系統開發原則
為規範外包廠商之應用系統開發與維護作業,避免非經授權之資訊存取,以確保應用系統開發與維護時相關資訊資產之機密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availability),特訂定本作業辦法。
[TOC]
業務需求原則
需求收集及疏離
資訊安全原則
隱蔽通道與後門程式管理
使用合法授權軟體
安裝套裝軟體需對原始碼的存取和修改應有妥善的控制
資訊系統傳輸安全原則
資訊系統廠商必須遵守資訊安全管理系統ISMS ISO 27001規範
系統開發需執行安全性功能測試
Code Review
原始碼檢測
網站弱點掃描
伺服器弱點掃描
資料保護機制
機密性資料傳輸之加密機制
密碼之保護機制,如密碼在輸入、遞交與保存須進行加密或雜湊。
重要交易之稽核機制
防止潛在的安全漏洞,例如:SQL Injection、跨站腳本攻擊和緩衝區溢出
WCF
IPS
DMR
防火牆
HA
資料庫
資料異地備原
設計開發原則
系統分析
系統設計
系統測試
系統上線
程式碼、第三方套件、開發工具管理
SLA規範
程式碼保管
系統環境原則
環境隔離
開發、測試、封測、正式環境需獨立於不同電腦主機系統
人員隔離
應依職責分別賦予程式開發人員、測試人員、變更執行人員及使用者等適當之權限,以避免因不當或未經授權之程式修改,影響程式開發修改或使用之效率
參考
Last updated