027-軟件開發(fā)安全控制程序_第1頁
027-軟件開發(fā)安全控制程序_第2頁
027-軟件開發(fā)安全控制程序_第3頁
027-軟件開發(fā)安全控制程序_第4頁
027-軟件開發(fā)安全控制程序_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、軟件開發(fā)平安控制程序撰寫: 發(fā)布:2021年4月1日文件編號(hào):YJF-SP-027版本:A1文檔秘級:秘密版本歷史序號(hào)版本修訂內(nèi)容修訂部門/人修訂時(shí)間1A0制定2020-8-12A1制定2021-4-13451范圍本標(biāo)準(zhǔn)規(guī)定了 *科技軟件開發(fā)建設(shè)的管理。2規(guī)范性引用文件以下文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。但凡注日期的引用文 件,其隨后所有的修改或修訂均不適用于本標(biāo)準(zhǔn),然而,鼓勵(lì)各部門研究是否可使用這 些文件的最新版本。但凡不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。YJF-SP-024相關(guān)方信息平安控制程序3術(shù)語和定義無4職責(zé)和權(quán)限1研發(fā)中心負(fù)責(zé)公司相關(guān)信息系統(tǒng)的軟件開發(fā)以及對

2、外軟件開發(fā)服務(wù)的平安管理。5活動(dòng)描述研發(fā)中心成員訪問權(quán)限控制研發(fā)中心啟動(dòng)后直至工程維護(hù)期結(jié)束,期間工程經(jīng)理根據(jù)工程成員不同的職責(zé),及 工程所處的開發(fā)階段,設(shè)置不同的訪問控制權(quán)限。工程資料的備份研發(fā)中心中的重要資料需要定期進(jìn)行備份。工程經(jīng)理負(fù)責(zé)將資料上傳至服務(wù)器,如 工程本身有特殊要求需要縮短備份周期,可以向系統(tǒng)運(yùn)維人員申請。系統(tǒng)控制5. 3. 1輸入數(shù)據(jù)的驗(yàn)證開發(fā)產(chǎn)品中的應(yīng)用系統(tǒng)的數(shù)據(jù)驗(yàn)證,可參照以下方式選擇性地進(jìn)行:輸入校驗(yàn),諸如邊界校驗(yàn)或者限制特定輸入數(shù)據(jù)范圍的域,以檢測以下錯(cuò)誤:范圍之外的值;數(shù)據(jù)字段中的無效字符;喪失或不完整的數(shù)據(jù);超過數(shù)據(jù)的上下容量限制;未授權(quán)的或矛盾的控制數(shù)據(jù);業(yè)務(wù)

3、流程、系統(tǒng)平安運(yùn)行、法規(guī)政策等方面所要求的數(shù)據(jù)校驗(yàn);定期評審關(guān)鍵字段或數(shù)據(jù)文件的內(nèi)容,以證實(shí)其有效性和完整性;檢查硬拷貝輸入文檔是否有任何未授權(quán)的變更(輸入文檔的所有變更均應(yīng)予以授 權(quán));對輸入數(shù)據(jù)驗(yàn)證錯(cuò)誤后的處理程序;測試輸入數(shù)據(jù)合理性的程序;定義在數(shù)據(jù)輸入過程中所涉及的全部人員的職責(zé)。創(chuàng)立在數(shù)據(jù)輸入過程中所涉及的活動(dòng)的日志。5. 3.2內(nèi)部數(shù)據(jù)控制應(yīng)用系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)應(yīng)盡量減少處理故障時(shí)對數(shù)據(jù)完整性的損壞。需要考慮以下(但不僅限于)內(nèi)容:通過添加、修改和刪除功能實(shí)現(xiàn)數(shù)據(jù)變更;防止程序以錯(cuò)誤次序運(yùn)行;使用適當(dāng)?shù)某绦蚧謴?fù)故障,以確保數(shù)據(jù)的正確處理;防范利用緩沖區(qū)超出/溢出進(jìn)行的攻擊。應(yīng)準(zhǔn)備適當(dāng)

4、的檢查列表,將檢查活動(dòng)文檔化,并應(yīng)保證檢查結(jié)果的平安。需要考慮 以下(但不僅限于)檢查例子:驗(yàn)證系統(tǒng)生成的輸入數(shù)據(jù);檢查在中央計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)之間所下載或上載的數(shù)據(jù)或軟件的完整性、真實(shí)性 或者其他任何平安特性;記錄文件字節(jié)大??;檢查以確保應(yīng)用程序在正確時(shí)刻運(yùn)行;檢查以確保程序以正確的次序運(yùn)行并且在發(fā)生故障時(shí)終止,以及在問題解決之前, 停止進(jìn)一步的處理;創(chuàng)立處理時(shí)所涉及的活動(dòng)的日志。3.3輸出數(shù)據(jù)控制應(yīng)用系統(tǒng)輸出的數(shù)據(jù)應(yīng)加以驗(yàn)證,以確保對所存儲(chǔ)信息的處理是正確的且適于當(dāng)前運(yùn)行環(huán)境的。輸出數(shù)據(jù)的驗(yàn)證可參考但不限于以下內(nèi)容:合理性檢查,以測試輸出數(shù)據(jù)是否合理;調(diào)節(jié)控制措施的數(shù)量,以確保處理所有數(shù)據(jù)

