《ISO270012013软件开发安全管理办法.doc》由会员分享,可在线阅读,更多相关《ISO270012013软件开发安全管理办法.doc(3页珍藏版)》请在三一文库上搜索。
1、XXXXX)软件有限公司人性化科技提升业绩软件开发安全管理办法目 录1.目的2.2适用范围23依据标准和文件 24.职责分工2.5术语和定义3.6.管理细则3.6.1. 开发条件及方式 3.6.2. 软件开发项目管理 3.6.3. 开发安全管理4.第1页共8页内部公开【软件开发安全管理办法】F4-C-研发服务体系-013-V1.01. 目的为规范公司的开发管理,进一步加强应用系统软件开发过程及开发交付的安全性,特制定本管理办法。2. 适用范围适用于公司软件开发过程的安全管理。3. 依据标准和文件GB/T 22080-2016/ISO/IEC 27001:2013信息技术安全技术信息安全管理体系
2、要求GB/T 22081-2016/ISO/IEC 27002:2013信息技术安全技术信息安全管理实用规则4. 职责分工信息安全工作小组:负责组织编写并推广本管理办法;各开发部各产品(项目)或系统开发组:负责软件开发。测试部:开发完成后的测试和试运行。系统服务部:正式运行的维护工作。5. 术语和定义1)缓冲区溢出:指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上;通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。2)静态代码分析:指在不运行代码的方式下,通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全可 靠性、可维护性等指标的一种代码分析技术。6. 管理细则6.1.开发条件及方式6.1.1. 开发条件符合开发条件的软件项目应该是能够有效利用现有的资源,开拓新业务; 或能有效地提高生产效率,减少工作中机械繁琐操作的项目。6.1.2. 开发方式软件开发可以采用下列三种开发方式之一:a)自主开发:由需求部门或公司自主开发。6.2. 软件开发项目管理软件开发项目的整体流程包括项目建议及审批、需求分析、系统设 计、系统实现、测试及试运行、系统验收、上线运行维护升级等阶段。第3页共8页内部公开