認證中心軟件開發(fā)安全自評估表

ISCCC QOT 0433 B 3 軟件安全開發(fā)服務資質認證自評估表 中國信息安全認證中心 制 第 1 頁 共 10 頁 軟件安全開發(fā)服務資質認證自評估表軟件安全開發(fā)服務資質認證自評估表 組織名稱組織名稱申報級別申報級別 評估時間評估時間評估部門評估部門 人員人員 自評估自評估 結論結論 序序 號號 要點要點條款條款需提供證明材料需提供證明材料 符符 合合 不不 符符 合合 證明材料清單證明材料清單 1 建立軟件安全開發(fā)服務流程 軟件安全開發(fā)服務流程 流程圖中應 包括每個階段對應的職責 輸入輸出 等 2 服務技術 要求 制定軟件安全開發(fā)服務規(guī)范并按照規(guī)范 實施 軟件安全開發(fā)服務規(guī)范并按照規(guī)范實 施 3 建立軟件項目安全開發(fā)團隊 明確各崗 位 人員 職責 項目人員構成表或其他能體現(xiàn)項目組 成員構成的文檔 其中明確項目組成 員構成情況以及安全開發(fā)人員的角色 及職責 4 制定軟件項目安全開發(fā)管理計劃 明確 開發(fā)過程管控措施 項目開發(fā)計劃 計劃中應包含安全開 發(fā)的內容 5 準備階段 建立軟件開發(fā)的配置管理計劃 明確配項目配置管理計劃 包含安全相關活 ISCCC QOT 0433 B 3 軟件安全開發(fā)服務資質認證自評估表 中國信息安全認證中心 制 第 2 頁 共 10 頁 序序 號號 要點要點條款條款需提供證明材料需提供證明材料 自評估自評估 結論結論 證明材料清單證明材料清單 符符 合合 不不 符符 合合 置管理的安全要求 動 提供配置管理相關記錄 6 建立變更控制制度 明確軟件項目變更 控制的安全要求 變更控制管理制度 提供項目變更控 制記錄 變更的記錄單 記錄單中的 內容應包含變更申請 審批 執(zhí)行 執(zhí)行后的評價結果 7 制定軟件項目安全培訓計劃 對相關人 員進行安全培訓 培訓管理制度 項目培訓計劃和培訓 記錄 8 建立獨立的開發(fā)環(huán)境 確保開發(fā)環(huán)境與 運行環(huán)境隔離 開發(fā)環(huán)境與運行環(huán)境配置的說明文檔 9 僅二級僅二級 一級要求一級要求 建立軟件安全開發(fā) 項目風險管理機制 對軟件項目進行風 險評估 風險管理制度 風險管理計劃 風險 分析報告 10 僅二級僅二級 一級要求一級要求 使用配置管理工具 對軟件項目進行配置管理 配置管理計劃 其中描述采用的配置 管理工具 配置管理工具的使用情況 介紹 11 僅二級僅二級 一級要求一級要求 配備專職的測試人 員 項目人員構成表或其他能體現(xiàn)項目組 成員構成的文檔 設立專職的軟件安 全管理人員 測試人員 并明確描述 其職責 12 僅二級僅二級 一級要求一級要求 建立獨立的測試環(huán) 境 確保測試環(huán)境與開發(fā)環(huán)境隔離 開發(fā)環(huán)境與測試環(huán)境配置的說明文檔 ISCCC QOT 0433 B 3 軟件安全開發(fā)服務資質認證自評估表 中國信息安全認證中心 制 第 3 頁 共 10 頁 序序 號號 要點要點條款條款需提供證明材料需提供證明材料 自評估自評估 結論結論 證明材料清單證明材料清單 符符 合合 不不 符符 合合 13 僅一級要求僅一級要求 建立軟硬件設備和工具等 資源安全使用規(guī)范 軟硬件設備及工具安全使用規(guī)范 軟 硬件設備及工具資源配備計劃 14 僅一級要求僅一級要求 配備安全管理人員 安全管理專職人員的任命文件 項目 相關的安全監(jiān)控記錄 15 僅一級要求僅一級要求 建立變更控制委員會 變更控制委員會成員構成與職責規(guī)定 文件 16 調研項目背景信息 收集項目需求 明 確軟件功能 性能及安全方面的要求 需求階段控制程序文件 需求階段項 目文檔 包括可行性報告 招標文件 需求分析報告等 需求文檔的內容應 涉及軟件功能 性能及安全性要求 17 結合軟件項目需求 安全需求 與客戶 充分溝通 達成共識并形成記錄 與客戶溝通的記錄 18 僅二級僅二級 一級要求一級要求 準確識別和綜合分 析軟件項目在可用性 完整性 真實性 機密性 不可否認性 可控性和可靠性 等方面的安全需求 19 僅二級僅二級 一級要求一級要求 對于數(shù)據(jù)采集 產 生 使用 明確識別安全保護要求 20 需求階段 