ISO27001-软件开发安全控制程序

软件开发安全掌握程序〔ISO27001〕目的计、开发、测试、部署过程中的安全治理，特制定本程序。范围段的安全治理，包括软件外包开发的安全治理。职责与权限技术部以及软件开发相关文档及软件源代码的归档保管。其他部门其他相关部门帮助技术部进展软件/系统需求收集、分析、系统测试等工作。相关文件a) 《软件掌握程序》术语定义无掌握程序软件开发任务提出理批准后，交付技术部进展设计开发。软件开发的筹划技术部在接到用户需求后，首先要推断可行性，假设承受，技术部依据用户申请书和要求部门共同协商，编写软件设计开发打算，明确设计开发的各个阶段评审与测试要求及设计开发人员的职责与权限，设计技术部假设对打算进展更改也需要获得双方经理共同批准。软件设计开发打算应包括以下内容：软件功能要求；详尽的业务流程；信息安全要求；时间进度要求；设计开发的各个阶段评审与测试要求；设计开发人员的职责与权限；关的信息，并考虑安全保护。软件开发方案的评审及开发过程掌握案，由技术部负责人对方案的技术可行性及系统的安全性进展确认。〔用户〕人员、内部IT方面的专家共同进展评审。方案确认与审批的结果及任何必要的措施应予以记录。软件设计开发方案应包括以下内容：确定软件开发工具；应用系统功能；业务实现流程；输入数据确认要求；必要时，系统内部数据确认检查的要求；输出数据确实认要求；应用系统的安全要求；对系统硬件配置的要求；系统验收标准。软件开发人员的要求软件设计开发人员须经技术部负责人授权，并应具备肯定的软件开发力量和良好的职业道德。软件开发的环境要求：开发与运营应当在不同的环境；进展黑盒与白盒测试时，测试系统应当独立于上述两系统。营系统。应当独立于上述两系统。公司内部局域网同一子网网段。技术部负责人可随时抽查测试人员是否违反上述要求，一经觉察，视情节轻重对相关责任人进展惩罚。软件开发的变更掌握技术部负责人批准后予以实施，并经过测试合格前方可投入使用。软件的测试与试运行要求由软件设计开发负责人组织有关人员进展测试，编写应用软件测试报告。内容：应用测试数据，验证内部数据处理的正确性；应用测试数据，确认输出数据的正确性并与环境相适应。下要求对测试数据进展保护：用于运作系统的访问掌握过程也应用于测试系统；部门授权；及口令等。假设选择的是真实数据，测试完成后必需删除全部数据。〔用户〕在试运行期间，应将使用中存在的问题准时反响给技术部进展修改。试运行完毕后，应形成正式的软件验收报告，由技术部和应用部门〔用户〕负责人签字认可，投入使用。源程序库〔程序源代码)治理及技术文档治理应按以下要求实施治理：源程序库不应保存在运作系统中；各项应用应指定源程序库治理员；信息技术维护人员不应自由访问源程序库。软件开发部门应明确源代码治理责任人及保存方式。MicrosoftVSS、SVN等版本治理软件进展管控。相关文档的归档保管，防止源代码及技术文档的泄露。软件外包开发的治理。包括但不限于以下要求：选择有相关资质及工程阅历的软件外包开发商；功能要求；应明确外包开发的软件学问产权及许可证使用；定期对软件外包开发方工作进展评审。技术部负责人授权，并且只能开通相应