2024軟件安全開(kāi)發(fā)能力評(píng)估技術(shù)規(guī)范

軟件安全開(kāi)發(fā)能力評(píng)估技術(shù)規(guī)范目 次范圍 2規(guī)范性引用文件 2術(shù)語(yǔ)和定義 2縮略語(yǔ) 5安全開(kāi)發(fā)體系評(píng)估模型 5成熟度模型架構(gòu) 5安全能力維度 6能力成熟度等級(jí)維度 7安全開(kāi)發(fā)過(guò)程維度 8安全需求 10安全開(kāi)發(fā)分類(lèi)分級(jí) 10威脅分析 12安全需求管理 13安全設(shè)計(jì) 14IT架構(gòu)安全 14安全設(shè)計(jì)管理 15第三方組件安全管理 17安全編碼 18安全編碼管理 18安全測(cè)試 20代碼審計(jì) 20滲透測(cè)試 21安全部署/發(fā)布 23安全配置管理 23軟件/應(yīng)用自我防御加固 24安全運(yùn)維 25應(yīng)急響應(yīng) 25安全持續(xù)保障 27基礎(chǔ)安全 28安全培訓(xùn) 28組織和人員管理 30合規(guī)管理 32開(kāi)發(fā)測(cè)試環(huán)境安全管理 34軟件資產(chǎn)管理 35I附 錄 A 37附 錄 B 38能力成熟度等級(jí)評(píng)估流程 38能力成熟度模型使用方法 39II軟件安全開(kāi)發(fā)能力評(píng)估技術(shù)規(guī)范范圍/規(guī)范性引用文件（包）GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)GB/T29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯GB/T19000-2016質(zhì)量管理體系基礎(chǔ)和術(shù)語(yǔ)GB/T20261-2020信息安全技術(shù)系統(tǒng)安全工程能力成熟度模型GB/T28458-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范GB/T24363-2009信息安全技術(shù)信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范術(shù)語(yǔ)和定義GB/T 25069-2010GB/T 29246-2017GB/T19000-2016GB/T20261-2020GB/T28458-2020、GB/T24363-2009界定的以及下列術(shù)語(yǔ)和定義適用于本文件。軟件生存周期softwarelifecycle安全開(kāi)發(fā)securitydevelopment2識(shí)別軟件生存周期中潛在的安全威脅，對(duì)信息和數(shù)據(jù)進(jìn)行保護(hù)的一組技術(shù)狀態(tài)管理活動(dòng)。保密性confidentiality使信息不泄漏給未授權(quán)的個(gè)人、實(shí)體、進(jìn)程，或不被其利用的特性。[來(lái)源：GB/T 25069-2010，2.1.1]完整性integrity準(zhǔn)確和完備的特性。[來(lái)源：GB/T 29246-2017，2.40]可用性availability已授權(quán)實(shí)體一旦需要就可訪問(wèn)和使用數(shù)據(jù)和資源的特性。[來(lái)源：GB/T 25069-2010，2.1.20]安全開(kāi)發(fā)能力securitydevelopmentcapability組織在組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對(duì)安全開(kāi)發(fā)的保障。capabilitymaturity能力成熟度模型capabilitymaturitymodel對(duì)一個(gè)組織的能力成熟度進(jìn)行度量的模型，包括一系列代表能力和進(jìn)展的特征、屬性、指示或模式。securityprocess用于實(shí)現(xiàn)某一安全目標(biāo)的完整過(guò)程，該過(guò)程包含輸入和輸出。基本實(shí)踐basepractice實(shí)現(xiàn)某一安全目標(biāo)的安全開(kāi)發(fā)相關(guān)活動(dòng)?；A(chǔ)實(shí)踐foundationpractice3在評(píng)估中用于不能清晰界定屬于某一安全過(guò)程域而重要且基礎(chǔ)的安全開(kāi)發(fā)相關(guān)活動(dòng)。在評(píng)估中用于不能清晰界定屬于某一安全過(guò)程域而重要且基礎(chǔ)的安全開(kāi)發(fā)相關(guān)活動(dòng)。assessmentprocess利用輸入實(shí)現(xiàn)預(yù)期結(jié)果的相互關(guān)聯(lián)或相互作用的一組活動(dòng)。[來(lái)源：GB/T19000-2016，3.4.1]baseline[來(lái)源：GB/T20261-2020，3.11]threat可能對(duì)系統(tǒng)或組織造成危害的不期望事件的潛在因素。component在系統(tǒng)中，實(shí)現(xiàn)其部分功能的可識(shí)別區(qū)分的部分。