可信研發(fā)運(yùn)營(yíng)安全能力成熟度水位圖報(bào)告

目 錄一、整概述 1（一）全研勢(shì)嚴(yán)峻影響遠(yuǎn) 1（二）全左為業(yè)界態(tài) 3（三）發(fā)運(yùn)全能力為企心競(jìng)爭(zhēng)之一 4（四）國(guó)信建立研運(yùn)營(yíng)標(biāo)準(zhǔn)體，持展評(píng)估工作 二、TSM可研運(yùn)營(yíng)安能力度水位圖 8（一）TSM位要素分五大十七類項(xiàng) 8（二）10（三）業(yè)安理工作進(jìn)應(yīng)四方面點(diǎn) 16（四）TSM位助力企明確現(xiàn)狀，善改劃 20三、TSM水圖項(xiàng)活動(dòng)解 25（一）系（System） 25（二）求（Requirements） 29（三）計(jì)（Design） 34（四）制（Control） 36（五）據(jù)（Data） 42四、下步工劃 44圖目錄圖12022漏洞響對(duì)象比圖 2圖2新型發(fā)運(yùn)安全體系 4圖3不同復(fù)階的修復(fù)本 5圖4可信發(fā)運(yùn)安全能模型 6圖5TSM可研運(yùn)營(yíng)安能力度水位型圖 10圖6TSM可研運(yùn)營(yíng)安能力度水位圖 14圖7示例業(yè)TSM可信研運(yùn)營(yíng)全能力熟度對(duì)比圖 21表目錄表1TSM可研運(yùn)營(yíng)安能力度水位要素 8表2TSM可研運(yùn)營(yíng)安能力度企業(yè)體得分 表3TSM可研運(yùn)營(yíng)安能力度示例業(yè)得分 22一、整體概述（一）安全研發(fā)態(tài)勢(shì)嚴(yán)峻，影響深遠(yuǎn)DevOpsSplunk《2022年全全球軟件漏洞安全事件頻發(fā)，對(duì)國(guó)家社會(huì)安全構(gòu)成嚴(yán)峻挑戰(zhàn)。222P發(fā)現(xiàn)其N（C-20223260軟件應(yīng)用服務(wù)自身安全漏洞被黑客利用攻擊是是安全事件頻發(fā)Gartner92%27%。2023DataBreachInvestigationsReport20212022600080%，其中50%2022年2022173%來(lái)源：H3C，2022年網(wǎng)絡(luò)安全漏洞態(tài)勢(shì)報(bào)告，2023年3月圖12022年漏洞影響對(duì)象占比圖20228Synopsys350IT45%36%團(tuán)隊(duì)缺乏一致性安全流程，35%的版本部署到生產(chǎn)環(huán)境時(shí)存在漏洞，32%（二）安全左移成為業(yè)界常態(tài)2DeepInstinct《網(wǎng)絡(luò)832,50082%18%圖2新型研發(fā)運(yùn)營(yíng)安全體系（三）研發(fā)運(yùn)營(yíng)安全能力成為企業(yè)核心競(jìng)爭(zhēng)力之一30倍。具3IBMHP3050倍Fortify100來(lái)源：美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）圖3不同修復(fù)階段的修復(fù)成本（四）中國(guó)信通院建立研發(fā)運(yùn)營(yíng)安全標(biāo)準(zhǔn)體系，持續(xù)開展評(píng)估工作20194。來(lái)源：中國(guó)信息通信研究院圖4可信研發(fā)運(yùn)營(yíng)安全能力模型TSM9個(gè)子域，38企二、TSM可信研發(fā)運(yùn)營(yíng)安全能力成熟度水位圖（一）TSM水位圖要素分為五大領(lǐng)域十七類子項(xiàng)TSM5175171）2）制度10）安全需求分析、安全設(shè)計(jì)、12）開源治理、13）安全編碼、14）安全測(cè)試、15）安全發(fā)布、16）安全監(jiān)控運(yùn)營(yíng)、17）安全數(shù)據(jù)管理，具體如表1所示。