安全内控项目管理流程规范-KCP设置

本平台在新建项目时,将使用如下规范设置KCP任务:

精简安全内控项目管理流程

项目阶段KCP任务说明
开发测试阶段 安全设计自检 检查系统方案设计是否与安全设计规范或业界最佳安全实践一致
安全开发自检 检查编码是否为安全的最佳实践
安全测试自检 基于安全测试用例的测试,以及渗透测试等
发布实施阶段 安全部署自检 检查发布实施过程是否与安全部署规范一致,是否完成服务器安全配置、修改口令等动作
验收 检查CMDB维护、备份、恢复演练、服务状态监控等任务是否完成
运维阶段

应用开发安全内控项目管理流程

项目阶段KCP任务说明
立项规划阶段 项目章程(Charter)融合到项目立项规划阶段直接由Sponsor审批;
Sponsor批准立项即完成对项目经理的授权。
需求分析阶段 需求确认 由业务代表确认项目组和业务对需求的理解一致
概要设计阶段 安全设计自检 检查系统方案设计是否与安全设计规范或业界最佳安全实践一致
方案设计评审自检 检查系统方案设计是否与业界最佳实践一致
开发测试阶段 安全开发自检 检查编码是否为安全的最佳实践
安全测试自检 基于安全测试用例的测试,以及渗透测试等
上线/发布评审自检 检查上线前必要的工作交付(实施方案、测试报告、产品手册等)
产品发布阶段 安全部署自检 检查发布实施过程是否与安全部署规范一致,是否完成服务器安全配置、修改口令等动作
验收阶段 验收 检查CMDB维护、备份、恢复演练、服务状态监控等任务是否完成
运维阶段

外购软件包实施安全内控项目管理流程

项目阶段KCP任务说明
立项规划阶段 项目章程(Charter)融合到项目立项规划阶段直接由Sponsor审批;
Sponsor批准立项即完成对项目经理的授权。
需求分析阶段 需求确认 由业务代表确认项目组和业务对需求的理解一致
选型阶段 选型自检 检查选型过程是否符合正常的采购原则
方案设计阶段 安全设计自检 检查系统方案设计是否与安全设计规范或业界最佳安全实践一致
方案设计评审自检 检查系统方案设计是否与业界最佳实践一致
验证测试阶段 安全测试自检 基于安全测试用例的测试,以及渗透测试等
上线/发布评审自检 检查上线前必要的工作交付(实施方案、测试报告、产品手册等)
产品实施阶段 安全部署自检 检查发布实施过程是否与安全部署规范一致,是否完成服务器安全配置、修改口令等动作
验收阶段 验收 检查CMDB维护、备份、恢复演练、服务状态监控等任务是否完成
运维阶段