軟件安全開發(fā)服務資質認證自評價表

1、軟件安全開發(fā)服務資質認證自評估表組織名稱申報級別評估時間評估部門/人員自評估結論序要點條款需提供證明材料不證明材料清單號符符合合1.建立軟件安全開發(fā)服務流程。軟件安全開發(fā)服務流程， 流程圖中應包服務技 術括每個階段對應的職責、輸入輸出等。2.要求制定軟件安全開發(fā)服務規(guī)范并按照規(guī)范軟件安全開發(fā)服務規(guī)范并按照規(guī)范實實施。施。項目人員構成表或其他能體現項目組3.建立軟件項目安全開發(fā)團隊，明確各崗成員構成的文檔， 其中明確項目組成員位、人員、職責。構成情況以及安全開發(fā)人員的角色及準備階段職責。制定軟件項目安全開發(fā)管理計劃，明確項目開發(fā)計劃， 計劃中應包含安全開發(fā)4.開發(fā)過程管控措施。的內容。5.建立軟

2、件開發(fā)的配置管理計劃，明確配項目配置管理計劃，包含安全相關活置管理的安全要求。動。提供配置管理相關記錄。序要點條款需提供證明材料號變更控制管理制度， 提供項目變更控制6.建立變更控制制度，明確軟件項目變更記錄，變更的記錄單， 記錄單中的內容控制的安全要求。應包含變更申請， 審批，執(zhí)行，執(zhí)行后的評價結果。7.制定軟件項目安全培訓計劃，對相關人培訓管理制度， 項目培訓計劃和培訓記員進行安全培訓。錄。8.建立獨立的開發(fā)環(huán)境，確保開發(fā)環(huán)境與開發(fā)環(huán)境與運行環(huán)境配置的說明文檔。運行環(huán)境隔離。僅二級 / 一級要求 ：建立軟件安全開發(fā)項風險管理制度、 風險管理計劃、 風險分9.目風險管理機制，對軟件項目進行風

3、險析報告。評估。僅二級 / 一級要求 ：使用配置管理工具對配置管理計劃， 其中描述采用的配置管10.理工具；配置管理工具的使用情況介軟件項目進行配置管理。紹。僅二級 / 一級要求 ：配備專職的測試人項目人員構成表或其他能體現項目組11.成員構成的文檔，設立專職的測試人員。員，并明確描述其職責。12.僅二級 / 一級要求 ：建立獨立的測試環(huán)開發(fā)環(huán)境與測試環(huán)境配置的說明文檔。境，確保測試環(huán)境與開發(fā)環(huán)境隔離。13.僅一級要求 ：建立軟硬件設備和工具等軟硬件設備及工具安全使用規(guī)范； 軟硬資源安全使用規(guī)范。件設備及工具資源配備計劃。自評估結論不證明材料清單符符合合序要點條款需提供證明材料號14.僅一級要

4、求 ：配備安全管理人員。安全管理專職人員的任命文件， 項目相關的安全監(jiān)控記錄。15.僅一級要求 ：建立變更控制委員會。變更控制委員會成員構成與職責規(guī)定文件。需求階段控制程序文件； 需求階段項目16.調研項目背景信息，收集項目需求，明文檔，包括可行性報告、 招標文件、 需確軟件功能、性能及安全方面的要求。求分析報告等， 需求文檔的內容應涉及軟件功能、性能及安全性要求。17.結合軟件項目需求、安全需求，與客戶與客戶溝通的記錄。充分溝通，達成共識并形成記錄。僅二級 / 一級要求 ：準確識別和綜合分析18.軟件項目在可用性、完整性、真實性、機密性、不可否認性、可控性和可靠性需求階段等方面的安全需求。1

5、9.僅二級 / 一級要求 ：對于數據采集、 產生、需求分析報告，內容應覆蓋條款的要使用，明確識別安全保護要求。求。僅二級 / 一級要求 ：基于客戶需求， 開展20.需求分析，編制具有軟件安全需求的分析報告。21.僅二級 / 一級要求 ：需求分析報告中明確項目開發(fā)中使用的安全技術標準、規(guī)范。自評估結論不證明材料清單符符合合序要點條款需提供證明材料號僅一級要求：應基于軟件安全威脅開展22.需求分析。23.僅一級要求 ：基于軟件項目需求分析建立軟件安全開發(fā)模型。24.根據軟件項目需求，編制軟件設計說明書。25.軟件設計說明書明確系統(tǒng)/ 子系統(tǒng)的功設計階段控制程序文件； 提供軟件設計設計階段能和非功能

6、設計要求。說明書，內容應覆蓋條款的要求。軟件設計說明書明確包含安全功能要26.求，包括標識與鑒別、訪問控制、安全審計和安全管理等。僅二級 / 一級要求 ：概要設計說明書應明27.確數據完整性和保密性、通信完整性和保密性、軟件容錯、資源控制等安全功設計階段 -能要求。設計階段控制程序文件； 提供概要設計28.概要設計僅一級要求 ：概要設計說明書中應明確說明書，內容應覆蓋條款的要求。基于軟件安全威脅分析的安全要求。僅一級要求 ：當開發(fā)場景適用時，概要29.設計說明書中應明確抗抵賴、安全標記、可信路徑等安全功能要求。自評估結論不證明材料清單符符合合序要點條款號僅二級 / 一級要求 ：詳細設計說明書中