表1TSM可信研發(fā)運(yùn)營(yíng)安全能力成熟度水位圖要素領(lǐng)域序號(hào)指標(biāo)英文縮寫體系（System）1安全組織SO2制度流程RP3培訓(xùn)賦能TE4標(biāo)準(zhǔn)規(guī)范SS要求（Requirements）5安全門限要求STR6身份與訪問管理IAM7安全審計(jì)SA8環(huán)境安全ES9變更升級(jí)和配置管理CCM設(shè)計(jì)（Design）10安全需求分析SRA11安全設(shè)計(jì)SD控制（Control）12開源治理OG13安全編碼SC14安全測(cè)試ST15安全發(fā)布SR16安全監(jiān)控運(yùn)營(yíng)SMO數(shù)據(jù)（Data）17安全數(shù)據(jù)管理SDM來(lái)源：中國(guó)信息通信研究院其中體系要求控制17目前企業(yè)評(píng)估水位圖情況結(jié)果使用蛛網(wǎng)圖進(jìn)行表示，具有17根5517根軸線代表TSM1750-10來(lái)源：中國(guó)信息通信研究院圖5TSM可信研發(fā)運(yùn)營(yíng)安全能力成熟度水位模型圖（二）開源治理與安全數(shù)據(jù)管理為目前企業(yè)安全體系建設(shè)短板26TSM2所示。表2TSM可信研發(fā)運(yùn)營(yíng)安全能力成熟度企業(yè)總體得分體系（System）安全組織考察項(xiàng)企業(yè)得分考察項(xiàng)企業(yè)得分[SO1.1-Ⅰ]26[SO1.2-Ⅱ]16[SO1.3-Ⅱ]16[SO1.4-Ⅱ]16[SO1.5-Ⅱ]16制度流程[RP2.1-Ⅰ]18[RP2.2-Ⅰ]22[RP2.3-Ⅰ]26[RP2.4-Ⅰ]23[RP2.5-Ⅰ]25[RP2.6-Ⅱ]16[RP2.7-Ⅱ]15培訓(xùn)賦能[TE3.1-Ⅰ]26[TE3.2-Ⅰ]26[TE3.3-Ⅰ]26[TE3.4-Ⅰ]26[TE3.5-Ⅱ]14[TE3.6-Ⅱ]16[TE3.7-Ⅱ]13標(biāo)準(zhǔn)規(guī)范[SS4.1-Ⅰ]26[SS4.2-Ⅰ]25[SS4.3-Ⅰ]26[SS4.4-Ⅱ]14[SS4.5-Ⅱ]16[SS4.6-Ⅱ]15[SS4.7-Ⅱ]26要求（Requirements）安全門限要求[STR5.1-Ⅰ]22[STR5.2-Ⅱ]14[STR5.3-Ⅱ]16身份與訪問管理[IAM6.1-Ⅰ]26[IAM6.2-Ⅰ]26[IAM6.3-Ⅰ]26[IAM6.4-Ⅰ]25[IAM6.5-Ⅰ]26[IAM6.6-Ⅱ]15[IAM6.7-Ⅱ]12安全審計(jì)[SA7.1-Ⅰ]26[SA7.1-Ⅰ]26[SA7.3-Ⅱ]12[SA7.4-Ⅱ]15[SA7.5-Ⅱ]15環(huán)境安全[ES8.1-Ⅰ]25[ES8.2-Ⅰ]23[ES8.3-Ⅰ]26[ES8.4-Ⅰ]25[ES8.5-Ⅰ]26[ES8.6-Ⅱ]15[ES8.7-Ⅱ]15[ES8.8-Ⅱ]13變更升級(jí)和配置管理[CCM9.1-Ⅰ]26[CCM9.2-Ⅰ]26[CCM9.3-Ⅰ]24[CCM9.4-Ⅰ]26[CCM9.5-Ⅰ]24[CCM9.6-Ⅰ]24[CCM9.7-Ⅰ]24[CCM9.8-Ⅰ]23[CCM9.9-Ⅱ]16[CCM9.10-Ⅱ]14[CCM9.11-Ⅱ]16[CCM9.12-Ⅱ]15[CCM9.13-Ⅱ]7[CCM9.14-Ⅱ]12設(shè)計(jì)（Design）安全需求分析[SRA10.1-Ⅰ]21[SRA10.2-Ⅰ]22[SRA10.3-Ⅱ]14[SRA10.4-Ⅱ]16[SRA10.5-Ⅱ]23安全設(shè)計(jì)[SD11.1-Ⅰ]25[SD11.2-Ⅰ]24[SD11.3-Ⅰ]23[SD11.4-Ⅰ]24[SD11.5-Ⅰ]24[SD11.6-Ⅱ]14[SD11.7-Ⅱ]13[SD11.8-Ⅱ]14[SD11.9-Ⅱ]15[SD11.10-Ⅱ]15[SD11.11-Ⅱ]11[SD11.12-Ⅱ]11控制（Control）開源治理[OG12.1-Ⅰ]22[OG12.2-Ⅰ]24[OG12.3-Ⅱ]17[OG12.4-Ⅱ]11[OG12.5-Ⅱ]13[OG12.6-Ⅱ]13[OG12.7-Ⅱ]15[OG12.8-Ⅱ]8[OG12.9-Ⅱ]15[OG12.10-Ⅱ]14[OG12.11-Ⅱ]14[OG12.12-Ⅱ]16安全編碼[SC13.1-Ⅰ]26[SC13.2-Ⅰ]24[SC13.3-