GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》之83:

“8技術(shù)控制-8.25安全開(kāi)發(fā)生存周期”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料(編制-2025A0)

GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

8技術(shù)控制

8.25安全開(kāi)發(fā)生存周期

8.25.1屬性表

安全開(kāi)發(fā)生存周期屬性表見(jiàn)表85.

表85:安全開(kāi)發(fā)生存周期屬性表

控制類型信息安全屬性網(wǎng)絡(luò)空間安全概念運(yùn)行能力安全領(lǐng)域

#保密性

#應(yīng)用安全

#完整性

禁預(yù)防#防護(hù)#系統(tǒng)和網(wǎng)絡(luò)安全舞防護(hù)

#可用性

8技術(shù)控制-8.25安全開(kāi)發(fā)生存周期-8.25.1屬性表

安全開(kāi)發(fā)生存周期見(jiàn)表85。

“表85:安全開(kāi)發(fā)生存周期”屬性表解析

屬性維

屬性值屬性涵義解讀屬性應(yīng)用說(shuō)明與實(shí)施要點(diǎn)

度

1)通用涵義；控制類型中的“預(yù)防”指旨在防止信息安全事件發(fā)生的1)應(yīng)用范圍：覆蓋安全開(kāi)發(fā)生存周期的全過(guò)程，包括但不限于

一類控制措施。其核心在于通過(guò)制定規(guī)則、流程或技術(shù)手段，在風(fēng)險(xiǎn)需求分析、系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)實(shí)現(xiàn)、測(cè)試驗(yàn)證、部署上線等階段。

控制類事件發(fā)生前進(jìn)行規(guī)避，而非事后響應(yīng)。2)實(shí)施要點(diǎn)

#預(yù)防

型2)特定涵義：“預(yù)防”控制強(qiáng)調(diào)在需求定義、系統(tǒng)設(shè)計(jì)、代碼實(shí)現(xiàn)、-需求階段：將安全需求明確列入功能需求，并與業(yè)務(wù)需求同

測(cè)試部署等各階段前置安全控制措施，如安全需求規(guī)范、安全設(shè)計(jì)評(píng)步管理：

審、代碼審查機(jī)制等，防止因開(kāi)發(fā)過(guò)程中的疏漏或錯(cuò)誤引入安全漏洞設(shè)計(jì)階段：引入威脅建模、安全架構(gòu)審查等機(jī)制；

加油努力你行的

屬性維

屬性值屬性涵義解讀屬性應(yīng)用說(shuō)明與實(shí)施要點(diǎn)

度

,從而避免系統(tǒng)上線后發(fā)生安全事件(如數(shù)據(jù)泄露、權(quán)限越權(quán)等)。-開(kāi)發(fā)階段：執(zhí)行安全編碼規(guī)范，使用安全開(kāi)發(fā)工具鏈：

測(cè)試階段：引入自動(dòng)化安全測(cè)試工具，確保安全缺陷在發(fā)布

前被發(fā)現(xiàn)；

-部署階段：確保部署環(huán)境符合安全配置要求。

1)應(yīng)用范圍：涵蓋安全開(kāi)發(fā)生命周期中所有涉及敏感信息處理

1)通用涵義：信息的保密性是指確保信息僅對(duì)授權(quán)用戶可訪問(wèn)，防止

的環(huán)節(jié)，包括數(shù)據(jù)存儲(chǔ)、傳輸、處理、歸檔等。

未經(jīng)授權(quán)的披露，保密性是信息安全的三大基本屬性之一(保密性、

2)實(shí)施要點(diǎn)

完整性、可用性);

信息安存儲(chǔ)層面：對(duì)源代碼庫(kù)、設(shè)計(jì)文檔等核心資產(chǎn)進(jìn)行加密存儲(chǔ)；

#保密性2)特定涵義：“保密性”控制主要針對(duì)開(kāi)發(fā)過(guò)程中涉及的敏感信息(

全屬性-傳輸層面：使用加密通信協(xié)議(如HTTPS.SFTP)傳輸敏感數(shù)

如源代碼、設(shè)計(jì)文檔、測(cè)試數(shù)據(jù)、密鑰材料等)進(jìn)行保護(hù)，防止因權(quán)

據(jù)；

限管理不當(dāng)、傳輸通道不安全、存儲(chǔ)方式不加密等原因?qū)е滦畔⑿孤?/p>

一訪問(wèn)層面：基于最小權(quán)限原則，嚴(yán)格限制訪問(wèn)人員權(quán)限；

或被竊取，從而為后續(xù)系統(tǒng)運(yùn)行埋下安全隱患。

-管理層面：建立密鑰管理系統(tǒng)(KMS),定期輪換敏感密鑰。

1)應(yīng)用范圍：涵蓋開(kāi)發(fā)過(guò)程中的代碼、配置、文檔、測(cè)試結(jié)果、

1)通用涵義；完整性是指信息在創(chuàng)建、傳輸、存儲(chǔ)過(guò)程中保持其原始

構(gòu)建產(chǎn)物等關(guān)鍵資產(chǎn)。

狀態(tài)，未被未經(jīng)授權(quán)的更改或破壞，是信息安全的核心目標(biāo)之一；

2)實(shí)施要點(diǎn)

2)特定涵義：

信息安-使用版本控制系統(tǒng)(如Git)進(jìn)行代碼變更管理；

#完整性“完整性”控制主要針對(duì)開(kāi)發(fā)過(guò)程中產(chǎn)生的各類資產(chǎn)(如源代碼、配

全屬性一對(duì)關(guān)鍵配置文件啟用完整性校驗(yàn)機(jī)制(如哈希簽名);

置文件、測(cè)試用例、編譯產(chǎn)物等)進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的修改或

-在構(gòu)建流程中引入自動(dòng)化完整性驗(yàn)證步驟；

意外損壞，從而確保系統(tǒng)功能的正確性和安全性。例如防止惡意代碼

一對(duì)測(cè)試數(shù)據(jù)進(jìn)行簽名，防止數(shù)據(jù)被募改；

插入、配置錯(cuò)誤導(dǎo)致安全策略失效等。

-配置變更需經(jīng)過(guò)審批并記錄日志。

加油努力你行的

屬性維

屬性值屬性涵義解讀屬性應(yīng)用說(shuō)明與實(shí)施要點(diǎn)

