軟件安全開發(fā)服務(wù)資質(zhì)認證自評價表

1、軟件安全開發(fā)服務(wù)資質(zhì)認證自評估表組織名稱申報級別評估時間評估部門/人員自評估結(jié)論序要點條款需提供證明材料不證明材料清單號符符合合1.建立軟件安全開發(fā)服務(wù)流程。軟件安全開發(fā)服務(wù)流程， 流程圖中應(yīng)包服務(wù)技 術(shù)括每個階段對應(yīng)的職責(zé)、輸入輸出等。2.要求制定軟件安全開發(fā)服務(wù)規(guī)范并按照規(guī)范軟件安全開發(fā)服務(wù)規(guī)范并按照規(guī)范實實施。施。項目人員構(gòu)成表或其他能體現(xiàn)項目組3.建立軟件項目安全開發(fā)團隊，明確各崗成員構(gòu)成的文檔， 其中明確項目組成員位、人員、職責(zé)。構(gòu)成情況以及安全開發(fā)人員的角色及準備階段職責(zé)。制定軟件項目安全開發(fā)管理計劃，明確項目開發(fā)計劃， 計劃中應(yīng)包含安全開發(fā)4.開發(fā)過程管控措施。的內(nèi)容。5.建立軟

2、件開發(fā)的配置管理計劃，明確配項目配置管理計劃，包含安全相關(guān)活置管理的安全要求。動。提供配置管理相關(guān)記錄。序要點條款需提供證明材料號變更控制管理制度， 提供項目變更控制6.建立變更控制制度，明確軟件項目變更記錄，變更的記錄單， 記錄單中的內(nèi)容控制的安全要求。應(yīng)包含變更申請， 審批，執(zhí)行，執(zhí)行后的評價結(jié)果。7.制定軟件項目安全培訓(xùn)計劃，對相關(guān)人培訓(xùn)管理制度， 項目培訓(xùn)計劃和培訓(xùn)記員進行安全培訓(xùn)。錄。8.建立獨立的開發(fā)環(huán)境，確保開發(fā)環(huán)境與開發(fā)環(huán)境與運行環(huán)境配置的說明文檔。運行環(huán)境隔離。僅二級 / 一級要求 ：建立軟件安全開發(fā)項風(fēng)險管理制度、 風(fēng)險管理計劃、 風(fēng)險分9.目風(fēng)險管理機制，對軟件項目進行風(fēng)

3、險析報告。評估。僅二級 / 一級要求 ：使用配置管理工具對配置管理計劃， 其中描述采用的配置管10.理工具；配置管理工具的使用情況介軟件項目進行配置管理。紹。僅二級 / 一級要求 ：配備專職的測試人項目人員構(gòu)成表或其他能體現(xiàn)項目組11.成員構(gòu)成的文檔，設(shè)立專職的測試人員。員，并明確描述其職責(zé)。12.僅二級 / 一級要求 ：建立獨立的測試環(huán)開發(fā)環(huán)境與測試環(huán)境配置的說明文檔。境，確保測試環(huán)境與開發(fā)環(huán)境隔離。13.僅一級要求 ：建立軟硬件設(shè)備和工具等軟硬件設(shè)備及工具安全使用規(guī)范； 軟硬資源安全使用規(guī)范。件設(shè)備及工具資源配備計劃。自評估結(jié)論不證明材料清單符符合合序要點條款需提供證明材料號14.僅一級要

4、求 ：配備安全管理人員。安全管理專職人員的任命文件， 項目相關(guān)的安全監(jiān)控記錄。15.僅一級要求 ：建立變更控制委員會。變更控制委員會成員構(gòu)成與職責(zé)規(guī)定文件。需求階段控制程序文件； 需求階段項目16.調(diào)研項目背景信息，收集項目需求，明文檔，包括可行性報告、 招標文件、 需確軟件功能、性能及安全方面的要求。求分析報告等， 需求文檔的內(nèi)容應(yīng)涉及軟件功能、性能及安全性要求。17.結(jié)合軟件項目需求、安全需求，與客戶與客戶溝通的記錄。充分溝通，達成共識并形成記錄。僅二級 / 一級要求 ：準確識別和綜合分析18.軟件項目在可用性、完整性、真實性、機密性、不可否認性、可控性和可靠性需求階段等方面的安全需求。1

