求分析報告，經

2、過公司總經 理批準后，交付技術部進行設計開發(fā)。6.2軟件開發(fā)的策劃技術部在接到用戶需求后，首先要判斷可行性，如果接受，技術部 根據(jù)用戶申請書和要求部門共同協(xié)商，編寫軟件設計開發(fā)訃劃，明確設 計開發(fā)的各個階段評審與測試要求及設計開發(fā)人員的職責與權限，設計 開發(fā)計劃方案山要求部門和技術部負責人共同批準后予以實施：必要時, 如果對計劃進行更改也需要獲得雙方經理共同批準。軟件設計開發(fā)計劃 應包括以下內容：a）軟件功能要求；b）詳盡的業(yè)務流程；C）信息安全要求；Ci）時間進度要求；e）設訃開發(fā)的各個階段評審與測試要求；D設計開發(fā)人員的職責與權限；g）其它要求，例如在復雜系統(tǒng)環(huán)境下，應考慮業(yè)務信息系統(tǒng)互聯(lián)

3、相 關的信息，并考慮安全保護。63軟件開發(fā)方案的評審及開發(fā)過程控制6.3.1技術部應根據(jù)軟件設計開發(fā)計劃的要求，編制軟件設計開發(fā)方 案，山技術部負責人對方案的技術可行性及系統(tǒng)的安全性進行確認。6.3.2對于大型軟件開發(fā)方案應由設計開發(fā)人員、應用部門（用戶） 人員、內部IT方面的專家共同進行評審。方案確認與審批的結果及任 何必要的措施應予以記錄。6.3.3軟件設計開發(fā)方案應包括以下內容：a）確定軟件開發(fā)工具；b）應用系統(tǒng)功能；C）業(yè)務實現(xiàn)流程；Cl）輸入數(shù)據(jù)確認要求；e）必要時，系統(tǒng)內部數(shù)據(jù)確認檢查的要求；D 輸出數(shù)據(jù)的確認要求；g）應用系統(tǒng)的安全要求；h）對系統(tǒng)硬件配置的要求；i）系統(tǒng)驗收標準

4、。63.4.軟件開發(fā)人員的要求軟件設計開發(fā)人員須經技術部負責人授權，并應具備一定的軟件開 發(fā)能力和良好的職業(yè)道德。6.3.5.軟件開發(fā)的環(huán)境要求在進行軟件開發(fā)時，應采取適宜的方法將開發(fā)、測試與運營設施分 離：a）開發(fā)與運營應當在不同的環(huán)境；b）進行黑盒與口盒測試時，測試系統(tǒng)應該獨立于上述兩系統(tǒng)。C）進行單元測試時，測試系統(tǒng)可與開發(fā)系統(tǒng)共存，但必須獨立于運 營系統(tǒng)。d）進行集成測試、確認測試、驗收測試以及系統(tǒng)測試時，測試系統(tǒng) 應該獨立于上述兩系統(tǒng)。e）進行測試時，測試人員應首先確保測試系統(tǒng)與其他系統(tǒng)不得處于 公司內部局域網同一子網網段。技術部負責人可隨時抽查測試人員是否違反上述要求，一經發(fā)現(xiàn)，

5、視情節(jié)輕重對相關責任人進行處罰。63.6.軟件開發(fā)的變更控制在設計開發(fā)過程中，涉及到系統(tǒng)功能、安全技術要求的更改應經過 技術部負責人批準后予以實施，并經過測試合格后方可投入使用。6.4軟件的測試與試運行6.4.1源程序編制好以后，應在規(guī)定的測試環(huán)境條件并依據(jù)軟件測試 要求山軟件設計開發(fā)負責人組織有關人員進行測試，編寫應用軟件測試 報告。6.4.2當軟件含有數(shù)據(jù)處理功能時，軟件測試活動應包括以下方面的內容:a）應用測試數(shù)據(jù)，驗證內部數(shù)據(jù)處理的正確性；b）應用測試數(shù)據(jù)，確認輸出數(shù)據(jù)的正確性并與環(huán)境相適應。6.4.3當系統(tǒng)測試數(shù)據(jù)使用業(yè)務數(shù)據(jù)，并且包含敬感信息時，應按以 下要求對測試數(shù)據(jù)進行保護：a

6、）用于運作系統(tǒng)的訪問控制過程也應用于測試系統(tǒng)；b）將業(yè)務數(shù)據(jù)每一次復制或導入到測試應用系統(tǒng)前，應被系統(tǒng)主管 部門授權；C）測試完成之后，應立即從測試系統(tǒng)中消除測試用的文件、用戶名 及口令等。Ci）如果選擇的是真實數(shù)據(jù)，測試完成后必須刪除全部數(shù)據(jù)。6.4.4應用部門（用戶）在試運行期間，應將使用中存在的問題及時 反饋給技術部進行修改。試運行結束后，應形成正式的軟件驗收報告， 山技術部和應用部門（用戶）負責人簽字認可，投入使用。6.5源程序庫（程序源代碼）管理及技術文檔管理6.5.1為降低計算機程序被破壞的可能性，設訃開發(fā)軟件的源程序庫 應按以下要求實施管理：a）源程序庫不應保存在運作系統(tǒng)中；b）

7、各項應用應指定源程序庫管理員；C）信息技術維護人員不應自由訪問源程序庫。6.5.2軟件開發(fā)部門應明確源代碼管理責任人及保存方式。6.5.3源程序的管理應包括歷史版本的管理，可通過MiCroSOft VSS> SVN等版本管理軟件進行管控。6.5.4軟件開發(fā)部門應及時備份和回收程序的源代碼，做好源代碼及 相關文檔的歸檔保管，防止源代碼及技術文檔的泄露。6.6軟件外包開發(fā)的管理6.6.1對于軟件外包開發(fā)時，公司應加強對外包軟件開發(fā)的監(jiān)視及管 理。包括但不限于以下要求：a）選擇有相關資質及項Ll經驗的軟件外包開發(fā)商；b）與軟件外包開發(fā)方簽訂合同及保密協(xié)議，并明確代碼質量及安全 功能要求；C）應明確外包開發(fā)的軟件知識產權及許可證使用；d）定期對軟件外包開發(fā)方工作進行評審。6.6.2對于外包開發(fā)人員要使用公司網絡環(huán)境的，應經過技術部負責 人授權，