度

1)應(yīng)用范圍：涵蓋開(kāi)發(fā)環(huán)境、測(cè)試平臺(tái)、構(gòu)建服務(wù)器、代碼倉(cāng)

1)通用涵義；可用性是指確保信息和信息資源在雷要時(shí)可被授權(quán)用戶庫(kù)、CI/CD流水線等關(guān)鍵基礎(chǔ)設(shè)施。

訪問(wèn)和使用，防止由于系統(tǒng)故障、網(wǎng)絡(luò)中斷、資源耗盡等原因?qū)е路?)實(shí)施要點(diǎn)

信息安務(wù)不可用：-對(duì)關(guān)鍵開(kāi)發(fā)環(huán)境與工具鏈實(shí)施冗余部署(如雙機(jī)熱備):

#可用性

全屬性2)特定涵義：“可用性”控制主要關(guān)注開(kāi)發(fā)、測(cè)試、構(gòu)建、部署等環(huán)一定期備份開(kāi)發(fā)資產(chǎn)(如源碼、配置文件、構(gòu)建產(chǎn)物);

節(jié)中的工具鏈、基礎(chǔ)設(shè)施、環(huán)境資源的可用性，確保開(kāi)發(fā)流程不因技-監(jiān)控工具鏈運(yùn)行狀態(tài)，設(shè)置故障自動(dòng)切換機(jī)制：

術(shù)故障或資源不足而中斷，從而影響項(xiàng)目進(jìn)度或安全測(cè)試覆蓋率。建立開(kāi)發(fā)中斷恢復(fù)機(jī)制(如快速恢復(fù)環(huán)境、代碼回滾策略);

一評(píng)估資源使用情況，預(yù)留冗余容量。

1)應(yīng)用范圍：貫穿安全開(kāi)發(fā)生命周期的全過(guò)程，是安全開(kāi)發(fā)策

1)通用涵義：“防護(hù)”是網(wǎng)絡(luò)空間安全的核心概念之一，指通過(guò)技術(shù)

略的核心導(dǎo)向。

、管理等手段防止網(wǎng)絡(luò)空問(wèn)安全事件的發(fā)生，是整個(gè)安全生命周期(

2)實(shí)施要點(diǎn)

網(wǎng)絡(luò)空識(shí)別-防護(hù)-發(fā)現(xiàn)-響應(yīng)-恢復(fù))中的關(guān)鍵前置環(huán)節(jié)。

-在需求階段明確防護(hù)目標(biāo)(如防注入、防提權(quán));

間安全#防護(hù)2)特定涵義：“防護(hù)”強(qiáng)調(diào)在開(kāi)發(fā)初期階段嵌入安全控制措施(如安

-在設(shè)計(jì)階段采用防護(hù)性架構(gòu)(如零信任、最小權(quán)限);

概念全設(shè)計(jì)、安全編碼、環(huán)境隔離),以構(gòu)建“防護(hù)性”系統(tǒng)架構(gòu)，從源

-在開(kāi)發(fā)階段執(zhí)行安全編碼規(guī)范(如OWASPTop10防護(hù));

頭減少系統(tǒng)漏洞和安全風(fēng)險(xiǎn)，降低后期“發(fā)現(xiàn)”與“響應(yīng)”階段的安

-在部署階段配置防護(hù)性策略(如防火墻、訪問(wèn)控制):

全負(fù)擔(dān)。

一建立持續(xù)防護(hù)機(jī)制(如漏洞掃描、滲透測(cè)試)。

1)通用涵義：“應(yīng)用安全”屬于運(yùn)行能力范疇，指保障應(yīng)用程序在設(shè)1)應(yīng)用范圍：聚焦于應(yīng)用程序的生命周期管理，涵蓋從需求到

運(yùn)行能#應(yīng)用安計(jì)、開(kāi)發(fā)、部署、運(yùn)行階段安全的能力，涵蓋安全需求分析、安全設(shè)部署的全過(guò)程。

力全計(jì)、安全測(cè)試、漏洞修復(fù)等關(guān)鍵環(huán)節(jié)；2)實(shí)施要點(diǎn)

2)特定涵義：“應(yīng)用安全”能力主要表現(xiàn)為組織在開(kāi)發(fā)過(guò)程中識(shí)別、一建立應(yīng)用安全培訓(xùn)體系，提升開(kāi)發(fā)人員安全意識(shí)：

加油努力你行的

8.25.2控制

宜建立并應(yīng)用軟件和系統(tǒng)安全開(kāi)發(fā)規(guī)則。

8.25.2控制

(1)“8.25.2控制”解讀和應(yīng)用說(shuō)明表

“8.25.2(安全開(kāi)發(fā)生存周期)控制”解讀和應(yīng)用說(shuō)明表

內(nèi)容維度“B.25.2(安全開(kāi)發(fā)生存周期》控制”解讀和應(yīng)用說(shuō)明

建立并應(yīng)用軟件和系統(tǒng)安全開(kāi)發(fā)規(guī)則。確保安全要求(覆蓋保密性、完整性，可用性三大信息安全屬性)貫穿于需求定義、系統(tǒng)設(shè)計(jì)、代碼實(shí)

本條款核心控現(xiàn)、測(cè)試驗(yàn)證、部署上線、運(yùn)維維護(hù)全生命周期，通過(guò)前置預(yù)防控制消除開(kāi)發(fā)各階段潛在安全漏洞，提升系統(tǒng)內(nèi)生安全性與可控性，降低安全

制目標(biāo)和意圖事件(如數(shù)據(jù)泄露、權(quán)限越權(quán))發(fā)生風(fēng)險(xiǎn)，同時(shí)為符合GB/T22081-2024其他關(guān)聯(lián)條款(如8.4、8.9、8.28、8.29、8.30、8.31、8.32)及外部

