T-ISC 0042-2024 軟件安全開發(fā)能力評估技術規(guī)范

團體標準Technicalspecificationforevaluatingsoftwares中國互聯(lián)網協(xié)會發(fā)布I 22規(guī)范性引用文件 23術語和定義 24縮略語 55安全開發(fā)體系評估模型 55.1成熟度模型架構 55.2安全能力維度 65.3能力成熟度等級維度 75.4安全開發(fā)過程維度 86安全需求 6.1PA01安全開發(fā)分類分級 6.2PA02威脅分析 6.3PA03安全需求管理 7安全設計 7.1PA04IT架構安全 7.2PA05安全設計管理 7.3PA06第三方組件安全管理 8安全編碼 8.1PA07安全編碼管理 9安全測試 9.1PA08代碼審計 9.2PA09滲透測試 10安全部署/發(fā)布 10.1PA10安全配置管理 10.2PA11軟件/應用自我防御加固 11安全運維 11.1PA12應急響應 11.2PA13安全持續(xù)保障 12基礎安全 12.1PA14安全培訓 12.2PA15組織和人員管理 12.3PA16合規(guī)管理 12.4PA17開發(fā)測試環(huán)境安全管理 12.5PA18軟件資產管理 B.1能力成熟度等級評估流程 B.2能力成熟度模型使用方法 參考文獻 411本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本標準由中國互聯(lián)網協(xié)會歸口。本文件起草單位：中國信息通信研究院、北京國舜科技股份有限公司、北京風行網安科技有限公司、深圳開源互聯(lián)網安全技術有限公司、揚州數(shù)安技術有限公司、中國石油昆侖數(shù)智科技有限責任公司、中國民航信息網絡股份有限公司、中郵信息科技(北京)有限公司、中國經濟信息社、中國移動通信集團設計院有限公司、中國電力科學研究院有限公司、中建數(shù)字科技有限公司、北京航天繪景、OpenSDV汽車軟件開源聯(lián)盟、杭州默安科技有限公司、北京智精靈科技有限公司、北京德安信華科技有限公司、四川賽闖檢測股份有限公司、成都信息工程大學、北京龍盾數(shù)據(jù)有限公司、網宿科技股份有限公司、北京微步在線科技有限公司、阿里巴巴集團、仁壽智仁智慧科技有限公司、四川仁恒智合科技有限公司、江蘇大道云隱科技有限公司。本文件主要起草人：蔣阿芳、馬英軒、樊可欣、湯志剛、于偉杰、郭治文、張志強、王頡、張磊、王曉龍、滕征岑、張嵩、孫忠偉、楊京煜、王宇、翟冬梅、馬德斌、陳長勝、馬周瓊、馮麗、袁麗、馬欣、秦元、黃莎琳、呂士表、楊志偉、童兆豐、婁珽、吳孟晴、黨杜均、鄧恒、黃圣超。2軟件安全開發(fā)能力評估技術規(guī)范身的安全開發(fā)能力評估和過程改進，適用于第三方開展軟件安全開發(fā)體系28458-2020、GB/T24363-2009界定的以及34在評估中用于不能清晰界定屬于某一安全過程域而重要且基礎的安全開發(fā)相關活動。