您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
跳到主要內容區塊
:::

歷史法條

現行條文: 法務部資訊應用系統開發維護安全管理規範 3
三、系統開發生命週期(SDLC)管理
(一)需求分析階段
      應用系統新增或變更需求分析,除應考量可行性及成本效益外,亦
      應考量對現有環境之影響。
(二)規劃階段
      1.應用系統規劃及既有應用系統改版時,應考量加入自動化控制措
        施(如資料輸入/輸出驗證、錯誤訊息顯示…等),和輔助性控
        制措施(如系統權限稽查、參數設定…等),來達成應用系統之
        安全要求。
      2.委外開發之應用系統開發或變更時,應視應用系統之複雜程度與
        重要性,考慮要求廠商提出或修正下列文件後,始得變更:
     (1)系統功能架構圖。
     (2)系統流程圖。
     (3)系統環境需求說明文件。
     (4)需求變更明細表。
     (5)會談紀錄。
      3.規劃階段應確保系統安全品質,包含應用系統對於網路環境、運
        作環境及內外部資源使用之安全性。
(三)開發、變更與測試階段
      1.系統測試與開發環境,應與正式應用系統實體區隔。
      2.委外開發測試資料,如內容涉及機密或敏感公務資料原則不交付
        廠商;如業務需求須交付者應考量採用亂碼化處理。
      3.系統開發應注意智慧財產權及著作權等問題,委外開發時應註明
        智慧財產權及著作權之歸屬,避免出現違法情形。
      4.程式撰寫時應考量安全問題,避免出現已知之弱點。
      5.系統開發完成後應進行測試,除測試系統功能外,亦應測試系統
        安全性,如:存取控制強度、系統回復測試、最新弱點驗證及木
        馬程式檢查…等,若有發現異常狀況,應將該程式退回,並請廠
        商或開發人員提出相關說明並修正程式。
      6.開發完成之應用系統或程式經測試後,應確認符合本程序相關要
        求俾利作為驗收依據。
      7.系統進行較大變更時,應申請經授權後始進行變更,變更範圍須
        經測試後始得上線運作。
(四)上線階段
      1.系統相關文件,如使用者手冊、系統說明文件等,應於系統上線
        前提出。
      2.應用系統配合上線應辦理相關教育訓練。
      3.上線使用之應用系統時,應符合以下最低要求:
     (1)應用系統之密碼機制強度應符合本部相關規範。
     (2)應能明確建立權限劃分設定。
     (3)應能提供系統存取、帳號密碼變更之系統紀錄功能。
(五)前述各階段均應同步以安全系統開發生命週期(SSDLC )檢核表進
      行安全檢核。
民國 103 年 10 月 20 日修正
3
三、系統開發生命週期(SDLC)管理
(一)需求分析階段
      應用系統新增或變更需求分析,除應考量可行性及成本效益外,亦
      應考量對現有環境之影響。
(二)規劃階段
      1.應用系統規劃及既有應用系統改版時,應考量加入自動化控制措
        施(如資料輸入/輸出驗證、錯誤訊息顯示…等),和輔助性控
        制措施(如系統權限稽查、參數設定…等),來達成應用系統之
        安全要求。
      2.委外開發之應用系統開發或變更時,應視應用系統之複雜程度與
        重要性,考慮要求廠商提出或修正下列文件後,始得變更:
     (1)系統功能架構圖。
     (2)系統流程圖。
     (3)系統環境需求說明文件。
     (4)需求變更明細表。
     (5)會談紀錄。
      3.規劃階段應確保系統安全品質,包含應用系統對於網路環境、運
        作環境及內外部資源使用之安全性。
(三)開發、變更與測試階段
      1.系統測試與開發環境,應與正式應用系統實體區隔。
      2.委外開發測試資料,如內容涉及敏感或有價性資料原則不交付廠
        商;如業務需求須交付者應考量採用亂碼化處理。
      3.系統開發應注意智慧財產權及著作權等問題,委外開發時應註明
        智慧財產權及著作權之歸屬,避免出現違法情形。
      4.程式撰寫時應考量安全問題,避免出現已知之弱點。
      5.系統開發完成後應進行測試,除測試系統功能外,亦應測試系統
        安全性,如:存取控制強度、系統回復測試、最新弱點驗證及木
        馬程式檢查…等,若有發現異常狀況,應將該程式退回,並請廠
        商或開發人員提出相關說明並修正程式。
      6.開發完成之應用系統或程式經測試後,應確認符合本程序相關要
        求俾利作為驗收依據。
      7.系統進行較大變更時,應申請經授權後始進行變更,變更範圍須
        經測試後始得上線運作。
(四)上線階段
      1.系統相關文件,如使用者手冊、系統說明文件等,應於系統上線
        前提出。
      2.應用系統配合上線應辦理相關教育訓練。
      3.上線使用之應用系統時,應符合以下最低要求:
     (1)應用系統之密碼機制強度應符合本部相關規範。
     (2)應能明確建立權限劃分設定。
     (3)應能提供系統存取、帳號密碼變更之系統紀錄功能。
