附錄C（資料性附錄）中小電子商務企業自建或資源租用模式的項目開發過程安全管理案例

A.1　開發人員的安全管理

A.1.1　參加開發項目隊伍人員（以下統稱開發人員）在參與重要信息系統項目開發之前，應經過嚴格的背景審查，并簽訂相關的保密協議。

A.1.2　加強開發人員的職業道德教育，提高開發人員的安全防范和保密意識，對開發人員進行安全防范技術和措施等方面的培訓。

A.1.3　明確開發人員在信息系統開發過程中的安全職責和對信息系統的訪問權限。

A.1.4　嚴格加強對系統開發環境和開發場地的出入管理，進入開發現場應經過必要的安全控制措施。

A.1.5　禁止非項目組人員未經授權進入開發現場，特殊情況下進入開發現場時應獲得相應的授權。

A.2　開發設備使用的安全管理

A.2.1　做好對信息系統開發環境的安全管理，信息系統的開發環境要相對獨立，開發環境與運行環境進行分離。

A.2.2　開發環境中的設備明確安全責任人，遵循誰使用誰負責的原則，公共用途的設備指定安全責任人進行保管和維護。

A.2.3　信息系統的開發環境和實施場地與生產環境和實施場地隔離。

A.2.4　嚴格管理開發環境中的各種移動設備、個人信息處理設備，禁止未經允許的設備接入開發環境，接入開發環境的桌面設備滿足對桌面系統使用規范和防病毒系統管理規范的要求。

A.3　開發文檔的安全管理

A.3.1　信息系統開發過程中的資料、文檔要按照技術檔案管理的有關規定進行整理和歸檔。

A.3.2　在文檔的編寫、整理過程中，要明確文檔標準化格式規范。對文檔的修改進行記錄、評估修改對文檔安全的影響，并確保文檔的一致性。

A.3.3　文檔中與安全相關的內容要準確、完整，并明確文檔的密級以及分發范圍。

A.3.4　開發過程中的各種文檔，只能在授權分發范圍內流轉，任何人不得以各種形式進行其非授權分發或外泄。

A.4　開發過程中軟件和源代碼的安全管理

A.4.1　除因工作需要外，禁止任何人持有、復制軟件源代碼，禁止任何人外借或對外復制軟件源代碼。

A.4.2　信息系統開發所使用的操作系統、數據庫、開發工具軟件等應該使用授權的軟件，不使用非授權軟件。

A.4.3　應對編程語言和編程工具的使用進行培訓，了解和掌握編程語言和編程工具已知的安全隱患，加強對源代碼的檢查，防止源代碼中存在可疑程序和已知的安全隱患。

A.4.4　嚴格控制信息系統所采用的關鍵技術措施和核心安全功能設計的發放范圍，對于自行編制的加密算法采用二次加密控制并由不同人員分別編程實現。對于重要的秘密資源（如源程序、目標碼等）嚴格設置訪問權限控制。

A.4.5　對應用系統的編譯過程進行嚴格監督，確保經正確編譯的軟件版本最終生成運行代碼，并保證運行代碼的完整性、安全性。

A.4.6　嚴格控制對軟件版本的管理，確保信息系統開發過程中源代碼和執行代碼的一致性和正確性。