5BP：基本實踐（BasePractiSSDCMM：軟件安全開發(fā)能力成熟度模型（SoftwareSecureDevelopmentCapabilityDevOps：研發(fā)運營一體化（DevelopmentandOperatioSCA：軟件成分分析（SoftwareCompositIAST：交互式應用程序安全測試（Inte6安全能力維度明確了組織在安全開發(fā)領域應具備的能力，包括組織建設、制度流安全開發(fā)能力成熟度等級劃分為五級，具體包括：1劃跟蹤級，3級是充分定義級，4級是量化控制級，5級是持續(xù)優(yōu)2）開發(fā)生命周期安全過程具體包括：安全需求、安全設計、安全編碼、安全測c）技術工具：通過技術手段和產品工具落實安全開發(fā)要求或自動化實現(xiàn)安全開發(fā)工d）人員能力：執(zhí)行安全開發(fā)工作人員的安全從承擔安全開發(fā)工作組織應具備的組織建設能力角度，根據(jù)以下方面進行能力等級區(qū)從組織在安全開發(fā)制度流程的建設以及執(zhí)行情況角度，根據(jù)以下方面進行能力等級區(qū)7從組織用于開展安全開發(fā)工作的安全技術、應用系統(tǒng)和工具出發(fā)，根據(jù)以下方面進行a）安全開發(fā)技術在開發(fā)全生命周期過程中的利用情況，應對開發(fā)全生命周期安全風b）利用技術工具對安全開發(fā)工作的自動化支持能力，對安全開發(fā)制度流程固化執(zhí)行從組織承擔安全開發(fā)工作人員應具備的能力出發(fā)，根據(jù)以下方面進行能力等a）安全開發(fā)人員所具備的安全開發(fā)技能是否能夠滿足實現(xiàn)安全目標的能力要求（對b）開發(fā)團隊的安全意識以及對關鍵安全開發(fā)崗位員工安全開發(fā)能力的部分軟件和應用系統(tǒng)開發(fā)執(zhí)行過程中根據(jù)臨時的需求執(zhí)行了相關作的人員未達到相應能力。所執(zhí)行的過程稱為“非正式過程”發(fā)安全過程，依賴于個人a）規(guī)劃執(zhí)行：對開發(fā)安全過程進行規(guī)劃，提前分配資源和責b）執(zhí)行：對開發(fā)安全過程進行控制，使用執(zhí)行計劃、執(zhí)行基于c）驗證執(zhí)行：確認過程按預定的方式執(zhí)行，驗證過程的執(zhí)行與d）跟蹤執(zhí)行：控制安全開發(fā)過程執(zhí)行的進展，當過程實踐與計在重要軟件和重要應用系統(tǒng)的開發(fā)中，主動地實現(xiàn)了安全過程的計劃與執(zhí)對執(zhí)行質量沒有規(guī)范性要a）定義標準過程：組織對標準過程進行制度化，為組織定義標在組織級別實現(xiàn)了安全過8b）執(zhí)行已定義的過程：充分定義的過程是可重復執(zhí)行的，并使用過程執(zhí)行的結果數(shù)據(jù)，對有缺陷的過程結果和安全實踐進c）協(xié)調安全實踐：確定各技術團隊之間、組織外部活動的協(xié)調b）客觀地管理執(zhí)行：確定過程能力的量化測量，使用量化測量建立了量化目標，安全過b）改進過程有效性：制定處于持續(xù)改進狀態(tài)下的規(guī)程，對規(guī)程根據(jù)組織的整體目標，不a）將組織在每個安全開發(fā)PA的能力成熟度劃分為五級，針對每個等級下組織應具d）安全測試：在軟件開發(fā)的測試階段，驗9e）安全部署/發(fā)布：對于應用系統(tǒng)軟件，在軟件部署階段，按照安全需求，參照安全照安全設計，對通用軟件的默認配置進行安全特定的軟件安全開發(fā)所經歷的生命周期由實際的業(yè)務所決定，可為完整的6個階段或全管理3個PA；件安全發(fā)布3個PA；組織內部的開發(fā)項目分類分級方法，開發(fā)項目包括新建系統(tǒng)的項目和系統(tǒng)升級改造的項目，a）組織建設：應由開發(fā)團隊或項目管理團隊人員負責相關系統(tǒng)和開發(fā)項目的分類分a）組織建設：組織應設立