18.1 系統開發與維護管理策略和流程（MAD_PPP）

系統開發與維護管理在信息系統生命周期中是信息安全管理的基礎。組織機構應建立完善的系統開發與維護管理體系，以保證信息系統在建設和運行中的安全。組織機構應嚴格控制項目和應用系統的支持環境，并審查系統中所有的變化來判斷其系統/環境的安全性。

18.1.1　安全保障管理目的

組織機構應建立完善的系統開發與維護體系，以規劃和指導組織機構的信息安全保障工作。
系統開發與維護管理策略和流程是組織機構信息安全策略體系的組成部分，組織機構應制定、批準、發布、實施和審核系統開發與維護工作的策略方針、制度規范與程序指南以及第三層表單和程序文件。
系統開發與維護管理應基于組織機構的業務要求和風險管理的要求，它包括對信息系統提出安全要求、規范信息系統的開發和維護流程、有效處理系統應用層可能出現的安全問題、使用加密控制以及如何控制技術漏洞。

18.1.2　MAD_PPP.1 系統開發與維護管理策略和流程

18.1.2.1　管理保障控制組件控制

組織機構應開發、分發和定期審核/更新：（i）一份正式的、文檔化的系統開發與維護策略方針，包括目的、范圍、角色、職責和符合性；（ii）正式、文檔化的制度規范和程序指南以幫助實施系統開發與維護策略和相關的系統開發與維護控制；（iii）正式、文檔化的表單文件和過程幫助記錄并明確信息安全管理與運行的過程實施步驟、內容、結果。

18.1.2.2　管理保障控制組件注解

系統開發與維護策略應作為組織機構信息安全策略體系的一個有機組成部分。組織機構在建立其系統開發和維護策略時，可根據業務要求和風險管理要求，為一類信息系統、某個特定的信息系統或信息系統的一部分建立開發和維護流程。
在編制具體的策略方針、制度規范與程序指南以及第三層表單和過程記錄時，參考信息安全策略體系（MSP）管理保障控制類的具體描述和要求。

18.2　信息系統的安全要求（MAD_SRQ）

18.2.1　安全保障管理目的

組織機構應確保安全是信息系統的必要組成部分。
信息系統一般包括操作系統、基礎設施、業務應用、現貨產品、服務和用戶開發的應用軟件。信息系統設計與實施過程對系統安全有很重要的影響，因此組織機構應在開發信息系統前就識別系統的安全要求。
組織機構應在項目的需求分析階段識別系統的所有安全要求，并經商討后合理的安全要求文檔化，以作為信息系統整個業務的綜合組成部分。