Ⅰ]26[SC13.4-Ⅰ]26[SC13.5-Ⅰ]25[SC13.6-Ⅱ]11[SC13.7-Ⅱ]13[SxC13.8-Ⅱ]15安全測(cè)試[ST14.1-Ⅰ]26[ST14.2-Ⅰ]24[ST14.3-Ⅰ]24[ST14.4-Ⅰ]23[ST14.5-Ⅰ]26[ST14.6-Ⅰ]25[ST14.7-Ⅱ]15[ST14.8-Ⅱ]14[ST14.9-Ⅱ]16[ST14.10-Ⅱ]9[ST14.11-Ⅱ]15安全發(fā)布[SR15.1-Ⅰ]24[SR15.2-Ⅰ]26[SR15.3-Ⅰ]26[SR15.4-Ⅰ]26[SR15.5-Ⅱ]16[SR15.6-Ⅱ]12[SR15.7-Ⅱ]13[SR15.8-Ⅱ]13[SR15.9-Ⅱ]12安全監(jiān)控運(yùn)營(yíng)[SMO16.1-Ⅰ]17[SMO16.2-Ⅰ]19[SMO16.3-Ⅰ]24[SMO16.4-Ⅰ]23[SMO16.5-Ⅰ]26[SMO16.6-Ⅰ]24[SMO16.7-Ⅰ]26[SMO16.8-Ⅱ]13[SMO16.9-Ⅱ]10[SMO16.10-Ⅱ]10數(shù)據(jù)（Data）安全數(shù)據(jù)管理[SDM17.1-Ⅰ]22[SDM17.2-Ⅰ]25[SDM17.3-Ⅰ]20[SDM17.4-Ⅱ]14[SDM17.5-Ⅱ]11[SDM17.6-Ⅱ]12[SDM17.7-Ⅱ]15[SDM17.8-Ⅱ]14[SDM17.9-Ⅱ]9[SDM17.10-Ⅱ]6果在蛛網(wǎng)圖中進(jìn)行表示，最終形成目前TSM可信研發(fā)運(yùn)營(yíng)安全能力成熟度評(píng)估整體水位圖，如下圖6所示。來(lái)源：中國(guó)信息通信研究院圖6TSM可信研發(fā)運(yùn)營(yíng)安全能力成熟度水位圖TSM105.83和5.69108.578.08（三）企業(yè)安全管理工作推進(jìn)應(yīng)關(guān)注四方面重點(diǎn)26家企業(yè)TSM自上而下推動(dòng)安全工作建立調(diào)度及協(xié)作流程，協(xié)調(diào)人員與資源，規(guī)范人員操作改進(jìn)的機(jī)制是安全體系長(zhǎng)期穩(wěn)定運(yùn)行的基礎(chǔ)。有研發(fā)流程構(gòu)建研發(fā)運(yùn)營(yíng)安全工具平臺(tái)與工具鏈?zhǔn)强尚叛邪l(fā)運(yùn)營(yíng)安全體系/持續(xù)部署（CI/CD）一個(gè)學(xué)習(xí)型的安全文化，使得研發(fā)人員更主動(dòng)地參與到安全工作中。進(jìn)行數(shù)據(jù)反饋，形成安全閉環(huán)，不斷優(yōu)化流程實(shí)踐（四）TSM水位圖助力企業(yè)明確安全現(xiàn)狀，完善改進(jìn)計(jì)劃TSMTSM可信TSM評(píng)估來(lái)源：中國(guó)信息通信研究院圖7示例企業(yè)TSM可信研發(fā)運(yùn)營(yíng)安全能力成熟度水位對(duì)比圖圖7為一個(gè)示例企業(yè)與增強(qiáng)級(jí)平均水位圖的對(duì)比，從圖中我們可業(yè)得分情況分布見表3，供讀者參考。表3TSM可信研發(fā)運(yùn)營(yíng)安全能力成熟度示例企業(yè)得分體系（System）安全組織考察項(xiàng)企業(yè)得分示例企業(yè)考察項(xiàng)企業(yè)得分示例企業(yè)[SO1.1-Ⅰ]261[SO1.2-Ⅱ]161[SO1.3-Ⅱ]161[SO1.4-Ⅱ]161[SO1.5-Ⅱ]161制度流程[RP2.1-Ⅰ]181[RP2.2-Ⅰ]221[RP2.3-Ⅰ]261[RP2.4-Ⅰ]231[RP2.5-Ⅰ]250[RP2.6-Ⅱ]161[RP2.7-Ⅱ]151培訓(xùn)賦能[TE3.1-Ⅰ]261[TE3.2-Ⅰ]261[TE3.3-Ⅰ]261[TE3.4-Ⅰ]261[TE3.5-Ⅱ]141[TE3.6-Ⅱ]161[TE3.7-Ⅱ]130標(biāo)準(zhǔn)規(guī)范[SS4.1-Ⅰ]261[SS4.2-Ⅰ]251[SS4.3-Ⅰ]261[SS4.4-Ⅱ]140[SS4.5-Ⅱ]161[SS4.6-Ⅱ]151[SS4.7-Ⅱ]2611要求（Requirements