過(guò)程域processarea實(shí)現(xiàn)同一安全目標(biāo)的相關(guān)安全開(kāi)發(fā)基本實(shí)踐的集合。網(wǎng)絡(luò)安全漏洞cybersecurityvulnerability[來(lái)源：GB/T28458-2020，3.1]應(yīng)急響應(yīng)emergencyresponse4[[來(lái)源：GB/T24363-2009，3.4]縮略語(yǔ)下列縮略語(yǔ)適用于本文件。BP：基本實(shí)踐（BasePractice）SSDCMM：軟件安全開(kāi)發(fā)能力成熟度模型（SoftwareSecureDevelopmentCapabilityMaturityModel）PA：過(guò)程域（ProcessArea）DevOps（DevelopmentandOperations）SAST（StaticApplicationSecuritySCA（SoftwareCompositionAnalysis）IAST：交互式應(yīng)用程序安全測(cè)試（InteractiveApplicationSecurityTesting）本標(biāo)準(zhǔn)適用于瀑布式以及敏捷開(kāi)發(fā)模式成熟度模型架構(gòu)SSDCMM架構(gòu)如圖1所示。5圖1SSDCMM架構(gòu)圖SSDCMM架構(gòu)由以下三個(gè)維度構(gòu)成：安全開(kāi)發(fā)能力成熟度等級(jí)劃分為五級(jí)，具體包括：1級(jí)是非正式執(zhí)行級(jí)，2級(jí)是計(jì)劃跟蹤級(jí)，3級(jí)是充分定義級(jí)，4級(jí)是量化控制級(jí)，5級(jí)是持續(xù)優(yōu)化級(jí)。開(kāi)發(fā)生命周期安全過(guò)程具體包括：安全需求、安全設(shè)計(jì)、安全編碼、安全測(cè)/6安全能力維度能力構(gòu)成4作；組織建設(shè)從承擔(dān)安全開(kāi)發(fā)工作組織應(yīng)具備的組織建設(shè)能力角度，根據(jù)以下方面進(jìn)行能力等級(jí)區(qū)分：a）安全開(kāi)發(fā)組織架構(gòu)對(duì)組織業(yè)務(wù)的適用性；b）安全開(kāi)發(fā)組織承擔(dān)的工作職責(zé)的明確性；c）安全開(kāi)發(fā)組織運(yùn)作、溝通協(xié)調(diào)的有效性。制度流程從組織在安全開(kāi)發(fā)制度流程的建設(shè)以及執(zhí)行情況角度，根據(jù)以下方面進(jìn)行能力等級(jí)區(qū)分：6技術(shù)工具從組織用于開(kāi)展安全開(kāi)發(fā)工作的安全技術(shù)、應(yīng)用系統(tǒng)和工具出發(fā)，根據(jù)以下方面進(jìn)行能力等級(jí)區(qū)分：安全開(kāi)發(fā)技術(shù)在開(kāi)發(fā)全生命周期過(guò)程中的利用情況，應(yīng)對(duì)開(kāi)發(fā)全生命周期安全風(fēng)人員能力從組織承擔(dān)安全開(kāi)發(fā)工作人員應(yīng)具備的能力出發(fā)，根據(jù)以下方面進(jìn)行能力等級(jí)區(qū)分：安全開(kāi)發(fā)人員所具備的安全開(kāi)發(fā)技能是否能夠滿足實(shí)現(xiàn)安全目標(biāo)的能力要求（能力成熟度等級(jí)維度組織的安全開(kāi)發(fā)能力成熟度等級(jí)共分為5級(jí)，見(jiàn)表1。表1安全開(kāi)發(fā)能力成熟度等級(jí)共性特征安全開(kāi)發(fā)能力成熟度等級(jí)共性特征說(shuō)明等級(jí)1：非正式執(zhí)行BP部分軟件和應(yīng)用系統(tǒng)開(kāi)發(fā)執(zhí)行過(guò)程中根據(jù)臨時(shí)的需求執(zhí)行了相關(guān)作的人員未達(dá)到相應(yīng)能力。所執(zhí)行的過(guò)程稱為“非正式過(guò)程”發(fā)安全過(guò)程，依賴于個(gè)人經(jīng)驗(yàn)，無(wú)法復(fù)制等級(jí)2：計(jì)劃跟蹤規(guī)劃執(zhí)行：對(duì)開(kāi)發(fā)安全過(guò)程進(jìn)行規(guī)劃，提前分配資源和責(zé)任。執(zhí)行：標(biāo)準(zhǔn)和程序的過(guò)程，對(duì)安全開(kāi)發(fā)過(guò)程實(shí)施配置管理。驗(yàn)證執(zhí)行：計(jì)劃是一致的。跟蹤執(zhí)行：控制安全開(kāi)發(fā)過(guò)程執(zhí)行的進(jìn)展，當(dāng)過(guò)程實(shí)踐與計(jì)劃產(chǎn)生重大偏離時(shí)采取修正行動(dòng)在重要軟件和重要應(yīng)用系統(tǒng)的開(kāi)發(fā)中，主動(dòng)地實(shí)現(xiàn)了安全過(guò)程的計(jì)劃與執(zhí)對(duì)執(zhí)行質(zhì)量沒(méi)有規(guī)范性要求，沒(méi)有形成體系化等級(jí)3：充分定義a）定義標(biāo)準(zhǔn)過(guò)程：組織對(duì)標(biāo)準(zhǔn)過(guò)程進(jìn)行制度化，為組織定義標(biāo)準(zhǔn)化的過(guò)程文檔，為滿足特定用途對(duì)標(biāo)準(zhǔn)過(guò)程進(jìn)行裁剪。