信息获取、开发和维护三

　如果可能且可行，宜使用厂商提供的软件包，不自行修改。在需要修改软件包时，应对所有的变更加以严格控制，宜考虑软件包内置安全控制措施和完整性保护过程被损害的风险、如果要修改软件包还应获得原提供厂商的同意，当程序软件可以更新时组织应向厂商了解要变更的必要性信息，组织要负责进一步维护此软件的影响以及与其他在用软件的兼容性等。

组织应建立基于安全工程原理的安全信息系统工程规程，形成文档并在内部信息系统的工程活动中使用。在平衡信息安全需求和访问需求的基础上，组织所有架构层（业务、数据、应用和技术）均应考虑安全设计。如果工程中将采用的新技术（例如云计算j大数据、 移动互联网）还需要对其进行的安全风险评估，并针对已知的攻击模式予以评审。

安全的开发环境包括与系统开发和整合相关的人员、过程和技术。组织应评估与各个系统开发相关的风险，并为特定系统的开发搭建安全的开发环境。开发环境应该和实际生产环境隔离。

在系统开发外包时，组织应管理和监视外包软件的开发。包括安排项目联系人参与到外包软件开发团队中，技术了解外包软件开发是否符合软件安全开发的标准。

新系统和升级的系统在开发测试环境中需要彻底的测试和验证，禁止在生产环境中测试。对于内部开发，应由开发团队进行此类测试。所有新系统开发和1日系统升级均需要进行独立的验收测试（无论内部和外包开发）以确保系统按且仅按期望工作。

组织应对新的信息系统、1日信息系统的升级和新版本的信息系统建立验收测试程序和相关标准。系统验收测试应包括信息安全要求测试和遵守安全系统开发实践测试。该测试也应在接收软件组件和集成系统时进行。组织可以使用自动工具如代码分析工具或漏洞扫描器， 如果发现安全漏洞，在内部开发人员或外包商整改后应验证与安全的修复。

　　如果测试使用了个人或其他敏感信息，那么在使用之前应该去除或修改所有的敏感细节和内容，常见的方法是使用脱敏处理技术对真实数据进行处理。对于外包开发商，要求其签署对测试数据的保密协议，确保在测试结束后销毁所有测试数据。