）安全門限[STR5.1-Ⅰ]221[STR5.2-Ⅱ]141要求[STR5.3-Ⅱ]161身份與訪問管理[IAM6.1-Ⅰ]261[IAM6.2-Ⅰ]261[IAM6.3-Ⅰ]261[IAM6.4-Ⅰ]251[IAM6.5-Ⅰ]261[IAM6.6-Ⅱ]151[IAM6.7-Ⅱ]121安全審計(jì)[SA7.1-Ⅰ]261[SA7.1-Ⅰ]261[SA7.3-Ⅱ]121[SA7.4-Ⅱ]151[SA7.5-Ⅱ]151環(huán)境安全[ES8.1-Ⅰ]251[ES8.2-Ⅰ]231[ES8.3-Ⅰ]261[ES8.4-Ⅰ]251[ES8.5-Ⅰ]261[ES8.6-Ⅱ]151[ES8.7-Ⅱ]151[ES8.8-Ⅱ]131變更升級(jí)和配置管理[CCM9.1-Ⅰ]261[CCM9.2-Ⅰ]261[CCM9.3-Ⅰ]241[CCM9.4-Ⅰ]260[CCM9.5-Ⅰ]240[CCM9.6-Ⅰ]241[CCM9.7-Ⅰ]241[CCM9.8-Ⅰ]231[CCM9.9-Ⅱ]161[CCM9.10-Ⅱ]141[CCM9.11-Ⅱ]160[CCM9.12-Ⅱ]151[CCM9.13-Ⅱ]70[CCM9.14-Ⅱ]121設(shè)計(jì)（Design）安全需求分析[SRA10.1-Ⅰ]211[SRA10.2-Ⅰ]221[SRA10.3-Ⅱ]140[SRA10.4-Ⅱ]161[SRA10.5-Ⅱ]231安全設(shè)計(jì)[SD11.1-Ⅰ]251[SD11.2-Ⅰ]241[SD11.3-Ⅰ]231[SD11.4-Ⅰ]240[SD11.5-Ⅰ]240[SD11.6-Ⅱ]140[SD11.7-Ⅱ]131[SD11.8-Ⅱ]141[SD11.9-Ⅱ]151[SD11.10-Ⅱ]151[SD11.11-Ⅱ]111[SD11.12-Ⅱ]111控制（Control）開源治理[OG12.1-Ⅰ]221[OG12.2-Ⅰ]241[OG12.3-Ⅱ]171[OG12.4-Ⅱ]111[OG12.5-Ⅱ]131[OG12.6-Ⅱ]130[OG12.7-Ⅱ]151[OG12.8-Ⅱ]81[OG12.9-Ⅱ]151[OG12.10-Ⅱ]141[OG12.11-Ⅱ]141[OG12.12-Ⅱ]161安全編碼[SC13.1-Ⅰ]261[SC13.2-Ⅰ]241[SC13.3-Ⅰ]261[SC13.4-Ⅰ]261[SC13.5-Ⅰ]251[SC13.6-Ⅱ]111[SC13.7-Ⅱ]131[SC13.8-Ⅱ]151安全測(cè)試[ST14.1-Ⅰ]261[ST14.2-Ⅰ]241[ST14.3-Ⅰ]241[ST14.4-Ⅰ]231[ST14.5-Ⅰ]261[ST14.6-Ⅰ]251[ST14.7-Ⅱ]151[ST14.8-Ⅱ]141[ST14.9-Ⅱ]161[ST14.10-Ⅱ]90[ST14.11-Ⅱ]151安全發(fā)布[SR15.1-Ⅰ]241[SR15.2-Ⅰ]261[SR15.3-Ⅰ]261[SR15.4-Ⅰ]261[SR15.5-Ⅱ]161[SR15.6-Ⅱ]121[SR15.7-Ⅱ]131[SR15.8-Ⅱ]131[SR15.9-Ⅱ]121安全監(jiān)控運(yùn)營(yíng)[SMO16.1-Ⅰ]171[SMO16.2-Ⅰ]191[SMO16.3-Ⅰ]241[SMO16.4-Ⅰ]231[SMO16.5-Ⅰ]261[SMO16.6-Ⅰ]241[SMO16.7-Ⅰ]261[SMO16.8-Ⅱ]131[SMO16.9-Ⅱ]101[SMO16.10-Ⅱ]101數(shù)據(jù)（Data）安全數(shù)據(jù)管理[SDM17.1-Ⅰ]221[SDM17.2-Ⅰ]251[SDM17.3-Ⅰ]201[SDM17.4-Ⅱ]140[SDM17.5-Ⅱ]111[SDM17.6-Ⅱ]120[SDM17.7-Ⅱ]151[SDM17.8-Ⅱ]141[SDM17.9-Ⅱ]90[SDM17.10-Ⅱ]60來(lái)源：中國(guó)信息通信研究院三、TSM水位圖子項(xiàng)活動(dòng)詳解（一）體系（System）安全組織（SOSecurityOrganization）工作機(jī)制并持續(xù)更新完善，推動(dòng)研發(fā)運(yùn)營(yíng)安全的落地實(shí)施。考察指標(biāo)具體包括：[SO1.1-Ⅰ]有基本的安全管理組織，具有專職的安全人員與安全管理崗位。