在組織級(jí)別實(shí)現(xiàn)了安全過(guò)程的規(guī)范執(zhí)行7執(zhí)行已定義的過(guò)程：充分定義的過(guò)程是可重復(fù)執(zhí)行的，并使用過(guò)程執(zhí)行的結(jié)果數(shù)據(jù)，對(duì)有缺陷的過(guò)程結(jié)果和安全實(shí)踐進(jìn)行核查。協(xié)調(diào)安全實(shí)踐：確定各技術(shù)團(tuán)隊(duì)之間、組織外部活動(dòng)的協(xié)調(diào)機(jī)制等級(jí)4：量化控制建立可測(cè)的安全目標(biāo)：客觀地管理執(zhí)行：管理安全過(guò)程，并以量化測(cè)量作為修正行動(dòng)的基礎(chǔ)建立了量化目標(biāo)，安全過(guò)程可度量等級(jí)5：持續(xù)優(yōu)化改進(jìn)組織能力：尋找改進(jìn)規(guī)程的機(jī)會(huì)，并進(jìn)行改進(jìn)。改進(jìn)過(guò)程有效性：制定處于持續(xù)改進(jìn)狀態(tài)下的規(guī)程，對(duì)規(guī)程的缺陷進(jìn)行消除，并對(duì)規(guī)程進(jìn)行持續(xù)改進(jìn)根據(jù)組織的整體目標(biāo)，不斷改進(jìn)和優(yōu)化安全過(guò)程能力成熟度等級(jí)與PA、BP、安全能力的關(guān)系如下：將組織在每個(gè)安全開(kāi)發(fā)的能力成熟度劃分為五級(jí)，針對(duì)每個(gè)等級(jí)下組織應(yīng)具4（提出具體的BP；34445達(dá)到在4級(jí)的能力要求中的該關(guān)鍵能力的內(nèi)容；如果4級(jí)的能力要求中依舊未涉及該關(guān)鍵能力，則默認(rèn)應(yīng)達(dá)到在3級(jí)的能力要求中該關(guān)鍵能力的內(nèi)容，依此類(lèi)推。能力成熟度等級(jí)評(píng)估參考方法，參見(jiàn)附錄A。能力成熟度等級(jí)評(píng)估流程和模型使用方法，參見(jiàn)附錄B。安全開(kāi)發(fā)過(guò)程維度安全開(kāi)發(fā)生命周期安全開(kāi)發(fā)生命周期分為以下6個(gè)階段：8安全部署/特定的軟件安全開(kāi)發(fā)所經(jīng)歷的生命周期由實(shí)際的業(yè)務(wù)所決定，可為完整的6個(gè)階段或是其中的幾個(gè)階段。安全開(kāi)發(fā)PA體系PA體系PA體系分為開(kāi)發(fā)生命周期安全過(guò)程和基礎(chǔ)安全過(guò)程兩部分，共包含19個(gè)PA，如圖2所示。圖2安全開(kāi)發(fā)PA體系開(kāi)發(fā)生命周期安全過(guò)程域包括以下6個(gè)過(guò)程：安全需求的3IT312/32。5。9編碼規(guī)則安全開(kāi)發(fā)PA編碼規(guī)則如下：01、02，...示例1：PA01，代表PA“安全開(kāi)發(fā)分類(lèi)分級(jí)”。BPBPBP的序號(hào)，具體BP的序號(hào)采用遞增的數(shù)值01，02，...示例2：BP.01.01表示，過(guò)程域PA01“安全開(kāi)發(fā)分類(lèi)分級(jí)”中的第一個(gè)BP。BP安全需求PA01PA描述等級(jí)描述1該等級(jí)的安全開(kāi)發(fā)能力描述如下：B01.02該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：組織建設(shè)：應(yīng)由開(kāi)發(fā)團(tuán)隊(duì)或項(xiàng)目管理團(tuán)隊(duì)人員負(fù)責(zé)相關(guān)系統(tǒng)和開(kāi)發(fā)項(xiàng)目的分類(lèi)分級(jí)B.0102（）B.10103該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B01.0B01.0（B01.；B.010技術(shù)工具：應(yīng)在所有開(kāi)發(fā)管理工具和安全開(kāi)發(fā)工具中體現(xiàn)開(kāi)發(fā)項(xiàng)目分類(lèi)分級(jí)信息（B01.0B01.04該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：技術(shù)工具：類(lèi)分級(jí)結(jié)果之間的差異，定期分析改進(jìn)分類(lèi)分級(jí)標(biāo)識(shí)工具，提升工具處理的準(zhǔn)確度B.0110B01.15該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B01.1B.011。PA02PA描述11等級(jí)描述等級(jí)1：非正式執(zhí)行該等級(jí)的安全開(kāi)發(fā)能力描述如下：組織建設(shè)：組織未建立成熟的威脅建模方法論，在安全需求階段僅憑個(gè)人經(jīng)驗(yàn)由安全B02.0。等級(jí)2：計(jì)劃跟蹤該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.020；B.0203。