中国石油天然气公司开发安全管理通则(doc 38页)

中国石油天然气公司开发安全管理通则目录：
1.1概述3
1.2目标3
1.3规范的使用范围4
1.4规范引用的文件或标准5
1.5术语和定义6
1.6应用系统开发总体原则7
1.7系统需求收集和分析阶段安全规范8
1.7.1可行性研究分析8
1.7.2开发人员安全管理机制10
1.7.3建立系统开发安全需求分析报告11
1.8系统设计阶段的安全规范12
1.8.1单点访问控制，无后门。12
1.8.2人员职责和权限的定义12
1.8.3确保敏感系统的安全性12
1.8.4确保访问层的安全性12
1.8.5确保日志管理机制健全12
1.8.6新系统的容量规划13
1.9系统开发阶段安全规范14
1.9.1系统开发语言安全规范14
1.9.2系统开发安全相关工具管理规范19
1.9.3控制软件代码程序库21
1.9.4在软件开发过程变更管理规范23
1.9.5开发版本管理规范24
1.9.6开发日志审核管理规范25
1.9.7防御后门代码或隐藏通道相关规范25
1.10系统测试阶段安全规范27
1.10.1应用系统的安全性检测规范27
1.10.2控制测试环境29
1.10.3为测试使用真实的数据29
1.10.4在软件转移至生产环境前进行测试29
1.10.5应用系统安全质量鉴定30
1.11系统培训及文档阶段安全规范31
1.11.1新系统的培训31
1.11.2撰写新系统和系统改进的文档31
1.12应用系统开发外包安全控制32
附录 1参考文献33

 

中国石油天然气公司开发安全管理通则内容提要：
信息系统的许多的安全控制或者是安全性是通过系统的开发设计予以实现的。因此如果在系统的开发设计阶段没有对系统的安全性给予充分的考虑，那么系统本身一定会存在许多先天不足，系统就会漏洞百出。为了确保应用系统的安全，在应用系统开发之前就应当对系统的安全要求有所确认，并作为开发设计的阶段的基础予以落实。
本规范主要规定了在系统开发的各个阶段需要的各种安全规范，从可行性分析需求分析阶段开始，到设计阶段，再到开发阶段和维护阶段以及最后的文档阶段的系统开发的各个阶段进行阐述。将不同阶段下需要注意的安全问题和相关的安全规范进一步进行描述和规定。
……

应用系统的开发应当遵循一系列的总体原则，以确保开发过程中的安全。其中包括：
a)系统开发需得到公司领导层的重视和参与。需要领导层组织开发力量，协调各方关系并在开发的过程中提供决策性的意见和建议。
b)系统开发应当从业务需求得角度出发，不得盲目追求系统先进性而忽略了系统的实用性。系统的开发是为了更高的满足业务上的需要，而不是技术上的需要。
c)开发的方法和管理必须规范化、合理化、制度化。只有采用了规范化合理化制度化的开发管理方法，才能确保开发的质量和进度。
……

开发人员授权管理规范：
a)根据该员工在整个开发项目中所负责的开发内容授予其相应的权限和承担的责任。
b)开发人员必须负责其开发内容的保密性，不得私自将开发的相关信息泄漏出去，即使是家人或开发团队中的其他开发人员也不得泄漏。但开发人员有责任将开发的相关信息告诉项目的负责人员或开发小组的负责人员。
c)以书面的方式将员工的权限和相应的责任提交给员工本人。必须严格规定在为企业工作期间的所有和工作相关的开发成果的所属权都归企业所有。
d)根据员工权限和责任的大小确认是否需要签署相关的保密协议。
e)在日常工作中记录员工的开发相关的日志信息。
f)员工一旦离职或调动岗位应立即收回或调整其相应的权限。

..............................