11. Tiếp nhận, phát triển và duy trì các hệ thống thông tin 1 Yêu cầu đảm bảo an toàn cho các hệ thống thông tin
11.4.3. Quản lý truy cập đến mã nguồn chương trình
Biện pháp quản lý
Việc truy cập đến mã nguồn của chương trình cần được giới hạn chặt chẽ. Hướng dẫn triển khai
Truy cập tới mã nguồn chương trình và các thông tin liên quan (ví dụ các thiết kế, các chỉ tiêu kỹ thuật, các kế hoạch thẩm tra và các kế hoạch kiểm tra tính hợp lệ) cần được quản lý chặt chẽ, nhằm ngăn chặn việc đưa thêm chức năng trái phép và tránh những thay đổi không cố ý. Mã nguồn chương trình có thể được quản lý nếu được lưu trữ tập trung, tốt nhất là trong các thư viện nguồn chương trình. Những hướng dẫn sau đây cần được quan tâm (xem thêm 10) trong việc quản lý truy cập tới các thư viện nguồn chương trình nhằm làm giảm khả năng sửa đổi các chương trình máy tính:
a) nếu có thể thì không được để các thư viện nguồn chương trình trong các hệ thống vận hành; b) mã nguồn chương trình và các thư viện nguồn chương trình cần được quản lý theo với các thủ tục đã được thiết lập;
c) nhân viên hỗ trợ không được có truy cập không hạn chế tới các thư viện nguồn chương trình, d) việc cập nhật các thư viện nguồn chương trình và các thông tin liên quan, và công bố các nguồn chương trình tới lập trình viên chỉ được thực hiện sau khi đã được cho phép;
e) các danh sách chương trình cần được giữ trong môi trường an toàn (xem 9.7.4);
f) nhật ký đánh giá cần được duy trì cho tất cả các truy cập tới các thư viện nguồn hệ thống; g) việc duy trì và sao chép các thư viện nguồn chương trình phải tuân theo các thủ tục quản lý thay đổi (xem 11.5.1).
Thông tin khác
Mã nguồn chương trình là mã được viết bởi các lập trình viên, mã này được biên dịch (và được liên kết) để tạo nên các chương trình chạy được. Các ngôn ngữ lập trình hiện tại không chính thức phân biệt giữa mã nguồn và các chương trình chạy được vì các chương trình chạy được được tạo ra tại thời điểm chúng được kích hoạt.
Các tiêu chuẩn ISO 10007 và ISO/IEC 12207 cung cấp thêm thông tin về quản lý cấu hình và quy trình vòng đời của phần mềm.