僅二級僅二級 一級要求一級要求 基于客戶需求 開 展需求分析 編制具有軟件安全需求的 分析報告 需求分析報告 內容應覆蓋條款的要 求 ISCCC QOT 0433 B 3 軟件安全開發(fā)服務資質認證自評估表 中國信息安全認證中心 制 第 4 頁 共 10 頁 序序 號號 要點要點條款條款需提供證明材料需提供證明材料 自評估自評估 結論結論 證明材料清單證明材料清單 符符 合合 不不 符符 合合 21 僅二級僅二級 一級要求一級要求 需求分析報告中明 確項目開發(fā)中使用的安全技術標準 規(guī) 范 22 僅一級要求僅一級要求 應基于軟件安全威脅開展 需求分析 23 僅一級要求僅一級要求 基于軟件項目需求分析建 立軟件安全開發(fā)模型 24 根據(jù)軟件項目需求 編制軟件設計說明 書 25 軟件設計說明書明確系統(tǒng) 子系統(tǒng)的功 能和非功能設計要求 26 設計階段 軟件設計說明書明確包含安全功能要求 包括標識與鑒別 訪問控制 安全審計 和安全管理等 設計階段控制程序文件 提供軟件設 計說明書 內容應覆蓋條款的要求 27 僅二級僅二級 一級要求一級要求 概要設計說明書應 明確數(shù)據(jù)完整性和保密性 通信完整性 和保密性 軟件容錯 資源控制等安全 功能要求 28 設計階段 概要設計 僅一級要求僅一級要求 概要設計說明書中應明確 基于軟件安全威脅分析的安全要求 設計階段控制程序文件 提供概要設 計說明書 內容應覆蓋條款的要求 ISCCC QOT 0433 B 3 軟件安全開發(fā)服務資質認證自評估表 中國信息安全認證中心 制 第 5 頁 共 10 頁 序序 號號 要點要點條款條款需提供證明材料需提供證明材料 自評估自評估 結論結論 證明材料清單證明材料清單 符符 合合 不不 符符 合合 29 僅一級要求僅一級要求 當開發(fā)場景適用時 概要 設計說明書中應明確抗抵賴 安全標記 可信路徑等安全功能要求 30 僅二級僅二級 一級要求一級要求 詳細設計說明書中 應包含對數(shù)據(jù)產生 傳輸 存儲 使用 處理和歸檔安全方面的詳細設計 31 設計階段 詳細設計僅一級要求僅一級要求 依據(jù)安全要求和概要設計 說明書 明確基于軟件安全威脅分析進 行詳細設計 詳細設計說明書 內容應覆蓋條款的 要求 32 制定統(tǒng)一的代碼安全編碼規(guī)范 確保開 發(fā)人員參照規(guī)范安全編碼 軟件開發(fā)所使用語言的安全編碼規(guī)范 規(guī)范內容包括但不限于代碼安全編寫 的原則 方式 方法等 33 依據(jù)詳細設計說明書 對軟件進行安全 編碼 在編碼過程中 對規(guī)避高危風險的漏 洞采取的方法或措施的文檔或記錄 34 軟件代碼要經過安全檢查 評審 對于 發(fā)現(xiàn)的漏洞能有效修復 代碼安全檢查 評審記錄 對發(fā)現(xiàn)的 漏洞 提供漏洞修復與驗證記錄 35 僅二級僅二級 一級要求一級要求 軟件代碼的安全檢 查 評審工作應形成記錄 代碼檢查 審核相關記錄 36 編碼階段 僅一級要求僅一級要求 采用自動化工具對代碼安 全漏洞進行審查 對于發(fā)現(xiàn)的漏洞能有 效修復 并形成審查報告 代碼檢查工具的檢查結果記錄 報告 ISCCC QOT 0433 B 3 軟件安全開發(fā)服務資質認證自評估表 中國信息安全認證中心 制 第 6 頁 共 10 頁 序序 號號 要點要點條款條款需提供證明材料需提供證明材料 自評估自評估 結論結論 證明材料清單證明材料清單 符符 合合 不不 符符 合合 37 測試階段 依據(jù)軟件設計說明書對軟件功能 安全 功能進行測試 測試方案 測試計劃 提供軟件功能 測試 安全性測試記錄與報告 38 對測試發(fā)現(xiàn)的漏洞進行分析并有效修復 漏洞發(fā)現(xiàn) 分析與修復的記錄 39 僅二級僅二級 一級要求一級要求 明確單元測試策略 制定單元測試計劃 單元測試的測試策略 測試計劃 40 僅二級僅二級 一級要求一級要求 依據(jù)詳細設計說明 書和測試計劃進行單元測試設計 并執(zhí) 行單元測試 形成測試記錄 單元測試用例設計 測試記錄 41 測試階段 單元測試 僅一級要求僅一級要求 對單元測試結果進行分析 形成分析報告 單元測試分析報告 42 僅二級僅二級 一級要求一級要求 明確集成測試策略 制定集成測試計劃 集成測試的測試策略 測試計劃 43 僅二級僅二級 一級要求一級要求 