如果可能且可行，宜使用廠商提供的軟件包，不自行修改。在需要修改軟件包時，應對所有的變更加以嚴格控制，宜考慮軟件包內置安全控制措施和完整性保護過程被損害的風險、如果要修改軟件包還應獲得原提供廠商的同意，當程序軟件可以更新時組織應向廠商了解要變更的必要性信息，組織要負責進一步維護此軟件的影響以及與其他在用軟件的兼容性等。

組織應建立基于安全工程原理的安全信息系統工程規程，形成文檔并在內部信息系統的工程活動中使用。在平衡信息安全需求和訪問需求的基礎上，組織所有架構層（業務、數據、應用和技術）均應考慮安全設計。如果工程中將采用的新技術（例如云計算j大數據、 移動互聯網）還需要對其進行的安全風險評估，并針對已知的攻擊模式予以評審。

安全的開發環境包括與系統開發和整合相關的人員、過程和技術。組織應評估與各個系統開發相關的風險，并為特定系統的開發搭建安全的開發環境。開發環境應該和實際生產環境隔離。

在系統開發外包時，組織應管理和監視外包軟件的開發。包括安排項目聯系人參與到外包軟件開發團隊中，技術了解外包軟件開發是否符合軟件安全開發的標準。

新系統和升級的系統在開發測試環境中需要徹底的測試和驗證，禁止在生產環境中測試。對于內部開發，應由開發團隊進行此類測試。所有新系統開發和1日系統升級均需要進行獨立的驗收測試（無論內部和外包開發）以確保系統按且僅按期望工作。

組織應對新的信息系統、1日信息系統的升級和新版本的信息系統建立驗收測試程序和相關標準。系統驗收測試應包括信息安全要求測試和遵守安全系統開發實踐測試。該測試也應在接收軟件組件和集成系統時進行。組織可以使用自動工具如代碼分析工具或漏洞掃描器， 如果發現安全漏洞，在內部開發人員或外包商整改后應驗證與安全的修復。

　　如果測試使用了個人或其他敏感信息，那么在使用之前應該去除或修改所有的敏感細節和內容，常見的方法是使用脫敏處理技術對真實數據進行處理。對于外包開發商，要求其簽署對測試數據的保密協議，確保在測試結束后銷毀所有測試數據。