安全開發(fā)是建立安全服務(wù)、架構(gòu)、軟件和以滿足系統(tǒng)的安全要求，組織應(yīng)建立和實施組織內(nèi)的軟件和系統(tǒng)的開發(fā)規(guī)則。應(yīng)使用安全編碼技術(shù)，考慮安全編碼的相關(guān)標(biāo)準(zhǔn)、模型幣H有關(guān)規(guī)定使用。組織應(yīng)定期組織內(nèi)部開發(fā)人員針對標(biāo)準(zhǔn)的使用和測試進(jìn)行培訓(xùn)，并審核代碼以確保其應(yīng)用。對于由承包商外派人員從事的開發(fā)工作應(yīng)該由專人對其能力進(jìn)行考核驗證。

系統(tǒng)開發(fā)周期內(nèi)的變更應(yīng)該使用正式的變更控制規(guī)程控制，將變更流程文件化并強(qiáng)制實施，以確保從最初設(shè)計至后續(xù)維護(hù)中系統(tǒng)、應(yīng)用和產(chǎn)品的整體性。如果引入新系統(tǒng)和對已有系統(tǒng)進(jìn)行大的變更應(yīng)按照從文件、規(guī)范、測試、質(zhì)量控制到實施管理這個正式的過程進(jìn)行。 這個過程應(yīng)該包括風(fēng)險評估、變更影響分析和所需的安全控制措施規(guī)范。

當(dāng)操作系統(tǒng)（包括數(shù)據(jù)庫和中間件平臺）發(fā)生變更時，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行風(fēng)險評審和測試，以確保對組織的運(yùn)行和安全沒有負(fù)面影響。如果評審結(jié)果認(rèn)定存在負(fù)面影響， 則需要選擇適當(dāng)?shù)目刂拼胧﹣砑右詮浹a(bǔ)。例如由于選用了winclows操作系統(tǒng)導(dǎo)致存在安全隱患，則可以選擇使用windows操作系統(tǒng)加固軟件來進(jìn)行加固。