認(rèn)證中心軟件開發(fā)安全系統(tǒng)自評估表

1、 實(shí)用標(biāo)準(zhǔn)文案軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自評估表組織名稱評估時間申報級別評估部門/人員序要點(diǎn)條款需提供證明材料證明材料清單號軟件安全開發(fā)服務(wù)流程，流程圖中應(yīng)包括每個階段對應(yīng)的職責(zé)、輸入輸出等。1.2.建立軟件安全開發(fā)服務(wù)流程。3.制定軟件項目安全開發(fā)管理計劃，明確 項目開發(fā)計劃，計劃中應(yīng)包含安全開發(fā)開發(fā)過程管控措施。 的內(nèi)容。建立軟件開發(fā)的配置管理計劃，明確配 項目配置管理計劃，包含安全相關(guān)活置管理的安全要求。 動。提供配置管理相關(guān)記錄。4.5.文檔大全 實(shí)用標(biāo)準(zhǔn)文案要點(diǎn)條款需提供證明材料證明材料清單合合變更控制管理制度，提供項目變更控制建立變更控制制度，明確軟件項目變更 記錄，變更的記錄單，記

2、錄單中的內(nèi)容6.控制的安全要求。應(yīng)包含變更申請，審批，執(zhí)行，執(zhí)行后的評價結(jié)果。制定軟件項目安全培訓(xùn)計劃，對相關(guān)人 培訓(xùn)管理制度，項目培訓(xùn)計劃和培訓(xùn)記7.8.員進(jìn)行安全培訓(xùn)。錄。建立獨(dú)立的開發(fā)環(huán)境，確保開發(fā)環(huán)境與運(yùn)行環(huán)境隔離。開發(fā)環(huán)境與運(yùn)行環(huán)境配置的說明文檔。僅二級/一級要求：建立軟件安全開發(fā)項目風(fēng)險管理機(jī)制，對軟件項目進(jìn)行風(fēng)險評估。風(fēng)險管理制度、風(fēng)險管理計劃、風(fēng)險分析報告。9.配置管理計劃，其中描述采用的配置管理工具；配置管理工具的使用情況介紹。僅二級/一級要求：使用配置管理工具對軟件項目進(jìn)行配置管理。員。管理人員、測試人員，并明確描述其職責(zé)。12.13.開發(fā)環(huán)境與測試環(huán)境配置的說明文檔。境，

3、確保測試環(huán)境與開發(fā)環(huán)境隔離。僅一級要求：建立軟硬件設(shè)備和工具等 軟硬件設(shè)備及工具安全使用規(guī)范；軟硬文檔大全 實(shí)用標(biāo)準(zhǔn)文案要點(diǎn)條款需提供證明材料證明材料清單合合資源安全使用規(guī)范。件設(shè)備及工具資源配備計劃。安全管理專職人員的任命文件，項目相關(guān)的安全監(jiān)控記錄。僅一級要求：配備安全管理人員。僅一級要求：建立變更控制委員會。需求階段控制程序文件；需求階段項目結(jié)合軟件項目需求、安全需求，與客戶與客戶溝通的記錄。充分溝通，達(dá)成共識并形成記錄。僅二級/一級要求：準(zhǔn)確識別和綜合分析僅二級/一級要求：對于數(shù)據(jù)采集、產(chǎn)生、使用，明確識別安全保護(hù)要求。僅二級/一級要求：基于客戶需求，開展需求分析，編制具有軟件安全需求

4、的分析報告。文檔大全 實(shí)用標(biāo)準(zhǔn)文案要點(diǎn)條款需提供證明材料證明材料清單合合僅二級/一級要求：需求分析報告中明確項目開發(fā)中使用的安全技術(shù)標(biāo)準(zhǔn)、規(guī)范。僅一級要求：應(yīng)基于軟件安全威脅開展需求分析。根據(jù)軟件項目需求，編制軟件設(shè)計說明書。軟件設(shè)計說明書明確系統(tǒng) /子系統(tǒng)的功設(shè)計階段控制程序文件；提供軟件設(shè)計說明書，內(nèi)容應(yīng)覆蓋條款的要求。求，包括標(biāo)識與鑒別、訪問控制、安全審計和安全管理等。僅二級/一級要求：概要設(shè)計說明書應(yīng)明確數(shù)據(jù)完整性和保密性、通信完整性和保密性、軟件容錯、資源控制等安全功能要求。設(shè)計階段控制程序文件；提供概要設(shè)計說明書，內(nèi)容應(yīng)覆蓋條款的要求。28.29.僅一級要求：當(dāng)開發(fā)場景適用時，概要

