信息获取、开发和维护二

安全开发是建立安全服务、架构、软件和以满足系统的安全要求，组织应建立和实施组织内的软件和系统的开发规则。应使用安全编码技术，考虑安全编码的相关标准、模型币H有关规定使用。组织应定期组织内部开发人员针对标准的使用和测试进行培训，并审核代码以确保其应用。对于由承包商外派人员从事的开发工作应该由专人对其能力进行考核验证。

系统开发周期内的变更应该使用正式的变更控制规程控制，将变更流程文件化并强制实施，以确保从最初设计至后续维护中系统、应用和产品的整体性。如果引入新系统和对已有系统进行大的变更应按照从文件、规范、测试、质量控制到实施管理这个正式的过程进行。 这个过程应该包括风险评估、变更影响分析和所需的安全控制措施规范。

当操作系统（包括数据库和中间件平台）发生变更时，应对业务的关键应用进行风险评审和测试，以确保对组织的运行和安全没有负面影响。如果评审结果认定存在负面影响， 则需要选择适当的控制措施来加以弥补。例如由于选用了winclows操作系统导致存在安全隐患，则可以选择使用windows操作系统加固软件来进行加固。