ISO27001：2013源代码安全管理规范

1、ISO27001 : 2013源代码安全管理规范第 页共16页ISO27001: 2013源代码安全管理规范第1页共16页内部公开源代码安全管理规范目 录 TOC o 1-5 h z 管理目标41、保证源代码和开发文档的完整性。 42、规范源代码的授权获取、复制、传播。 43、提高技术人员及管理人员对源代码及开发文档损伤、丢失、被恶意获取、复制、传播的风险安全防范意识。 44、管控项目程序开发过程中存在的相关安全风险。 4定性指标41、源代码库必须包括工作库、受控库、项目库和产品库。42、保证开发人员工作目录及其代码与工作库保存的版本相一致。43、开发人员要遵守修改过程完成后立即入库的原则。

2、44、有完善的检查机制。 45、有完善的备份机制。46、有生成版本的规则。47、生成的版本要进行完整性和可用性测试。 48、对开发人员和管理人员要有源代码安全管理培训 49、对开发人员和管理人员访问代码要有相应的权限管理.410、源代码保存服务器要有安全权限控制。 411、控制开发环境网络访问权限。 4三、管理策略.41、建立管理组织结构42、制定管理规范.43、制定评审标准54、执行管理监督5四、组织结构.51、源代码的管理相关方52、组织职责53、与职能机构的协同管理 84、应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。8五、管理制度（见文档源代码安全管理制度.docx）8六、

3、管理流程.81、服务器部署流程82、源代码管理软件配置流程93、源代码创建修改流程94、版本控制流程105、源代码测试流程（组件测试） 116、组件发布流程 117、软件发布流程128、项目人员获取版本流程 129、外部借阅流程1210、源代码目录工作状态安全监控流程 1311、源代码目录和项目权限安全监控流程 1312、与源代码相关人员离职审查流程 13七、表单141、见B07离职交接表单 142、见B09重要应用系统权限评审表 143、见(B09)重要服务器-应用系统清单144、外部借阅审批表145、软件获取申请表146、信息安全规范检查记录表 15一、管理目标1、保证源代码和开发文档的完

4、整性。2、规范源代码的授权获取、复制、传播。3、提高技术人员及管理人员对源代码及开发文档损伤、丢失、被恶意获取、复制、传播的风险安全防范意识。4、管控项目程序开发过程中存在的相关安全风险。二、定性指标1、源代码库必须包括工作库、受控库、项目库和产品库。2、保证开发人员工作目录及其代码与工作库保存的版本相一致。3、开发人员要遵守修改过程完成后立即入库的原则。4、有完善的检查机制。5、有完善的备份机制。6、有生成版本的规则。7、生成的版本要进行完整性和可用性测试。8、对开发人员和管理人员要有源代码安全管理培训。9、对开发人员和管理人员访问代码要有相应的权限管理。10、源代码保存服务器要有安全权限控

5、制。11、控制开发环境网络访问权限。三、管理策略1、建立管理组织结构2、制定管理规范3、制定评审标准4、执行管理监督四、组织结构1、源代码的管理相关方(1)研发部(2)项目管理部及管理人员(3)工程技术人员(4)测试部(5)源代码管理人员(6)源代码安全管理领导人员(7)服务部2、组织职责信息安全管理工作小组：组织完成的任务是，建立管理组织结构、制定管理 规范，制定评审标准，执行管理监督。具体完成的工作：(1)协调制定源代码管理组织(2)协调制定源代码分级管理规范(3)制定源代码安全评审标准(4)执行源代码安全规范的组织实施和监督，每季度进行一次权限控制检 查及全面信息安全评估，对发现的问题要

6、求整改，在下次检查前还没有完成整改 的，进行相关的处理整顿。(5)源代码向研发部门以外复制的授权审批。源代码管理人员：组织完成的任务是，完成系统建设、权限分派、建立目录结构与目录安全策略、部署服务器与建立服务器安全策略、 完成备份策略。具体 完成的工作：(1)部署源代码管理服务器，完成服务器安全控制设置，并安装源代码管 理软件。(2)建立帐号，维护帐号，为帐号指派目录权限。(3)开发人员，工程技术人员，只允许查看修改自有工作目录(允许签入 签出)。(4)工程技术主管只允许查看，不允许有修改(不允许签入签出)权限。(5)测试部门只对发布前的版本有获取的权利，没有修改签入的权利。除 测试文档外的目

