《B35信息安全-软件开发管理程序.docx》由会员分享,可在线阅读,更多相关《B35信息安全-软件开发管理程序.docx(5页珍藏版)》请在第一文库网上搜索。
1、深圳市*科技有限公司软件开发管理程序编 号:ISMS-B-35版本号:VI. 0编制:日期:2021-8-5审核:日期:2021-8-5批准:日期:2021-8-5受控状态受控文件1目的为了对组织软件建设的策划、开发、实施、检查等进行有效的控制,特制定本程序。Eq本程适用于软件开发建设的管理。3职责3.1 总经理负责批准各种软件的建设项目和建设方案。3. 2技术部负责在业务范围内提出软件开发需求书,进行可行性研究、程序开发、测试验收和项目质量的监控等工作。根据客户要求开展外包服务。协助各项目组进行权限设置4相关文件信息安全管理手册软件变更管理程序第三方服务管理程序恶意软件管理程序5程序5.1
2、项目组成员访问权限控制项目组启动后直至项目维护期结束,期间项部门经理根据项目成员不同的职责,及项目所处的开发阶段,设置不同的访问控制权限。由部门经理负责制定系统访问权限说明书,IT人员负责执行。5.2 项目资料的备份项目组中的重要资料需要定期进行备份。项目经理负责将资料上传至服务3器,由IT人员根据重要信息备份周期一览表制定备份文件,如项目本身有特殊要求需要缩短备份周期,可以向IT人员申请。5.3 系统控制5. 3.1输入数据的验证开发产品中的应用系统的数据验证,可参照以下方式选择性地进行:a)输入校验,诸如边界校验或者限制特定输入数据范围的域,以检测下列错误:1 .范围之外的值;应准备适当的
3、检查列表,将检查活动文档化,并应保证检查结果的安全。需要考虑下列(但不仅限于)检查例子:a)验证系统生成的输入数据;b)检查在中央计算机和远程计算机之间所下载或上载的数据或软件的完整性、真实性或者其他任何安全特性;c)记录文件字节大小;d)检查以确保应用程序在正确时刻运行;e)检查以确保程序以正确的次序运行并且在发生故障时终止,以及在问题解决之前,停止进一步的处理;f)创建处理时所涉及的活动的日志。5. 3.3输出数据控制应用系统输出的数据应加以验证,以确保对所存储信息的处理是正确的且适于当前运行环境的。输出数据的验证可参考但不限于以下内容:a)合理性检查,以测试输出数据是否合理;b)调节控制
4、措施的数量,以确保处理所有数据;c)为读者或后续的处理系统提供足够的信息,以确定信息的准确性、完备性、精确性和分类;d)对输出数据验证结果进行处理程序;e)定义在数据输出过程中所涉及的全部人员的职责。f)创建在数据输出验证过程中活动的日志。5. 3.4系统测试数据的保护应避免使用包含个人信息或其它敏感信息的运行数据库用于测试。如果测试使用了个人或其他敏感信息、,那么在使用之前应去除或修改所有的敏感细节和内容。当用于测试时,应使用下列(但不仅限于)指南保护运行数据:a)应用于运行应用系统的访问控制程序,还应用于测试应用系统;b)运行信息每次被拷贝到测试应用系统时应有独立的授权;c)在测试完成之后
5、,应立即从测试应用系统清除运行信息;d)应记录运行信息的拷贝和使用日志以提供审核踪迹。5.4系统验收和上线运行开发系统完成测试后,由项目组成员打包后存入移动存储介质中,后送往客户的验收部门进行安装。打包的系统信息须技术部经理确认信息无误后,方可存入移动存储介质。用毕后应立即进行删除。项目组负责制定软件使用手册,交于客户。项目组派出专员向客户说明使用流程,并进行必要的上线培训。经客户认可后,方可将软件上线,进入试运行阶段。从试运行开发三个月内,项目组派专人修改客户在实际数据的运行状态下发现的问题。若在三个月内,客户都没有提出其他整改意见,则该软件进入正式运行状态,项目组可解散,或保留一位维护专员负责跟踪此项目。6记录系统访问权限说明书重要信息备份周期一览表软件使用手册5
免费区 