負責系統(tǒng)和開發(fā)項目分類分級工作的管理崗位和人員，主3）應明確開發(fā)項目分類分級變更審批流程和機制，通過該流程保證對開發(fā)分類c）技術工具：應在所有開發(fā)管理工具和安全開發(fā)工具中體現(xiàn)開發(fā)項目分類分級信息d）人員能力：負責該項工作的人員應了解系統(tǒng)和開發(fā)項目分類分級的要求，能夠識a）應能自動化進行開發(fā)項目的分類分級，記錄自動分類分級結果與人工審核后的分類分級結果之間的差異，定期分析改進分類分級標識工具，提升工具處理的準確b）應對開發(fā)項目分類分級的操作、變更過程進行日志記錄和分析，定期通過日志分a）制度流程：應定期評審開發(fā)項目分類分級的規(guī)范和細則，考慮其內容是否完全覆b）技術工具：應跟蹤開發(fā)項目分類分級標識效果，持續(xù)改進開發(fā)項目分類分級的技脅項，并針對威脅項進行風險評估，提出相應的消除、緩解措施，即安組織建設：組織未建立成熟的威脅建模方法論，在安全需求階段僅憑個人經驗由安全a）組織建設：組織應明確執(zhí)行威脅分析的開發(fā)團隊和安全團隊人員的角色和職責，負d）人員能力：負責該項工作的人員應了解威脅建模的內容和實施規(guī)范，具備對威脅項技術方案：在業(yè)界分享相關威脅建模的方法論和工具最佳實踐，成為行業(yè)標桿組織建設：未建立成熟穩(wěn)定的安全需求分析機制，僅根據(jù)臨時需求或基于個人經驗對a）組織建設：組織應設立負責安全開發(fā)需求分析的崗位和人員，負責對業(yè)務系統(tǒng)需求分析階段開展安全需求分析工作，確保安全需求的有效制定和規(guī)范化表達1）應明確安全需求分析的流程和評審機制，明確安全需求文檔內容要求2）應依據(jù)國家法律、法規(guī)、標準等要求，分析軟件或應用系統(tǒng)軟件的安全合規(guī)3）應識別軟件或應用系統(tǒng)軟件面臨的潛在威脅和自身潛在脆弱性，分析安全風1）應建立承載安全需求分析活動的安全需求分析系統(tǒng)，該系統(tǒng)記錄所有開發(fā)項目的安全需求分析結果，以保證對所有的安全需求分析過程的有效追溯d）人員能力：負責該項工作的人員應具有安全需求分析能力，對組織的安全需求管理有充分的理解，并通過培訓實現(xiàn)各業(yè)務的需求分析人員對安全需求分析標準的a）制度流程：應使用威脅驅動分析方法或模型，對業(yè)務系統(tǒng)的潛在威脅和自身潛在a）制度流程：應持續(xù)優(yōu)化安全開發(fā)需求分析，以保證符合組織發(fā)展戰(zhàn)略和業(yè)務發(fā)展b）人員能力：負責該項工作的人員應具有應對新技術新場景的安全需求分析挖掘能通訊安全架構等安全內容，從而保證系統(tǒng)架構層面的b）制度流程：應在架構管理的制度中明確架構安全的管理要求，關鍵業(yè)務的架構設c）技術工具：應部署相關設備支撐安全架構設計，如加解密設備、統(tǒng)一用戶登錄平d）人員能力：負責該項工作的人員應具有架構安全設計的能力，了解架構安全規(guī)范，為實現(xiàn)安全需求，建立對應的安全設計，保證組織內業(yè)務的安全需求實組織建設：組織未建立成熟穩(wěn)定的安全設計機制，僅根據(jù)臨時需求或基于個人經驗對a）組織建設：組織應設立負責安全開發(fā)設計的崗位和人員，負責在軟件設計階段開2）安全設計除滿足安全需求外，還應滿足國家法律、法規(guī)、標準等未在安全需1）應建立安全設計管理系統(tǒng)，該