软件开发管理制度

（最后更新于2025年4月）

目的

软件开发政策旨在定义并实施稳健、安全、软件生命周期中的标准化实践，包括设计、开发，测试、部署和维护。本政策旨在减轻不安全编码实践带来的风险，不够充分测试和未经授权的改装，从而确保可靠性，开发和部署的软件的稳定性和安全性。通过建立流程清晰，本政策体现了致力于提供高质量服务的承诺，支持业务目标、符合监管要求的安全软件合规标准，同时为利益相关者提供价值，同时保护安全数字资产的完整性、机密性和可用性。

范围

该软件开发政策适用于所有软件开发活动由员工、承包商及第三方供应商代表组织进行。它涵盖了整个软件开发生命周期，包括规划、设计、编码、测试、部署，软件应用和系统的维护和退役。这项政策适用于所有软件开发项目，无论平台为何，编程语言或开发方法论。它确立了制定指南、标准和最佳实践以确保安全性、可靠性，以及组织内部开发软件的完整性。合规该政策对所有参与软件开发的人员都是强制的，以及遵守行业特定法规、软件许可要求和知识产权至关重要。偏差或本政策的例外情况必须经指定主管机关批准负责软件开发的治理和安全。

保障措施

为了实现组织的整体使命，本网络安全政策的目的是，组织应当：

SDM-01确保该组织的软件开发程序遵循其网络安全治理保障。

SDM-02确保该组织的每个软件应用开发团队该项目由组织批准的网络安全治理项目管理。

SDM-03维持一个文档化的软件开发生命周期（SDLC）用于管理组织的软件应用的开发与维护。

SDM-04确保该组织的每个软件应用开发团队都遵循这些内容该组织批准的软件开发生命周期（SDLC）。

SDM-05维持这是一份被批准的每种软件开发编码语言的清单，由组织的软件应用开发团队（按团队划分）。

SDM-06维持为每种软件开发编码提供一套文档化的编码标准该组织软件应用开发团队使用的语言。

SDM-07确保每个组织的软件开发编码标准定义了如何软件应用开发者在其软件中执行输入验证应用。

SDM-08确保每个组织的软件开发编码标准定义了如何软件应用开发者只会利用组织和其软件应用中使用了行业认可的加密算法。

SDM-09确保每个组织的软件开发编码标准定义了软件应用开发者只会利用组织和其软件应用中采用了行业认可的数据交换协议。

SDM-10确保该组织的软件开发编码标准具体定义软件应用开发者如何执行错误在他们的软件应用中处理。

SDM-11确保该组织的每个软件开发编码标准都定义了这些标准软件应用开发者将如何将数据隐私价值纳入其中软件应用。

SDM-12维持技术保障以实现组织内部的分离开发与生产应用系统。

SDM-13确保组织的非生产应用系统中不包含任何敏感或个人身份信息。

SDM-14确保而该组织的软件应用开发团队则没有这些对组织生产应用系统的特权访问权。

制度责任

不合规根据本制度，可能会根据规定受到纪律处分公司的人力资源流程。后果可能从强制不等复训及书面警告，暂时暂停远程服务访问权限，严重情况下解雇或合同义务。个人可能会面临法律后果根据适用法律，如果违规涉及非法活动。这些制裁强调网络安全的重要性，个人在保护数字资产，以及政策相关的潜在风险违规。执法将保持一致且公正，严厉程度为该行动直接对应违约的严重程度。

网络安全制度模板系列：网络设备管理制度

网络安全制度模板系列：密码构建制度

网络安全制度模板系列：漏洞管理制度模板

网络安全制度模板系列：访问管理制度

网络安全制度模板系列：第三方管理制度模板

网络安全制度模板系列：周边网络访问管理制度

网络安全制度模板系列：移动设备管理制度

网络安全制度模板系列：教育培训管理制度

网络安全制度模板系列：资产管理制度

网络安全制度模板系列：日志管理制度

网络安全制度模板系列：系统保护管理制度