xxx软件开发安全理规定
第章 总
第条 加强xxx软件开发安全理保护软件开发中软件信息安全等求特制订规定
第二条 规定适xxx软件开发程中需求分析设计开发测试等阶段安全理
第二章 软件安全需求分析
第三条 业务需求提出员应会需求分析员确定业务持续性输入输出身份欺骗抗抵赖等方面业务风险
第四条 业务需求提出员应会需求分析员业务风险提出系统功性数等方面业务安全需求
第五条 需求分析员应根业务安全需求进行资产识资产分析风险分析确定软件安全需求
第六条 需求分析员应明确软件系统安全目标提交安全需求规格说明书(需求规格说明书包括安全需求部分)包括系统需保护素保护程度应系统中存威胁脆弱性风险等
第七条 xx部门应会信息安全相关处室组织整体安全目标进行评审确认
第三章 软件安全设计
第八条 设计员应根安全目标进行安全设计符合 xxx信息化架构规划基础确保安全功完整实现提交安全设计方案(总体方案设计文档中包括安全方案设计部分)
第九条 安全设计应遵循:
() 保护薄弱环节原:保护易受攻击影响部分
(二) 深防御原:层面角度间需相互配合
(三) 权限原:授予执行操作需权限
(四) 享原:享文件资源少
(五) 权限分离原:授予户需权限间形成相互制约关系
第十条 安全设计应包括:
() 确定安全体系架构设计安全协议安全接口
(二) 确定访问控制身份鉴机制定义体角色权限
(三) 信息输入安全滤信息输出校验控制
(四) 数结构安全设计选择加密方法算法
(五) 确定敏感数保护方法
(六) 部处理逻辑安全设计
(七) 评估部通信机制确定完整性机制
第十条 xx部门会信息安全相关处室组织安全设计方案进行评审确认
第四章 软件安全开发
第十二条 开发员根安全设计方案进行系统安全开发确保开发环境编码系统流程控制安全
第十三条 开发环境安全理求:
() 软件系统开发测试生产环境中进行
(二) 开发环境中操作系统开发工具数库等必须正版软件
(三) 开发环境中开发机应进行统安全配置时进行系统补丁升级漏洞修复
第十四条 编码安全求:
() 遵循代码编写安全规范根代码编写安全规范安全设计方案进行系统开发
(二) 遵循通安全编程准包括输入验证缓存溢出安全调组件程序编译等
(三) 遵循机密性求保护户访问信息机密性严禁客户端存放敏感数避免存溢出严格检查验证输入输出信息等
(四) 遵循结构化异常处理机制捕捉处理程序异常防止系统信息泄露
(五) 遵循代码脆弱性防范求包括缓区溢出SQL注入跨站脚攻击XML注入攻击HTTP HEAD注入等
第十五条 开发流程安全求:
() 开发程中应阶段性开发成果进行效理
(二) 开发程中应定期进行代码静态分析代码审核工具源代码进行检测报告源代码中存安全弱点
第十六条 开发员超越规定权限进行开发程序中设置门恶意代码程序
第五章 软件安全测试
第十七条 测试容应包括代码安全测试安全功测试代码安全测试指代码测试工具识代码安全脆弱性应提供修复建议进行修复安全功测试包括身份认证访问控制功测试
第十八条 测试系统环境应模拟生产环境生产环境进行安全隔离
第十九条 真实数直接测试环境中须进行适修改屏蔽测试完成须立测试应系统清运行信息
第二十条 测试员编制安全测试方案构造安全测试例
第二十条 测试员开发员兼
第二十二条 信息安全等级保护定级二级应软件xx部门组织代码漏洞检测信息安全等级保护定级三级应软件xx部门应聘请相关资质专业机构进行代码漏洞检测提交分析报告
第六章 文档安全理
第二十三条 xx部门应源代码变更版发布进行统控制程序资源库修改更新发布需xx部门领导授权批准
第二十四条 xx部门应指定专妥善保程序源代码相关技术文档(见附)源代码技术文档实行授权访问
第二十五条 软件程序篡改应软件运行环境台中安全配置安全文件安全程序
第七章 外包开发安全理
第二十六条 xx部门应外包开发单位签署相关知识产权保护协议保密协议
第二十七条 外包开发单位进行系统开发程中须严格遵循规定软件开发阶段相关安全求
第二十八条 xx部门系统开发程中须指派专监督审核外包开发单位阶段安全求执行情况
第二十九条 外包开发单位系统开发完成xx部门提供程序源代码相关技术文档计算机系统采关键安全技术措施核心安全功设计外公开
第三十条 xx部门应开发完成应软件进行审查检测
第八章 附
第三十条 xxx参执行规定
第三十二条 规定xxxx负责解释修订
第三十三条 规定发布日起执行
附
系统开发相关技术文档清单:
业务需求书(中包含信息安全业务需求部分)
安全需求规格说明书(需求规格说明书包括安全需求部分)
安全方案设计文档(总体方案设计文档中包括安全方案设计部分)
程序源代码
开发程中产生记录
测试方案
测试程记录
测试报告
代码分析报告
系统配置文档
系统指南操作手册
附件
文档容仅供参考
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
