软件安全开发服务资质认证自表
软件安全开发服务资质认证自评估表 组织名称 申报级别 评估时间 评估部门/人员 序 号 要点 条款 需提供证明材料 自评估 结论 证明材料清单 符 合 不 符 合 1. 服务技术 要求 建立软件安全开发服务流程。 软件安全开发服务流程,流程图中应包 括每个阶段对应的职责、输入输出等。 2. 制定软件安全开发服务规范并按照规范 实施。 软件安全开发服务规范并按照规范实 施。 3. 准备阶段 建立软件项目安全开发团队,明确各岗 位、人员、职责。 项目人员构成表或其他能体现项目组 成员构成的文档,其中明确项目组成员 构成情况以及安全开发人员的角色及 职责。 4. 制定软件项目安全开发管理计划,明确 开发过程管控措施。 项目开发计划,计划中应包含安全开发 的内容。 5. 建立软件开发的配置管理计划,明确配 置管理的安全要求。 项目配置管理计划,包含安全相关活 动。提供配置管理相关记录。 第-1-页-共彳-页 中.国一网络安全■审查技术.导认■证中心一制. 序 号 要点 条款 需提供证明材料 自评估 结论 证明材料清单 符 合 不 符 合 6. 建立变更控制制度,明确软件项目变更 控制的安全要求。 变更控制管理制度,提供项目变更控制 记录,变更的记录单,记录单中的内容 应包含变更申请,审批,执行,执行后 的评价结果。 7. 制定软件项目安全培训计划,对相关人 员进行安全培训。 培训管理制度,项目培训计划和培训记 录。 8. 建立独立的开发环境,确保开发环境与 运行环境隔离。 开发环境与运行环境配置的说明文档。 9. 仅二级/ 一级要求:建立软件安全开发项 目风险管理机制,对软件项目进行风险 评估。 风险管理制度、风险管理计划、风险分 析报告。 10. 仅二级/一级要求:使用配置管理工具对 软件项目进行配置管理。 配置管理计划,其中描述采用的配置管 理工具;配置管理工具的使用情况介 绍。 11. 仅二级/一级要求:配备专职的测试人 员。 项目人员构成表或其他能体现项目组 成员构成的文档,设立专职的测试人 员,并明确描述其职责。 12. 仅二级/一级要求:建立独立的测试环 境,确保测试环境与开发环境隔离。 开发环境与测试环境配置的说明文档。 13. 仅一级要求:建立软硬件设备和工具等 资源安全使用规范。 软硬件设备及工具安全使用规范;软硬 件设备及工具资源配备计划。 第-1-页-共彳-页 中.国一网络安全■审查技术.导认■证中心一制. 序 号 要点 条款 需提供证明材料 自评估 结论 证明材料清单 符 合 不 符 合 14. 仅一级要求:配备安全管理人员。 安全管理专职人员的任命文件,项目相 关的安全监控记录。 15. 仅一级要求:建立变更控制委员会。 变更控制委员会成员构成与职责规定 文件。 16. 需求阶段 调研项目背景信息,收集项目需求,明 确软件功能、性能及安全方面的要求。 需求阶段控制程序文件;需求阶段项目 文档,包括可行性报告、招标文件、需 求分析报告等,需求文档的内容应涉及 软件功能、性能及安全性要求。 17. 结合软件项目需求、安全需求,与客户 充分沟通,达成共识并形成记录。 与客户沟通的记录。 18. 仅二级/ 一级要求:准确识别和综合分析 软件项目在可用性、完整性、真实性、 机密性、不可否认性、可控性和可靠性 等方面的安全需求。 需求分析报告,内容应覆盖条款的要 求。 19. 仅二级/ 一级要求:对于数据采集、产生、 使用,明确识别安全保护要求。 20. 仅二级/一级要求:基于客户需求,开展 需求分析,编制具有软件安全需求的分 析报告。 21. 仅二级/一级要求:需求分析报告中明确 项目开发中使用的安全技术标准、规范。 第-1-页-共彳-页 中.国一网络安全■审查技术.导认■证中心一制. 序 号 要点 条款 需提供证明材料 自评估 结论 证明材料清单 符 合 不 符 合 22. 仅一级要求:应基于软件安全威胁开展 需求分析。 23. 仅一级要求:基于软件项目需求分析建 立软件安全开发模型。 24. 设计阶段 根据软件项目需求,编制软件设计说明 书。 设计阶段控制程序文件;提供软件设计 说明书,内容应覆盖条款的要求。 25. 软件设计说明书明确系统/子系统的功 能和非功能设计要求。 26. 软件设计说明书明确包含安全功能要 求,包括标识与鉴别、访问控制、安全 审计和安全管理等。 27. 设计阶段- 概要设计 仅二级/一级要求:概要设计说明书应明 确数据完整性和保密性、通信完整性和 保密性、软件容错、资源控制等安全功 能要求。 设计阶段控制程序文件;提供概要设计 说明书,内容应覆盖条款的要求。 28. 仅一级要求:概要设计说明书中应明确 基于软件安全威胁分析的安全要求。 29. 仅一级要求:当开发场景适用时,概要 设计说明书中应明确抗抵赖、安全标记、 可信路径等安全功能要求。 第-1-页-共彳-页 中.国一网络安全■审查技术.导认■证中心一制. 序 号 要点 条款 需提供证明材料 自评估 结论 证明材料清单 符 合 不 符 合 30. 设计阶段- 详细设计 仅二级/一级要求:详细设计说明书中应 包含对数据产生、传输、存储、使用、 处理和归档安全方面的详细设计。 详细设计说明书,内容应覆盖条款的要 求。 31. 仅一级要求:依据安全要求和概要设计 说明书,明确基于软件安全威胁分析进 行详细设计。 32. 编码阶段 制定统一的代码安全编码规范,确保开 发人员参照规范安全编码。 软件开发所使用语言的安全编码规范, 规范内容包括但不限于代码安全编写 的原则、方式、方法等。 33. 依据详细设计说明书,对软件进行安全 编码。 在编码过程中,对规避高危风险的漏洞 采取的方法或措施的文档或记录。 34. 软件代码要经过安全检查、评审,对于 发现的漏洞能有效修复。 代码安全检查、评审记录,对发现的漏 洞,提供漏洞修复与验证记录。 35. 仅二级/一级要求:软件代码的安全检 查、评审工作应形成记录。 代码检查、审核相关记录。 36. 仅一级要求:采用自动化工具对代码安 全漏洞进行审查,对于发现的漏洞能有 效修复,并形成审查报告。 代码检查工具的检查结果记录/报告。 37. 测试阶段