[logotipo da empresa] Comment [DK1]: Todos os campos neste

documento marcados por [] precisam ser

preenchidos.
[nome da empresa]

POLÍTICA DE DESENVOLVIMENTO SEGURO

Código: Comment [DK2]: O sistema de codificação do

documento deve estar em linha com os sistemas
existentes na empresa para a codificação de
Versão: documento. Caso tal sistema não estiver em vigor,
esta linha pode ser excluída.
Data da versão:

Criado por:

Aprovado por:

Nível de
confidencialidade:

(02015 Este modelo pode ser usado pelos clientes da EPPS services Ltd. www.iso27001standard.com de acordo com o Contrato de Licença.
 [nome da empresa] [nível de confidencialidade]

Histórico das alterações

Data Versão | Criado por Descrição da alteração

DD/MM/AAAA | 0.1 Dejan Kosutic | Descrição do documento básico

Indice

7 IPROPÓSITO; ESCOPOIEUSUÁRIOS «sz= secs G STO ada GR 3

2. DOCUMENTOS DE REFERENCIA sussa oem an 3

3. DESENVOLVIMENTO E MANUTENÇÃO SEGUROS =ssa ssa sssscacossescsssscsnssrisacacrasaocdesoassircancasisacacssssscassas 3

3.1. AVALIAÇÃO DE RISCO PARA O PROCESSO DE DESENVOLVIMENTO

3.2. TORNAR SEGURO O AMBIENTE DE DESENVOLVIMENTO
3.3. PRINCÍPIOS DE ENGENHARIA SEGURA
3.4. REQUISITOS DE;SEGURANÇA ssa Ea RED DDS Dana 4
3.5. REQUISITOS DE SEGURANÇA RELATIVOS A REDES PÚBLICAS ............ccccieererereereereeeeerererereererereeeereeeeereereeeerareeereeos 4
3.6. VERIFICAR E TESTAR A IMPLEMENTAÇÃO DOS REQUISITOS DE SEGURANÇA ....
a. Ra .4
3.8. CONTROLE DE VERSÃO
3.9. (6/0) Ni: (o [1=85]=8 V (0/5)
[67 RR 4
3.10. PROTEÇÃO DOS DADOS DE TESTE
3.11. TREINAMENTO EM SEGURANÇA REQUERIDO

4. GESTÃO DOS REGISTROS MANTIDOS COM BASE NESTE DOCUMENTO .............cccieseeeeeeeeseeeeeeeereneeses 5

5. VALIDADE DE GESTÃO DE DOCUMENTOS...............ccccieccesereeereeeeeeresaresereseeeanesareeaesanesacesaresassanesateantsanes 5

6. ANEXO sssssssaessressssaessssacssssa
TENTE OCR OSSO SCSLTNC CI IESCREECCSECSECOSIUSUCSCITANCUCESTICE SUS SaSE CRECI RSS cLUccaESasssSTa 5

Política de desenvolvimento seguro ver [versão] da [data] Página 2 de 6

02015 Este modelo pode ser usado pelos clientes da EPPS services Ltd. www.iso27001standard.com de acordo com o Contrato de Licença.
[nome da empresa] [nível de confidencialidade]

1. Propósito, escopo e usuários

O propósito deste documento é o de definir as regras básicas para o desenvolvimento seguro de

software e sistemas.

Este documento é aplicado a todo o desenvolvimento e manutenção de todos os serviços,

arquitetura, software e sistemas que fazem parte do Sistema de Gestão de Segurança da Informação
(SGSI).

Os usuários deste documento são todos os funcionários que trabalham em desenvolvimento e

manutenção na [nome da empresa].

2. Documentos de referência

e Norma ISO/IEC 27001, cláusulas A.14.1.2, A.14.1.3, A.14.2.1, A.14.2.2, A.14.2.5, A.14.2.6,
A.14.2.7, A.14.2.8, A.14.2.9,A.14.3.1
e Metodologia de avaliação de riscos e tratamento de riscos
e Política de segurança do fornecedor
e [Política de gestão de mudanças]/Procedimentos operacionais para a tecnologia da
informação e comunicação] Comment [DK3]: Escolha quais destes dois
documentos você irá usar.
e Plano de treinamento e conscientização

3. Desenvolvimento e manutenção seguros Comment [DK4]: como a tecnologia que é

utilizada é muito diferente nas empresas, você irá
precisar adaptar esta seção de acordo com suas
3.1. Avaliação de risco para o processo de desenvolvimento circunstâncias específicas.

Metodologia de avaliação de riscos e

tratamento de riscos, o [nome do cargo] precisa periodicamente executar a avaliação do seguinte: Comment [DK5]: se necessário, especifique a
frequência.

e Osriscos relativos ao acesso não autorizado ao ambiente de desenvolvimento.

e Osriscos que uma nova tecnologia pode trazer se for usada na empresa.

3.2. Tornar seguro o ambiente de desenvolvimento Comment [DK6]: Exclua esta seção se o controle
A.14.2.6 foi considerado como não aplicável.

