人员访谈记录-开发负责人员

开发部门负责人

一、访谈概况被访人姓名访谈人访谈记录时间地址

二、访谈内容

1.是否制定了安全开发策略？

2.新系统开发前是否做系统需求分析？是否会找业务部门的人员过来讨论？所有安全要求，包括意外故障的恢复措施，是否都在项目的需求阶段确定并进行合理说明，然后达成一致意见并将意见备案作为信息系统整个业务的组成部分？需求分析是否会涉及到安全方面的要求？（文件传输加密、端口关闭）

3.所有安全要求，包括意外故障的恢复措施，是否都在项目的需求阶段确定并进行合理说明，然后达成一致意见并将意见备案作为信息系统整个业务的组成部分？

4.是否采取了相应措施对程序源库的代码保持严格控制，以降低计算机程序被破坏的可能性？

5.对外包软件的开发是否有相应的安全控制原则与措施？

6.为使信息系统的损坏减至最小，是否严格控制更改的实施？是否对软件包（或代码程序）的更改进行限制？（尽量不鼓励修改软件包）

7.对于新建信息系统和新版本升级系统，是否进行了系统安全测试？

8.对于新建信息系统和新版本升级系统，是否建立了验收测试方案和相关准则？

9.系统开发阶段是否会按照安全编码规范来执行？

10.公司是否有代码审计人员，对代码的安全性进行定期的审计？

11.是否建立了保护系统开发和集成工作的安全开发环境？（开发和测试环境隔离）

12.测试环境用到的测试数据是否做了脱密处理？

13.是否会涉及第三方外包开发？会对这些人进行安全培训、审计和考核吗？

14.第三方开发的源代码的所有权归谁拥有？

15.是否与供应商协商并签署相关信息安全协议？

16.是否定期监视、评审和审计供应商服务交付？是否有供应商变更管理的要求？

17.您日常工作中，有无发现任何安全风险？。