依據(jù)概要設計方案 和測試計劃進行集成測試設計 并執(zhí)行 集成測試 形成測試記錄 集成測試用例設計 測試記錄 44 測試階段 集成測試 僅一級要求僅一級要求 對集成測試結果進行分析 形成分析報告 集成測試分析報告 45 46 測試階段 系統(tǒng)測試 僅二級僅二級 一級要求一級要求 制定包括系統(tǒng)安全 性測試在內的測試計劃 并執(zhí)行系統(tǒng)測 試 形成測試記錄 安全性測試計劃和測試用例設計文檔 測試記錄 ISCCC QOT 0433 B 3 軟件安全開發(fā)服務資質認證自評估表 中國信息安全認證中心 制 第 7 頁 共 10 頁 序序 號號 要點要點條款條款需提供證明材料需提供證明材料 自評估自評估 結論結論 證明材料清單證明材料清單 符符 合合 不不 符符 合合 47 僅二級僅二級 一級要求一級要求 基于軟件安全功能 的安全要求 制定脆弱性測試方案 對 安全漏洞進行測試 形成測試記錄 脆弱性測試方案 測試記錄 48 僅二級僅二級 一級要求一級要求 對系統(tǒng)測試結果進 行分析 形成分析報告 測試分析報告 其中包括軟件安全測 試的結果分析 49 僅一級要求僅一級要求 基于軟件項目的安全要求 制定系統(tǒng)滲透性測試方案 模擬攻擊場 景 對系統(tǒng)安全性進行測試 并形成分 析報告 滲透性測試方案 滲透測試記錄和滲 透測試報告 50 測試系統(tǒng)運行的可靠性 穩(wěn)定性和安全 性 進行試運行 并記錄系統(tǒng)運行狀況 試運行周期至少一個月 系統(tǒng)試運行相關記錄 51 基于系統(tǒng)試運行相關記錄 及時對軟件 進行調整 維護 系統(tǒng)調整 維護記錄 52 僅二級僅二級 一級要求一級要求 試運行結束后 制 定系統(tǒng)試運行報告 并提交客戶 系統(tǒng)試運行報告 53 驗收階段 系統(tǒng)試運 行 僅一級要求僅一級要求 提供三個月以上的試運行 記錄和報告 系統(tǒng)試運行記錄和報告 ISCCC QOT 0433 B 3 軟件安全開發(fā)服務資質認證自評估表 中國信息安全認證中心 制 第 8 頁 共 10 頁 序序 號號 要點要點條款條款需提供證明材料需提供證明材料 自評估自評估 結論結論 證明材料清單證明材料清單 符符 合合 不不 符符 合合 54 僅一級要求僅一級要求 綜合軟件系統(tǒng)試運行狀態(tài) 建立軟件系統(tǒng)運行策略和安全指南 系統(tǒng)運行策略 安全指南 55 根據(jù)合同約定 向客戶提交完整的項目 資料及交付物 并提出驗收申請 56 根據(jù)合同約定 進行項目驗收 形成項 目驗收報告 驗收申請 驗收資料 驗收報告 57 僅二級僅二級 一級要求一級要求 提交軟件安全測評 報告 軟件安全測評報告 58 驗收階段 驗收交付 僅一級要求僅一級要求 提交軟件產品第三方安全 測評報告或安全認證證書 專家 第三方權威機構出具的軟件產品 安全測評報告或安全認證證書 59 對于影響軟件系統(tǒng)安全 穩(wěn)定運行的缺 陷 及時有效采取打補丁 版本升級等 方式予以消除 并提供遠程技術支持服 務 巡查記錄 故障記錄 升級記錄等 60 僅二級僅二級 一級要求一級要求 制定系統(tǒng)運行計劃 安全事件響應計劃 安全事件應急預案 建立應急響應服務保障團隊 61 僅二級僅二級 一級要求一級要求 及時應對突發(fā)安全 事件 并向用戶提供安全事件解決報告 系統(tǒng)運行計劃 安全事件響應計劃 安全事件應急預案 應急保障團隊人 員組織構成和職責規(guī)定文件 應急事 件記錄 62 維保階段 僅一級要求僅一級要求 制定軟件健康檢查計劃 健康檢查計劃 方案 系統(tǒng)健康檢查 ISCCC QOT 0433 B 3 軟件安全開發(fā)服務資質認證自評估表 中國信息安全認證中心 制 第 9 頁 共 10 頁 序序 號號 要點要點條款條款需提供證明材料需提供證明材料 自評估自評估 結論結論 證明材料清單證明材料清單 符符 合合 不不 符符 合合 方案 定期實施 提交相應的系統(tǒng)健康 檢查報告 巡檢報告 63 僅一級要求僅一級要求 根據(jù)健康檢查報告進行分 析 持續(xù)優(yōu)化系統(tǒng) 報告 巡檢報告 系統(tǒng)優(yōu)化改進記錄 64 上一年度提出的觀察項整改情況 如有 上一年度提出的觀察項整改情況 如有 65 66 67 上一年度提出的不符合