7、應30.包含對數據產生、傳輸、存儲、使用、設計階段 -處理和歸檔安全方面的詳細設計。詳細設計僅一級要求：依據安全要求和概要設計31.說明書，明確基于軟件安全威脅分析進行詳細設計。需提供證明材料詳細設計說明書， 內容應覆蓋條款的要求。自評估結論不證明材料清單符符合合32.33.34. 編碼階段35.36.37.測試階段38.制定統(tǒng)一的代碼安全編碼規(guī)范，確保開軟件開發(fā)所使用語言的安全編碼規(guī)范，規(guī)范內容包括但不限于代碼安全編寫發(fā)人員參照規(guī)范安全編碼。的原則、方式、方法等。依據詳細設計說明書，對軟件進行安全在編碼過程中， 對規(guī)避高危風險的漏洞編碼。采取的方法或措施的文檔或記錄。軟件代碼要經過安全檢查、

8、評審，對于代碼安全檢查、 評審記錄， 對發(fā)現的漏發(fā)現的漏洞能有效修復。洞，提供漏洞修復與驗證記錄。僅二級 / 一級要求 ：軟件代碼的安全檢代碼檢查、審核相關記錄。查、評審工作應形成記錄。僅一級要求 ：采用自動化工具對代碼安全漏洞進行審查，對于發(fā)現的漏洞能有代碼檢查工具的檢查結果記錄/ 報告。效修復，并形成審查報告。依據軟件設計說明書對軟件功能、安全測試方案、 測試計劃， 提供軟件功能測功能進行測試。試、安全性測試記錄與報告。對測試發(fā)現的漏洞進行分析并有效修漏洞發(fā)現、分析與修復的記錄。序要點條款需提供證明材料號復。39.僅二級 / 一級要求 ：明確單元測試策略，單元測試的測試策略、測試計劃。制定

9、單元測試計劃。測試階段 -僅二級 / 一級要求 ：依據詳細設計說明書40.和測試計劃進行單元測試設計，并執(zhí)行單元測試用例設計、測試記錄。單元測試單元測試，形成測試記錄。41.僅一級要求 ：對單元測試結果進行分析，單元測試分析報告。形成分析報告。42.僅二級 / 一級要求 ：明確集成測試策略，集成測試的測試策略、測試計劃。制定集成測試計劃。測試階段 -僅二級 / 一級要求 ：依據概要設計方案和43.測試計劃進行集成測試設計，并執(zhí)行集集成測試用例設計、測試記錄。集成測試成測試，形成測試記錄。44.僅一級要求 ：對集成測試結果進行分析，集成測試分析報告。形成分析報告。45.測試階段 -僅二級 / 一

10、級要求 ：制定包括系統(tǒng)安全性安全性測試計劃和測試用例設計文檔、46.測試在內的測試計劃， 并執(zhí)行系統(tǒng)測試，系統(tǒng)測試測試記錄。47.形成測試記錄。自評估結論不證明材料清單符符合合序要點條款需提供證明材料號僅二級 / 一級要求 ：基于軟件安全功能的安全要求，制定脆弱性測試方案，對安脆弱性測試方案、測試記錄。全漏洞進行測試，形成測試記錄。48.僅二級 / 一級要求 ：對系統(tǒng)測試結果進行測試分析報告， 其中包括軟件安全測試分析，形成分析報告。的結果分析。僅一級要求 ：基于軟件項目的安全要求，49.制定系統(tǒng)滲透性測試方案，模擬攻擊場滲透性測試方案、 滲透測試記錄和滲透景，對系統(tǒng)安全性進行測試，并形成分測

11、試報告。析報告。測試系統(tǒng)運行的可靠性、穩(wěn)定性和安全50.性，進行試運行， 并記錄系統(tǒng)運行狀況，系統(tǒng)試運行相關記錄。試運行周期至少一個月。51.驗收階段 -基于系統(tǒng)試運行相關記錄，及時對軟件系統(tǒng)調整、維護記錄。進行調整、維護。系統(tǒng)試 運52.行僅二級 / 一級要求 ：試運行結束后， 制定系統(tǒng)試運行報告。系統(tǒng)試運行報告，并提交客戶。53.僅一級要求 ：提供三個月以上的試運行系統(tǒng)試運行記錄和報告。記錄和報告。54.僅一級要求 ：綜合軟件系統(tǒng)試運行狀態(tài)，系統(tǒng)運行策略、安全指南。自評估結論不證明材料清單符符合合序要點條款需提供證明材料號建立軟件系統(tǒng)運行策略和安全指南。55.根據合同約定，向客戶提交完整的

12、項目資料及交付物，并提出驗收申請。驗收申請、驗收資料、驗收報告。根據合同約定，進行項目驗收，形成項56.目驗收報告。驗收階段 -驗收交付僅二級 / 一級要求 ：提交軟件安全測評報軟件安全測評報告。57.告。58.僅一級要求 ：提交軟件產品第三方安全專家 / 第三方權威機構出具的軟件產品測評報告或安全認證證書。安全測評報告或安全認證證書。對于影響軟件系統(tǒng)安全、穩(wěn)定運行的缺59.陷，及時有效采取打補丁、版本升級等巡查記錄、故障記錄、升級記錄等。方式予以消除，并提供遠程技術支持服務。僅二級 / 一級要求 ：制定系統(tǒng)運行計劃、系統(tǒng)運行計劃、 安全事件響應計劃、 安60.安全事件響應計劃、 安全事件應急預案，全事件應急預案； 應急保障團隊人員組維保階段建立應急響應服務保障團隊。織構成和職責規(guī)定文件；應急事件記僅二級 / 一級要求 ：及時應對突發(fā)安全事61.錄。件，并向用戶提供安全事件解決報告。僅一級要求 ：制定軟件健康檢查計劃、健康檢查計劃、 方案、系統(tǒng)健康檢查報62.方案，定期實施，提交相應的系統(tǒng)健康告、巡檢報告、系統(tǒng)優(yōu)化改進記錄。檢查報告、巡檢報告。自評估結論不證明材料清單符符合合自評估結論序號要點條款需提供證明材料不符符