xxx 软件开发安全管理规定 第一章 总则 第一条 为加强xxx 软件开发的安全管理,保护软件开发中软件和信息的安全,依据《》、《》等要求,特制订本规定
第二条 本规定适用于 xxx 软件开发过程中需求分析、设计、开发及测试等阶段的安全管理
第二章 软件安全需求分析 第三条 业务需求提出人员应会同需求分析人员,确定业务持续性、输入输出、身份欺骗及抗抵赖等方面的业务风险
第四条 业务需求提出人员应会同需求分析人员,依据业务风险,提出系统功能、性能及数据等方面的业务安全需求
第五条 需求分析人员应根据业务安全需求,进行资产识别、资产分析和风险分析,确定软件的安全需求
第六条 需求分析人员应明确软件系统的安全目标,并提交安全需求规格说明书(或需求规格说明书包括安全需求部分),包括系统需要保护的要素、保护程度,应用系统中存在的威胁、脆弱性及其风险等
第七条 xx 部门应会同信息安全相关处室组织对整体安全目标进行评审并确认
第三章 软件安全设计 第八条 设计人员应根据安全目标进行安全设计,在符合 xxx信息化架构规划的基础上,确保安全功能的完整实现,并提交安全设计方案(或总体方案设计文档中包括安全方案设计部分)
第九条 安全设计应遵循: (一) 保护最薄弱的环节原则:保护最易受攻击影响的部分; (二) 纵深防御原则:不同层面、不同角度之间需要相互配合; (三) 最小权限原则:只授予执行操作所需的最小权限; (四) 最小共享原则:使共享文件资源尽可能少; (五) 权限分离原则:授予不同用户所需的最小权限,并在它们之间形成相互制约的关系
第十条 安全设计应包括: (一) 确定安全体系架构,设计安全协议和安全接口; (二) 确定访问控制与身份鉴别机制,定义主体角色和权限; (三) 信息输入的安全过滤,信息输出的校验和控制; (四) 数据结构安全设计,选择 加 密 方法 和