合規(guī)要求提供基礎(chǔ)支撐。

1)風(fēng)險(xiǎn)防控：通過(guò)“安全左移”前置解決開(kāi)發(fā)階段安全問(wèn)題，顯著降低因設(shè)計(jì)疏漏、代碼缺陷導(dǎo)致的后期安全風(fēng)險(xiǎn)：

2)合規(guī)適配：滿足《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》及GB/T22081-2024關(guān)聯(lián)

條款(如8.28安全編碼、8.29安全測(cè)試、8.30開(kāi)發(fā)外包)的合規(guī)要求；

本條款實(shí)施的

3)成本優(yōu)化：減少系統(tǒng)上線后安全漏洞修復(fù)的時(shí)間與經(jīng)濟(jì)成本，避免因安全事件導(dǎo)致的業(yè)務(wù)中斷損失：

核心價(jià)值

4)信任提升：增強(qiáng)用戶(尤其金融、醫(yī)療、政務(wù)等關(guān)鍵領(lǐng)域)對(duì)產(chǎn)品的安全信任度；

5)流程規(guī)范：推動(dòng)安全開(kāi)發(fā)從“被動(dòng)應(yīng)對(duì)”轉(zhuǎn)為“主動(dòng)防控”,實(shí)現(xiàn)開(kāi)發(fā)流程的制度化、可追溯化；

6)能力建設(shè)：倒逗組織提升開(kāi)發(fā)人員安全編碼、測(cè)試人員安全驗(yàn)證能力，構(gòu)建全員安全文化。

1)條款語(yǔ)境定位：本條款屬于GB/T22081-2024“8技術(shù)控制-8.25安全開(kāi)發(fā)生存周期”的核心實(shí)施要求，是連接“安全開(kāi)發(fā)目標(biāo)”(8.25.3)

本條款深度解與“實(shí)施指南”(8.25.4)的關(guān)鍵紐帶，強(qiáng)調(diào)“制度建立”與“落地應(yīng)用”的協(xié)同性；

讀與內(nèi)涵解析2)“宜建立并應(yīng)用軟件和系統(tǒng)安全開(kāi)發(fā)規(guī)則。”關(guān)鍵詞解析：

一“宜建立”:雖為推薦性控制，但針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施、國(guó)家重要信息系統(tǒng)等場(chǎng)景具有實(shí)質(zhì)強(qiáng)制性，要求組織結(jié)合業(yè)務(wù)特性設(shè)計(jì)結(jié)構(gòu)化規(guī)

加油努力你行的

內(nèi)容維度“8.25.2(安全開(kāi)發(fā)生存周期》控制”解讀和應(yīng)用說(shuō)明

則體系(而非零散措施),需覆蓋安全開(kāi)發(fā)治理架構(gòu)、階段目標(biāo)、職責(zé)分工；

一“并應(yīng)用”:突出“制度≠形式”,要求規(guī)則嵌入開(kāi)發(fā)全流程，如需求階段關(guān)聯(lián)5.8“項(xiàng)目安全檢查點(diǎn)”、設(shè)計(jì)階段落實(shí)8.27“系統(tǒng)安全架構(gòu)

原則”、編碼階段執(zhí)行8.28“安全編碼規(guī)范”、測(cè)試階段應(yīng)用8.29“安全測(cè)試手段”;

一“軟件和系兢”:覆蓋應(yīng)用軟件、系統(tǒng)軟件、嵌入式軟件、云服務(wù)軟件等所有軟件類型，及信息系統(tǒng)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)等所有系

統(tǒng)形態(tài)；

一“安全開(kāi)發(fā)規(guī)則”:包括開(kāi)發(fā)流程規(guī)范(如CI/CD安全控制點(diǎn))、技術(shù)控制標(biāo)準(zhǔn)(如加密存儲(chǔ)要求)、第三方組件管理(如開(kāi)源組件漏洞篩查

)、安全存儲(chǔ)與版本控制(符合8.4“源代碼訪問(wèn)控制”、8.9“配置管理”、8.32“變更管理”)、開(kāi)發(fā)外包管控(符合8.30“供應(yīng)商合規(guī)保

證”)等；

3)控制類型本質(zhì)：屬于“#預(yù)防”類控制(見(jiàn)8.25.1屬性表),核心是通過(guò)“源頭防控”誠(chéng)少安全漏洞引入，而豐事后補(bǔ)救。

1)規(guī)則體系建設(shè)：

一制定分層文檔：包括《安全開(kāi)發(fā)總則》《各階段安全控制規(guī)范》《安全測(cè)試與驗(yàn)收標(biāo)準(zhǔn)》《第三方組件管理規(guī)程》,明確與8.4(源代碼訪問(wèn)

)、8.9(配置管理),8.32(版本控制)的協(xié)同要求：

嵌入合規(guī)要求：規(guī)則需體現(xiàn)5.32“知識(shí)產(chǎn)權(quán)許可”、8.31“開(kāi)發(fā)/測(cè)試/生產(chǎn)環(huán)境隔離”等條款要求；

2)落地執(zhí)行保障：

本條款實(shí)施要

工具鏈支撐：引入SAST(靜態(tài)安全測(cè)試》、DAST(動(dòng)態(tài)安全測(cè)試)、SCA《軟件成分分析)工具，集成至CI/CD流水線；

點(diǎn)與組織應(yīng)用

一外包管控：若存在開(kāi)發(fā)外包，需在供應(yīng)商協(xié)議中明確安全開(kāi)發(fā)要求，通過(guò)審計(jì)、驗(yàn)收測(cè)試獲取合規(guī)保證(符合8.30要求);

建議

3)能力與文化建設(shè)：

-分層培訓(xùn)：針對(duì)開(kāi)發(fā)人員開(kāi)展“安全編碼與漏洞識(shí)別”培訓(xùn)、測(cè)試人員開(kāi)展“安全測(cè)試方法”培訓(xùn)、管理人員開(kāi)展“安全開(kāi)發(fā)治理”培訓(xùn)：

一指標(biāo)監(jiān)控：建立“安全缺陷修復(fù)率”“安全測(cè)試覆蓋率”“第三方組件漏洞整改率”等KPI;

