源代码安全管理规范Word文档格式.docx
《源代码安全管理规范Word文档格式.docx》由会员分享,可在线阅读,更多相关《源代码安全管理规范Word文档格式.docx(11页珍藏版)》请在冰豆网上搜索。
7、生成的版本要进行完整性和可用性测试。
8、对开发人员和管理人员要有源代码安全管理培训。
9、对开发人员和管理人员访问代码要有相应的权限管理。
10、源代码保存服务器要有安全权限控制。
11、控制开发环境网络访问权限。
三、管理策略
1、建立管理组织结构
2、制定管理规范
3、制定评审标准
4、执行管理监督
四、组织结构
1、源代码的管理相关方
(1)研发部
(2)项目管理部及管理人员
(3)工程技术人员
(4)测试部
(5)源代码管理人员
(6)源代码安全管理领导人员
(7)服务部
2、组织职责
信息安全管理工作小组:
组织完成的任务是,建立管理组织结构、制定管理规范,制定评审标准,执行管理监督。
具体完成的工作:
(1)协调制定源代码管理组织
(2)协调制定源代码分级管理规范
(3)制定源代码安全评审标准
(4)执行源代码安全规范的组织实施和监督,每季度进行一次权限控制检查及全面信息安全评估,对发现的问题要求整改,在下次检查前还没有完成整改的,进行相关的处理整顿。
(5)源代码向研发部门以外复制的授权审批。
源代码管理人员:
组织完成的任务是,完成系统建设、权限分派、建立目录结构与目录安全策略、部署服务器与建立服务器安全策略、完成备份策略。
(1)部署源代码管理服务器,完成服务器安全控制设置,并安装源代码管理软件。
(2)建立帐号,维护帐号,为帐号指派目录权限。
(3)开发人员,工程技术人员,只允许查看修改自有工作目录(允许签入签出)。
(4)工程技术主管只允许查看,不允许有修改(不允许签入签出)权限。
(5)测试部门只对发布前的版本有获取的权利,没有修改签入的权利。
除测试文档外的目录外不与授权。
(6)联调整合代码:
只授与经部门主管委托的有权限操作的人员。
(7)定期做好备份。
测试部门:
组织完成的任务是,版本库版本的完整性测试、可用性测试。
具体工作如下:
(1)做好测试的组织、管理、设计、实施等工作。
(2)制定完整的测试方案。
(3)审核软件需求。
(4)审核设计规格说明
(5)功能验证。
(6)找出软件中潜在的各种错误和缺陷。
(7)完成集成测试、确认测试、系统测试。
工程技术人员:
实施获取版本后的安全控制风险,实施项目文件的入库规范操作。
主要完成的工作:
(1)对外版本风险控制。
(2)项目实施细节文件编写。
(3)项目验收报告签署。
(4)项目完工后过程文件入库。
服务部及管理人员:
监督管理对工程技术人员的文档控制,版本安全风险控制。
(1)项目实施管理。
(2)监督项目进行过程中文档及软件的安全风险。
(3)评估项目实施过程中的其它风险。
研发部:
对工作库进行操作更新,保证工作库的安全风险防范。
(1)所有软件的源代码文件及相应的开发设计文档都必须加入到指定服务器的指定库中。
(2)在软件开始编写修改之前,其相应的设计文档和代码,必须先从工作库中取出编辑。
在最终提交之前,需要进行一次更新操作,看是不是有冲突,冲突解决后,再做提交。
配置管理人员:
完成版本配置工作,进行软件发布,给出发布日期,以便开发、测试、项目、客户等相关人员参考。
配置人员确定准备发布的版本号。
版本号规范如下:
软件版本由四部分组成:
每一部分为主版本号,第二部分为次版本号,第三部分为修订版本号,第四部分软件修改编译后形成顺序版本号。
第一部分:
需求书版本。
第二部分:
对应需求书的软件版本号。
第三部分:
对应需求书功能做微小调整后的版本号。
第四部分:
软件修改编译后形成顺序版本号。
服务部:
分配部署用于源代码管理的服务器,配置源代码开发的网络环境,配合源代码管理人员完成服务器目录权限配置。
(1)根据源代码安全管理规范的要求配置服务器。
(2)配置安全的网络环境访问权限。
(3)配合源代码管理人员完成服务器目录权限的配置。
3、与职能机构的协同管理
主要维护与人力资源部的协作关系,要求人力资源部配合完成如下工作:
(1)须对与源代码相关人员进行入职背景调查。
(2)对与源代码相关人员的入职培训,重点进行公司规章制度中与源代码安全管理相关的培训。
(3)与源代码相关的离职人员,在经过人力资源部审核时,重点审核是否符合与源代码相关人员离职审批流程,是否出现异常状况,如存在严重安全隐患,主管人员应立即上报进行处理。
4、应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。
五、管理制度(见文档《源代码安全管理制度.docx》)
六、管理流程
1、服务器部署流程
2、源代码管理软件配置流程
3、源代码创建修改流程
4、版本控制流程
5、源代码测试流程(组件测试)
6、组件发布流程
7、软件发布流程
8、项目人员获取版本流程
9、外部借阅流程
10、源代码目录工作状态安全监控流程
11、源代码目录和项目权限安全监控流程
12、与源代码相关人员离职审查流程
七、表单
1、见B07离职交接表单
2、见B09《重要应用系统权限评审表》
3、见(B09)《重要服务器-应用系统清单》
4、外部借阅审批表
外部借阅审批表
借阅内容
借阅目的及原因
借阅介质
借阅开始时间
借阅时长
借阅归还时间
总经理审批意见及签字
开发主管签字
管理人员转交时间及签字
借阅实际归还时间及完好性确认经手人签字
借阅归档时间及归档人签字
5、软件获取申请表
软件获取申请表
软件名称和版本
获取目的
协议或合同编号
获取时间
获取介质
申请人签字
6、信息安全规范检查记录表
季度信息安全规范检查记录表
检查项目(例)
执行状态
检查时间
检查人员签名
操作权限控制
服务器安全控制
。