其他分享
首页 > 其他分享> > 信息安全管理19_信息系统开发与维护安全控制要点与管理策略

信息安全管理19_信息系统开发与维护安全控制要点与管理策略

作者:互联网

信息系统开发与维护安全管理是为了提高软件开发安全水准,规范软件安全开发过程活动,适用于信息系统软件开发生命周期的安全技术及安全开发过程的全面管理。

01.软件开发生命周期及安全活动

整个软件开发生命周期分成六步:软件需求、软件设计、软件实现、软件上线、软件的运维、软件的废弃。在整个软件开发生命周期中的安全活动分成四类:安全目标确定、安全风险评估、安全控制实现、安全运行管理。

02.软件需求阶段安全管理策略

软件安全需求是为保障实现业务功能而对安全需求分析和安全需求方案制定提出机密性、完整性和可用性的要求。

在安全需求分析阶段,需进行业务安全性和合规性分析,确定软件的业务安全需求。在安全需求方案制定阶段,软件开发人员通过风险分析,提出软件的安全目标并最终体现在安全需求方案中。在软件安全需求阶段的主要安全活动有:

03.软件设计阶段安全管理策略

在软件设计阶段,需要根据安全需求方案确定的安全目标,对初步风险评估确定的控制措施进行方案设计,其中包括概要设计和详细设计两个阶段。

在软件设计阶段的安全活动主要有:

04.软件实现阶段安全管理策略

在软件实现阶段,需要根据安全设计规格说明书的要求,技术人员通过编写源代码,实现应用系统的目标码。在此过程中需要进行充分的测试工作,以保证软件的开发质量。软件实现主要包括开发与测试两个阶段:

在软件开发与测试阶段的安全活动主要有:

 

05.软件上线试运行阶段安全管理策略

应用系统通过用户验收,并且在相关配套资源到位后,需求部门依据验收报告,提出系统上线申请,与运行部门、使用部门、开发部门会签后,方可实施上线。上线一般包括上线申请、上线审批、数据转换、上线试运行三个阶段。

在软件上线阶段的安全活动主要有:

06.软件正式运维阶段安全管理策略

试运行结束后,在确定应用系统稳定可靠的基础上,可以正式启用。在软件运维阶段的主要安全活动:

07.软件废弃阶段安全管理策略

由于软件无法满足业务的要求,或者更新换代时,应将应用软件退出生产运行环境。软件废弃包括:软件废弃申请、软件废弃实施二个阶段。在软件废弃阶段的主要安全活动:

标签:需求,安全,19,管理策略,系统,安全控制,阶段,测试,软件
来源: https://www.cnblogs.com/weyanxy/p/14112052.html