软件开发安全控制程序

QEP 程序文件软件开发安全控制程序DOC NO 文件编号QEP-027 REV 版本APAGE 页码1 of 4 1. 范围本标准规定了本公司软件开发建设的管理。2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改或修订均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。相关方信息安全控制程序3. 术语和定义无4. 职责和权限4.1 集团 IT 部负责公司相关信息系统的软件开发以及对外软件开发服务的安全管理。目前主要开发的有软件有MES 系统， QAD 系统及部分 OA 系统模块等。5. 活动描述5.1 集团 IT 部成员访问权限控制集团 IT 部启动后直至项目维护期结束，期间项目经理根据项目成员不同的职责，及项目所处的开发阶段，设置不同的访问控制权限。5.2 项目资料的备份集团 IT 部中的重要资料需要定期进行备份。项目经理负责将资料上传至服务器，如项目本身有特殊要求需要缩短备份周期，可以向IT 人员申请。5.3 系统控制5.3.1 输入数据的验证开发产品中的应用系统的数据验证,可参照以下方式选择性地进行：输入校验， 诸如边界校验或者限制特定输QEP 程序文件软件开发安全控制程序DOC NO 文件编号QEP-027 REV 版本APAGE 页码2 of 4 入数据范围的域，以检测下列错误，范围之外的值：1. 数据字段中的无效字符；2. 丢失或不完整的数据；3. 超过数据的上下容量限制；4. 未授权的或矛盾的控制数据；5. 业务流程、系统安全运行、法规政策等方面所要求的数据校验；定期评审关键字段或数据文件的内容，以证实其有效性和完整性；检查硬拷贝输入文档是否有任何未授权的变更（输入文档的所有变更均应予以授权）；对输入数据验证错误后的处理程序；测试输入数据合理性的程序；定义在数据输入过程中所涉及的全部人员的职责。创建在数据输入过程中所涉及的活动的日志。5.3.2 内部数据控制应用系统的设计与实现应尽量减少处理故障时对数据完整性的损坏。需要考虑下列（但不仅限于）内容：a) 通过添加、修改和删除功能实现数据变更；b) 防止程序以错误次序运行；c) 使用适当的程序恢复故障，以确保数据的正确处理；d) 防范利用缓冲区超出/溢出进行的攻击。应准备适当的检查列表，将检查活动文档化，并应保证检查结果的安全。需要考虑下列（但不仅限于）检查例子：a) 验证系统生成的输入数据；b) 检查在...