7、录外不与授权。(6)联调整合代码：只授与经部门主管委托的有权限操作的人员。(7)定期做好备份。测试部门：组织完成的任务是，版本库版本的完整性测试、可用性测试。具 体工作如下：(1)做好测试的组织、管理、设计、实施等工作。(2)制定完整的测试方案。(3)审核软件需求。(4)审核设计规格说明(5)功能验证。(6)找出软件中潜在的各种错误和缺陷。(7)完成集成测试、确认测试、系统测试。工程技术人员：实施获取版本后的安全控制风险，实施项目文件的入库规范操作。主要完成的工作：(1)对外版本风险控制。(2)项目实施细节文件编写。(3)项目验收报告签署。(4)项目完工后过程文件入库。服务部及管理人员：监督管

8、理对工程技术人员的文档控制，版本安全风险控 制。主要完成的工作：(1)项目实施管理。(2)监督项目进行过程中文档及软件的安全风险。(3)评估项目实施过程中的其它风险。研发部：对工作库进行操作更新，保证工作库的安全风险防范。具体完成的 工作：(1)所有软件的源代码文件及相应的开发设计文档都必须加入到指定服务 器的指定库中。(2)在软件开始编写修改之前，其相应的设计文档和代码，必须先从工作 库中取出编辑。在最终提交之前，需要进行一次更新操作，看是不是有冲突，冲 突解决后，再做提交。配置管理人员：完成版本配置工作，进行软件发布，给出发布日期，以便开 发、测试、项目、客户等相关人员参考。配置人员确定准

9、备发布的版本号。版本号规范如下：软件版本由四部分组成：每一部分为主版本号，第二部分为次版本号，第三部分为修订版本号，第四部分软件修改编译后形成顺序版本号。第一部分：需求书版本。第二部分：对应需求书的软件版本号。第三部分：对应需求书功能做微小调整后的版本号。第四部分：软件修改编译后形成顺序版本号。服务部：分配部署用于源代码管理的服务器，配置源代码开发的网络环境， 配合源代码管理人员完成服务器目录权限配置。主要完成的工作：(1)根据源代码安全管理规范的要求配置服务器。(2)配置安全的网络环境访问权限。(3)配合源代码管理人员完成服务器目录权限的配置。3、与职能机构的协同管理主要维护与人力资源部的协

10、作关系，要求人力资源部配合完成如下工作：(1)须对与源代码相关人员进行入职背景调查。(2)对与源代码相关人员的入职培训，重点进行公司规章制度中与源代码 安全管理相关的培训。(3)与源代码相关的离职人员，在经过人力资源部审核时，重点审核是否 符合与源代码相关人员离职审批流程，是否出现异常状况，如存在严重安全隐患, 主管人员应立即上报进行处理。4、应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。五、管理制度(见文档源代码安全管理制度.docx)六、管理流程1、服务器部署流程源代码管理人检查目录权限配置结果否是2、源代码管理软件配置流程3、源代码创建修改流程4、版本控制流程5、源代码测试流

11、程（组件测试）6、组件发布流程结束7、软件发布流程8、项目人员获取版本流程9、外部借阅流程10、源代码目录工作状态安全监控流程11、源代码目录和项目权限安全监控流程12、与源代码相关人员离职审查流程七、表单1、见B07离职交接表单2、见B09重要应用系统权限评审表3、见（B09）重要服务器-应用系统清单4、外部借阅审批表外部借阅审批表借阅内容借阅目的及原因借阅介质借阅开始时间借阅时长借阅归还时间总经理审批意见及签字开发主管签字管理人员转交时间及签字借阅实际归还时间及完好性确认经手人签字借阅归档时间及归档人签字5、软件获取申请表软件状取申请表软件名称和版本获取目的协议或合同编号获取时间获取介质申请人签字开发主管签字管理人员转交时问及签字6、信息安全规范检查记录表季度信息安全规范检查记录表检查项目（例）执行状态检查时间检查人员签名操作权限控制服务器安全控制0 00 00 0本制度相关修改及解释权属于研发服务体系文档编号（由总经办填写）F4-C-