4)審計(jì)與改進(jìn)：

-定期審計(jì)：核查規(guī)則執(zhí)行情況(如源代碼存儲(chǔ)是否符合8.4訪問(wèn)控制)、安全測(cè)試是否覆蓋8.29要求；

加油努力你行的

內(nèi)容維度“8.25.2(安全開(kāi)發(fā)生存周期》控制”解讀和應(yīng)用說(shuō)明

持續(xù)優(yōu)化：結(jié)合8.25.4“指南”更新及安全事件教訓(xùn)(如漏洞利用案例),動(dòng)態(tài)調(diào)整規(guī)則。

(2)“8.25.2控制”條款與GB/T22080-2025相關(guān)條款的邏輯關(guān)聯(lián)關(guān)系；

“8.25.2控制”與GB/T22080相關(guān)條款的邏輯關(guān)聯(lián)關(guān)系分析表

關(guān)聯(lián)GB/T22080條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

制定安全開(kāi)發(fā)規(guī)則雷以信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果為基礎(chǔ)：通過(guò)風(fēng)險(xiǎn)評(píng)估識(shí)別軟件開(kāi)發(fā)全周期(如需求、設(shè)計(jì)、編

碼、測(cè)試、部署)中可能存在的信息安全風(fēng)險(xiǎn)(如代碼漏洞、數(shù)據(jù)泄露、供應(yīng)鏈威脅等),評(píng)估風(fēng)險(xiǎn)發(fā)生的可

6.1.2信息安全風(fēng)險(xiǎn)評(píng)輸入依據(jù)

估能性與潛在后果，為安全開(kāi)發(fā)規(guī)則的針對(duì)性制定(如編碼規(guī)范、漏洞檢測(cè)要求)提供核心風(fēng)險(xiǎn)輸入，確保規(guī)則

能覆蓋開(kāi)發(fā)階段關(guān)鍵風(fēng)險(xiǎn)點(diǎn)

安全開(kāi)發(fā)規(guī)則是信息安全風(fēng)險(xiǎn)處置過(guò)程中針對(duì)“軟件開(kāi)發(fā)風(fēng)險(xiǎn)”的核心控制措施之一：在風(fēng)險(xiǎn)處置中，組織需

6.1.3信息安全風(fēng)險(xiǎn)處實(shí)施支撐(風(fēng)險(xiǎn)控

將安全開(kāi)發(fā)規(guī)則與附錄A(如8.25安全開(kāi)發(fā)生存周期、8.26應(yīng)用程序安全要求等)的控制進(jìn)行對(duì)比驗(yàn)證，確保

置制措施》

規(guī)則未遺漏必要控制；同時(shí)，規(guī)則的實(shí)施是風(fēng)險(xiǎn)處置計(jì)劃中“降低開(kāi)發(fā)風(fēng)險(xiǎn)”目標(biāo)的關(guān)鍵落地手段

建立和應(yīng)用安全開(kāi)發(fā)規(guī)則需組織提供必要資源支持：包括安全開(kāi)發(fā)工具(如代碼審計(jì)工具、漏洞掃描工具)、

7.1資源專業(yè)人員(如安全開(kāi)發(fā)工程師、安全測(cè)試人員)、培訓(xùn)經(jīng)費(fèi)等，資源的充足性直接決定安全開(kāi)發(fā)規(guī)則能否有效資源保障

落地

安全開(kāi)發(fā)規(guī)則的執(zhí)行依賴于相關(guān)人員的能力；組織需識(shí)別開(kāi)發(fā)、測(cè)試、運(yùn)維等崗位人員在“安全開(kāi)發(fā)”方面的

7.2能力能力要求(如掌握安全編碼技術(shù)、理解OWASPTop10漏洞),通過(guò)培訓(xùn)、經(jīng)驗(yàn)積累等方式確保人員勝任，避免因能力保障

能力不足導(dǎo)致規(guī)則執(zhí)行不到位

7.5成文信息安全開(kāi)發(fā)規(guī)則需按“成文信息”要求管理：需形成明確的文件化成果(如《安全開(kāi)發(fā)規(guī)范》《代碼安全審查流文檔支持

加油努力你行的

關(guān)聯(lián)GB/T22080條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

程》《安全測(cè)試標(biāo)準(zhǔn)》等),并滿足“標(biāo)識(shí)描述、格式介質(zhì)、評(píng)審批準(zhǔn)、存儲(chǔ)保護(hù)、版本控制”等控制要求，

確保規(guī)則可追溯、可執(zhí)行、可更新

安全開(kāi)發(fā)活動(dòng)屬于組織“運(yùn)行過(guò)程”的重要組成部分：需將安全開(kāi)發(fā)規(guī)則納入運(yùn)行策劃，明確開(kāi)發(fā)各階段(需

8.1運(yùn)行策劃和控制求評(píng)審、設(shè)計(jì)審查、編碼、測(cè)試)的安全控制準(zhǔn)則(如“編碼階段需執(zhí)行代碼安全掃描”),并對(duì)開(kāi)發(fā)過(guò)程進(jìn)運(yùn)行控制

行實(shí)時(shí)控制，確保規(guī)則被嚴(yán)格遵循

運(yùn)行階段需結(jié)合安全開(kāi)發(fā)規(guī)則執(zhí)行情況開(kāi)展風(fēng)險(xiǎn)評(píng)估：當(dāng)軟件開(kāi)發(fā)過(guò)程發(fā)生重大變更(如引入新開(kāi)發(fā)框架、變

8.2信息安全風(fēng)險(xiǎn)評(píng)估運(yùn)行階段風(fēng)險(xiǎn)輸入

更供應(yīng)商)時(shí)，需通過(guò)風(fēng)險(xiǎn)評(píng)估驗(yàn)證現(xiàn)有安全開(kāi)發(fā)規(guī)則是否仍能覆蓋新風(fēng)險(xiǎn)，為規(guī)則的動(dòng)態(tài)調(diào)整提供依據(jù)

運(yùn)行階段需通過(guò)實(shí)施安全開(kāi)發(fā)規(guī)則完成風(fēng)險(xiǎn)處置：在開(kāi)發(fā)過(guò)程中，需按規(guī)則執(zhí)行漏洞修復(fù)、安全測(cè)試等操作，

