系統開發原則

為規範外包廠商之應用系統開發與維護作業,避免非經授權之資訊存取,以確保應用系統開發與維護時相關資訊資產之機密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availability),特訂定本作業辦法。

[TOC]

業務需求原則

需求收集及疏離

資訊安全原則

隱蔽通道與後門程式管理

  • 使用合法授權軟體

  • 安裝套裝軟體需對原始碼的存取和修改應有妥善的控制

資訊系統傳輸安全原則

資訊系統廠商必須遵守資訊安全管理系統ISMS ISO 27001規範

系統開發需執行安全性功能測試

  • Code Review

  • 原始碼檢測

  • 網站弱點掃描

  • 伺服器弱點掃描

資料保護機制

  • 機密性資料傳輸之加密機制

  • 密碼之保護機制,如密碼在輸入、遞交與保存須進行加密或雜湊。

  • 重要交易之稽核機制

  • 防止潛在的安全漏洞,例如:SQL Injection、跨站腳本攻擊和緩衝區溢出

WCF

IPS

DMR

防火牆

HA

資料庫

資料異地備原

設計開發原則

系統分析

系統設計

系統測試

系統上線

程式碼、第三方套件、開發工具管理

SLA規範

程式碼保管

系統環境原則

環境隔離

開發、測試、封測、正式環境需獨立於不同電腦主機系統

人員隔離

應依職責分別賦予程式開發人員、測試人員、變更執行人員及使用者等適當之權限,以避免因不當或未經授權之程式修改,影響程式開發修改或使用之效率

參考

資通系統防護基準驗證實務

PreviousSSDLC (Secure Software Development Life Cycle)NextMIS及專案管理-使用Redmine

Last updated