Microsoft Security model in SDLC
微軟在軟體開發週期也定義每個過程所需要的資訊安全任務
從教育訓練 > 軟體需求 > 設計 > 建置 > 驗收 > 上線 > 回應
以研究開發部的團隊來說,成員不外乎是 QA/RD,比較會接觸到的是訓練、需求、設計、建置與驗收
針對 IT Network Operation Team ,就會接觸到”上線”之後定期不斷地追蹤資訊安全等問題
對於客戶技術支援部說 “Response “就很重要,當有事件發生時,如何對客戶溝通並採取適當的行動。
SAMM 模型的差異
這個模型大致的實際內容與 SAMM 模型類似,只是分類的方式有些不同
SAMM 的分類主要以功能別來區分為四大類。資訊安全管理 (CSO) > 開發 (RD) > 驗證 (QA) > 上線佈署 (IT operation)
Microsoft Security model in SDLC則是以軟體開發週期來說明每個環節應該要注意的項目。
不論每一個政策與規範,最後都需要持續不斷的執行。才會有所效果。
如果公司目前沒有或是預計導入一些資訊安全流程在軟體開發過程中,不防可以參考這幾個模型 方法。