5、文檔大全 實(shí)用標(biāo)準(zhǔn)文案要點(diǎn)條款需提供證明材料證明材料清單合合設(shè)計說明書中應(yīng)明確抗抵賴、安全標(biāo)記、可信路徑等安全功能要求。僅二級/一級要求：詳細(xì)設(shè)計說明書中應(yīng)包含對數(shù)據(jù)產(chǎn)生、傳輸、存儲、使用、處理和歸檔安全方面的詳細(xì)設(shè)計。詳細(xì)設(shè)計說明書，內(nèi)容應(yīng)覆蓋條款的要軟件開發(fā)所使用語言的安全編碼規(guī)范，制定統(tǒng)一的代碼安全編碼規(guī)范，確保開發(fā)人員參照規(guī)范安全編碼。發(fā)現(xiàn)的漏洞能有效修復(fù)。洞，提供漏洞修復(fù)與驗證記錄。代碼檢查、審核相關(guān)記錄。37. 測試階段 依據(jù)軟件設(shè)計說明書對軟件功能、安全 測試方案、測試計劃，提供軟件功能測文檔大全 實(shí)用標(biāo)準(zhǔn)文案要點(diǎn)條款需提供證明材料證明材料清單合合功能進(jìn)行測試。試、安全性測試記錄

6、與報告。漏洞發(fā)現(xiàn)、分析與修復(fù)的記錄。對測試發(fā)現(xiàn)的漏洞進(jìn)行分析并有效修復(fù)。僅二級/一級要求：明確單元測試策略，制定單元測試計劃。單元測試的測試策略、測試計劃。試單元測試，形成測試記錄。僅一級要求：對單元測試結(jié)果進(jìn)行分析，形成分析報告。單元測試分析報告。僅二級/一級要求：明確集成測試策略，制定集成測試計劃。試成測試，形成測試記錄。僅一級要求：對集成測試結(jié)果進(jìn)行分析，形成分析報告。測試階 段 僅二級/一級要求：制定包括系統(tǒng)安全性- 系 統(tǒng) 測 測試在內(nèi)的測試計劃，并執(zhí)行系統(tǒng)測試，安全性測試計劃和測試用例設(shè)計文檔、測試記錄。46.47.試形成測試記錄。文檔大全 實(shí)用標(biāo)準(zhǔn)文案要點(diǎn)條款需提供證明材料證明材

7、料清單合合僅二級/一級要求：基于軟件安全功能的僅二級/一級要求：對系統(tǒng)測試結(jié)果進(jìn)行 測試分析報告，其中包括軟件安全測試分析，形成分析報告。的結(jié)果分析。僅一級要求：基于軟件項目的安全要求，測試系統(tǒng)運(yùn)行的可靠性、穩(wěn)定性和安全53.54.僅一級要求：綜合軟件系統(tǒng)試運(yùn)行狀態(tài)， 系統(tǒng)運(yùn)行策略、安全指南。文檔大全 實(shí)用標(biāo)準(zhǔn)文案要點(diǎn)條款需提供證明材料證明材料清單合合建立軟件系統(tǒng)運(yùn)行策略和安全指南。根據(jù)合同約定，向客戶提交完整的項目資料及交付物，并提出驗收申請。根據(jù)合同約定，進(jìn)行項目驗收，形成項目驗收報告。55.僅二級/一級要求：提交軟件安全測評報告。僅一級要求：提交軟件產(chǎn)品第三方安全 專家/第三方權(quán)威機(jī)構(gòu)出

8、具的軟件產(chǎn)品測評報告或安全認(rèn)證證書。安全測評報告或安全認(rèn)證證書。對于影響軟件系統(tǒng)安全、穩(wěn)定運(yùn)行的缺陷，及時有效采取打補(bǔ)丁、版本升級等方式予以消除，并提供遠(yuǎn)程技術(shù)支持服務(wù)。僅二級/一級要求：制定系統(tǒng)運(yùn)行計劃、安全事件響應(yīng)計劃、安全事件應(yīng)急預(yù)案，建立應(yīng)急響應(yīng)服務(wù)保障團(tuán)隊。系統(tǒng)運(yùn)行計劃、安全事件響應(yīng)計劃、安全事件應(yīng)急預(yù)案；應(yīng)急保障團(tuán)隊人員組織構(gòu)成和職責(zé)規(guī)定文件；應(yīng)急事件記錄。僅二級/一級要求：及時應(yīng)對突發(fā)安全事件，并向用戶提供安全事件解決報告。僅一級要求：制定軟件健康檢查計劃、方案，定期實(shí)施，提交相應(yīng)的系統(tǒng)健康檢查報告、巡檢報告。健康檢查計劃、方案、系統(tǒng)健康檢查報告、巡檢報告、系統(tǒng)優(yōu)化改進(jìn)記錄。文檔大全 實(shí)用標(biāo)準(zhǔn)文案要點(diǎn)條款需提供證明材料證明材料清單合合63.64. 上一年度提出的觀察項整改情況（如有）65.66.67. 上一年度提出的不符合項整改情況（