源代码安全管理组织及各角色岗位执行策略.docx

源代码安全管理组织角色及各岗位执行策略目录一、源代码管理安全的组织结构及角色职能定义2二、职责分离3三、相关角色、相关部门执行策略6L监督检查小组（监督岗）执行策略：62、源代码管理人员及运营服务器配置管理（管理岗）执行策略73、源代码研发人员（所有者）执行策略：84、源代码使用人员（用户）执行策略8目的：建立一个管理框架，以启动和控制组织内源代码管理安全策略的实现和运行。本文档的主要名词解释：角色：源代码管理中相关人员权限分派的标识，据此给相关组织人员分派访问许可和权限。组织：负责源代码管理安全策略中各部分策略实际实施的机构。受控库：具有创建、修改、删除等操作权限的源代码所有者日常工作的源码代码存诸库。版本库：源代码编译后或脚本代码打包后生成的具有版本编号的、可发布的组件或集成软件存储库。职能：具有某一角色的各部组织人员的工作范围。职责：具有相应工作职能的组织人员应承担的管理责任，即职能和责任。策略：此处指源代码管理的安全规范集合，统称源代码管理安全策略。一、源代码管理安全的组织结构及角色职能定义L源代码管理安全监督检查小组：(1)角色：监督岗。(2)成员构成(3人)：服务一人、测试一人、研发一人。(3)职能定义：一季一次检查源代码安全规范的组织实施情况，并及时向主管领导提交执行情况的报告，对出现的问题反馈给相关执行人员限期解决。2、源代码管理人员:(1)角色:管理岗。(2)成员构成(2人)：源代码库管理一人，服务人员一人。(3)职能定义：完成系统建设、权限分派、建立目录结构与目录安全策略、部署服务器与建立服务器安全策略、完成备份策略的，避免源代码及其生成版本丢失、损坏的风险，及非法复制传播的风险。3、源代码研发人员：(1)角色:所有者。(2)成员构成研发部。(3)职能定义：对受控库有权限的目录下源代码进行创建、修改等操作更新，保证受控库代码签出修改后的及时签入，避免源代码丢失、损坏以及非正常修改的风险。4、源代码使用人员：(1)角色：用户。(2)成员构成(4个相关方)服务人员，测试人员，最终客户，相关第三方。(3)职能定义：因项目安装，系统测试、客户售卖，相关方借阅等需求，须获得源代码或相关编译版本的使用权限的人员或组织,具有在合同和协议规定范围内，保证相关代码和软件版本不被复制传播或丢失损坏的风险。二、职责分离源代码管理安全角色对应的公司职能部门及其职责如下：1、监督岗：源代码管理安全监督检查小组(1)监查小组：以季度为单位进行权限控制检查，以季度为单位进行全面信息安全评估，对发现的问题要求整改，在下次检查前还没有完成整改的，进行相关的处理整顿。汇报对象：源代码监查小组领导。反馈对象:被检查的织织机构主管人员。(2)源代码监查小组领导：根据公司实际经营情况，组织小组成员建立管理组织结构，制定管理规范以及评审标准，监管、督促源代码安全管理的有效执行，以及源代码向研发部门以外复制的授权审批。领导对象：监查小组监督对象：源代码管理安全相关组织机构。(3)服务部门监查人员：监查小组的检查督导人员，主导对源代码安全规范执行t青况的监查,并监管小组成员的监查操作是否规范。汇报对象：源代码监查小组领导反馈对象：监查小组其它成员。(4)测试部门监查人员：监查小组的测试人员，辅助监查，并负责源代码安全管理执行的规范性测试和检查，如源代码帐户授权、系统帐户的授权测试，网络环境、源代码安全的完整性可用性的测试等。汇报对象：源代码监查小组领导反馈对象：运营部主管，研发主管，源代码管理人员。(5)研发部门监查人员：监查小组的研发安全监查人员，辅助监查，负责所涉源代码接触人员的操作权限检查、本地源代码工作目录规范性检查、研发环境的安全规范检查。汇报对象：源代码监查小组领导反馈对象：运营部主管、研发主管，源代码管理人员。2、管理岗：原测试部的源代码管理人员、服务器配置维护运营人员(1)运营人员配置并查验源代码管理服务器的系统帐户安全，配置服务器目录权限控制，实施服务器环境及研发环境安全及网络安全策略。汇报对象：运营部主管反馈对象：研发主管，源代码管理人员(2)服务主管：负责日常的研发网络、源代码存储服务器网络的维护和监管，通过对自动化系统检测，对安全事件及时以短信通知到相关责任人。汇报对象:服务总监反馈对象：运营环境配置人员(3)源代码管理人员配置SVNlSoucesafe等源代码管理软件的安全权限。