5、9.僅二級 / 一級要求 ：對于數(shù)據(jù)采集、 產(chǎn)生、需求分析報告，內(nèi)容應(yīng)覆蓋條款的要使用，明確識別安全保護要求。求。僅二級 / 一級要求 ：基于客戶需求， 開展20.需求分析，編制具有軟件安全需求的分析報告。21.僅二級 / 一級要求 ：需求分析報告中明確項目開發(fā)中使用的安全技術(shù)標準、規(guī)范。自評估結(jié)論不證明材料清單符符合合序要點條款需提供證明材料號僅一級要求：應(yīng)基于軟件安全威脅開展22.需求分析。23.僅一級要求 ：基于軟件項目需求分析建立軟件安全開發(fā)模型。24.根據(jù)軟件項目需求，編制軟件設(shè)計說明書。25.軟件設(shè)計說明書明確系統(tǒng)/ 子系統(tǒng)的功設(shè)計階段控制程序文件； 提供軟件設(shè)計設(shè)計階段能和非功能

6、設(shè)計要求。說明書，內(nèi)容應(yīng)覆蓋條款的要求。軟件設(shè)計說明書明確包含安全功能要26.求，包括標識與鑒別、訪問控制、安全審計和安全管理等。僅二級 / 一級要求 ：概要設(shè)計說明書應(yīng)明27.確數(shù)據(jù)完整性和保密性、通信完整性和保密性、軟件容錯、資源控制等安全功設(shè)計階段 -能要求。設(shè)計階段控制程序文件； 提供概要設(shè)計28.概要設(shè)計僅一級要求 ：概要設(shè)計說明書中應(yīng)明確說明書，內(nèi)容應(yīng)覆蓋條款的要求?；谲浖踩{分析的安全要求。僅一級要求 ：當開發(fā)場景適用時，概要29.設(shè)計說明書中應(yīng)明確抗抵賴、安全標記、可信路徑等安全功能要求。自評估結(jié)論不證明材料清單符符合合序要點條款號僅二級 / 一級要求 ：詳細設(shè)計說明書中

7、應(yīng)30.包含對數(shù)據(jù)產(chǎn)生、傳輸、存儲、使用、設(shè)計階段 -處理和歸檔安全方面的詳細設(shè)計。詳細設(shè)計僅一級要求：依據(jù)安全要求和概要設(shè)計31.說明書，明確基于軟件安全威脅分析進行詳細設(shè)計。需提供證明材料詳細設(shè)計說明書， 內(nèi)容應(yīng)覆蓋條款的要求。自評估結(jié)論不證明材料清單符符合合32.33.34. 編碼階段35.36.37.測試階段38.制定統(tǒng)一的代碼安全編碼規(guī)范，確保開軟件開發(fā)所使用語言的安全編碼規(guī)范，規(guī)范內(nèi)容包括但不限于代碼安全編寫發(fā)人員參照規(guī)范安全編碼。的原則、方式、方法等。依據(jù)詳細設(shè)計說明書，對軟件進行安全在編碼過程中， 對規(guī)避高危風(fēng)險的漏洞編碼。采取的方法或措施的文檔或記錄。軟件代碼要經(jīng)過安全檢查、

8、評審，對于代碼安全檢查、 評審記錄， 對發(fā)現(xiàn)的漏發(fā)現(xiàn)的漏洞能有效修復(fù)。洞，提供漏洞修復(fù)與驗證記錄。僅二級 / 一級要求 ：軟件代碼的安全檢代碼檢查、審核相關(guān)記錄。查、評審工作應(yīng)形成記錄。僅一級要求 ：采用自動化工具對代碼安全漏洞進行審查，對于發(fā)現(xiàn)的漏洞能有代碼檢查工具的檢查結(jié)果記錄/ 報告。效修復(fù)，并形成審查報告。依據(jù)軟件設(shè)計說明書對軟件功能、安全測試方案、 測試計劃， 提供軟件功能測功能進行測試。試、安全性測試記錄與報告。對測試發(fā)現(xiàn)的漏洞進行分析并有效修漏洞發(fā)現(xiàn)、分析與修復(fù)的記錄。序要點條款需提供證明材料號復(fù)。39.僅二級 / 一級要求 ：明確單元測試策略，單元測試的測試策略、測試計劃。制定