系統(tǒng)記錄所有項目的安全設計結果，以保證對2）能夠建立組織的安全設計標準方案庫，并建立安全需求與安全設計的自動關d）人員能力：負責該項工作的人員應具有安全設計能力，對組織的安全設計管理有充分的理解，對組織的安全設計標準方案有充分的理解并能在安全設計中靈活應用，以及通過培訓實現(xiàn)各業(yè)務的安全設計人員對安全設計標準的一致性理解a）制度流程：應持續(xù)優(yōu)化安全設計規(guī)范，安全設計標準庫，以保證符合組織發(fā)展戰(zhàn)b）人員能力：負責該項工作的人員應具有應對新技術新場景的安全設計能力a）組織建設：組織應設立第三方組件安全管理的崗位和人員，負責制定相關的第三方組件安全管理的制度，推動相關要求、流程的落地，并對具體業(yè)務或項目的第2）應在第三方組件引入時，對其風險進行評估，包括來源的合法性，軟件許可d）人員能力：負責該項工作的人員應能夠充分理解第三方組件的安全要求，并能夠b）制度流程：在重要軟件和重要應用系統(tǒng)建設中應將代碼安全管控作為必要的環(huán)節(jié)1）應明確編碼安全的技術規(guī)范，編寫編碼安全指南指導開發(fā)團隊安全編碼2）應明確編碼環(huán)節(jié)中，開發(fā)團隊的內部編碼安全管控機制，明確編碼安全的評審機制，利用內部交叉檢查、外部代碼審計等常規(guī)手段進行安全編碼管控b)考慮通過部分安全組件代碼開源方式，在業(yè)界分享最佳實踐，成為行業(yè)標桿組織建設：組織未建立成熟穩(wěn)定的代碼安全檢測手段，僅根據(jù)臨時需求或基于個人經a）組織建設：組織應設立負責代碼安全檢測崗位和人員，負責制定統(tǒng)一的代碼安全1）應明確對代碼安全檢測的內容以及技術規(guī)范，明確代碼安全評審的要求1）應采用自動和人工審計相結合的方法或手段對代碼進行靜態(tài)代碼安全檢測d）人員能力：負責該項工作的人員應了解代碼安全檢測的內容和技術規(guī)范，具備對b）人員能力：負責該項工作的人員應充分理解代碼安全檢測的要求，可以持續(xù)優(yōu)化c）人員能力：負責模擬攻擊測試工作的人員理解模擬攻擊的要求，能夠進行有效的3）應明確模擬攻擊測試的安全評審的要求，包括清晰的安全質量通過標準1）應采用自動和人工模擬攻擊相結合的方式和手段，檢測主機、操作系統(tǒng)、數(shù)2）應采用自動和人工模擬攻擊相結合的方式和手段，檢測應用系統(tǒng)的安全性，3）應采用自動和人工模擬攻擊相結合的方式和手段，檢測應用系統(tǒng)的業(yè)務邏輯組織建設：未在組織建立成熟穩(wěn)定的配置安全管理，僅根據(jù)臨時需求或基于個人經驗b）制度流程：應明確重要軟件發(fā)布或重要應用系統(tǒng)軟件部署的安全配置和審核流程1）應明確軟件發(fā)布或應用系統(tǒng)軟件部署的配置安全審核制度，審核配置方案是2）應審核正式發(fā)布版本或正式部署版本的配置與最后測試版本配置的差異性，3）應審核配置方案中的配置項完整性，防止配置缺失而影響系統(tǒng)安全性c）技術工具：應在發(fā)布/部署流程管控中具備配置安全審核的內容，并對配置方案存組織建設：組織未建立成熟穩(wěn)定的軟件/應用自我防御加固方案，僅根據(jù)臨時需求或基a)組織建設：應由開發(fā)團隊或運維團隊相關人員負責對應用實施應用自我防御加固b)制度流程：重要軟件和重要應用系統(tǒng)開發(fā)應建立明確的軟件/應用自我防御加固方a)組織建設：組織應在開發(fā)團隊或者安