[Identifique os requisitos internos e externos, descreva aqui com o acesso ao ambiente de

ambiente de teste e produção, como os backups são feitos]. , Comment [DK7]: Exclua esta seção se o controle |
A.14.2.5 foi considerado como não aplicável.
3.3. Princípios de engenharia segura Comment [DK8]: Por exemplo, diretriz sobre

O [nome do cargo] irá emitir os procedimentos para a engenharia de sistema de informação segura,
autenticação de usuário, controle de sessão segura,
validação de dados, etc.
definir as normas mínimas com as quais estar em conformidade.
Cobrir todas as camadas de arquitetura -
administrativa, dados, aplicativos e tecnologia.
Política de desenvolvimento seguro ver [versão] da [data] Página 3 de 6

02015 Este modelo pode ser usado pelos clientes da EPPS services Ltd. www.iso27001standard.com de acordo com o Contrato de Licença.
[nome da empresa] [nível de confidencialidade]

- desenvolvimento contratado e
definidos através do contrato como definido na [Política de segurança do fornecedor]. Comment [DK9]: Exclua este parágrafo se o
controle A.14.2.7 foi considerado como não
aplicável.
3.4. Requisitos de segurança
Comment [DK10]: Exclua esta seção se o
controle A.14.1.1 foi considerado como não
Ao adquirir novos sistemas de informação ou ao desenvolver ou modificar sistemas existentes, o aplicável.
Especificação de requisitos de Comment [DK11]: Alternativamente, você pode
segurança (consulte o Apêndice).
projeto ou similar.

3.5. Requisitos de segurança relativos a redes públicas Comment [DK12]: Exclua esta seção se os
controles A.14.1.2e A.14.1;3 3 foram considerados
como não aplicáveis.
O [nome do cargo] é responsável por definir os controles de segurança relativos à informação em
serviços de aplicativos que passam através de redes públicas:

e A descrição dos sistemas de autenticação a serem usados.

e A descrição de como não repúdio de ações é assegurado.

O [nome do cargo] é responsável por definir os controles para as transações on-line, que precisam
incluir o seguinte: Comment [DK13]: Os controles podem incluir

e Como será prevenido o erro de roteamento. controles deve estar em conformidade com a
legislação e regulamentos.

e Como será prevenido a duplicação não autorizada de mensagens.

3.6. Verificar e testar a implementação dos requisitos de segurança Comment [DK14]: Exclua esta seção se os
controles A.14.2.8 e A.14.2.9 foram considerados
como não aplicáveis.
O [nome do cargo] é responsável por definir a metodologia, responsabilidades e os prazos para
Comment [DK15]: Por exemplo, entradas de
Especificação de requisitos de segurança foram
atendidos e se o sistema está aceitável para produção.
Isso deve ser feito em um ambiente de teste
3.7. Repositório realista.

Comment [DK16]: A boa prática é que a equipe

[Descreva aqui onde o código e todos os outros arquivos relativos ao desenvolvimento são mantidos de desenvolvimento e uma equipe independente
executem os testes.

Comment [DK17]: Não apenas o teste final uma

3.8. Controle de versão

desenvolvimento.

em seu ambiente de desenvolvimento].

3.9. Controle de mudança Comment [DK18]: Exclua esta seção se os

controles A.14.2.2 e A.14.2.4 foram considerados
como não aplicáveis.

acordo com a [Política de gestão de mudanças]/Procedimentos operacionais para a tecnologia da l Comment [DK19]:
informação e comunicação]
Comment [DK20]: Exclua esta seção se o
controle A.14.3.1 foi considerado como não
3.10. Proteção dos dados de teste aplicável.
Política de desenvolvimento seguro ver [versão] da [data] Página 4 de 6

02015 Este modelo pode ser usado pelos clientes da EPPS services Ltd. www.iso27001standard.com de acordo com o Contrato de Licença.
[nome da empresa] [nível de confidencialidade]

Dados confidenciais, assim como dados que podem estar relacionados com pessoas individuais não

3.11. Treinamento em segurança requerido

O [nome do cargo] define o nível de especialização e conhecimento de segurança necessário para o

4. Gestão dos registros mantidos com base neste documento

Nome do registro Local de Pessoa Controles para a proteção | Tempo de

[Lista dos riscos

armazenamento

Computador do | [nome do
responsável pelo | do registro
armazenamento
[Somente o [nome do
retenção

3 anos para as
| Comment [DK21]: Adapte o período nesta
coluna para suas necessidades específicas.

relativos ao [nome do cargo] cargo] pode acessar listas que não

processo de cargo] estes arquivos] são mais
desenvolvimento] válidas.

[Procedimentos [intranet da [nome do [Somente o [nome do 3 anos para os

para a engenharia | empresa] cargo] cargo] pode publicar e procedimentos
segura de sistema editar estes arquivos] que não mais
de informação] válidos.

[Plano de testes] [intranet da [nome do [Somente o [nome do 3 anos para

empresa] cargo] cargo] pode publicar e testes que
editar estes arquivos] forma
executados.

5. Validade de gestão de documentos

O documento é válido a partir de [data].

O proprietário deste documento é o [nome do cargo),

documento ao menos uma vez por ano. Comment [DK22]: É apenas uma
recomendação. Ajuste a frequência como
necessário.
Ao avaliar a eficácia e adequação deste documento, os seguintes critérios precisam ser considerados:

e Número de incidentes
sistemas.

6. Anexo

Política de desenvolvimento seguro ver [versão] da [data] Página 5 de 6

(02015 Este modelo pode ser usado pelos clientes da EPPS services Ltd. www.iso27001standard.com de acordo com o Contrato de Licença.
[nome da empresa] [nível de confidencialidade]

e Especificação dos requisitos do sistema de informação

[nome do cargo]
[nome]

[assinatura] Comment [DK23]: somente necessário se o

o Procedimento para controle de registro de
documento prescreve que os documentos em papel
precisam ser assinados.

Política de desenvolvimento seguro ver [versão] da [data] Página 6 de 6

02015 Este modelo pode ser usado pelos clientes da EPPS services Ltd. www.iso27001standard.com de acordo com o Contrato de Licença.