《学院信息系统软件开发安全管理办法》 第一章, 总 则 一, 本文档的目标是为了规范学院信息系统软件开发安全管理,保证开发的软件安全、可靠、高效且满足业务需要,特制定本办法。 二, 本文档包括了学院信息系统软件开发各阶段以及贯穿于软件开发过程始终的配置与变更管理、外包人员管理的安全控制要求;涵盖了学院信息系统开发的需求阶段、设计阶段、构建阶段、测试阶段、部署与试运行阶段这一主体过程。 三, 本办法适用于学院所有单位。 第二章, 软件开发安全管理职责 一, 学院网络与信息安全工作领导小组及项目组负责软件开发过程中(包括需求阶段、设计阶段、构建阶段、测试阶段、部署与试运行阶段)具体的信息安全工作,落实日常的信息安全控制措施,确保开发过程符合安全规范的要求。 二, 学院网络与信息安全工作领导小组负责指导项目组的日常信息安全控制过程,并对于软件开发过程中重大信息安全相关事项进行审核。 三, 学院网络与信息安全工作领导小组及项目组负责监督项目组信息安全控制措施的落实情况,并根据需要直接参与部分关键点安全控制(如安全需求评审、安全测试等),提供信息安全专业支持。 第三章, 软件需求阶段安全管理 一. 项目组应确保开发人员具有安全需求分析、安全控制分析、开发流程安全、安全意识、安全技术方面等必要的知识及技能,必要时应组织安全相关的培训(特别是针对外包开发的方式)。 二. 项目组须开展软件安全需求分析的工作,以保障开发完成的软件能够满足机密性、完整性和可用性的要求;软件安全需求分析的基本流程如下: (一), 业务安全需求分析: 业务需求提出人员综合业务安全分析和业务合规性分析,提炼业务安全需求,包括但不限于:数据安全需求、访问控制需求、交易安全需求、审计合规要求等,明确应用系统项目类型; (二), 初步风险评估:基于对系统运行环境的分析,以及业务安全需求分析结果,概要分析应用系统所面临的各类风险,初步识别用于保护生产环境中的应用系统的安全管理和技术控制措施,及运行过程中的安全要求; 三. 安全需求方案确定:基于风险分析结果,从系统安全环境约束、安全非功能性需求和安全功能性需求几个方面进行安全需求分析,明确细化的安全目标,形成安全需求方案报告。 四. 安全需求须经过项目组、项目相关方的充分讨论和论证,对于关键/重要应用系统项目还需信息科(信息中心)及信息安全管理部门的参与;安全需求及分析一经...