XXXXXX软件有限公司 人性化科技提升业绩
软件开发安全管理办法
目 录
1.目的 ................................................................................................................................ 2 2.适用范围 ........................................................................................................................ 2 3.依据标准和文件 ............................................................................................................ 2 4.职责分工 ........................................................................................................................ 2 5.术语和定义 .................................................................................................................... 3 6. 管理细则 ...................................................................................................................... 3
6.1.开发条件及方式 ................................................................................................ 3 6.2.软件开发项目管理 ............................................................................................ 3 6.3.开发安全管理 .................................................................................................... 4
第 1 页 共 8 页
内部公开
【软件开发安全管理办法】 F4-C-研发服务体系-013-V1.0
1. 目的
为规范公司的开发管理,进一步加强应用系统软件开发过程 及开发交付的安全性,特制定本管理办法。
2. 适用范围
适用于公司软件开发过程的安全管理。
3. 依据标准和文件
GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全 管理体系要求》
GB/T 22081-2016/ISO/IEC 27002:2013《信息技术安全技术信息安全 管理实用规则》
4. 职责分工
信息安全工作小组:负责组织编写并推广本管理办法; 各开发部各产品(项目)或系统开发组:负责软件开发。
测试部:开发完成后的测试和试运行。
系统服务部:正式运行的维护工作。
第 2 页 共 8 页
内部公开
【软件开发安全管理办法】 F4-C-研发服务体系-013-V1.0
5. 术语和定义
1) 缓冲区溢出:指当计算机向缓冲区内填充数据位数时超过了缓冲区本身 的
容量溢出的数据覆盖在合法数据上;通过往程序的缓冲区写超出其长 度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或 使程序转而执行其它指令,以达到攻击的目的。
2) 静态代码分析:指在不运行代码的方式下,通过词法分析、语法分析、控
制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全可靠性、可维护性等指标的一种代码分析技术。
6. 管理细则
6.1. 开发条件及方式
6.1.1.开发条件
符合开发条件的软件项目应该是能够有效利用现有的资源,开拓新业务;或能有效地提高生产效率,减少工作中机械繁琐操作的项目。 6.1.2. 开发方式
软件开发可以采用下列三种开发方式之一:
a) 自主开发:由需求部门或公司自主开发。
6.2. 软件开发项目管理
软件开发项目的整体流程包括项目建议及审批、需求分析、系统设计、系统实现、测试及试运行、系统验收、上线运行维护升级等阶段。
第 3 页 共 8 页
内部公开