運(yùn)行階段風(fēng)險(xiǎn)處置

8.3信息安全風(fēng)險(xiǎn)處置直接處置已識(shí)別的開(kāi)發(fā)風(fēng)險(xiǎn)(如修復(fù)代碼注入漏洞),并記錄處置結(jié)果，確保開(kāi)發(fā)產(chǎn)出物(如軟件、系統(tǒng))符

措施

合信息安全要求

需對(duì)安全開(kāi)發(fā)規(guī)則的執(zhí)行效果進(jìn)行監(jiān)視與評(píng)價(jià)：通過(guò)設(shè)定監(jiān)視指標(biāo)(如“代碼漏洞修復(fù)率”“安全測(cè)試通過(guò)率

9.1監(jiān)視、測(cè)量、分析和

"“規(guī)則合規(guī)率”),定期測(cè)量規(guī)則執(zhí)行情況，分析規(guī)則的有效性(如是否降低了軟件上線后的安全事件發(fā)生績(jī)效監(jiān)視與評(píng)價(jià)

評(píng)價(jià)

率),為后續(xù)優(yōu)化提供數(shù)據(jù)支撐

內(nèi)部審核需驗(yàn)證安全開(kāi)發(fā)規(guī)則的符合性與有效性；審核內(nèi)容包括“規(guī)則是否被嚴(yán)格執(zhí)行”“規(guī)則本身是否符合合規(guī)性與有效性審

9.2內(nèi)部審核

GB/T22080要求”“規(guī)則實(shí)施后開(kāi)發(fā)風(fēng)險(xiǎn)是否得到有效控制”,通過(guò)審核發(fā)現(xiàn)規(guī)則執(zhí)行或規(guī)則本身的偏差核

最高管理層需通過(guò)管理評(píng)審評(píng)估安全開(kāi)發(fā)規(guī)則的適宜性：結(jié)合外部環(huán)境變化(如新法規(guī)要求、新攻擊技術(shù))、

9.3管理評(píng)審內(nèi)部運(yùn)行數(shù)據(jù)(如審核結(jié)果、風(fēng)險(xiǎn)評(píng)估結(jié)果),評(píng)審規(guī)則是否仍適應(yīng)組織戰(zhàn)略與信息安全目標(biāo)，決定是否需修戰(zhàn)略層適宜性評(píng)審

訂規(guī)則

加油努力你行的

關(guān)聯(lián)GB/T22080條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

安全開(kāi)發(fā)規(guī)則需通過(guò)持續(xù)改進(jìn)提升有效性：根據(jù)監(jiān)視測(cè)量結(jié)果、內(nèi)部審核發(fā)現(xiàn)、管理評(píng)審結(jié)論，對(duì)規(guī)則進(jìn)行動(dòng)

10.1持續(xù)改進(jìn)態(tài)優(yōu)化(如更新編碼規(guī)范以應(yīng)對(duì)新漏洞類型、簡(jiǎn)化安全測(cè)試流程以提升效率),確保規(guī)則始終能應(yīng)對(duì)開(kāi)發(fā)階段改進(jìn)依據(jù)

的最新風(fēng)險(xiǎn)

當(dāng)出現(xiàn)“違反規(guī)則”或“規(guī)則不足”的不符合項(xiàng)時(shí)，需通過(guò)糾正措施改進(jìn)：如發(fā)現(xiàn)“開(kāi)發(fā)人員未按規(guī)則執(zhí)行代

10.2不符合與糾正措施碼掃描”(執(zhí)行偏差),需采取培訓(xùn)、加強(qiáng)監(jiān)督等糾正措施；如發(fā)現(xiàn)“規(guī)則未覆蓋容器開(kāi)發(fā)風(fēng)險(xiǎn)”(規(guī)則不足糾正與改進(jìn)支撐

),需修訂規(guī)則補(bǔ)充相關(guān)要求，避免類似問(wèn)題重復(fù)發(fā)生

(3)“8.25.2控制”與GB/T22081-2024其他條款邏輯關(guān)聯(lián)關(guān)系。

“8.25.2控制”與GB/T22081-2024其他條款邏輯關(guān)聯(lián)關(guān)系分析表

關(guān)聯(lián)GB/T22081條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

安全開(kāi)發(fā)規(guī)則需在項(xiàng)目啟動(dòng)階段即納入項(xiàng)目管理范疇，將信息安全要求融入項(xiàng)目目標(biāo)、計(jì)劃、風(fēng)險(xiǎn)評(píng)估及交

5.8項(xiàng)目管理中的信

付物管理中，確保安全開(kāi)發(fā)貫穿項(xiàng)目全生命周期(如需求分析、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試等階段),避免項(xiàng)目過(guò)程直接支持(過(guò)程融入)

息安全

中遺漏安全環(huán)節(jié)。

安全開(kāi)發(fā)規(guī)則需明確應(yīng)用程序在開(kāi)發(fā)全周期的具體安全要求(如身份鑒別、數(shù)據(jù)加密、輸入驗(yàn)證等),這些

8.26應(yīng)用程序安全要

要求是安全開(kāi)發(fā)規(guī)則的核心內(nèi)容之一，為應(yīng)用程序開(kāi)發(fā)提供具體的安全指引，確保開(kāi)發(fā)出的應(yīng)用程序符合預(yù)具體實(shí)施(要求細(xì)化)

求

設(shè)安全目標(biāo)。

安全開(kāi)發(fā)規(guī)則雷以系統(tǒng)安全架構(gòu)和工程原則(如“縱深防御”“最小權(quán)限”“默認(rèn)安全”等)為理論基礎(chǔ)和

8.27系統(tǒng)安全架構(gòu)和

設(shè)計(jì)依據(jù)，確保安全開(kāi)發(fā)規(guī)則的整體框架符合安全工程邏輯，避免規(guī)則與系統(tǒng)整體安全架構(gòu)脫節(jié)，保障開(kāi)發(fā)原則指導(dǎo)(框架支撐)

