信息系统获取、开发与维护程序 1. 目的 为确保安全成为所开发的信息系统一个有机组成部分,保证开发过程安全,特制定本程序。 2. 范围 2.1 适用于本公司所有信息系统的开发活动中,信息系统内在安全性的管理。本程序作为软件开发项目管理规定的补充,而不是作为软件开发项目管理的整体规范。 2.2 开发过程中所形成的需求分析文档、设计文档、软件代码、测试文档等技术信息的管理应遵从信息资产密级管理的有关规定,本程序不在另行规定。 3. 术语及定义 无 4. 引用文件 4.1 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 4.2 ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求 4.3 ISO/IEC 17799:2005 信息技术-安全技术-信息安全管理实施细则 4.4 信息资产密级管理规定 5. 职责和权限 开发部是信息系统开发过程中的安全管理部门,负责保证开发过程安全。 6. 工作程序 6.1 控制措施-对信息系统进行安全性需求分析与相关规格说明 6.1.1 目标:在描述新系统或改进原 有系统的业 务 需求时 ,应收 集 、分析系统在安全性方面的需求,并在系统需求规格说明书详细描述。 6.1.2 安全性需求包括两方面的内容,一是对系统本身的安全需求,如系统具备数据通信加密、用户身份鉴别等功能,在确定安全要求时,要考虑系统中的自动安全控制和支持人工安全控制的要求;二是对系统设计开发过程本身也要进行控制,例如在不同的设计开发阶段的评审与验证,确保对程序源代码的保护、对设计人员的控制等。 6.1.3 安全要求在软件开发生命周期中的分布如下图所示: 风险评估问题定义需求分析总体设计详细设计编码测试维护软件开发计划需求说明书测试安全要求更改安全要求安全功能实施包含安全要求 6.1.4 在使用新的应用程序或增强现有的应用程序时必须做安全性影响分析, 由信息系统项目经理提交安全需求分析。内容可包括以下项: 1) 确认需要保护的资产。 2) 评估这些资产需要采取什么安全控制措施。 3) 考虑是否 在系统中加入 自动安全控制措施还 是建 立 人工安全控制措施。 4) 在软硬 件采购 时,应尽 量 使用经过专 业 评估和认证的产品 。 6.2 在应用中建 立 安全措施 6....