[SO1.2-Ⅱ]制定組織層面的網(wǎng)絡(luò)安全策略，并定義網(wǎng)絡(luò)安全目標(biāo)、原則、范圍。[SO1.3-Ⅱ]建立組織層面的安全組織，有明確的安全人員角色劃分，清晰的崗位職責(zé)、權(quán)利以及義務(wù)。[SO1.4-Ⅱ]有高級(jí)別的安全管理組織架構(gòu)，協(xié)調(diào)組織級(jí)的跨部門安全工作，包括但不限于首席安全官、產(chǎn)品安全應(yīng)急響應(yīng)團(tuán)隊(duì)、安全研發(fā)團(tuán)隊(duì)、環(huán)境安全管理組織等。[SO1.5-Ⅱ]具有安全管理架構(gòu)、安全人員管理的持續(xù)更新完善機(jī)制。制度流程RegulationsandProcess）制度流程主要考察企業(yè)在研發(fā)運(yùn)營(yíng)安全實(shí)踐中，制定相關(guān)的管制度流程主要考察企業(yè)在研發(fā)運(yùn)營(yíng)安全實(shí)踐中，制定相關(guān)的管理制度和操作流程，并具有相應(yīng)的平臺(tái)化的流程管理能力，保障各個(gè)環(huán)節(jié)都能夠被及時(shí)響應(yīng)，各項(xiàng)任務(wù)能夠被順利傳遞、銜接?？疾熘笜?biāo)具體包括：[RP2.1-Ⅰ][RP2.2-Ⅰ]2.4[RP2.3-Ⅰ]具有明確的應(yīng)急事件響應(yīng)流程和預(yù)先的事件響應(yīng)計(jì)2.5[RP2.4-Ⅰ]制定和實(shí)施安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，定期進(jìn)行安全測(cè)試與評(píng)估。2.6[RP2.5-Ⅰ]2.7[RP2.6-Ⅱ]具有統(tǒng)一的制度管理平臺(tái)和平臺(tái)化的流程管理系統(tǒng)。2.2[RP2.7-Ⅱ]2.3培訓(xùn)賦能（TETrainingandEmpower）培訓(xùn)賦能主要考察企業(yè)具備明確的安全相關(guān)培訓(xùn)管理辦法與實(shí)培訓(xùn)賦能主要考察企業(yè)具備明確的安全相關(guān)培訓(xùn)管理辦法與實(shí)施計(jì)劃，針對(duì)研發(fā)、測(cè)試、運(yùn)營(yíng)相關(guān)人員，組織安全相關(guān)安全培訓(xùn)，運(yùn)營(yíng)安全能力，并進(jìn)行相應(yīng)的考核管理?？疾熘笜?biāo)具體包括：[TE3.1-Ⅰ]有明確的安全相關(guān)培訓(xùn)管理辦法與實(shí)施計(jì)劃。[TE3.2-Ⅰ][TE3.3-Ⅰ]對(duì)于員工安全培訓(xùn)結(jié)果進(jìn)行考核登記。[TE3.4-Ⅰ]具有組織級(jí)層面安全考核，范圍包括但不限于新員工入職。[TE3.5-Ⅱ]定期對(duì)于研發(fā)、測(cè)試、運(yùn)營(yíng)人員進(jìn)行相關(guān)安全培訓(xùn)。[TE3.6-Ⅱ]按需提供個(gè)人培訓(xùn)，提供平臺(tái)進(jìn)行安全知識(shí)持續(xù)學(xué)習(xí)。[TE3.7-Ⅱ]安全考核范圍應(yīng)包括人員安全事故維度。標(biāo)準(zhǔn)規(guī)范（SS,StandardandSpecifications）標(biāo)準(zhǔn)規(guī)范主要考察企業(yè)有明確的安全研發(fā)全生命周期的制度文標(biāo)準(zhǔn)規(guī)范主要考察企業(yè)有明確的安全研發(fā)全生命周期的制度文通過(guò)統(tǒng)一的平臺(tái)進(jìn)行管理?？疾熘笜?biāo)具體包括：[SS4.1-Ⅰ][SS4.2-Ⅰ][SS4.3-Ⅰ]API[SS4.4-Ⅱ][SS4.5-Ⅱ]具有統(tǒng)一的平臺(tái)對(duì)于研發(fā)測(cè)試規(guī)范進(jìn)行管理。[SS4.6-Ⅱ]有明確的滲透測(cè)試計(jì)劃與管理機(jī)制，建立滲透測(cè)試流程。[SS4.7-Ⅱ]有相應(yīng)的發(fā)布安全流程與規(guī)范。