CISSP考试指南笔记:8.2 软件开发生命周期

最新推荐文章于 2023-12-28 21:50:07 发布
最新推荐文章于 2023-12-28 21:50:07 发布
阅读量212 收藏
点赞数
分类专栏: CISSP备考资料
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuzhina/article/details/115315057
版权

There have been several software development life cycle (SDLC) models developed over the years, the crux of each model deals with the following phases:

  • Requirements gathering

  • Design

  • Development

  • Testing

  • Operations and maintenance

Project Management

Project management is an important part of product development, and security management is an important part of project management.

A security plan should be drawn up at the beginning of a development project and integrated into the functional plan to ensure that security is not overlooked.

The security plan and project management activities may likely be audited so security-related decisions can be understood.

If a software product is being developed for a specific customer, it is common for a Statement of Work (SOW) to be developed, which describes the product and customer requirements.

Sticking to what is outlined in the SOW is important so that scope creep does not take place.

work breakdown structure (WBS) is a project management tool used to define and group a project’s individual work elements in an organized manner.

Requirements Gathering Phase

As it pertains to security, the following items should be accomplished in this phase:

  • Security requirements

  • Security risk assessment

  • Privacy risk assessment

  • Risk-level acceptance

The security requirements of the product should be defined in the categories of availability, integrity, and confidentiality.

An initial security risk assessment should be carried out to identify the potential threats and their associated consequences.

After a privacy risk assessment, a Privacy Impact Rating can be assigned, which indicates the sensitivity level of the data that will be processed or accessible. Some software vendors incorporate the following Privacy Impact Ratings in their software development assessment processes:

  • P1, High Privacy Risk

  • P2, Moderate Privacy Risk

  • P3, Low Privacy Risk

A clear risk-level acceptance criteria needs to be developed to make sure that mitigation efforts are prioritized.

