ISO27001-2022作业文件之信息系统安全开发管理规范

信息系统安全开发管理规范
1.目的
规定了信息系统安全开发时的职责权限、内容和方法要求。

2.适用范围
适用于组织所有自主信息系统开发过程控制。

3.职责
3.1业务总体部负责信息系统的需求分析的信息安全控制。

3.2研发部负责信息系统的安全开发过程的信息安全控制。

3.3产品保证中心负责信息系统的测试及客户部署过程的信息安全控制。

4.管理要求
4.1 安全开发进度
4.1.1 系统计划
为了支持业务活动，开发人员应向资产管理员提出信息系统的容量要求和性能要求，资产管理员负责提供充足的可用资源以满足系统要求。

4.1.1.1 容量设计和性能要求
信息系统的需求分析员应预测未来的容量和性能要求，其中包括新业务和系统要求，组织信息处理的当前状况和未来趋势，并应做出对于未来能力需求的推测，以确保拥有所需要的系统性能。

资产管理员必须对关键系统资源的使用进行监视，识别并避免潜在服务瓶颈，制定容量计划，以保证有充分的处理能力和存储空间可用。

在申请阶段应根据容量计划和能力管理的需求来填写《设备申请单》，提供资产管理员负责设备的采购.
4.1.1.2 新系统的开发
研发部负责定义和执行正式的新系统的开发流程，把相关信息安全要求加入到开发流程中，正式系统开发流程必须至少包括：
✧授权用户提交系统要求，并得到部门负责人的批准和确认；
✧设计、开发和实施本规定描述的安全要求；
✧系统测试计划(包括安全测试)确保系统功能满足要求，并确保按照控制的有效性；
✧在系统发布部署前应在测试环境中进行用户验收测试。

4.1.2 软件需求安全要求
4.1.2.1基本安全要求
常见软件功能的安全需求包括用户登录、SQL注入和XSS跨站脚本、性能测试等。

用户登录的功能实现策划可通过授权认证来实现借助身份识别，数字签名等技术认证手段，来解决公共网络系统平台的网络身份认证等问题，以保障平台使用者的身份真实性，并解决数据存储以及传输过程中的安全性，防止用户及服务过程中的信息未授权的泄露和修改。

SQL注入和XSS跨站脚本可通过专项检查及测试。

性能测试应在设计、开发和实施适当考虑。

根据系统对关键业务进行的影响，应该保证数据不得被误用、丢失或未授权访问。

项目负责人负责根据相关人员的要求，在新系统中建立必要的安全机制，例如：应用系统中的访问控制；必要的数据保存和备份；所有安全控制应在信息系统设计阶段进行考虑等。

4.1.2.2 应用系统的安全控制
必须在应用系统内部实施适当的控制措施，以防止应用系统内的用户数据遭受丢失、恶意或无意的修改及误用。

控制措施包括：
✧输入数据验证
必须对输入到应用系统内的数据进行检查以保证数据的正确性和适当性。

在数据处理之前对业务交易及各种数据、表格的输入进行检查。

需要对合理性测试及错误响应的责任进行定义。

✧内部处理控制
正确输入的数据有可能因为处理过程的错误或人为操作被破坏，必须对内部处理加以正确控制。

✧消息完整性
信息系统中应该包含消息完整性的验收机制，以检测对所传输电子消息内容的未授权变更或破坏。

✧输出数据验证
应用系统中必须包括输出数据控制。

输出数据验证应在数据处理之后进行，以保证准确性和完整性。

定义错误响应程序及数据输出过程中有关各方的责任。

✧错误数据处理
应用系统中应包括错误数据处理程序。

4.1.3 系统验收
开发人员应在开发前为新信息系统制定验收标准，新系统的验收标准应明确定义，得到认可并作记录。

验收标准应包括以下控制：
✧满足相关人员要求的功能
✧性能及计算机容量要求
✧错误或意外事件的恢复
✧根据所定义的标准对源代码进行准备和测试
✧认可的安全控制是否准备就绪
4.1.4 开发和支持过程中的安全
为了保证应用系统和信息的安全，资产管理员必须策划及执行变更管理，可以包括以下内容：✧提交授权用户的变更要求
✧变更对业务造成的破坏降到最低
✧变更确保不损坏安全机制
✧对变更造成影响评估，设别所需的硬件、软件和数据库
✧变更需求得到正式批准和确认
✧不在生产环境中进行系统测试
5.2 安全环境
5.2.1 信息系统文件安全
信息系统文件可包括一系列敏感信息，例如：应用过程的描述、程序、数据结构、授权过程。

应保护信息系统文件，防止未授权的访问，对于信息系统文件安全，可考虑下列内容：✧安全的存储信息系统文件
✧信息系统文件的访问授权保持在最低范围，由资产管理员授权才可访问
✧妥善的保护在公用网络上或经由公共网络提供的信息系统文件
5.2.2 开发、测试和生产环境的隔离
对于可以和正式环境分离的测试环境，必须把诸如数据、程序、服务器和访问路径等测试和正式环境进行隔离，以减少意外变化对正式环境中的生产软件和业务数据的未授权的访问所造成的风险。

资产管理员的职责如下：
✧隔离测试和正式的业务环境；
✧确定正式环境中的系统只拥有可执行代码；
✧在测试及用户验收之前确认正式环境中的系统中没有可执行代码
✧对系统的日志功能设定为有效。

5.2.3 保护测试数据
验收测试通常要求测试数据尽可能接近正式数据，因此数据的泄露可能会对组织造成负面影响。

资产管理员必须采取安全措施保护和控制测试数据，应定义测试保护的要求并限定可访问测试数据的
人员，资产管理员须确保下列控制有效：
✧为测试环境制定访问控制计划；将访问控制计划应用于正式环境和测试环境；
✧在测试期间避免使用敏感数据；
✧把测试环境中用到的测试数据记入《测试数据记录单》；
✧不得混合使用测试数据和正式数据。

5.2.4 程序源代码控制
软件配置管理员必须对源码库的访问进行严格控制，防止潜在的计算机程序破坏和未授权的访问。

应至少包括下列控制：
✧指定信息系统的配置管理员负责维护程序源码库的安全；
✧只有被授权的人员才可对程序源码库进行更新；
✧禁止把开发中的程序混放在正式程序源码库中；
✧程序源码库的维护和拷贝应严格遵守配置软件工具的访问机制。

5.记录
5.1软件开发生命周期文档。