NIST 安全软件开发框架 1.1

根据需要创建新角色并调整现有角色的职责，以涵盖软件开发生命周期（SDLC）的所有部分。定期审查和维护已定义的角色和职责，并根据需要进行更新。 示例： 示例1：为软件开发团队的所有成员定义与SDLC相关的角色和职责。 示例2：将安全角色整合到软件开发团队中。示例3：为网络安全人员、安全负责人、项目经理和负责人、高级管理层、软件开发人员、软件测试人员、软件保障负责人及人员、产品负责人、运营及平台工程师以及参与SDLC的其他人员定义角色和职责。 示例4：对所有角色和职责进行年度审查。示例5：向受影响的个人教育即将发生的角色和职责变更，并确认这些个人理解这些变更并同意遵循。示例6：实施和使用工具及流程，促进具有SDLC相关角色和职责的人员之间的沟通和参与，例如创建团队讨论的消息通道。示例7：为每个项目指定一组个人或一个团队作为代码负责人。参考资料：BSAFSS：PD.2-1, PD.2-2 BSIMM：SM1.1, SM2.3, SM2.7, CR1.7 EO14028：4e(ix) IEC62443：SM-2, SM-13 NISTCSF：ID.AM-6, ID.GV-2 PCISSLC：1.2 SCSIC：供应商软件开发完整性控制 SP80053：SA-3 SP800160：3.2.1, 3.2.4, 3.3.1 SP800161：SA-3 SP800181：K0233

为所有在安全开发中承担职责的人员提供基于角色的培训。定期审查人员的能力和基于角色的培训，并根据需要更新培训内容。示例：示例 1：记录每个角色培训的预期成果。示例 2：定义为了实现每个角色的预期成果所需的培训类型或课程。示例 3：为每个角色制定培训计划。示例 4：获取或创建每个角色的培训；获取的培训可能需要为组织进行定制。示例 5：衡量结果绩效，以识别培训可能需要改进的领域。参考资料：BSAFSS：PD.2-2 BSIMM：T1.1, T1.7, T1.8, T2.5, T2.8, T2.9, T3.1, T3.2, T3.4 EO14028：4e(ix) IEC62443：SM-4 MSSDL：1 NISTCSF：PR.在 OWASPSAMM：EG1-A，EG2-A PCISSLC：1.3 SCAGILE：操作安全任务 14，15；需要安全专家协助的任务 1 SCFPSSD：规划安全开发实践的实施和部署 SCSIC：供应商软件开发完整性控制 SP80053：SA-8 SP800160：3.2.4，3.2.6 SP800161：SA-8 SP800181：OV-TEA-001，OV-TEA-002；T0030，T0073，T0320；K0204, K0208, K0220, K0226, K0243, K0245, K0252;S0100, S0101;A0004, A0057

获得高层管理或授权官员对安全开发的承诺，并将该承诺传达给所有涉及开发相关角色和职责的人。示例：示例1：任命一个单一领导或领导团队负责整个安全软件开发过程，包括对软件发布到生产环境负责，并根据需要分配职责。示例2：提高授权官员对在整个开发生命周期中未整合安全性开发软件的风险以及通过安全开发实践进行风险缓解的认识。示例3：协助高层管理人员将安全开发支持纳入其与具有开发相关职能和责任的员工的沟通中。示例 4：对所有涉及开发相关角色和职责的人员进行教育，使其了解高层管理对安全开发的承诺以及安全开发对组织的重要性。参考资料：BSIMM: SM1.3, SM2.7, CP2.5 EO14028: 4e(ix) NISTCSF: ID.RM-1, ID.SC-1 OWASP SAMM: SM1.A PCI SSLC: 1.1 SP800181: T0001, T0004