等級(jí)3：充分定義B.020；B.2.0；.02.0；B.020。等級(jí)4：量化控制該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：無(wú)進(jìn)一步要求。等級(jí)5：持續(xù)優(yōu)化該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：技術(shù)方案：在業(yè)界分享相關(guān)威脅建模的方法論和工具最佳實(shí)踐，成為行業(yè)標(biāo)桿B02.0。12PA03PA描述等級(jí)描述1該等級(jí)的安全開(kāi)發(fā)能力描述如下：組織建設(shè)：未建立成熟穩(wěn)定的安全需求分析機(jī)制，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)驗(yàn)對(duì)B03.0。2該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B03.0；B.030。3該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：求分析階段開(kāi)展安全需求分析工作，確保安全需求的有效制定和規(guī)范化表達(dá)（B03.0。應(yīng)明確安全需求分析的流程和評(píng)審機(jī)制，明確安全需求文檔內(nèi)容要求（B03.0；B.030；應(yīng)識(shí)別軟件或應(yīng)用系統(tǒng)軟件面臨的潛在威脅和自身潛在脆弱性，分析安全風(fēng)B.030。目的安全需求分析結(jié)果，以保證對(duì)所有的安全需求分析過(guò)程的有效追溯（B03.0；13B03.0。理有充分的理解，并通過(guò)培訓(xùn)實(shí)現(xiàn)各業(yè)務(wù)的需求分析人員對(duì)安全需求分析標(biāo)準(zhǔn)的B.031。4該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.3.；B.31。5該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.031；力B.0314。安全設(shè)計(jì)PA04IT架構(gòu)安全PA描述在設(shè)計(jì)IT架構(gòu)時(shí)，從宏觀層面設(shè)計(jì)系統(tǒng)的高可用架構(gòu)、加解密架構(gòu)、訪問(wèn)控制架構(gòu)、通訊安全架構(gòu)等安全內(nèi)容，從而保證系統(tǒng)架構(gòu)層面的安全性。等級(jí)描述1該等級(jí)的安全開(kāi)發(fā)能力描述如下：（B04.0214該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.040；B04.0。3該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：（B04.0；B.0405；B04.0；B.40。4該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：無(wú)進(jìn)一步要求。5該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.040PA05PA描述為實(shí)現(xiàn)安全需求，建立對(duì)應(yīng)的安全設(shè)計(jì)，保證組織內(nèi)業(yè)務(wù)的安全需求實(shí)現(xiàn)的質(zhì)量。等級(jí)描述1該等級(jí)的安全開(kāi)發(fā)能力描述如下：組織建設(shè)：組織未建立成熟穩(wěn)定的安全設(shè)計(jì)機(jī)制，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)驗(yàn)對(duì)B05.0152該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：（B05.0；B.0503。3該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.0504。B05.0；（B05.0。應(yīng)建立安全設(shè)計(jì)管理系統(tǒng)，該系統(tǒng)記錄所有項(xiàng)目的安全設(shè)計(jì)結(jié)果，以保證對(duì)B.050；能夠建立組織的安全設(shè)計(jì)標(biāo)準(zhǔn)方案庫(kù)，并建立安全需求與安全設(shè)計(jì)的自動(dòng)關(guān)聯(lián)性B05.0。用，以及通過(guò)培訓(xùn)實(shí)現(xiàn)各業(yè)務(wù)的安全設(shè)計(jì)人員對(duì)安全設(shè)計(jì)標(biāo)準(zhǔn)的一致性理解（B05.0。4該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：（B05.15該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：（B05.