安全開(kāi)發(fā)是建立安全服務(wù)、架構(gòu)、軟件和以滿足系統(tǒng)的安全要求，組織應(yīng)建立和實(shí)施組織內(nèi)的軟件和系統(tǒng)的開(kāi)發(fā)規(guī)則。應(yīng)使用安全編碼技術(shù)，考慮安全編碼的相關(guān)標(biāo)準(zhǔn)、模型幣H有關(guān)規(guī)定使用。組織應(yīng)定期組織內(nèi)部開(kāi)發(fā)人員針對(duì)標(biāo)準(zhǔn)的使用和測(cè)試進(jìn)行培訓(xùn)，并審核代碼以確保其應(yīng)用。對(duì)于由承包商外派人員從事的開(kāi)發(fā)工作應(yīng)該由專人對(duì)其能力進(jìn)行考核驗(yàn)證。

系統(tǒng)開(kāi)發(fā)周期內(nèi)的變更應(yīng)該使用正式的變更控制規(guī)程控制，將變更流程文件化并強(qiáng)制實(shí)施，以確保從最初設(shè)計(jì)至后續(xù)維護(hù)中系統(tǒng)、應(yīng)用和產(chǎn)品的整體性。如果引入新系統(tǒng)和對(duì)已有系統(tǒng)進(jìn)行大的變更應(yīng)按照從文件、規(guī)范、測(cè)試、質(zhì)量控制到實(shí)施管理這個(gè)正式的過(guò)程進(jìn)行。 這個(gè)過(guò)程應(yīng)該包括風(fēng)險(xiǎn)評(píng)估、變更影響分析和所需的安全控制措施規(guī)范。

當(dāng)操作系統(tǒng)（包括數(shù)據(jù)庫(kù)和中間件平臺(tái)）發(fā)生變更時(shí)，應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行風(fēng)險(xiǎn)評(píng)審和測(cè)試，以確保對(duì)組織的運(yùn)行和安全沒(méi)有負(fù)面影響。如果評(píng)審結(jié)果認(rèn)定存在負(fù)面影響， 則需要選擇適當(dāng)?shù)目刂拼胧﹣?lái)加以彌補(bǔ)。例如由于選用了winclows操作系統(tǒng)導(dǎo)致存在安全隱患，則可以選擇使用windows操作系統(tǒng)加固軟件來(lái)進(jìn)行加固。