系統開發原則

為規範外包廠商之應用系統開發與維護作業，避免非經授權之資訊存取，以確保應用系統開發與維護時相關資訊資產之機密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availability)，特訂定本作業辦法。

---

[TOC]

---

業務需求原則

需求收集及疏離

---

資訊安全原則

隱蔽通道與後門程式管理

• 使用合法授權軟體

• 安裝套裝軟體需對原始碼的存取和修改應有妥善的控制

資訊系統傳輸安全原則

資訊系統廠商必須遵守資訊安全管理系統ISMS ISO 27001規範

系統開發需執行安全性功能測試

• Code Review

• 原始碼檢測

• 網站弱點掃描

• 伺服器弱點掃描

資料保護機制

• 機密性資料傳輸之加密機制

• 密碼之保護機制，如密碼在輸入、遞交與保存須進行加密或雜湊。

• 重要交易之稽核機制

• 防止潛在的安全漏洞，例如：SQL Injection、跨站腳本攻擊和緩衝區溢出

WCF

IPS

DMR

防火牆

HA

資料庫

資料異地備原

---

設計開發原則

系統分析

系統設計

系統測試

系統上線

程式碼、第三方套件、開發工具管理

SLA規範

程式碼保管

---

系統環境原則

環境隔離

開發、測試、封測、正式環境需獨立於不同電腦主機系統

人員隔離

應依職責分別賦予程式開發人員、測試人員、變更執行人員及使用者等適當之權限，以避免因不當或未經授權之程式修改，影響程式開發修改或使用之效率

---

參考

資通系統防護基準驗證實務