5、;為讀者或后續(xù)的處理系統(tǒng)提供足夠的信息,以確定信息的準(zhǔn)確性、完備性、精確性 和分類;對輸出數(shù)據(jù)驗(yàn)證結(jié)果進(jìn)行處理程序;定義在數(shù)據(jù)輸出過程中所涉及的全部人員的職責(zé)。創(chuàng)立在數(shù)據(jù)輸出驗(yàn)證過程中活動(dòng)的日志。3.4系統(tǒng)測試數(shù)據(jù)的保護(hù)應(yīng)防止使用包含個(gè)人信息或其它敏感信息的運(yùn)行數(shù)據(jù)庫用于測試。如果測試使用了 個(gè)人或其他敏感信息,那么在使用之前應(yīng)去除或修改所有的敏感細(xì)節(jié)和內(nèi)容。當(dāng)用于測 試時(shí),應(yīng)使用以下(但不僅限于)指南保護(hù)運(yùn)行數(shù)據(jù):應(yīng)用于運(yùn)行應(yīng)用系統(tǒng)的訪問控制程序,還應(yīng)用于測試應(yīng)用系統(tǒng);運(yùn)行信息每次被拷貝到測試應(yīng)用系統(tǒng)時(shí)應(yīng)有獨(dú)立的授權(quán);在測試完成之后,應(yīng)立即從測試應(yīng)用系統(tǒng)清除運(yùn)行信息;應(yīng)記錄運(yùn)行信息的拷貝和使

6、用日志以提供審核蹤跡。4系統(tǒng)驗(yàn)收和上線運(yùn)行. 1開發(fā)系統(tǒng)完成測試后,由銷售對外推廣,研發(fā)人員對接客戶數(shù)據(jù)完成系統(tǒng)配 置初始化處理和上線運(yùn)行。.2從試運(yùn)行開發(fā)三個(gè)月內(nèi),研發(fā)中心派專人修改實(shí)際數(shù)據(jù)的運(yùn)行狀態(tài)下發(fā)現(xiàn)的 問題。假設(shè)在三個(gè)月內(nèi),都沒有提出其他整改意見,那么該軟件進(jìn)入正式運(yùn)行狀態(tài)。業(yè)務(wù)需求及開發(fā)流程由需求部門提示開發(fā)申請,經(jīng)產(chǎn)品經(jīng)理批核后,進(jìn)入研發(fā)中心業(yè)務(wù)需求分析流程。5. 1研發(fā)中心收到開發(fā)需求后,由業(yè)務(wù)分析人員到需求部門以及相關(guān)影響部門 調(diào)查研究,收集原流程以及功能需求,召集各相關(guān)部門討論決定新流程及角色,編制 開發(fā)需求文檔。研發(fā)技術(shù)負(fù)責(zé)人,根據(jù)開發(fā)需求文檔,進(jìn)行系統(tǒng)開發(fā)設(shè)計(jì),包括界面

7、樣式,表 單數(shù)據(jù)結(jié)構(gòu),以及實(shí)體類,接口,開發(fā)平臺(tái),架構(gòu)等。工程經(jīng)理根據(jù)業(yè)務(wù)工程安排,在內(nèi)部開發(fā)工程管理模塊中列入開發(fā)計(jì)劃,并 指定開發(fā)員。開發(fā)員接到業(yè)務(wù)需求文檔,以及開發(fā)設(shè)計(jì)文檔后,按工程管理模式,需要進(jìn) 行功能點(diǎn)整理,總結(jié)和規(guī)劃,并制訂行動(dòng)計(jì)劃和工期規(guī)劃.經(jīng)審核后進(jìn)行程序開發(fā)。開發(fā)員經(jīng)自測和交叉測試后,提交程序到測試目錄,由測試員進(jìn)行發(fā)布前測 試。開發(fā)過程中的隱私管理基于對PII原那么和或任何適用法律和或法規(guī)的義務(wù)以及公司執(zhí)行的處理類 型,系統(tǒng)開發(fā)以及設(shè)計(jì)的策略應(yīng)該包含公司對處理PH需求的指南。對隱私有貢獻(xiàn)的設(shè)計(jì)的策略和默認(rèn)的策略應(yīng)考慮以下幾個(gè)方面:關(guān)于PH保護(hù)的指南以及軟件開發(fā)生命周期中隱私原那么的實(shí)施設(shè)計(jì)階段的隱私和PII的保護(hù)要求,可以從隱私風(fēng)險(xiǎn)評估和或隱私影響評估得 到輸出工程里程碑內(nèi)的PH保護(hù)檢查點(diǎn)必要的隱私和PII的保護(hù)知識(shí)默認(rèn)情況下,最小化PH的處理。與PII處理有關(guān)的系統(tǒng)或組件應(yīng)按照設(shè)計(jì)的隱私原那么和默認(rèn)的隱私原那么來設(shè) 計(jì),并預(yù)測和促進(jìn)相關(guān)控制的實(shí)施。特別是

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論