系统开发安全管理办法

系统开发安全管理办法

文档说明（一）变更信息

（二）文档审核人

目录

第一章目的 (4)

第二章适用范围 (4)

第三章术语、定义、缩略语 (4)

第四章组织与职责 (4)

第五章安全需求 (5)

第六章安全设计 (5)

第七章安全编码 (5)

第八章安全测试 (6)

第九章安全上线 (6)

第十章开发外包 (7)

第十一章附则 (7)

第一章目的

第一条为规范本单位的应用系统开发过程，提升交付系统的安全性，有效降低安全风险，特制定本管理办法。

第二条系统开发安全管理是指在系统开发阶段，建立若干安全的开发流程，对其进行有效管理，将符合安全需求的安全机制与措施在应用系统中实现，提高交付系统的安全性，减少后续安全更正和维护所产生的成本。

第二章适用范围

第三条本管理办法中应用系统开发安全管理涉及的过程包括：安全需求分析、安全设计、安全编码、安全测试、安全上线、以及应用系统开发外包的安全管理。

第四条本管理办法适用于应用系统开发类项目，以及与项目相关的项目管理人员、项目实施人员。

第三章术语、定义、缩略语

第五条安全需求是指为保障应用系统安全，满足应用系统合规性需求和敏感信息保护需求，而针对应用系统提出的一系列安全要求。

第四章组织与职责

第六条应用系统开发安全管理的统一归口管理部门是技术部，职责包括：

（一）总体负责应用系统开发类项目开发安全管理；

（二）组织制定安全开发相关规章制度、流程、实施细则；

（三）执行安全需求分析、安全设计、安全编码、安全测试、安全上线的实施工作；

（四）参与开发人员安全技能培训。

第五章安全需求

第七条应用系统需求分析阶段必须进行安全需求分析。

第八条安全需求分析应该明确应用系统的业务安全需求，合规性需求以及敏感信息保护需求。

第九条安全需求确定后，应该进行安全需求评审，得到安全需求相关各方的认可。

第六章安全设计

第十条应用系统设计阶段必须进行安全设计。

第十一条安全设计应该明确系统安全逻辑架构，数据安全架构和部署环境安全架构。

第十二条安全设计应该满足系统的安全需求，能够直接指导系统安全功能的编码工作。

第十三条安全设计确定后，应该进行安全设计评审。

第七章安全编码

第十四条应用系统编码前，应该制定安全编码规范，明确代码编写的原则和要求，同时应对开发人员进行安全编码培训。

第十五条系统编码过程中，编写源代码需要遵循安全编码规范。

第十六条应对源代码进行评审，确保其满足安全编码规范相关要求。

第八章安全测试

第十七条应用系统测试阶段必须进行安全测试。

第十八条测试前须依据安全需求和安全设计制定安全测试方案,编写安全测试用例。

第十九条安全测试方案确定后，须对安全测试方案进行评审，检查其适宜性和完整性。

第二十条依据安全测试方案对应用系统进行安全测试，输出安全测试报告。

第二十一条应对安全测试报告进行评审，确保系统的整体安全性满足安全需求。

第二十二条对于我单位等级保护定级为三级的系统，应委托权威第三方测试单位测试系统的安全性，并出具安全性测试报告。

第九章安全上线

第二十三条应用系统上线前，须制定应用系统安全上线方案，明确系统安全交付清单，系统上线步骤。系统安全交付清单至少包括：开发过程文档，系统源代码，系统运维类文档，用户操作类文档，上线失败回退方案。

第二十四条应对安全上线方案进行评审，确保其上线流程合理、安全，交付物的完备。

第二十五条依据安全上线方案实施系统上线，并对上线系统进行安全评审。

第十章开发外包

第二十六条外包给其他公司进行应用系统开发的情况，须对应用系统开发进行安全管控。

第二十七条选择的外包商应具备应用系统开发的相关资质。

第二十八条应与外包商约定交付系统的质量要求、安全性要求。

第二十九条应与外包商约定保密要求和交付系统的相关知识产权要求。

第三十条应与外包商约定开发过程的管控要求。

第三十一条应对外包商交付的应用系统进行安全验收。

第十一章附则

第三十二条本办法由中国文联文艺资源中心负责解释。

第三十三条本管理办法自发布日起执行。

第三十四条