工程原則

出的軟件/系統(tǒng)在架構(gòu)層面具備安全性。

加油努力你行的

關(guān)聯(lián)GB/T22081條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

安全開(kāi)發(fā)規(guī)則需包含針對(duì)不同編程語(yǔ)言(如Java、Python.C++等)的安全編碼規(guī)范(如避免SQL注入、跨站

8.28安全編碼腳本漏洞的編碼方法),明確編碼階段的安全禁忌與最佳實(shí)踐，為開(kāi)發(fā)人員提供具體的編碼安全指引，直接具體實(shí)施(編碼規(guī)范)

防范編碼階段引入安全漏洞。

安全開(kāi)發(fā)規(guī)則雷明確開(kāi)發(fā)全周期的安全測(cè)試要求(如靜態(tài)應(yīng)用安全測(cè)試SAST、動(dòng)態(tài)應(yīng)用安全測(cè)試DAST的實(shí)施

8.29開(kāi)發(fā)和驗(yàn)收中的

節(jié)點(diǎn)、測(cè)試范圍、合格標(biāo)準(zhǔn)),確保通過(guò)測(cè)試驗(yàn)證安全開(kāi)發(fā)規(guī)則的落地效果，及時(shí)發(fā)現(xiàn)并修復(fù)開(kāi)發(fā)過(guò)程中未驗(yàn)證保障(效果檢驗(yàn))

安全測(cè)試

遵循規(guī)則或規(guī)則未覆蓋的安全問(wèn)題。

若軟件/系統(tǒng)開(kāi)發(fā)涉及外包，安全開(kāi)發(fā)規(guī)則雷作為外包合同的核心安全條款之一，明確外包服務(wù)商需遵循的

8.30開(kāi)發(fā)外包安全開(kāi)發(fā)流程、交付物安全標(biāo)準(zhǔn)及審計(jì)要求，確保外包開(kāi)發(fā)過(guò)程與組織內(nèi)部安全開(kāi)發(fā)規(guī)則保持一致，避免因外部擴(kuò)展(外包管控)

外包導(dǎo)致安全標(biāo)準(zhǔn)降低。

安全開(kāi)發(fā)規(guī)則需包含環(huán)境隔離的具體要求(如物理/邏輯隔離措施、數(shù)據(jù)傳輸限制、環(huán)境訪問(wèn)權(quán)限控制),

8.31開(kāi)發(fā)、測(cè)試和生

防止開(kāi)發(fā)環(huán)境中的未成熟代碼、測(cè)試數(shù)據(jù)(含敏感信息)流入生產(chǎn)環(huán)境，或生產(chǎn)環(huán)境數(shù)據(jù)泄露至開(kāi)發(fā)/測(cè)試環(huán)境保障(邊界控制)

產(chǎn)環(huán)境的隔離

環(huán)境，保障各環(huán)境安全邊界。

安全開(kāi)發(fā)規(guī)則需與變更管理流程聯(lián)動(dòng)，明確對(duì)軟件/系統(tǒng)的任何變更(如代碼修改、配置調(diào)整、功能新增)

8.32變更管理均需遵循安全開(kāi)發(fā)規(guī)則(如變更前安全評(píng)審、變更后安全測(cè)試),防止未經(jīng)安全驗(yàn)證的變更引入新的安全漏過(guò)程控制(變更安全)

洞，確保變更過(guò)程的安全性。

安全開(kāi)發(fā)規(guī)則雷規(guī)范測(cè)試信息的管理要求(如測(cè)試數(shù)據(jù)脫敏、測(cè)試數(shù)據(jù)存儲(chǔ)安全、測(cè)試數(shù)據(jù)使用權(quán)限控制)

數(shù)據(jù)保護(hù)(測(cè)試數(shù)據(jù)安

8.33測(cè)試信息,防止測(cè)試過(guò)程中因使用真實(shí)敏感數(shù)據(jù)(如個(gè)人可識(shí)別信息PII)或測(cè)試數(shù)據(jù)泄露，導(dǎo)致安全風(fēng)險(xiǎn)，確保測(cè)

全)

試環(huán)節(jié)符合整體安全開(kāi)發(fā)框架。

GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

加油努力你行的

8.25.3日的

確保在軟件和系統(tǒng)的安全開(kāi)發(fā)生存周期內(nèi)設(shè)計(jì)和實(shí)現(xiàn)信息安全。

8.25.3目的

“8.25.3(安全開(kāi)發(fā)生存周期)目的”解讀說(shuō)明表

內(nèi)容維度“8.25.3《安全開(kāi)發(fā)生存周期)目的”解讀說(shuō)明

本條款旨在明確“安全開(kāi)發(fā)生存周期”在信息安全管理體系(ISUS)中的戰(zhàn)略定位，強(qiáng)調(diào)將信息安全嵌入軟件和系統(tǒng)開(kāi)發(fā)的全生命周期(需求

總述：本條款的分析、設(shè)計(jì)、編碼、測(cè)試、部署、運(yùn)維維護(hù)),從設(shè)計(jì)到實(shí)現(xiàn)階段持續(xù)貫徹安全要求，以實(shí)現(xiàn)系統(tǒng)本質(zhì)安全的構(gòu)建目標(biāo)。其核心意圖是確立安

核心意圖與定全開(kāi)發(fā)的全局視角和系統(tǒng)性思維，確保安全不是后期補(bǔ)教，而是源頭設(shè)計(jì)；同時(shí)，作為GB/T22081-2024“8技術(shù)控制”下的關(guān)鍵條款，其定位

位是連接“安全開(kāi)發(fā)目標(biāo)”與“實(shí)施指南”的核心紐帶，為后續(xù)安全開(kāi)發(fā)規(guī)則建立、安全控制落地提供方向指引，并與信息安全管理體系要求中

的風(fēng)險(xiǎn)評(píng)估(6.1.2)、風(fēng)險(xiǎn)處置(6.1.3)形成協(xié)同，確保安全開(kāi)發(fā)活動(dòng)符合組織整體風(fēng)險(xiǎn)管控目標(biāo)。

