信息安全相关事项指引
一、 软件开发过程安全
1、 了解公司在软件开发过程安全方面的管理制度,如:《软件开发安全控制程序》
2、 软件安全需求:软件开发项目的需求阶段应有安全性需求的分析与内容,建议在需求说明书文档中补充安全性需求的内容。有关安全性需求,例如:用户身份认证方式、用户密码强度、用户权限管理、数据存储及传输安全、用户操作行为审计/日志审计、输入合法性检查/特殊字符过滤等。
信息安全是任何组织机构的核心组成部分,尤其在信息化高度发达的今天,保护信息资产不受损害显得尤为重要。本文档"信息安全相关事项指引20200516.docx"提供了全面的指导,涵盖了软件开发过程安全、信息安全风险评估以及PC安全等多个方面,旨在确保企业信息安全管理体系符合ISO27001标准。
在软件开发过程安全方面,了解并遵循公司的管理制度,如《软件开发安全控制程序》,是保障安全的基础。软件安全需求在项目需求阶段就应该明确,包括用户身份认证机制、密码强度策略、权限管理、数据加密存储与传输、操作行为审计、输入合法性检查等。软件安全设计阶段则需要将这些需求转化为具体的安全设计内容。编码安全需遵循安全编码规范,同时进行源代码审查。在测试阶段,安全测试是必不可少的,应有安全性测试用例和报告。系统验收测试应有明确的测试方案、准则和报告。此外,软件变更控制流程至关重要,任何变更都需要评估风险,并通过正式的变更控制流程。开发测试环境应与生产环境隔离,并实施严格的访问控制,源代码管理和测试数据安全管理也要到位。对于外包开发,需要签订包含安全条款的合同,并进行监控和验收。
信息安全风险评估是识别和管理潜在威胁的关键步骤。每个部门应熟悉风险评估的过程和方法,确保信息资产表的完整性和风险评估的及时性。风险评估结果应有相应的处置措施。
PC安全层面,防病毒软件的定期升级和病毒查杀是基础。对外部存储设备的管控,特别是U盘,需要授权管理。非授权接入互联网、无线网络的使用,以及重要文件的外发,都需要严格控制。外来人员访问需登记,员工应佩戴工牌,以维护物理安全。此外,用户账号权限的申请审批和复查、敏感信息清除记录、开机口令设置、非工作相关软件的禁用,以及打印或复印涉密信息时的专人监护,都是保障信息安全的重要措施。
总结来说,该文档强调了从软件开发到日常PC使用各个环节的信息安全管理和控制,体现了ISO27001标准的要求,旨在建立一个全方位、多层次的信息安全保障体系,以降低风险,保护企业及其客户的信息安全。