；人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)具有應(yīng)對(duì)新技術(shù)新場(chǎng)景的安全設(shè)計(jì)能力16（B05.1。PA06PA描述在設(shè)計(jì)階段對(duì)第三方組件的引入、使用進(jìn)行安全管理，保證第三方組件的安全性。等級(jí)描述1該等級(jí)的安全開(kāi)發(fā)能力描述如下：.06.0。2該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B06.0；B.6.0。3該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：組織建設(shè)：組織應(yīng)設(shè)立第三方組件安全管理的崗位和人員，負(fù)責(zé)制定相關(guān)的第三B06.0。B.060；B.060。B.60；B.060。17（B06.0。4該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B06.1；B.06。5該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.6.1安全編碼PA07PA描述等級(jí)描述1該等級(jí)的安全開(kāi)發(fā)能力描述如下：（B07.02該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：.07.0；18制度流程：在重要軟件和重要應(yīng)用系統(tǒng)建設(shè)中應(yīng)將代碼安全管控作為必要的環(huán)節(jié)（B07.0。3該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.7.0。應(yīng)明確編碼安全的技術(shù)規(guī)范，編寫(xiě)編碼安全指南指導(dǎo)開(kāi)發(fā)團(tuán)隊(duì)安全編碼（B07.0；審機(jī)制，利用內(nèi)部交叉檢查、外部代碼審計(jì)等常規(guī)手段進(jìn)行安全編碼管控（B07.0。B07.0B.070。4該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.070。5該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：技術(shù)工具：B.0710考慮通過(guò)部分安全組件代碼開(kāi)源方式，在業(yè)界分享最佳實(shí)踐，成為行業(yè)標(biāo)桿（B07.安全測(cè)試PA0819PA描述等級(jí)描述等級(jí)1：非正式執(zhí)行該等級(jí)的安全開(kāi)發(fā)能力描述如下：組織建設(shè)：組織未建立成熟穩(wěn)定的代碼安全檢測(cè)手段，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)B.080。等級(jí)2：計(jì)劃跟蹤該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.8.0；B.080。等級(jí)3：充分定義該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：組織建設(shè)：組織應(yīng)設(shè)立負(fù)責(zé)代碼安全檢測(cè)崗位和人員，負(fù)責(zé)制定統(tǒng)一的代碼安全B08.0。應(yīng)明確對(duì)代碼安全檢測(cè)的內(nèi)容以及技術(shù)規(guī)范，明確代碼安全評(píng)審的要求（B08.0；B.080。應(yīng)采用自動(dòng)和人工審計(jì)相結(jié)合的方法或手段對(duì)代碼進(jìn)行靜態(tài)代碼安全檢測(cè)（ATB.8.0；對(duì)于WEB（IAST）（B08.0。B08.0。等級(jí)4：量化控制20該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：.08.1；B08.。等級(jí)5：持續(xù)優(yōu)化該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B08.1。PA09PA描述等級(jí)描述1該等級(jí)的安全開(kāi)發(fā)能力描述如下：B.090。2該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：.09.0；B.090；B.9.0。3該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：21B.090。.09.0；B.090；應(yīng)明確模擬攻擊測(cè)試的安全評(píng)審的要求，包括清晰的安全質(zhì)量通過(guò)標(biāo)準(zhǔn)（B09.0。B09.0；.09.1；B.09。B.01。4該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.0915該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.091；B.091。