通過(guò)將信息安全全面納入軟件和系統(tǒng)開(kāi)發(fā)流程，實(shí)現(xiàn)如下核心價(jià)值與預(yù)期結(jié)果：

1)降低后期安全漏洞修復(fù)成本與風(fēng)險(xiǎn)，避免因上線后漏洞導(dǎo)致的業(yè)務(wù)中斷、數(shù)據(jù)泄露等損失；

2)提升系統(tǒng)整體安全架構(gòu)的健壯性與可持續(xù)性，減少因設(shè)計(jì)疏漏、編碼缺陷引入的安全隱患；

本條款實(shí)施的3)實(shí)現(xiàn)安全需求與業(yè)務(wù)目標(biāo)的有機(jī)融合，避免安全與業(yè)務(wù)“兩張皮”現(xiàn)象；

核心價(jià)值與預(yù)4)提高組織在軟件開(kāi)發(fā)過(guò)程中的安全合規(guī)能力，滿足《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信

期結(jié)果息保護(hù)法》及GB/T22081-2024關(guān)聯(lián)條款(如8.28安全編碼、8.29安全測(cè)試、8.30開(kāi)發(fā)外包)的合規(guī)要求；

5)支撐組織構(gòu)建“內(nèi)生安全”能力，形成主動(dòng)防御機(jī)制：

6)增強(qiáng)用戶(尤其金融、醫(yī)療、政務(wù)等關(guān)鍵領(lǐng)域)對(duì)產(chǎn)品的安全信任度，提升組織市場(chǎng)競(jìng)爭(zhēng)力；

7)為組織滿足第三方認(rèn)證、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)等監(jiān)管要求提供基礎(chǔ)支撐。

本條款深度解“確保在獻(xiàn)件和系統(tǒng)的安全開(kāi)發(fā)生存周期內(nèi)設(shè)計(jì)和實(shí)現(xiàn)信息安全。”

讀與內(nèi)涵解析一“確?！?強(qiáng)調(diào)該條款具有實(shí)質(zhì)強(qiáng)制性(尤其針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施、國(guó)家重要信息系統(tǒng)),要求組織在制度、流程、資源層面對(duì)安全開(kāi)發(fā)

加油努力你行的

內(nèi)容維度“8.25.3《安全開(kāi)發(fā)生存周期)目的”解讀說(shuō)明

生存周期進(jìn)行保障，不能流于形式，需通過(guò)管理評(píng)審、內(nèi)部審核驗(yàn)證落地效果；

-“在……內(nèi)”:明確信息安全不是孤立的階段性任務(wù)。而是貫穿整個(gè)開(kāi)發(fā)周期的連續(xù)過(guò)程，覆蓋需求定義、系統(tǒng)設(shè)計(jì)、代碼實(shí)現(xiàn)、測(cè)試驗(yàn)證

、部署上線、運(yùn)維維護(hù)全階段，而非僅局限于開(kāi)發(fā)環(huán)節(jié)；

一“軟件和系統(tǒng)的安全開(kāi)發(fā)生存周期”:定義了適用對(duì)象，涵蓋應(yīng)用軟件、系統(tǒng)軟件、嵌入式軟件、云服務(wù)軟件等所有軟件類型，及信息系統(tǒng)

、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)等所有系統(tǒng)形態(tài)，強(qiáng)調(diào)系統(tǒng)性視角，不僅限于代碼層面，還包括開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境、配置管理等支撐環(huán)節(jié)；

-“設(shè)計(jì)和實(shí)現(xiàn)”:指出信息安全的兩個(gè)關(guān)鍵落地環(huán)節(jié)——設(shè)計(jì)階段需嵌入安全架構(gòu)(如戚脅建模、縱深防御),實(shí)現(xiàn)階段需落實(shí)安全控制(

如安全編碼、配置加固),兩者缺一不可，避免“重實(shí)現(xiàn)、輕設(shè)計(jì)”導(dǎo)致的架構(gòu)性安全漏洞：

“信息安全”:本條款中的“信息安全”既涵蓋GB/T22081標(biāo)準(zhǔn)中定義的保密性(如源代碼、測(cè)試數(shù)據(jù)保護(hù))、完整性(如代碼變更管理、

配置文件校驗(yàn)),可用性(如開(kāi)發(fā)工具鏈冗余、環(huán)境故障恢復(fù))三大核心安全屬性，也包括開(kāi)發(fā)過(guò)程中敏惑信息(如密鑰材料、個(gè)人可識(shí)別信

息PII)的可控性，可追溯性，及供應(yīng)鏈安全(如第三方組件漏洞篩查)等擴(kuò)展安全目標(biāo)。

本條款的設(shè)立，反映了本條款對(duì)信息安全治理的深刻認(rèn)知，核心意圖包括：

1)安全前置：信息安全應(yīng)從源頭設(shè)計(jì)開(kāi)始(需求、設(shè)計(jì)階段),而非事后補(bǔ)救(上線后漏洞修復(fù)),體現(xiàn)“安全左移”的行業(yè)最佳實(shí)踐：

2)系統(tǒng)集成：信息安全應(yīng)作為系統(tǒng)架構(gòu)的一部分，而非附加功能，確保安全與業(yè)務(wù)功能同步規(guī)劃、同步建設(shè)、同步運(yùn)行；

3)過(guò)程控制：通過(guò)在開(kāi)發(fā)流程中建立安全控制點(diǎn)(如需求評(píng)審、設(shè)計(jì)審查、代碼掃描),確保每個(gè)階段輸出的安全特性可驗(yàn)證、可追蹤，符合

本條款本質(zhì)意“預(yù)防類控制”(見(jiàn)8.25.1屬性表)的本質(zhì)定位，從源頭減少安全漏洞引入；

圖與本條款本4)責(zé)任明確：管理層需對(duì)安全開(kāi)發(fā)生存周期提供制度(如安全開(kāi)發(fā)規(guī)則)、資源(如安全工具、培訓(xùn)經(jīng)費(fèi)》和流程支持，確保其有效實(shí)施，而

意非僅依賴技術(shù)團(tuán)隊(duì)：

5)持續(xù)演進(jìn)：安全開(kāi)發(fā)生存周期不僅是開(kāi)發(fā)階段的流程，更應(yīng)包括部署后的持續(xù)監(jiān)控《如漏洞掃描)與更新(如補(bǔ)丁管理),并與組織的持續(xù)