日常查验研发项目源代码状态状况。填写状态记录表，及时提交监督岗相关人员。负责对源代码管理环境安全策略的实施。汇报对象：研发主管、测试主管反馈对象：相关研发人员、相关测试人员3、所有者：平台研发部、云计算与移动互联网研发部、应用创新部(1)研发人员：建立研发项目，建立本地源代码管理工作目录，提交受控库管理。负责研发源代码更新源代码。负责研发版本源代码的完整性存储。保证研发版本源代码的可用性。确定发布版本版本号。汇报对象：研发主管反馈对象：源代码管理人员(2)研发主管：每天一次对研发人员的相关源代码的新建、更新进行完整性检查及代码存储的检查，对研发人员研发帐号权限进行例行性检查，保证每天研发完成的源代码不被丢失或损坏。监管对象：研发人员反馈对象：研发人员、源代码管理人员、人员4、用户：项目管理人员、客户，测试部测试人员(1)外部客户：对持有的软件及代码负有对源代码及其发布版本有保管保全的责任。遵守合同或协议规定的与相关软件及源代码相关的安全责任条款。保证使用环境及查阅代码的的安全规范，对使用环境进行安全检查，保证软件及代码不被非法复制、损失和传播。汇报对象：内部相关责任人反馈对象：外部客户方安全环境维护人员(2)内部相关人员：对所获取的相关源代码文件有保证安全、不被非授权复制、不被损坏和丢失的责任。获取源代码及其附属文件须符合安全管理规范，执行源代码安全管理的相关策略,执行相关获取流程。须执行相关合同规定的安全要求。对客户方安全环境进行检查，并在安全保证前提下授权使用。汇报对象：源代码监查小组领导监管对象：客户方使用人员及使用环境反馈对象：外部客户方安全环境维护人员、客户方软件及代码使用人员。三、相关角色、相关部门执行策略1、监督检查小组(监督岗)执行策略：在监查过程中，因监查需要,需获得某项权限时,需获得源代码监查领导的审核批准,再由源代码管理人员分配，审查结束,因由源代码管理人员注销，另此过程中的所有需求审批进行登记存档。在监查过程中,监查小组成员只有读取权限，无编写、修改的权限。对服务器权限进行审查。对源代码目录权限进行审查。对系统和数据的保密性和完整性进行如下检查：对系统的维护的检查监查场地安全：保证办公场地的安全。其他要求：各类日志文件或记录文件应保留6个月。2、源代码管理人员及服务器配置管理人员（管理岗）执行策略源代码管理人员的职责权限：源代码管理人员执行源代码管理员权限。用户权限控制a）按岗位职能、安全级别以及权限最小化进行权限安全管理。b）按安全策略要求严格分配用户权限.系统的维护a）源代码安全管理人员的办公计算机都必须安装合法软件,并保证操作系统都能得到及时更新和维护。系统补丁在分发升级之前必须先做好兼容性等方面的测试，以保证不影响系统。b）应建立防范计算机病毒的检测、预防和恢复程序,办公、生产计算机都必须安装正版防病毒软件。病毒库采用自动升级方式，并保证所有杀毒软件都能得到及时更新和维护。保证病毒库为最新。病毒库在分发升级之前必须先做好兼容性等方面的测试，以保证不影响系统。维护办公场地安全：保证日常办公地点的办公安全3、源代码研发人员（所有者）执行策略：用户权限控制a）员工须得到本部门主管批准,才能申请开通源代码管理系统工作帐号。b）员工都必须使用自己的用户ID和密码登录源代码管理系统。目录结构控制a）必须按统策略一规划在本地建立个人工作目录b）在工作目录进行源代码的研发、创建、编辑。C）当天完成的代码，须保存在服务器上。确保一周结束时所有的源代码都保存在服务器上。保证代码的保密性a）涉密信息的文件或信息传输必须采用加密传输。b）所有不再具备使用价值的信息的介质都必须在其失效后一个工作日内销毁，使之无法复原和再被使用。C）数据处理的设备另作它用或更换存储介质时，必须在安全人员监督下删除所有数据,并做好记录。d）数据处理的设备报废时,必须物理销毁设备中的存储介质，并做好记录。保证代码的完整性保存在服务上的版本，应与本地研发目录下的版本内容一致，注意确认研发完成的版本已正确传送到服务器上保存了。4、源代码使用人员（用户）执行策略用户权限控制源代码使用人员须得到本公司管理层的授权,才能接触源代码。安装在用户处的应用，须保证不被非法复制和传播。项目工程师须对用户安装环境进行安全策略检查，保证应用信息及程序安全。保证源代码及程序获取符合安全策略规范，须按安全策略流程规定的程序进行。项目实施过程中，按项目管理规范保证信息安全策略的实施。