（二）要求（Requirements）（STR,SecurityTresholdRequirements）前置。考察指標(biāo)具體包括：[STR5.1-Ⅰ]具有組織級(jí)或項(xiàng)目級(jí)安全門限要求。[STR5.2-Ⅱ]根據(jù)業(yè)務(wù)場(chǎng)景、產(chǎn)品類型設(shè)立安全門限要求。[STR5.3-Ⅱ]根據(jù)語(yǔ)言類型劃分安全門限要求?？兀_保人員以及研發(fā)運(yùn)營(yíng)資源的安全性。身份與訪問管理（IAM, Identity and控，確保人員以及研發(fā)運(yùn)營(yíng)資源的安全性?？疾熘笜?biāo)具體包括：[IAM6.1-Ⅰ]依據(jù)最小權(quán)限原則，通過(guò)用戶、角色、用戶組，建立資源、行為操作權(quán)限管控。[IAM6.2-Ⅰ]采用認(rèn)證機(jī)制保證訪問安全，包括但不限于配置強(qiáng)密碼策略等，同時(shí)及時(shí)為不需要權(quán)限的用戶或用戶組移除權(quán)限。[IAM6.3-Ⅰ]針對(duì)研發(fā)、測(cè)試環(huán)境具有明確的權(quán)限管控機(jī)制。[IAM6.4-Ⅰ][IAM6.5-Ⅰ]升級(jí)變更操作有明確的審批授權(quán)機(jī)制。[IAM6.6-Ⅱ]支持多因素認(rèn)證，保證訪問安全。[IAM6.7-Ⅱ]安全審計(jì)（SASecurityAudit）運(yùn)營(yíng)人員以及第三方合作商以及第三方合作人員的相關(guān)操作行為進(jìn)行監(jiān)控審計(jì)，同時(shí)對(duì)高危操作進(jìn)行重點(diǎn)審計(jì)，將審計(jì)記錄形成報(bào)表，溯性。考察指標(biāo)具體包括：[SA7.1-Ⅰ]審計(jì)范圍應(yīng)包括安全管理要求的落地情況以及研發(fā)、測(cè)試、運(yùn)營(yíng)相關(guān)人員的所有操作行為。[SA7.2-Ⅰ]安全審計(jì)日志完整詳細(xì)，同時(shí)對(duì)于審計(jì)記錄進(jìn)行保護(hù)，有效期內(nèi)避免非授權(quán)的訪問、篡改、覆蓋及刪除。[SA7.3-Ⅱ]定期對(duì)于第三方合作商以及第三方合作人員進(jìn)行安全審計(jì)。[SA7.4-Ⅱ]針對(duì)審計(jì)日志進(jìn)行自動(dòng)化與人工審計(jì)，對(duì)于審計(jì)記錄形成報(bào)表，方便查詢、統(tǒng)計(jì)與分析。[SA7.5-Ⅱ]對(duì)于高危操作進(jìn)行重點(diǎn)審計(jì)，進(jìn)行告警通知。環(huán)境安全（ES,EnvironmentSafety）的安全基線要求，定期執(zhí)行安全基線掃描保障環(huán)境的安全?？疾熘笜?biāo)具體包括：[ES8.1-Ⅰ]研發(fā)、測(cè)試、生產(chǎn)環(huán)境隔離。[ES8.2-Ⅰ][ES8.3-Ⅰ][ES8.4-Ⅰ]作。[ES8.5-Ⅰ]研發(fā)、測(cè)試、生產(chǎn)環(huán)境上的數(shù)據(jù)具備定期離線備份的能力。[ES8.6-Ⅱ]定期執(zhí)行生產(chǎn)環(huán)境的安全基線掃描，及時(shí)發(fā)現(xiàn)和處理安全風(fēng)險(xiǎn)。[ES8.7-Ⅱ]研發(fā)、生產(chǎn)環(huán)境具有良好的抗攻擊與災(zāi)備容錯(cuò)能力。[ES8.8-Ⅱ] （CCMChangeandConfigurationManagement）認(rèn)，確保產(chǎn)品交付信息的安全性、完整性、一致性及可追溯性?？疾熘笜?biāo)具體包括：[CCM9.1-Ⅰ]具有明確的進(jìn)行變更條件與變更執(zhí)行機(jī)制，變更[CCM9.2-Ⅰ]對(duì)于升級(jí)變更操作進(jìn)行統(tǒng)一管理，明確記錄操作[CCM9.3-Ⅰ]升級(jí)變更操作可以實(shí)現(xiàn)自動(dòng)化回滾，同時(shí)與版本系統(tǒng)同步，確保版本信息一致。