改進(jìn)過(guò)程聯(lián)動(dòng)，動(dòng)態(tài)應(yīng)對(duì)新威脅、新漏洞；

6)供應(yīng)鏈協(xié)同：考慮開(kāi)發(fā)外包、第三方組件使用等場(chǎng)景，要求安全開(kāi)發(fā)覆蓋供應(yīng)鏈環(huán)節(jié)，避免因供應(yīng)商安全管控不足引入風(fēng)險(xiǎn)(支撐8.30開(kāi)發(fā)

外包條款實(shí)施)。

加油努力你行的

GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

8.25.4指南

安全開(kāi)發(fā)是建立安全的服務(wù)、體系結(jié)構(gòu)、軟件和系統(tǒng)的要求的開(kāi)發(fā)過(guò)程。為此，宜考慮以下方面。

a)開(kāi)發(fā)環(huán)境、測(cè)試壞境和生產(chǎn)環(huán)境的隔禹(見(jiàn)8.31);

b)軟件開(kāi)發(fā)生存周期中的安全指南；

1)軟件開(kāi)發(fā)方法中的安全性(見(jiàn)8.28和8.27);

2)使用的每種編程語(yǔ)言的安全編碼指南(見(jiàn)8.28)。

c)規(guī)范和設(shè)計(jì)階段的安全要求(見(jiàn)5.8);

d)項(xiàng)目中的安全檢查點(diǎn)(見(jiàn)5.8);

e)系統(tǒng)和安全測(cè)試，如回歸測(cè)試、代碼掃描和滲透測(cè)試《見(jiàn)8.29);

f)源代碼和配置的安全存儲(chǔ)庫(kù)(見(jiàn)8.4和8.9);

g)版本控制中的安全性(見(jiàn)8.32);

h)所需的應(yīng)用程序安全知識(shí)和培訓(xùn)(見(jiàn)B.28);

i)開(kāi)發(fā)人員預(yù)防、發(fā)現(xiàn)和修復(fù)脆弱性的能力(見(jiàn)8.28);

j》許可委求和替代方案，以確保經(jīng)濟(jì)高效的解決方案，同時(shí)避免未來(lái)的許可問(wèn)題(見(jiàn)5.32)。如果開(kāi)發(fā)被外包，細(xì)織宜獲得供應(yīng)商將合細(xì)織的安全開(kāi)發(fā)規(guī)則的

保證(見(jiàn)8.30)。

8.25.4指南

(1)本指南條款核心涵義解析(理解要點(diǎn)解讀);

“8.25.4(安全開(kāi)發(fā)生存周期)指南”條款核心涵義解析(理解要點(diǎn)解讀)說(shuō)明表

8.25.4子條款原文子條款核心涵義解析(理解要點(diǎn)詳細(xì)解讀)

條款內(nèi)容總體概述；本條款旨在明確“安全開(kāi)發(fā)”的核心定位——即建立安全的服務(wù)、體系結(jié)構(gòu)、軟件和系統(tǒng)的要求的開(kāi)發(fā)過(guò)程，并圍繞

8.25.4指南

該過(guò)程提供全維度指導(dǎo)：從環(huán)境隔離、開(kāi)發(fā)方法、需求設(shè)計(jì)、測(cè)試驗(yàn)證，到資產(chǎn)存儲(chǔ)、人員能力、合規(guī)管理及外包控制，覆蓋安全開(kāi)發(fā)生

加油努力你行的

8.25.4子條款原文子條款核心涵義解析(理解要點(diǎn)詳細(xì)解讀)

存周期的關(guān)鍵環(huán)節(jié)，同時(shí)通過(guò)關(guān)聯(lián)GB/T22081-2024其他條款(如5.8、8.4、8.9、8.27、8.28、8.29、8.30、8.31、8.32),確保安全控

制的系統(tǒng)性與關(guān)聯(lián)性，最終實(shí)現(xiàn)“內(nèi)生安全”的開(kāi)發(fā)目標(biāo)，適用于各類組織的軟件與系統(tǒng)開(kāi)發(fā)場(chǎng)景。

該子條款的核心涵義是強(qiáng)調(diào)環(huán)境隔離是安全開(kāi)發(fā)的基礎(chǔ)性前提，且需結(jié)合8.25.4指南關(guān)聯(lián)的8.31(開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境的隔離)條款要

求，從多維度實(shí)現(xiàn)隔離：

1)維度覆蓋：需包括物理隔離(如獨(dú)立服務(wù)器集群)、邏輯隔離(如虛擬網(wǎng)絡(luò)分區(qū)、VLAS劃分)、數(shù)據(jù)隔離(如測(cè)試數(shù)據(jù)脫敏、非生產(chǎn)環(huán)

a)開(kāi)發(fā)環(huán)境、測(cè)試

境禁用真實(shí)敏感數(shù)據(jù))、權(quán)限隔離(如開(kāi)發(fā)人員禁止訪問(wèn)生產(chǎn)環(huán)境權(quán)限、生產(chǎn)權(quán)限嚴(yán)格分級(jí));

壞境和生產(chǎn)環(huán)境的

2)風(fēng)險(xiǎn)防控：隔離的核心目標(biāo)是阻斷非生產(chǎn)環(huán)境的風(fēng)險(xiǎn)(如未成熟代碼缺陷、測(cè)試環(huán)境漏洞、模擬攻擊場(chǎng)景)向生產(chǎn)環(huán)境傳導(dǎo)，避免因環(huán)

隔離(見(jiàn)8.31);

境混同導(dǎo)致生產(chǎn)系統(tǒng)穩(wěn)定性受損或數(shù)據(jù)泄露；

3)關(guān)聯(lián)性：明確需銜接8.31條款中“環(huán)境隔離的具體實(shí)施要求(如隔離措施技術(shù)標(biāo)準(zhǔn)、隔離邊界管控、跨環(huán)境數(shù)據(jù)傳輸限制)”,確保隔

離措施并非形式化劃分，而是具備可落地的技術(shù)與管理支撐。