安全部署/發(fā)布PA10PA22等級(jí)描述1該等級(jí)的安全開(kāi)發(fā)能力描述如下：組織建設(shè)：未在組織建立成熟穩(wěn)定的配置安全管理，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)驗(yàn)B.100。2該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B10.0；制度流程：應(yīng)明確重要軟件發(fā)布或重要應(yīng)用系統(tǒng)軟件部署的安全配置和審核流程（B10.0；B.0.0。3該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.00B.100；B.00；應(yīng)審核配置方案中的配置項(xiàng)完整性，防止配置缺失而影響系統(tǒng)安全性（B10.0。技術(shù)工具：應(yīng)在發(fā)布/B10.0B.0.14該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：無(wú)進(jìn)一步要求。235該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：無(wú)進(jìn)一步要求。PA11/PA描述等級(jí)描述等級(jí)1：非正式執(zhí)行該等級(jí)的安全開(kāi)發(fā)能力描述如下：組織建設(shè)：組織未建立成熟穩(wěn)定的軟件/B101。等級(jí)2：計(jì)劃跟蹤該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：組織建設(shè)：應(yīng)由開(kāi)發(fā)團(tuán)隊(duì)或運(yùn)維團(tuán)隊(duì)相關(guān)人員負(fù)責(zé)對(duì)應(yīng)用實(shí)施應(yīng)用自我防御加固（B1.；制度流程：重要軟件和重要應(yīng)用系統(tǒng)開(kāi)發(fā)應(yīng)建立明確的軟件/案B.1.03。等級(jí)3：充分定義該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B1.4。B1.5；B.1.06。APB1.024/B..0。等級(jí)4：量化控制該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)充分了解軟件/（B1.。等級(jí)5：持續(xù)優(yōu)化該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B11。PA12PA描述等級(jí)描述等級(jí)1：非正式執(zhí)行該等級(jí)的安全開(kāi)發(fā)能力描述如下：B.120。等級(jí)2：計(jì)劃跟蹤該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：組織建設(shè)：應(yīng)由開(kāi)發(fā)團(tuán)隊(duì)或運(yùn)維團(tuán)隊(duì)的相關(guān)人員負(fù)責(zé)軟件發(fā)布安全控制（B12.0；B12.03；人員能力：負(fù)責(zé)軟件發(fā)布安全工作的人員應(yīng)基本理解軟件安全發(fā)布的要求（B12.0。25等級(jí)3：充分定義該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：.12.0B12.0；B.1207；B.1208；應(yīng)審核發(fā)布方案中的配置項(xiàng)完整性，保證充分利用發(fā)布渠道的安全機(jī)制（B12.0。B.1210B12.1等級(jí)4：量化控制該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：無(wú)進(jìn)一步要求。等級(jí)5：持續(xù)優(yōu)化該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：無(wú)進(jìn)一步要求。安全運(yùn)維PA13PA描述建立針對(duì)已發(fā)布的軟件或已部署的應(yīng)用系統(tǒng)軟件的應(yīng)急響應(yīng)體系，對(duì)各類(lèi)安全事件進(jìn)行及時(shí)響應(yīng)和處置。26等級(jí)描述等級(jí)1：非正式執(zhí)行該等級(jí)的安全開(kāi)發(fā)能力描述如下：組織建設(shè)：未在組織建立成熟穩(wěn)定的應(yīng)急響應(yīng)機(jī)制，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)驗(yàn)B13.0。等級(jí)2：計(jì)劃跟蹤該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B13.02；B13.03。等級(jí)3：充分定義該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：組織建設(shè)：組織應(yīng)設(shè)立專職負(fù)責(zé)安全事件管理和應(yīng)急響應(yīng)的崗位和人員（B13.0。B.130；（B13.0。B.30。B13.0。