第1章 概述
1.1 目标
1.2 适用范围
1.3 术语和定义
1.4 应用系统开发总体原则
第2章 系统需求收集和分析阶段
2.1 可行性研究分析
2.2 开发人员安全管理
2.3 建立系统开发安全需求分析报告
第3章 系统设计阶段的安全规范
3.1 单点访问控制且无后门
3.2 人员职责和权限的定义
3.3 确保敏感系统的安全性
3.4 确保访问层的安全性
3.5 确保日志管理机制健全
3.6 新系统的容量规划
第4章 系统开发阶段安全规范
4.1 系统开发语言
4.2 系统开发安全相关工具管理
4.3 控制软件代码程序库
4.4 在软件开发过程变更管理
4.5 开发版本管理
4.6 开发日志审核管理
4.7 防御后门代码或隐藏通道
第5章 系统测试阶段安全规范
5.1 应用系统的安全性检测
5.2 控制测试环境
5.3 为测试使用真实的数据
5.4 在软件转移至生产环境前进行测试
5.5 应用系统安全质量鉴定
第6章 系统培训及文档阶段安全规范
6.1 新系统的培训
6.2 撰写新系统和系统改进的文档
第7章 应用系统开发外包安全控制
