文档密级:一般 文档状态:[ ] 草案 [√]正式发布 [ ]正在修订 受控状态:[√] 受控 [ ]非受控 日期 版本 描述 作者 审核 审批 2015-01-08 A0 A 版首次发布 质量小组 孙佩 连春华 目 录 1
适用 本程适用于公司软件生产相关的过程安全管理
目的 为了对公司软件生产相关的策划、开发、测试、交付等进行有效的控制,特制定本程序
职责 1) 技术总监 负责批准各种软件的开发项目和开发方案
2) 研发中心 负责软件生产过程,包括策划、开发、测试、交付等过程
3) 信息部 负责基础设施的维护,包括开发服务器、测试服务器、开发 PC 机的硬件、操作系统、防病毒软件
相关文件 《信息安全管理手册》 5
规定要求 5
安全需求策划分析 研发中心应根据开发任务的需求,编制《软件开发需求书》
《软件开发需求书》应包括功能需求背景、项目建设目标、项目建设原则、具体功能需求、项目开发的时间要求以及安全要求等
《软件开发需求书》交技术总监审核
安全需求分析内容可以作为《软件开发需求书》的一个部分,也可单独编写《软件开发安全需求书》 软件开发的安全要求应包括以下方面: 1) 客户的安全要求: 与客户沟通过程中,客户明确要求软件应具有的安全功能与安全性能,例如客户要求对存储数据的安全、传输数据的安全、行为审计、权限分配、防抵赖等
2) 技术的安全要求: 技术的安全要求包括两个部分,其一是客户安全要求的技术实现,如客户要求电子商务系统的交易应具备防抵赖的安全要求,则其技术的安全要求为符合第 3)项所要求数字签名技术;其二是软件本身所涉及技术的安全,包括业界的通用安全技术,例如数据库安全技术、Jav a 安全技术等; 3) 法律法规的安全要求: 法律法规安全包括了国内、国际法律法规所确认要求采用的安全技术与准则,也包括了业
