以下为《软件开发安全管理规定》的无排版文字预览，完整格式请下载

下载前请仔细阅读文字预览以及下方图片预览。图片预览是什么样的，下载的文档就是什么样的。

项目开发安全管理规定

__软件开发安全管理规定

第一章 总则

第一条 为加强__软件开发的安全管理，保护软件开发中软件和数据的安全，依据《网络安全法》、《数据安全法》、《个人信息保护法》、ISO 27001-2013 信息安全管理体系、GB/T 19001-2016 质量管理体系 要全球、ISO 20000-1-2018信息技术 服务管理 服务体系 要求、ISO/IEC 27002-2013信息安全控制实用规则等要求，特制订本规定。

第二条 本规定适用于神州医疗在项目开发过程中软件系统需求分析、设计、开发及测试等阶段的安全管理。

第二章 软件安全需求分析

第三条 业务需求提出人员应会同需求分析人员，确定业务持续性、输入输出、身份欺骗及抗抵赖等方面的业务风险。

第四条 业务需求提出人员应会同需求分析人员，依据业务风险，提出系统功能、性能及数据等方面的业务安全需求。

第五条 需求分析人员应根据业务安全需求，进行资产识别、资产分析和风险分析，确定软件的安全需求。

第六条 需求分析人员应明确软件系统的安全目标，并提交安全需求规格说明书（或需求规格说明书包括安全需求部分），包括系统需要保护的要素、保护程度，应用系统中存在的威胁、脆弱性及其风险等。

第七条 项目开发部门应会同数据安全管理部对整体安全目标进行评审并确认。

第三章 软件安全设计

第八条 设计人员应根据安全目标进行安全设计，在符合采购方信息化架构规划的基础上，确保安全功能的完整实现，并提交安全设计方案（或总体方案设计文档中包括安全方案设计部分）。

第九条 安全设计应遵循：

(一) 保护最薄弱的环节原则：保护最易受攻击影响的部分；

(二) 纵深防御原则：不同层面、不同角度之间需要相互配合；

(三) 最小权限原则：只授予执行操作所需的最小权限；

(四) 最小共享原则：使共享文件资源尽可能少；

(五) 权限分离原则：授予不同用户所需的最小权限，并在它们之间形成相互制约的关系。

第十条 安全设计应包括：

(一) 确定安全体系架构，设计安全协议和安全接口；

(二) 确定访问控制与身份鉴别机制，定义主体角色和权限；

(三) 信息输入的安全过滤，信息输出的校验和控制；

(四) 数据结构安全设计，选择加密方法和算法；

(五) 确定敏感数据保护方法；

(六) 内部处理逻辑安全设计；

(七) 评估内部通信机制，确定完整性机制。

第十一条 项目开发部门会同数据安全管理部对安全设计方案进行评审并确认。

第四章 软件安全开发

第十二条 开发人员根据安全设计方案进行系统安全开发，确保开发环境、编码及系统流程控制的安全。

第十三条 开发环境安全管理要求：

(一) 软件系统开发、测试不得在生产环境中进行；

(二) 开发环境中所使用的操作系统、开发工具、数据库等必须是正版软件；

(三) 开发环境中的开发用机应进行统一安全配置，及时进行系统补丁升级和漏洞修复。

第十四条 编码安全要求：

(一) 遵循代码编写安全规范，根据代码编写安全规范以及安全设计方案进行系统开发；

(二) 遵循通用安全编程准则，包括输入验证、缓存溢出、安全调用组件和程序编译等；

(三) 遵循机密性要求，保护用户访问信息的机密性，严禁在客户端存放敏感数据，避免内存溢出，严格检查和验证输入输出信息等；

(四 内容过长，仅展示头部和尾部部分文字预览，全文请查看图片预览。 第三十条 __部门应对开发完成后的应用软件进行审查或检测。

第八章 附则

第三十一条 __参照执行本规定。

第三十二条 本规定由__负责解释和修订。

第三十三条 本规定自发布之日起执行。

附 系统开发相关技术文档清单：

业务需求书（其中包含信息安全业务需求部分）

安全需求规格说明书（或需求规格说明书包括安全需求部分）

安全方案设计文档（或总体方案设计文档中包括安全方案设计部分）

程序源代码 开发过程中产生的记录 测试方案 测试过程记录 测试报告 代码分析报告 系统配置文档 系统使用指南及操作手册 附件无 文档内容仅供参考

[文章尾部最后300字内容到此结束,中间部分内容请查看底下的图片预览]

以上为《软件开发安全管理规定》的无排版文字预览，完整格式请下载

下载前请仔细阅读上面文字预览以及下方图片预览。图片预览是什么样的，下载的文档就是什么样的。