[CCM9.4-Ⅰ]變更升級(jí)操作對(duì)于用戶無(wú)感知，對(duì)于用戶有影響[CCM9.5-Ⅰ]有明確的配置管理策略，包括但不限于配置項(xiàng)標(biāo)[CCM9.6-Ⅰ][CCM9.7-Ⅰ]對(duì)各配置項(xiàng)建立配置基線，對(duì)基線后的配置項(xiàng)變[CCM9.8-Ⅰ]具有明確的配置審計(jì)機(jī)制，包括但不限于配置項(xiàng)[CCM9.9-Ⅱ]對(duì)于變更請(qǐng)求進(jìn)行統(tǒng)一分析、整理，確定變更方案。[CCM9.10-Ⅱ]重大變更操作具有分級(jí)評(píng)審機(jī)制。[CCM9.11-Ⅱ]配置項(xiàng)具有回滾機(jī)制，所有的配置項(xiàng)都能通過(guò)回滾的方式還原到變更之前的狀態(tài)。[CCM9.12-Ⅱ]構(gòu)建要素、測(cè)試環(huán)境要素識(shí)別為配置項(xiàng)納入配置管理。[CCM9.13-Ⅱ]支持進(jìn)行自動(dòng)化配置審計(jì)。[CCM9.14-Ⅱ]項(xiàng)目依賴的自研模塊、平臺(tái)組件、開源源碼、開源二進(jìn)制、第三方軟件被準(zhǔn)確的定義和記錄。（三）設(shè)計(jì)（Design）（SRASecurityRequirementsAnalysis）安全需求分析指在系統(tǒng)或軟件的開發(fā)過(guò)程中明確定義和識(shí)別與安全需求分析指在系統(tǒng)或軟件的開發(fā)過(guò)程中明確定義和識(shí)別與戶隱私需求、行業(yè)安全標(biāo)準(zhǔn)、內(nèi)部安全標(biāo)準(zhǔn)等?？疾熘笜?biāo)具體包括：[SRA10.1-Ⅰ][SRA10.2-Ⅰ]針對(duì)涉及個(gè)人數(shù)據(jù)處理的服務(wù)產(chǎn)品及相關(guān)業(yè)務(wù)活動(dòng)梳理個(gè)人數(shù)據(jù)清單，開展隱私風(fēng)險(xiǎn)評(píng)估。[SRA10.3-Ⅱ]持續(xù)更新完善安全需求清單，依據(jù)包括但不限于[SRA10.4-Ⅱ]安全功能需求與其他功能性需求同步開展，具有節(jié)進(jìn)行有效管理，需求分解分配可追溯，形成閉環(huán)。[SRA10.5-Ⅱ]具有公司級(jí)的統(tǒng)一的安全需求知識(shí)庫(kù)，可依據(jù)具體安全需求，查找相應(yīng)安全解決方案，并具有持續(xù)更新機(jī)制。安全設(shè)計(jì)（SDSecurityDesign）行安全設(shè)計(jì)，并執(zhí)行風(fēng)險(xiǎn)消減設(shè)計(jì)?？疾熘笜?biāo)具體包括：[SD11.1-Ⅰ]有明確的安全設(shè)計(jì)原則，指導(dǎo)后續(xù)安全設(shè)計(jì)工作的開展。[SD11.2-Ⅰ]針對(duì)安全需求分析階段識(shí)別的安全需求進(jìn)行設(shè)計(jì)。[SD11.3-Ⅰ][SD11.4-Ⅰ][SD11.5-Ⅰ]針對(duì)識(shí)別出的關(guān)鍵攻擊面和關(guān)鍵風(fēng)險(xiǎn)點(diǎn)進(jìn)行分析設(shè)計(jì)并輸出消減措施。[SD11.6-Ⅱ]可根據(jù)行業(yè)特點(diǎn)、業(yè)務(wù)場(chǎng)景、技術(shù)棧特點(diǎn)制定安全設(shè)計(jì)原則。[SD11.7-Ⅱ]可根據(jù)安全設(shè)計(jì)原則構(gòu)建安全設(shè)計(jì)方案庫(kù)，助力團(tuán)隊(duì)實(shí)踐安全設(shè)計(jì)。[SD11.8-Ⅱ][SD11.9-Ⅱ]可根據(jù)業(yè)務(wù)場(chǎng)景，識(shí)別攻擊者意圖，并針對(duì)攻擊者意圖有效識(shí)別價(jià)值資產(chǎn)。[SD11.10-Ⅱ]有明確的威脅建模流程，包括但不限于確定安全[SD][SD11.12-Ⅱ]基于產(chǎn)品領(lǐng)域初始架構(gòu)和產(chǎn)品領(lǐng)域高危暴露面，（四）控制（Control）開源治理（OGOpensourceGovernance）用的開源組件只能從可信開源組件倉(cāng)庫(kù)獲取?？