系统开发中安全控制要求落地(中):系统设计、系统实现

系统开发安全控制要求落地围绕着项目周期进行，包括项目准备、项目启动、系统设计、系统实现、上线部署、项目结项六个阶段。本篇内容包含系统设计、系统实现两个阶段的落地工作。

系统设计-安全需求

1、系统需求分析加入信息安全需求

• 负责人：项目主管

• 落地工作：业务需求分析过程加入业务、应用、基础设施的信息安全需求

• 时间点：需求文档完成之前

• 参考信息：《应用系统安全需求分析指南》

2、评审系统需求分析结果

• 负责人：信息安全岗

• 落地工作：评审安全需求充分性，信息安全要求符合性。

• 时间点：需求报告评审通过

• 参考信息：《应用系统安全需求分析指南》

系统设计-安全设计

1、进行系统安全设计

• 负责人：项目主管

• 落地工作：系统设计报告模板加入信息安全设计章节，按安全审计指南进行安全设计。

• 时间点：系统设计文档完成之前

• 参考信息：《应用系统安全设计指南》

系统实现-编码

1、应用系统安全编码培训

• 负责人：项目主管

• 落地工作：按编码规范对开发人员进行安全编码培训

• 时间点：编码工作开始

• 参考信息：《应用系统漏洞规避指南》

2、应用系统代码审查

• 负责人：项目主管

• 落地工作：对应用系统进行代码审查

• 时间点：系统上线前

• 参考信息：《信息系统开发与维护安全管理策略》

系统实现-测试

1、应用系统安全测试

• 负责人：项目主管

• 落地工作：对应用系统进行安全功能、性能以及渗透测试

• 时间点：系统测试完成

• 参考信息：《应用系统安全测试指南》

2、测试数据使用申请

• 负责人：项目主管
• 落地工作：执行测试数据的申请审批及测试人员的权限控制
• 时间点：测试数据生成前

• 参考信息：《测试数据申请单模板》

3、测试数据使用完成处理

• 负责人：项目主管

• 落地工作：对使用完的测试数据进行销毁工作

• 时间点：测试数据使用完成后一周内

• 参考信息：《测试数据使用完成单模板》

 扩展  •  本文相关链接  

• 系统开发中安全控制要求落地（上）：项目准备、项目启动

• 系统运维中安全控制要求落地（下）：门禁系统管理、第三方人员管理、互联网访问与终端安全

• 系统运维中安全控制要求落地（中）：安全基线管理、补丁管理、防病毒、账号口令管理

• 系统运维中安全控制要求落地（上）：系统备份、系统监控与变更管理