電子支付作業環境之系統生命週期管理應符合下列要求:
一、應訂定資訊安全開發設計規範並落實執行。
二、對於委外開發的應用軟體,應執行監督並確保其有效遵循本辦法規定
。
三、應確保系統軟體和應用軟體安裝最新安全修補程式。
四、對於測試用之機敏資料,應先進行資料遮蔽處理或管制保護。
五、於開發階段起至營運階段,應遵循變更控制程序處理並留存相關紀錄
;營運環境變更(如執行、覆核)應由二人以上進行,以相互牽制。
六、系統軟體變更應先進行技術審查並測試;套裝軟體不應自行異動,並
應先進行風險評估。程式不應由開發人員自行換版或產製比對報表,
應建立程式原始碼管理機制,以符合職務分工與牽制原則。 |