ISO27001源代码安全管理规范.docx

1、ISO27001源代码安全管理规范 源代码安全管理规范1、管理目标1、保证源代码和开发文档的完整性。2、规范源代码的授权获取、复制、传播。3、提高技术人员及管理人员对源代码及开发文档损伤、丢失、被恶意获取、复制、传播的风险安全防范意识。4、管控项目程序开发过程中存在的相关安全风险。2、定性指标1、源代码库必须包括工作库、受控库、项目库和产品库。2、保证开发人员工作目录及其代码与工作库保存的版本相一致。3、开发人员要遵守修改过程完成后立即入库的原则。4、有完善的检查机制。5、有完善的备份机制。6、有生成版本的规则。7、生成的版本要进行完整性和可用性测试。8、对开发人员和管理人员要有源代码安全管理

2、培训。9、对开发人员和管理人员访问代码要有相应的权限管理。10、源代码保存服务器要有安全权限控制。11、控制开发环境网络访问权限。3、管理策略1、建立管理组织结构2、制定管理规范3、制定评审标准4、执行管理监督4、组织结构1、源代码的管理相关方（1）研发部（2）项目管理部及管理人员（3）工程技术人员（4）测试部（5）源代码管理人员（6）源代码安全管理领导人员（7）服务部2、组织职责信息安全管理工作小组：组织完成的任务是，建立管理组织结构、制定管理规范，制定评审标准，执行管理监督。具体完成的工作：（1）协调制定源代码管理组织（2）协调制定源代码分级管理规范（3）制定源代码安全评审标准（4）执行源

3、代码安全规范的组织实施和监督，每季度进行一次权限控制检查及全面信息安全评估，对发现的问题要求整改，在下次检查前还没有完成整改的，进行相关的处理整顿。（5）源代码向研发部门以外复制的授权审批。源代码管理人员：组织完成的任务是，完成系统建设、权限分派、建立目录结构与目录安全策略、部署服务器与建立服务器安全策略、完成备份策略。具体完成的工作：（1）部署源代码管理服务器，完成服务器安全控制设置，并安装源代码管理软件。（2）建立帐号，维护帐号，为帐号指派目录权限。（3）开发人员，工程技术人员，只允许查看修改自有工作目录（允许签入签出）。（4）工程技术主管只允许查看，不允许有修改（不允许签入签出）权限。（

4、5）测试部门只对发布前的版本有获取的权利，没有修改签入的权利。除测试文档外的目录外不与授权。（6）联调整合代码：只授与经部门主管委托的有权限操作的人员。（7）定期做好备份。测试部门：组织完成的任务是，版本库版本的完整性测试、可用性测试。具体工作如下：（1）做好测试的组织、管理、设计、实施等工作。（2）制定完整的测试方案。（3）审核软件需求。（4）审核设计规格说明（5）功能验证。（6）找出软件中潜在的各种错误和缺陷。（7）完成集成测试、确认测试、系统测试。工程技术人员：实施获取版本后的安全控制风险，实施项目文件的入库规范操作。主要完成的工作：（1）对外版本风险控制。（2）项目实施细节文件编写。（

5、3）项目验收报告签署。（4）项目完工后过程文件入库。服务部及管理人员：监督管理对工程技术人员的文档控制，版本安全风险控制。主要完成的工作：（1）项目实施管理。（2）监督项目进行过程中文档及软件的安全风险。（3）评估项目实施过程中的其它风险。研发部：对工作库进行操作更新，保证工作库的安全风险防范。具体完成的工作：（1）所有软件的源代码文件及相应的开发设计文档都必须加入到指定服务器的指定库中。（2）在软件开始编写修改之前，其相应的设计文档和代码，必须先从工作库中取出编辑。在最终提交之前，需要进行一次更新操作，看是不是有冲突，冲突解决后，再做提交。配置管理人员：完成版本配置工作，进行软件发布，给出发

6、布日期，以便开发、测试、项目、客户等相关人员参考。 配置人员确定准备发布的版本号。版本号规范如下：软件版本由四部分组成：每一部分为主版本号，第二部分为次版本号，第三部分为修订版本号，第四部分软件修改编译后形成顺序版本号。第一部分：需求书版本。第二部分：对应需求书的软件版本号。第三部分：对应需求书功能做微小调整后的版本号。第四部分：软件修改编译后形成顺序版本号。服务部：分配部署用于源代码管理的服务器，配置源代码开发的网络环境，配合源代码管理人员完成服务器目录权限配置。主要完成的工作：（1）根据源代码安全管理规范的要求配置服务器。（2）配置安全的网络环境访问权限。（3）配合源代码管理人员完成服务器

7、目录权限的配置。3、与职能机构的协同管理主要维护与人力资源部的协作关系，要求人力资源部配合完成如下工作：（1）须对与源代码相关人员进行入职背景调查。（2）对与源代码相关人员的入职培训，重点进行公司规章制度中与源代码安全管理相关的培训。（3）与源代码相关的离职人员，在经过人力资源部审核时，重点审核是否符合与源代码相关人员离职审批流程，是否出现异常状况，如存在严重安全隐患，主管人员应立即上报进行处理。4、应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。5、管理制度（见文档源代码安全管理制度.docx）6、管理流程1、服务器部署流程2、源代码管理软件配置流程结束开发主管提出人员配置及目录结

8、构方案交付源代码管理人员建立相应目录结构交付开发人员建立本地工作目录源代码管理人员为每一个开发人员建立帐号开发人员登录VSS或SVN测试权限是否可用是否开发人员修改帐号密码源代码管理人员为每一个开发帐号配置目录权限开发主管检查配置是否合规是否3、源代码创建修改流程4、版本控制流程5、源代码测试流程（组件测试）通过？是否执行源代码创建修改流程结束开发人员发布最终编译版本测试人员获取编译版本测试人员编写测试用例测试人员与开发人员评估测试用例测试人员完成测试报告测试人员完成测试测试部执行发布流程通过？是否6、组件发布流程7、软件发布流程开发主管发出软件发布指令结束软件配置人员从发布的组件中提取发布版

9、本配置人员获取软件功能描述编制发布软件的功能表及规格书测试部门进入测试流程进行测试将软件包提交测试部门测试测试通过后确定发布版本号发布软件8、项目人员获取版本流程9、外部借阅流程10、源代码目录工作状态安全监控流程11、源代码目录和项目权限安全监控流程12、与源代码相关人员离职审查流程7、表单1、见B07离职交接表单2、见B09重要应用系统权限评审表3、见（B09）重要服务器-应用系统清单4、外部借阅审批表外部借阅审批表借阅内容借阅目的及原因借阅介质借阅开始时间借阅时长借阅归还时间总经理审批意见及签字开发主管签字管理人员转交时间及签字借阅实际归还时间及完好性确认经手人签字借阅归档时间及归档人签

10、字5、软件获取申请表软件获取申请表软件名称和版本获取目的协议或合同编号获取时间获取介质申请人签字开发主管签字管理人员转交时间及签字6、信息安全规范检查记录表季度信息安全规范检查记录表检查项目（例）执行状态检查时间检查人员签名操作权限控制服务器安全控制。本制度相关修改及解释权属于研发服务体系文档编号（由总经办填写）F4-C-研发服务体系-001-V1.0密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期2017/07/01文档起草人签字： 日期：2017/07/01 文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：2017/07/01文档审批信息安全管理者代表签字： 日期：2017/07/01文档审批人签字： 日期：2017/07/01