福州ISO27001认证厦门福建信息安全管理体系认证顾问辅导培训办理

　　一、开发条件及方式

　　1.开发条件

　　符合开发条件的软件项目应该是能够有效利用现有的资源，开拓新业务；或能有效地提高生产效率，减少工作中机械繁琐操作的项目。

　　2. 开发方式

　　软件开发可以采用下列三种开发方式之一：

　　a) 自主开发：由需求部门或公司自主开发。

　　二、 软件开发项目管理

　　软件开发项目的整体流程包括项目建议及审批、需求分析、系统设计、系统实现、测试及试运行、系统验收、上线运行维护升级等阶段。

　　三、开发安全管理

　　1.安全需求分析

　　安全需求分析在项目需求分析阶段完成，具体要求如下：

　　1) 项目组在应用系统实现的业务功能的基础上进行风险评估，识 别应用系统所涉及的重要的信息资产，分析由于故障或安全问题可能导致的潜在损失，分析为保护这些信息资产、避免重大损失而应采取的控制措施。

　　2) 项目组人员应调研应用系统开发完成后的系统维护人员、系统应用 人员及网络安全管理人员，提取硬件部署、平台搭建、网络架构等方面的安全需求，将相关的安全需求和建议作为获取安全设计的依据。

　　3) 根据风险分析以及充分调研的结果，对应用系统的基本安全功能和 安全功能的强度进行需求确认。

　　4) 安全需求分析应在项目详细的需求分析文档中用立章节进行详细 描述，包括对每个基本安全功能实现的必要性陈述以及不能实现某种安全功能的原因。

　　2.系统设计安全

　　系统安全设计是系统设计阶段重要组成部分，具体要求：

　　1) 应用系统应满足系统对于身份认证的需求，应明确提出用户身份认证的强度以及认证失败后的处置方式。

　　2) 应用系统应包含用户权限分配和管理功能，应根据系统所处理的业务数据的保密性和完整性要求，确定系统采用的用户权限访问控制 模型和权限的划分。

　　3) 应用系统应包括安全日志记录功能，应明确对于日志内容的要求，审计日志应涵盖用户创建、登录审计、访问和被拒绝记录等。

　　4) 应用系统应包含可能出现的各种异常情况的安全处理设计。

　　5) 应用系统总体结构的设计或部署考虑重要子系统、部件的备份，避故障点。

　　6) 应用系统应满足数据安全的需求，重要而敏感的数据应当进行加密和完整性保护，在传输过程中全程加密，并实现数据不落地传输的控制过程。

　　7) 其他具体的开发安全技术要求，参照《信息系统获取、开发与维护管理制度》。