剩余内容请关注本人公众号debugeeker, 链接为CISSP考试指南笔记:8.2 软件开发生命周期

debugeeker
关注
专栏目录
CISSP 第十章 软件开发安全
waiwai3的博客
02-24 1284
10.1 软件的重要性 10.2 何处需要安全 软件控制方式: 操作系统控制:如在ARP中插入伪造的数据 应用程序和数据库管理控制 以上两种方式结合:这是常用的方式 10.3 系统开发生命周期 system development life cycle,SDLC SDLC的阶段:启动,购买/开发,安装,操作/维护,处理 认证:对系统进行的技术测试 认可:管理层允许系统在特定环境中运行的正式授权...
CISSP学习指南:用于2018 CISSP考试的学习材料
02-05
CISSP学习指南:用于2018 CISSP考试的学习材料
CISSP-D8-软件开发安全
sinat_34066134的博客
02-11 2515
CISSP-D1-安全与风险管理 CISSP-D2-资产安全 CISSP-D3-安全架构与工程 CISSP-D4-通讯与网络安全 CISSP-D5-身份与访问控制 CISSP-D6-安全评估和测试 CISSP-D7-运营安全 D8:软件开发安全 一、在开发生命周期中应用安全: D8-1~4 二、常见软件开发安全问题: D8-5~7 D8-1-软件中的安全需求 1、理解产生软件安全问题的原因 “外强内弱”的原因 软件在开发阶段,安全不是重要的考虑因素 很多安全从业人员往往不是软件开人员 通常任务功能性比安
CISSP复习笔记-第10章 软件开发安全
mvpboss1004的博客
12-19 2090
CISSP复习笔记-第10章 软件开发安全 10.13 数据库管理 10.13.6 数据库安全问题 3. 联机事务处理(Online Transaction Processing,OLTP) 检测问题以及在问题发生时立即进行适当处理的机制,主要目标:确保事务处理正确发生或者不发生 进程停止运作:试图重启该进程 进程不能重新启动:对应的事务处理将会回滚 错误/无效的和成功的事
关于软件开发安全的CISSP秘籍(一)
weixin_34161029的博客
08-01 328
大部分公司依靠防火墙、入侵检测系统、内容过滤、反恶意软件、漏洞扫描仪及其他网络工具来解决安全问题。他们对这么多控制的依赖主要是因为软件包含很多漏洞,用户面临风险。企业环境有时被认为是“外硬内软”,即网络外围安全可能很强大,但内部软件程序在获取访问权限后很容易被利用。 对于软件问题,最好的办法是在一开始构建软件开发安全流程。然而,软件程序通常将功能摆在首...
CISSP考点拾遗——SDLC(1)
single_element的博客
07-12 1758
考试中一般所引用的SDLC各阶段名称及典型安全活动。
CISSP考试精华笔记:安全治理与核心原则
"CISSP官方教材最完备精华笔记-V1.01" CISSP(Certified Information Systems Security Professional)认证是信息安全领域的权威证书,其官方教材覆盖了广泛的知识点,旨在帮助考生全面掌握安全管理和风险管理。这...
CISSP考试全攻略:金牌标准认证指南
"CISSP考试攻略提供了全面的备考指南,涵盖了CISSP考试的各个环节,包括考试介绍、注册流程、考场经验、备考策略以及认证背书。CISSP认证由(ISC)²颁发,是信息安全行业的权威标准,适用于中高层经理和专业技术人员...
CISSP官方精华笔记:第7版安全与风险管理详解
"《CISSP官方教材最完备精华笔记-V2.0》是由卫剑钒编撰的一份针对CISSP(Certified Information Systems Security Professional,注册信息安全专业人员)考试的学习资料。这份笔记基于OSG书的第七版,提炼了所有重要...
CISSP学习详细笔记、错题,考点标黑标红
03-19
### CISSP 学习详细笔记与错题分析 #### 安全管理核心概念与原则 **保密性(Confidentiality)**: - **目的**:确保数据处于保密状态,阻止或最小化未授权访问(包括恶意攻击和无意识的人为错误)。 - **控制手段**...
CISSP学习笔记 」06. 安全开发
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
12-28 2262
理解安全并将其融入软件开发生命周期 (SDLC) 中 在软件开发环境中识别和应用安全控制 评估软件安全的有效性 评估获得软件对安全的影响 定义并应用安全编码准则和标准
CISSP备考】第四章-通信与网络安全
qq_36019891的博客
08-23 1480
计算机和网络涉及通信设备、存储设备、处理设备、安全设备、输入设备、输出设备、操作系统、软件、服务、数据和人员。 OSI模型 协议可通过网络在计算机之间进行通信,协议是一组规则和限制,用于定义数据如何通过网络介质传输(例如双绞线、无线数据传输等) 应用层、表示层、会话层、传输层、网络层、链路层、物理层 封装/解封 封装是将每个层从上面的层传递到下面的层之前为每个层接收的数据添加头部、也可能添加尾部。 当数据通过OSI模型层从应用层下移到物理层时发生封装、数据从物理层到应用层向上移动时的逆操作称为解
2021年3月CISSP考试顺利通过,超详细的经验介绍
qq_24508001的博客
03-27 8330
2021年3月CISSP考试顺利通过,超详细的经验介绍 这是继CISA考试之后的第二篇经验贴啦,往下读,希望对备考路上得老铁、老妹儿们有帮助~ (一)考试篇 考试时间:2021年3月27日上午8:00~中午14:00,总时长6小时 报名时间:2021年2月下旬 考试地点:上海,当时报名有北京、上海、广州、西安可以选择,报的时间比较近尽量看一下近期天气预报,还没进考场就乌云盖顶可不是什么好兆头啊~ 考场必带:身份证、信用卡(有个人签名),也有带护照的,另外口罩也要求戴 提前到场时间:尽量保证30分钟,进去核对
系统开发生命周期
java开发指南博客 【转载】
05-01 336
常规的系统开发生命周期(SDLC): 1、计划(Planning) 2、需求收集与分析(Requirements gathering) 3、概念鱼逻辑设计(Conceptual and logical design) 4、物理设计(Physical design) 5、搭建模型并测试(Construction and testing) 6、实现和实施(Implementation an...
Software Development Life Cycle Models
sunjhgq的专栏
07-31 135
Software Development Life Cycle Models (http://codebetter.com/blogs/raymond.lewallen/archive/2005/07/13/129114.aspx) 文章介绍了软件开发生命周期的几种模型,包括瀑布模型,V-Shaped模型,迭代模型,螺旋模型.看了还是能给我们带来不少启发. ...
毕业设计论文SpringBoot+Vue畅销图书推荐系统.docx
10-16
毕业设计论文
(自适应手机版)html5蓝色装修工程建设类企业网站响应式整站模板_网站整站打包下载.zip
最新发布
10-16
(自适应手机版)html5蓝色装修工程建设类企业网站响应式整站模板_网站整站打包下载.zip
毕业设计论文Django+Vue新生入学管理系统.docx
10-16
毕业设计论文
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值