软件开发安全管理办法
目 录
1.目的 4
2.适用范围 4
3.依据标准和文件 4
4.职责分工 4
5.术语和定义 4
6. 管理细则 5
6.1.开发条件及方式 5
6.2.软件开发项目管理 5
6.3.开发安全管理 5
目的
为规范公司的开发管理，进一步加强应用系统软件开发过程 及开发交付的安全性，特制定本管理办法。
2. 适用范围
适用于公司软件开发过程的安全管理。
3. 依据标准和文件
GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全
管理体系要求》
GB/T 22081-2016/ISO/IEC 27002:2013《信息技术安全技术信息安全
管理实用规则》
4. 职责分工
信息安全工作小组：负责组织编写并推广本管理办法；
各开发部各产品（项目）或系统开发组：负责软件开发。
测试部：开发完成后的测试和试运行。
系统服务部：正式运行的维护工作。
5. 术语和定义
缓冲区溢出：指当计算机向缓冲区内填充数据位数时超过了缓冲区本身 的容量溢出的数据覆盖在合法数据上；通过往程序的缓冲区写超出其长 度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或 使程序转而执行其它指令，以达到攻击的目的。
静态代码分析：指在不运行代码的方式下，通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描，验证代码是否满足规范性、安全可靠性、可维护性等指标的一种代码分析技术。
6. 管理细则
6.1. 开发条件及方式
6.1.1.开发条件
符合开发条件的软件项目应该是能够有效利用现有的资源，开拓新业务；或能有效地提高生产效率，减少工作中机械繁琐操作的项目。
6.1.2. 开发方式
软件开发可以采用下列三种开发方式之一：
自主开发：由需求部门或公司自主开发。
6.2. 软件开发项目管理
软件开发项目的整体流程包括项目建议及审批、需求分析、系统设计、系统实现、测试及试运行、系统验收、上线运行维护升级等阶段。
6.3.开发安全管理
6.3.1.安全需求分析
安全需求分析在项目需求分析阶段完成，具体要求如下：
项目组首先在应用系统实现的业务功能的基础上进行风险评估，识 别应用系统所涉及的重要的信息资产，分析由于故障或安全问题可能导致的潜在损失，分析为保护这些信息资产、避免重大损失而应采取的控制措施。
项目组人员应调研应用系统开发完成后的系统维护人员、系