开发测试安全管理包括安全需求、安全设计、安全编码测试、系统部署上线、商用及开源软件使用、开发测试资源安全六个部分的内容。
01.安全需求
- 在信息系统需求阶段是否考虑安全需求?
- 信息系统安全需求是否经过论证?
- 信息系统安全需求过程是否有业务部门参与?
- 信息系统安全需求是否有合规部门参与?
- 信息系统安全需求是否有安全部门或组织参与?
- 信息系统安全需求是否被正式定义?
-
信息系统安全需求定义是否经过审批、确认?
02.安全设计
- 信息系统安全涉及是否考虑安全设计?
-
信息系统安全设计是否依据安全需求进行?
-
信息系统安全设计是否形成整体安全架构?
-
是否根据信息系统安全架构进行详细安全设计?
-
信息系统安全设计是否形成正式的定义?
-
信息系统安全设计是否经过论证?
-
信息系统设计是否经过批准?
03.安全编码测试
- 是否对信息系统代码编写形成正式的规范?
-
信息系统测试过程是否进行安全功能测试?
-
信息系统测试过程是否进行代码安全检查?
-
从生产环境获取测试数据是否经过严格审批?
- 敏感测试数据是否进行脱密操作?
04.系统部署上线
- 开发测试环境是否与生产环境进行隔离?
-
信息系统上线前是否进行安全评估与渗透测试?
-
信息系统上线前是否对默认配置进行更改?
-
信息系统上线前是否对新版本部署包及文档进行归档?
-
信息系统上线前是否与运维部门进行正式交接?
- 信息系统上线是否进行正式的变更审批?
05.商用及开源软件使用
- 信息系统开发过程是否对使用的商用软件进行评估?
-
在进行商用软件评估过程是否考虑其安全性?
-
是否对商用软件的功能、性能、安全进行测试?
-
信息系统开发过程是否通过可靠的渠道获得开源软件?
-
在使用开源软件前是否进行充分的安全测试与评估?
- 在使用开源软件或免费软件是否评估版权问题?
06.开发测试资源安全
- 是否通过统一的配置系统(如SVN)进行控制?
-
配置系统(如SVN)是否具有正式的权限管理流程?
-
配置系统(如SVN)开通账号权限是否经过审批?
-
配置系统(如SVN)是否形成正式的账号权限台账?
-
是否对外包人员的配置系统权限进行严格控制?
-
配置系统(如SVN)的账号权限是否进行定期清除?
-
是否对配置系统(如SVN)服务器进行定期备份?
-
配置系统(如SVN)服务器是否控制互联网访问?
-
配置系统(如SVN)服务器是否控制互联网邮件发送?
- 配置系统(如SVN)服务器是否控制移动介质的使用?