9、單元測試計劃。測試階段 -僅二級 / 一級要求 ：依據(jù)詳細設(shè)計說明書40.和測試計劃進行單元測試設(shè)計，并執(zhí)行單元測試用例設(shè)計、測試記錄。單元測試單元測試，形成測試記錄。41.僅一級要求 ：對單元測試結(jié)果進行分析，單元測試分析報告。形成分析報告。42.僅二級 / 一級要求 ：明確集成測試策略，集成測試的測試策略、測試計劃。制定集成測試計劃。測試階段 -僅二級 / 一級要求 ：依據(jù)概要設(shè)計方案和43.測試計劃進行集成測試設(shè)計，并執(zhí)行集集成測試用例設(shè)計、測試記錄。集成測試成測試，形成測試記錄。44.僅一級要求 ：對集成測試結(jié)果進行分析，集成測試分析報告。形成分析報告。45.測試階段 -僅二級 / 一

10、級要求 ：制定包括系統(tǒng)安全性安全性測試計劃和測試用例設(shè)計文檔、46.測試在內(nèi)的測試計劃， 并執(zhí)行系統(tǒng)測試，系統(tǒng)測試測試記錄。47.形成測試記錄。自評估結(jié)論不證明材料清單符符合合序要點條款需提供證明材料號僅二級 / 一級要求 ：基于軟件安全功能的安全要求，制定脆弱性測試方案，對安脆弱性測試方案、測試記錄。全漏洞進行測試，形成測試記錄。48.僅二級 / 一級要求 ：對系統(tǒng)測試結(jié)果進行測試分析報告， 其中包括軟件安全測試分析，形成分析報告。的結(jié)果分析。僅一級要求 ：基于軟件項目的安全要求，49.制定系統(tǒng)滲透性測試方案，模擬攻擊場滲透性測試方案、 滲透測試記錄和滲透景，對系統(tǒng)安全性進行測試，并形成分測

11、試報告。析報告。測試系統(tǒng)運行的可靠性、穩(wěn)定性和安全50.性，進行試運行， 并記錄系統(tǒng)運行狀況，系統(tǒng)試運行相關(guān)記錄。試運行周期至少一個月。51.驗收階段 -基于系統(tǒng)試運行相關(guān)記錄，及時對軟件系統(tǒng)調(diào)整、維護記錄。進行調(diào)整、維護。系統(tǒng)試 運52.行僅二級 / 一級要求 ：試運行結(jié)束后， 制定系統(tǒng)試運行報告。系統(tǒng)試運行報告，并提交客戶。53.僅一級要求 ：提供三個月以上的試運行系統(tǒng)試運行記錄和報告。記錄和報告。54.僅一級要求 ：綜合軟件系統(tǒng)試運行狀態(tài)，系統(tǒng)運行策略、安全指南。自評估結(jié)論不證明材料清單符符合合序要點條款需提供證明材料號建立軟件系統(tǒng)運行策略和安全指南。55.根據(jù)合同約定，向客戶提交完整的

12、項目資料及交付物，并提出驗收申請。驗收申請、驗收資料、驗收報告。根據(jù)合同約定，進行項目驗收，形成項56.目驗收報告。驗收階段 -驗收交付僅二級 / 一級要求 ：提交軟件安全測評報軟件安全測評報告。57.告。58.僅一級要求 ：提交軟件產(chǎn)品第三方安全專家 / 第三方權(quán)威機構(gòu)出具的軟件產(chǎn)品測評報告或安全認證證書。安全測評報告或安全認證證書。對于影響軟件系統(tǒng)安全、穩(wěn)定運行的缺59.陷，及時有效采取打補丁、版本升級等巡查記錄、故障記錄、升級記錄等。方式予以消除，并提供遠程技術(shù)支持服務(wù)。僅二級 / 一級要求 ：制定系統(tǒng)運行計劃、系統(tǒng)運行計劃、 安全事件響應(yīng)計劃、 安60.安全事件響應(yīng)計劃、 安全事件應(yīng)急預(yù)案，全事件應(yīng)急預(yù)案； 應(yīng)急保障團隊人員組維保階段建立應(yīng)急響應(yīng)服務(wù)保障團隊。織構(gòu)成和職責(zé)規(guī)定文件；應(yīng)急事件記僅二級 / 一級要求 ：及時應(yīng)對突發(fā)安全事61.錄。件，并向用戶提供安全事件解決報告。僅一級要求 ：制定軟件健康檢查計劃、健康檢查計劃、 方案、系統(tǒng)健康檢查報62.方案，定期實施，提交相應(yīng)的系統(tǒng)健康告、巡檢報告、系統(tǒng)優(yōu)化改進記錄。檢查報告、巡檢報告。自評估結(jié)論不證明材料清單符符合合自評估結(jié)論序號要點條款需提供證明材料不符符