第章 总
第条 加强xxx软件开发安全理保护软件开发中软件信息安全等求特制订规定
第二条 规定适xxx软件开发程中需求分析设计开发测试等阶段安全理
第二章 软件安全需求分析
第三条 业务需求提出员应会需求分析员确定业务持续性输入输出身份欺骗抗抵赖等方面业务风险
第四条 业务需求提出员应会需求分析员业务风险提出系统功性数等方面业务安全需求
第五条 需求分析员应根业务安全需求进行资产识资产分析风险分析确定软件安全需求
第六条 需求分析员应明确软件系统安全目标提交安全需求规格说明书(需求规格说明书包括安全需求部分)包括系统需保护素保护程度应系统中存威胁脆弱性风险等
第七条 xx部门应会信息安全相关处室组织整体安全目标进行评审确认
第三章 软件安全设计
第八条 设计员应根安全目标进行安全设计符合 xxx信息化架构规划基础确保安全功完整实现提交安全设计方案(总体方案设计文档中包括安全方案设计部分)
第九条 安全设计应遵循:
() 保护薄弱环节原:保护易受攻击影响部分
(二) 深防御原:层面角度间需相互配合
(三) 权限原:授予执行操作需权限
(四) 享原:享文件资源少
(五) 权限分离原:授予户需权限间形成相互制约关系
第十条 安全设计应包括:
() 确定安全体系架构设计安全协议安全接口
(二) 确定访问控制身份鉴机制定义体角色权限
(三) 信息输入安全滤信息输出校验控制
(四) 数结构安全设计选择加密方法算法
(五) 确定敏感数保护方法
(六) 部处理逻辑安全设计
(七) 评估部通信机制确定完整性机制
第十条 xx部门会信息安全相关处室组织安全设计方案进行评审确认
第四章 软件安全开发
第十二条 开发员根安全设计方案进行系统安全开发确保开发环境编码系统流程控制安全
第十三条 开发环境安全理求:
() 软件系统开发测试生产环境中进行
(二) 开发环境中操作系统开发工具数库等必须正版软件
(三) 开发环境中开发机应进行统安全配置时进行系统补丁升级漏洞修复
第十四条 编码安全求:
() 遵循代码编写安全规范根代码编写安全规范安全设计方案进行系统开发
(二) 遵循通安全编程准包括输入验证缓存溢出安全调组件程序编译等
(三) 遵循机密性求保护户访问信息机密性严禁客户端存放敏感数避免存溢出严格检查验证输入输出信息等
(四) 遵循结构化异常处理机制捕捉处理程序异常防止系统信息泄露
(五) 遵循代码脆弱性防范求包括缓区溢出SQL注入跨站脚攻击XML注入攻击HTTP HEAD注入等
第十五条 开发流程安全求:
() 开发程中应阶段性开发成果进行效理
(二) 开发程中应定期进行代码静态分析代码审核工具源代码进行检测报告源代码中存安全弱点
第十六条 开发员超越规定权限进行开发程序中设置门恶意代码程序
第五章 软件安全测试
第十七条 测试容应包括代码安全测试安全功测试代码安全测试指代码测试工具识代码安全脆弱性应提供修复建议进行修复安全功测试包括身份认证访问控制功测试
第十八条 测试系统环境应模拟生产环境生产环境进行安全隔离
第十九条 真实数直接测试环境中须进行适修改屏蔽测试完成须立测试应系统清运行信息
第二十条 测试员编制安全测试方案构造安全测试例
第二十条 测试员开发员兼
第二十二条 信息安全等级保护定级二级应软件xx部门组织代码漏洞检测信息安全等级保护定级三级应软件xx部门应聘请相关资质专业机构进行代码漏洞检测提交分析报告
第六章 文档安全理
第二十三条 xx部门应源代码变更版发布进行统控制程序资源库修改更新发布需xx部门领导授权批准
第二十四条 xx部门应指定专妥善保程序源代码相关技术文档(见附)源代码技术文档实行授权访问
第二十五条 软件程序篡改应软件运行环境台中安全配置安全文件安全程序
第七章 外包开发安全理
第二十六条 xx部门应外包开发单位签署相关知识产权保护协议保密协议
第二十七条 外包开发单位进行系统开发程中须严格遵循规定软件开发阶段相关安全求
第二十八条 xx部门系统开发程中须指派专监督审核外包开发单位阶段安全求执行情况
第二十九条 外包开发单位系统开发完成xx部门提供程序源代码相关技术文档计算机系统采关键安全技术措施核心安全功设计外公开
第三十条 xx部门应开发完成应软件进行审查检测
第八章 附
第三十条 xxx参执行规定
第三十二条 规定xxxx负责解释修订
第三十三条 规定发布日起执行
附
系统开发相关技术文档清单:
业务需求书(中包含信息安全业务需求部分)
安全需求规格说明书(需求规格说明书包括安全需求部分)
安全方案设计文档(总体方案设计文档中包括安全方案设计部分)
程序源代码
开发程中产生记录
测试方案
测试程记录
测试报告
代码分析报告
系统配置文档
系统指南操作手册
附件
文档容仅供参考
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
