软件开发安全管理办法.pdfVIP

鄂尔多斯电业局企业规章制度

OEP-IRM.2-103-2011

软件开发安全管理办法

2011-5-27发布2011-67实施

鄂尔多斯电业局发布

软件开发安全管理办法

第一章总则

第一条目的

为了提高鄂尔多斯电业局软件开发安全管理水平，特制定本管理办法。

第二条适用范围

本管理办法适用于应用系统软件开发从计划、需求、设计、开发、测试、部署过程中的安全管

理。

第三条规范性引用文件

内蒙古电力（集有公司软件开发安全管理规定（内[2009]号）

团）限责任电生24

第四条术语和定义

（一）CMM认证

CMM是能力成熟度模型的缩写，是一种用于评价软件承包能力并帮助其改善软件质量的方法，

侧重于软件开发过程的管理及工程能力的提高与评估。CMM分为五个等级：一级为初始级，二级为

可重复级，三级为己定义级，四级为己管理级，五级为优化级。

第五条职责

（一）生产技术处的职责如下：

I.归口负责软件开发安全管理工作的监督、检查和考核：

第二章开发环境安全

第六条开发环境应设置独立的工作区域，并根据应用系统的开发要求，对该区域进行网络访问控

制和物理访问控制，确保开发数据的安全性。

第七条项目文档、代码的存储应进行备份，以确保在发生意外时，可有效恢复。

第八条在开发环境中，应提供对项目文档和代码版本管理和访问控制。

第九条用于开发的服务器、个人电脑必须做好严格的安全防护措施，包括但不仅限于更新系统补

安毒软件墙）、置密码

丁、装防病（防火设策略。

第三章文档安全

第十条应用系统开发过程的各阶段都应有开发文档的输出。

第十一条对文档的安全性方面的内容给予规定。内容包括对于文档内容的安全和文档自身的安

全：

（一）文档内容的安全：

I.开发各阶段输出的文档应对安全性方面的内容进行描述。

2.需求说明书中应明确描述应用系统的安全需求。

3.设计说明书中应有针对安全需求的设计，并进行评审。

4.在测试大纲或者测试方案中应有安全性测试方案，并以此进行安全性测试。

（二）文档自身的安全：

I.文档应设定密级及读者范围，以限定其访问范围。

2.文档的访问控制应有相应的授权机制。

3.文档应有专用的服务器或文件柜进行保存和备份，对于电子文档应有版本控制。

第四章源代码管理

第十二条当应用系统为第三方开发时，根据协议执行源代码的管理。

第十三条建立专门的源代码管理服务器，用于对程序源代码实施有效管理。

第十四条源代码管理应保存所有的历史版本，以便杳阅。

第十五条在开发完成并通过测试后，开发人员必须提出源代码归档申请，并将所有的程序源代

码以及设置等支持文件打包，交付档案室，代码在提交前必须通过安全检杳。通过检查后的源代码

由档案室进行信息的登记并将源代码上传到管理服务器。

（或或设置改时,

第十六条对于已有系统功能、模块等）的代码文件文件，在需要对其进行修

必须由修改人提出源代码修改申请，并生产技术处批准后，档案室才能