(五)前述各階段均應同步以安全系統開發生命週期(SSDLC) 進行安全
      檢核。
民國 97 年 03 月 03 日修正
3
三、系統開發生命週期(SDLC)管理
(一)需求分析階段
      應用系統新增或變更需求分析,除應考量可行性及成本效益外,亦
      應考量對現有環境之影響。
(二)規劃階段
      1.應用系統規劃及既有應用系統改版時,應考量加入自動化控制措
        施(如資料輸入/輸出驗證、錯誤訊息顯示…等),和輔助性控
        制措施(如系統權限稽查、參數設定…等),來達成應用系統之
        安全要求。
      2.委外開發之應用系統開發或變更時,應視應用系統之複雜程度與
        重要性,考慮要求廠商提出或修正下列文件後,始得變更:
     (1)系統功能架構圖。
     (2)系統流程圖。
     (3)系統環境需求說明文件。
     (4)需求變更明細表。
     (5)會談紀錄。
      3.規劃階段應確保系統安全品質,包含應用系統對於網路環境、運
        作環境及內外部資源使用之安全性。
(三)開發、變更與測試階段
      1.系統測試與開發環境,應與正式應用系統實體區隔。
      2.委外開發測試資料,如內容涉及敏感或有價性資料原則不交付廠
        商;如業務需求須交付者應考量採用亂碼化處理。
      3.系統開發應注意智慧財產權及著作權等問題,委外開發時應註明
        智慧財產權及著作權之歸屬,避免出現違法情形。
      4.程式撰寫時應考量安全問題,避免出現已知之弱點。
      5.系統開發完成後應進行測試,除測試系統功能外,亦應測試系統
        安全性,如:存取控制強度、系統回復測試、最新弱點驗證及木
        馬程式檢查…等,若有發現異常狀況,應將該程式退回,並請廠
        商或開發人員提出相關說明並修正程式。
      6.開發完成之應用系統或程式經測試後,應確認符合本程序相關要
        求俾利作為驗收依據。
      7.系統進行較大變更時,應申請經授權後始進行變更,變更範圍須
        經測試後始得上線運作。
(四)上線階段
      1.應用系統上線時,應同時產出系統相關文件,如使用者手冊、系
        統說明文件等。
      2.應用系統配合上線應辦理相關教育訓練。
      3.上線使用之應用系統時,應符合以下最低要求:
     (1)應用系統之密碼機制強度應符合本部相關規範。
     (2)應能明確建立權限劃分設定。
     (3)應能提供系統存取、帳號密碼變更之系統紀錄功能。
民國 96 年 03 月 13 日訂定
3
三、資訊應用系統開發生命週期(SDLC)之管理
(一)需求分析階段
      資訊應用系統新增或變更需求分析,除應考量可行性及成本效益外
      ,亦應考量對現有環境之影響。
(二)規劃階段
      1.資訊應用系統規劃及既有資訊應用系統改版時,應考量加入自動
        化控制措施(如資料輸入(出)驗證、錯誤訊息顯示等)及輔助
        性控制措施(如系統權限稽查、參數設定等),以達成資訊應用
        系統之安全要求。
      2.委外辦理資訊應用系統開發或變更時,應視資訊應用系統之複雜
        程度與重要性,要求廠商提出或修正下列文件後,始得開發或變
        更:
     (1)資訊應用系統功能架構圖。
     (2)資訊應用系統流程圖。
     (3)資訊應用系統環境需求說明文件。
     (4)需求變更明細表。
     (5)會談紀錄。
      3.規劃階段應確保資訊應用系統安全品質,包含資訊應用系統對於
        網路環境、運作環境及內外部資源使用之安全性。
(三)開發、變更與測試階段
      1.資訊應用系統測試與開發環境,以與正式資訊應用系統實體區隔
        為原則。
      2.委外開發、變更提供之測試資料,如內容涉及敏感性或有價性者
        ,以不交付廠商為原則;如業務需求須交付者,應考量採用亂碼
        化處理。
      3.資訊應用系統開發應注意智慧財產權之相關問題,委外開發、變
        更時應註明智慧財產權之歸屬,避免產生違法情形。
      4.程式撰寫時應考量安全問題,避免出現已知之弱點。
      5.資訊應用系統開發、變更完成後,應測試該系統之功能及測試安
        全性(包括存取控制強度、系統回復測試、最新弱點驗證及木馬
        程式檢查等),如有發現異常狀況,應將該程式退回,並請廠商
        或開發人員提出相關說明並修正程式。
      6.開發、變更完成之資訊應用系統或程式經測試後,應確認符合本
        規範相關要求,作為驗收之依據。
      7.資訊應用系統如為較大幅度變更時,應申請並取得授權後始得為
        之,變更範圍須經測試後始得上線運作。
(四)上線階段
      1.資訊應用系統上線時,應同時產出該系統相關文件,如使用者手
        冊及該系統說明文件等。
      2.配合資訊應用系統之上線應辦理相關教育訓練。
      3.上線使用之資訊應用系統,應符合下列要求:
     (1)資訊應用系統之密碼機制強度應符合本部相關規定。
     (2)應能明確建立權限劃分設定。
     (3)應能提供系統存取、帳號密碼變更之系統紀錄功能。