信息安全管理：开发测试安全管理checklist

开发测试安全管理包括安全需求、安全设计、安全编码测试、系统部署上线、商用及开源软件使用、开发测试资源安全六个部分的内容。

01.安全需求

• 在信息系统需求阶段是否考虑安全需求？
• 信息系统安全需求是否经过论证？
• 信息系统安全需求过程是否有业务部门参与？
• 信息系统安全需求是否有合规部门参与？
• 信息系统安全需求是否有安全部门或组织参与？
• 信息系统安全需求是否被正式定义？

• 信息系统安全需求定义是否经过审批、确认？

02.安全设计

• 信息系统安全涉及是否考虑安全设计？

• 信息系统安全设计是否依据安全需求进行？

• 信息系统安全设计是否形成整体安全架构？

• 是否根据信息系统安全架构进行详细安全设计？

• 信息系统安全设计是否形成正式的定义？

• 信息系统安全设计是否经过论证？

• 信息系统设计是否经过批准？

03.安全编码测试

• 是否对信息系统代码编写形成正式的规范？

• 信息系统测试过程是否进行安全功能测试？

• 信息系统测试过程是否进行代码安全检查？

• 从生产环境获取测试数据是否经过严格审批？

• 敏感测试数据是否进行脱密操作？

04.系统部署上线

• 开发测试环境是否与生产环境进行隔离？

• 信息系统上线前是否进行安全评估与渗透测试？

• 信息系统上线前是否对默认配置进行更改？

• 信息系统上线前是否对新版本部署包及文档进行归档？

• 信息系统上线前是否与运维部门进行正式交接？

• 信息系统上线是否进行正式的变更审批？

05.商用及开源软件使用

• 信息系统开发过程是否对使用的商用软件进行评估？

• 在进行商用软件评估过程是否考虑其安全性？

• 是否对商用软件的功能、性能、安全进行测试？

• 信息系统开发过程是否通过可靠的渠道获得开源软件？

• 在使用开源软件前是否进行充分的安全测试与评估？

• 在使用开源软件或免费软件是否评估版权问题？

06.开发测试资源安全

• • 是否通过统一的配置系统（如SVN）进行控制？

  • 配置系统（如SVN）是否具有正式的权限管理流程？

  • 配置系统（如SVN）开通账号权限是否经过审批？

  • 配置系统（如SVN）是否形成正式的账号权限台账？

  • 是否对外包人员的配置系统权限进行严格控制？

  • 配置系统（如SVN）的账号权限是否进行定期清除？

  • 是否对配置系统（如SVN）服务器进行定期备份？

  • 配置系统（如SVN）服务器是否控制互联网访问？

  • 配置系统（如SVN）服务器是否控制互联网邮件发送？

  • 配置系统（如SVN）服务器是否控制移动介质的使用？