等級(jí)4：量化控制該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：.13.0。等級(jí)5：持續(xù)優(yōu)化27該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.3.1。PA14PA等級(jí)描述1該等級(jí)的安全開(kāi)發(fā)能力描述如下：組織建設(shè)：組織未建立成熟穩(wěn)定的安全持續(xù)保障機(jī)制，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)B14.01。2該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：和B.140B.140。3該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：組織建設(shè)：組織內(nèi)應(yīng)設(shè)立負(fù)責(zé)安全持續(xù)保障的崗位和人員，負(fù)責(zé)安全持續(xù)保障制B.140B.1405B.4028B.4.0作的前提下，檢測(cè)主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件系統(tǒng)等的安全性（B14.0；B.140；應(yīng)有對(duì)已發(fā)布軟件或已部署應(yīng)用系統(tǒng)軟件的漏洞和安全脆弱性進(jìn)行管理的系（B.14.B14.。4該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.141；（B14.1。5該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B14.1。基礎(chǔ)安全PA15PA描述組織應(yīng)通過(guò)傳授安全意識(shí)和技能來(lái)提高組織和人員的安全意識(shí)和防范能力，培訓(xùn)的內(nèi)容包括國(guó)家最新的安全政策和法規(guī)，近期重大軟件安全事件，新的安全管理制度和監(jiān)督機(jī)等級(jí)描述等級(jí)1：非正式執(zhí)行29該等級(jí)的安全開(kāi)發(fā)能力描述如下：組織建設(shè)：組織未在任何部門(mén)中設(shè)立固定的安全意識(shí)和技能培訓(xùn)人員，僅根據(jù)團(tuán)隊(duì)個(gè)人的經(jīng)驗(yàn)水平傳授安全意識(shí)和技能的相關(guān)知識(shí)，由個(gè)別人員臨時(shí)承擔(dān)了安全培訓(xùn)的工作B15.0。等級(jí)2：計(jì)劃跟蹤該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：應(yīng)由相關(guān)業(yè)務(wù)部門(mén)人員負(fù)責(zé)完成人力資源管理策略中的安全培訓(xùn)要求（B15.0；（B15.0。B.150；B.150。B.150。等級(jí)3：充分定義該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.150；（）B15.0。（B15.0；組織對(duì)重要崗位人員的安全開(kāi)發(fā)培訓(xùn)計(jì)劃需要具備吸收外部資源在開(kāi)發(fā)安全B.151；B15.；30B15.1。B.151B.1514等級(jí)4：量化控制該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：組織建設(shè)：B15.15B.151等級(jí)5：持續(xù)優(yōu)化該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.151。PA16PA通過(guò)建立組織內(nèi)部負(fù)責(zé)安全開(kāi)發(fā)工作的職能部門(mén)及崗位，以及對(duì)人力資源管理過(guò)程中各環(huán)節(jié)進(jìn)行安全管理，防范組織和人員管理過(guò)程中存在的安全開(kāi)發(fā)風(fēng)險(xiǎn)。等級(jí)描述1該等級(jí)的安全開(kāi)發(fā)能力描述如下：組織建設(shè)：組織未在任何部門(mén)中設(shè)立固定的安全開(kāi)發(fā)管理人員，僅根據(jù)臨時(shí)需求或基B.160。312該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.1602；B.60。.16.0；B16.0。（B16.0。3該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.160；（B16.0；B.6.0；/B.6.1；B16.。（B16.1；B16.1；（B16.1；應(yīng)明確重要崗位人員的安全開(kāi)發(fā)培訓(xùn)計(jì)劃，并在重要崗位轉(zhuǎn)崗、崗位升級(jí)等32（B16.1。技術(shù)工具：應(yīng)通過(guò)技術(shù)工具自動(dòng)化實(shí)現(xiàn)安全開(kāi)發(fā)相關(guān)的人力資源管理流程（B16.1B.6.1；（B16.1。