开发测试安全管理checklist
开发测试安全管理包括安全需求、安全设计、安全编码测试、系统部署上线、商用及开源软件使用、开发测试资源安全六个部分的内容。
01.
安全需求
在信息系统需求阶段是否考虑安全需求? 信息系统安全需求是否经过论证? 信息系统安全需求过程是否有业务部门参与? 信息系统安全需求是否有合规部门参与? 信息系统安全需求是否有安全部门或组织参与? 信息系统安全需求是否被正式定义? 信息系统安全需求定义是否经过审批、确认?
02.
安全设计
信息系统安全涉及是否考虑安全设计? 信息系统安全设计是否依据安全需求进行?
信息系统安全设计是否形成整体安全架构?
是否根据信息系统安全架构进行详细安全设计?
信息系统安全设计是否形成正式的定义?
信息系统安全设计是否经过论证?
信息系统设计是否经过批准?
03.
安全编码测试
是否对信息系统代码编写形成正式的规范? 信息系统测试过程是否进行安全功能测试?
信息系统测试过程是否进行代码安全检查?
从生产环境获取测试数据是否经过严格审批?
敏感测试数据是否进行脱密操作?
04.
系统部署上线
开发测试环境是否与生产环境进行隔离? 信息系统上线前是否进行安全评估与渗透测试?
信息系统上线前是否对默认配置进行更改?
信息系统上线前是否对新版本部署包及文档进行归档?
信息系统上线前是否与运维部门进行正式交接?
信息系统上线是否进行正式的变更审批?
05.
商用及开源软件使用
信息系统开发过程是否对使用的商用软件进行评估? 在进行商用软件评估过程是否考虑其安全性?
是否对商用软件的功能、性能、安全进行测试?
信息系统开发过程是否通过可靠的渠道获得开源软件?
在使用开源软件前是否进行充分的安全测试与评估?
在使用开源软件或免费软件是否评估版权问题?
06.
开发测试资源安全
是否通过统一的配置系统(如SVN)进行控制? 配置系统(如SVN)是否具有正式的权限管理流程?
配置系统(如SVN)开通账号权限是否经过审批?
配置系统(如SVN)是否形成正式的账号权限台账?
是否对外包人员的配置系统权限进行严格控制?
配置系统(如SVN)的账号权限是否进行定期清除?
是否对配置系统(如SVN)服务器进行定期备份?
配置系统(如SVN)服务器是否控制互联网访问?
配置系统(如SVN)服务器是否控制互联网邮件发送?
配置系统(如SVN)服务器是否控制移动介质的使用?
感谢关注“微言晓意(WeYanXY)”!
赞 (0)