疾熘笜?biāo)具體包括：[OG12.1-Ⅰ]對(duì)于開源組件進(jìn)行風(fēng)險(xiǎn)評(píng)估，明確組件風(fēng)險(xiǎn)，對(duì)于開源組件漏洞進(jìn)行跟蹤并及時(shí)修復(fù)。[OG12.2-Ⅰ]具有明確的開源組件確認(rèn)機(jī)制，確保待發(fā)布的軟件產(chǎn)品服務(wù)不包含高危組件。[OG12.3-Ⅱ]開源組件來(lái)源可追溯，明確組件版本和來(lái)源地址。[OG12.4-Ⅱ][OG12.5-Ⅱ][OG12.6-Ⅱ]項(xiàng)目服務(wù)所利用的開源組件只能從唯一的可信開源組件倉(cāng)庫(kù)獲取。[OG12.7-Ⅱ]制定明確的開源組件入庫(kù)審批機(jī)制。[OG12.8-Ⅱ][OG12.9-Ⅱ]開源組件與自研代碼獨(dú)立存放、目錄隔離[OG12.10-Ⅱ]代碼提交前采用自動(dòng)化掃描工具進(jìn)行開源組件安[OG12.11-Ⅱ]采用工具與人工核驗(yàn)的方式確認(rèn)開源及依賴組件的安全性、一致性。[OG12.12-Ⅱ]根據(jù)許可證信息、安全漏洞等綜合考慮法律、安全風(fēng)險(xiǎn)。安全編碼（SC,SecureCoding）的代碼審查和卡點(diǎn)機(jī)制，避免高風(fēng)險(xiǎn)源碼的合入。考察指標(biāo)具體包括：[SC13.1-Ⅰ][SC13.2-Ⅰ]維護(hù)獲得安全認(rèn)可的工具、框架列表，使用獲得認(rèn)可的工具、框架進(jìn)行編碼實(shí)現(xiàn)。[SC13.3-Ⅰ]使用靜態(tài)應(yīng)用程序安全測(cè)試工具對(duì)代碼進(jìn)行掃描，[SC13.4-Ⅰ]具有統(tǒng)一的版本控制系統(tǒng)，將全部源代碼納入版本控制系統(tǒng)管理。[SC13.5-Ⅰ][SC13.6-Ⅱ]IDE編碼行為進(jìn)行識(shí)別，告警。[SC13.7-Ⅱ]制定代碼審核及代碼合入門禁機(jī)制，如分級(jí)審核機(jī)制，確保代碼合入質(zhì)量。[SC13.8-Ⅱ]構(gòu)建時(shí)開啟安全選項(xiàng)，從構(gòu)建啟動(dòng)開始到構(gòu)建結(jié)束過(guò)程自動(dòng)化，中間過(guò)程不手工干預(yù)；版本重復(fù)構(gòu)建結(jié)果一致。安全測(cè)試SecurityIT試問題有記錄可查詢。考察指標(biāo)具體包括：[ST14.1-Ⅰ]掃描、[ST14.2-Ⅰ]企業(yè)在研發(fā)流程中，有明確的安全隱私測(cè)試要求，作為發(fā)布部署的前置條件。[ST14.3-Ⅰ]測(cè)試數(shù)據(jù)不包含未經(jīng)清洗的敏感數(shù)據(jù)，單個(gè)測(cè)試用例的執(zhí)行不受其他測(cè)試用例結(jié)果的影響。[ST14.4-Ⅰ]基于安全隱私要求，有相應(yīng)的安全隱私測(cè)試用例，并進(jìn)行驗(yàn)證測(cè)試。[ST14.5-Ⅰ]測(cè)試過(guò)程有記錄可查詢，測(cè)試設(shè)計(jì)、執(zhí)行端到端可追溯，對(duì)測(cè)試過(guò)程發(fā)現(xiàn)的問題可進(jìn)行跟蹤、閉環(huán)。[ST14.6-Ⅰ]具有明確的測(cè)試評(píng)估模型，對(duì)被測(cè)對(duì)象進(jìn)行測(cè)試評(píng)估，并在測(cè)試報(bào)告中進(jìn)行結(jié)果展示。[ST14.7-Ⅱ]測(cè)試用例、測(cè)試數(shù)據(jù)定期更新，滿足不同階段、環(huán)境的測(cè)試要求。[ST14.8-Ⅱ]/IT[ST14.9-Ⅱ]針對(duì)漏洞掃描結(jié)果可以自動(dòng)通知研發(fā)人員，根據(jù)安全門限要求和企業(yè)管理要求，對(duì)于漏洞進(jìn)行跟蹤修復(fù)。[ST14.10-Ⅱ]采用主流的模糊測(cè)試工具，自動(dòng)化進(jìn)行模糊測(cè)試。[ST14.11-Ⅱ]同時(shí)可實(shí)現(xiàn)發(fā)布流程自動(dòng)化，有相應(yīng)的安全備份機(jī)制。安全發(fā)布（SR,Security同時(shí)可實(shí)現(xiàn)發(fā)