4該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：組織建設(shè)：B.161B.162等級(jí)5：持續(xù)優(yōu)化該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：化B.1621；B16.2。PA17PA描述跟進(jìn)組織需符合的法律法規(guī)和行業(yè)監(jiān)管要求，以保證組織業(yè)務(wù)的發(fā)展不會(huì)面臨合規(guī)風(fēng)險(xiǎn)。等級(jí)描述等級(jí)1：非正式執(zhí)行該等級(jí)的安全開(kāi)發(fā)能力描述如下：33組織建設(shè)：未在組織建立成熟穩(wěn)定的安全開(kāi)發(fā)合規(guī)工作，僅根據(jù)臨時(shí)需求或基于個(gè)人B.70。等級(jí)2：計(jì)劃跟蹤該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.170；B.70；B.7.0。等級(jí)3：充分定義該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：組織建設(shè)：應(yīng)在組織層面設(shè)立了專職負(fù)責(zé)安全開(kāi)發(fā)合規(guī)的崗位和人員，負(fù)責(zé)明確B17.05。規(guī)要求動(dòng)態(tài)對(duì)該清單進(jìn)行更新，同時(shí)將其拆分發(fā)送給相關(guān)方以進(jìn)行宣貫（B17.0；措施B17.0。求B.1708人員能力：負(fù)責(zé)該項(xiàng)過(guò)程的人員應(yīng)具備對(duì)安全開(kāi)發(fā)合規(guī)要求的解讀和分析能力（B17.0。等級(jí)4：量化控制該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：（B17.1等級(jí)5：持續(xù)優(yōu)化34該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：組織建設(shè)：應(yīng)設(shè)置專門(mén)的合規(guī)崗位，該崗位負(fù)責(zé)與監(jiān)管機(jī)構(gòu)對(duì)接，跟進(jìn)監(jiān)管機(jī)構(gòu)的合B17.。PA18PA描述等級(jí)描述等級(jí)1：非正式執(zhí)行該等級(jí)的安全開(kāi)發(fā)能力描述如下：B18.0。等級(jí)2：計(jì)劃跟蹤該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B18.0。B.180；B.180。B.180。等級(jí)3：充分定義該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B.180。.18.0；應(yīng)明確開(kāi)發(fā)測(cè)試環(huán)境與其他環(huán)境的數(shù)據(jù)、文件、代碼導(dǎo)入、導(dǎo)出的管理制度（B18.0；B.180；35B.181。應(yīng)通過(guò)技術(shù)工具實(shí)現(xiàn)開(kāi)發(fā)測(cè)試環(huán)境與其他網(wǎng)絡(luò)的邏輯隔離或物理隔離（B18.；B18.1；（B18.1；B.81。B18.1。等級(jí)4：量化控制該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B18.1等級(jí)5：持續(xù)優(yōu)化該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：無(wú)進(jìn)一步要求。PA19PA描述通過(guò)建立針對(duì)組織軟件資產(chǎn)的有效管理手段，實(shí)現(xiàn)統(tǒng)一的管理要求。等級(jí)描述等級(jí)1：非正式執(zhí)行該等級(jí)的安全開(kāi)發(fā)能力描述如下：B19.01。等級(jí)2：計(jì)劃跟蹤該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：36（B19.0；B.190B19.0等級(jí)3：充分定義該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：B19.05。B.190；B.190；B.190。應(yīng)通過(guò)技術(shù)工具執(zhí)行軟件資產(chǎn)的登記，實(shí)現(xiàn)對(duì)軟件資產(chǎn)的自動(dòng)屬性標(biāo)識(shí)（B19.0；應(yīng)建立軟件資產(chǎn)版本變更管理工具，并能夠及時(shí)更新軟件資產(chǎn)版本相關(guān)信息（B19.1；B.9.。（B19.1。等級(jí)4：量化控制該等級(jí)的安全開(kāi)發(fā)能力要求描述如下：技術(shù)工具：應(yīng)能統(tǒng)計(jì)軟件資產(chǎn)的風(fēng)險(xiǎn)情況，合規(guī)情況，支持軟件資產(chǎn)管理的調(diào)整B19.1等級(jí)5：持續(xù)