全團隊設立負責應用自我防御加固的崗位和d)人員能力：負責該項工作的人員應了解軟件/應人員能力：負責該項工作的人員應充分了解軟件/應用自身安全加固的原理，可以持續(xù)組織建設：未在組織建立成熟穩(wěn)定的發(fā)布安全管理，僅根據(jù)臨時需求或基于個人經驗a）組織建設：應由開發(fā)團隊或運維團隊的相關人員負責軟件發(fā)布安全控制c）人員能力：負責軟件發(fā)布安全工作的人員應基本理解軟件安全發(fā)布的要求2）應明確軟件發(fā)布的安全審核制度，審核發(fā)布方案是否符合安全要求，所選擇3）應審核正式發(fā)布版本與最后測試版本配置的差異性，是否采取必要的電子簽4）應審核發(fā)布方案中的配置項完整性，保證充分利用發(fā)布渠道的安全機制建立針對已發(fā)布的軟件或已部署的應用系統(tǒng)軟件的應急響應體系，對各類安全事件進組織建設：未在組織建立成熟穩(wěn)定的應急響應機制，僅根據(jù)臨時需求或基于個人經驗a）組織建設：已發(fā)布的軟件和已部署的重要應用系統(tǒng)應設立負責安全事件管理和應b）制度流程：已發(fā)布的軟件和已部署的重要應用系統(tǒng)應明確安全事件管理和應急響a）組織建設：組織應設立專職負責安全事件管理和應急響應的崗位和人員1）應明確安全事件管理和應急響應工作管理制度和流程，定義安全事件類型，d）人員能力：負責該項工作的人員應具備安全事件的判斷能力，熟悉安全事件應急組織建設：組織未建立成熟穩(wěn)定的安全持續(xù)保障機制，僅根據(jù)臨時需求或基于個人經a）制度流程：相關部門對已發(fā)布的軟件或已部署的應用系統(tǒng)實施安全持續(xù)保障活動，a）組織建設：組織內應設立負責安全持續(xù)保障的崗位和人員，負責安全持續(xù)保障制1）應采用自動和人工模擬攻擊相結合的方式和手段，在保證不影響應用系統(tǒng)工作的前提下，檢測主機、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)等的安全性2）應采用自動和人工參與相結合的方式和手段，跟蹤軟件相關第三方組件的安3）應有對已發(fā)布軟件或已部署應用系統(tǒng)軟件的漏洞和安全脆弱性進行管理的系d）人員能力：負責該項工作的人員應充分了解安全持續(xù)保障的管理制度和工作流程，a）制度流程：組織應定期對已發(fā)布的軟件或已部署的應用系統(tǒng)軟件安全性進行量化b）技術工具：能夠統(tǒng)計已發(fā)布的軟件或已部署的應用系統(tǒng)軟件的漏洞數(shù)量、漏洞種組織應通過傳授安全意識和技能來提高組織和人員的安全意識和防范能力，培訓的內容包括國家最新的安全政策和法規(guī)，近期重大軟件安全事件，新的安全管理制度和監(jiān)督機組織建設：組織未在任何部門中設立固定的安全意識和技能培訓人員，僅根據(jù)團隊個人的經驗水平傳授安全意識和技能的相關知識，由個別人員臨時承擔了安全培訓的工作1）應由相關業(yè)務部門人員負責完成人力資源管理策略中的安全培訓要求1）人力資源部門與安全培訓部門的人員能夠進行有效配合，對培訓考核的結果1）應明確重要崗位人員的安全開發(fā)培訓計劃，并在重要崗位轉崗、崗位升級等2）組織對重要崗位人員的安全開發(fā)培訓計劃需要具備吸收外部資源在開發(fā)安全3）安全培訓部門對于組織內部的軟件安全實施情況有制度性的調查安排，清楚c）技術工具：應通過技術工具實現(xiàn)部分培訓內容的自動化和可拓展化，便于培訓內d）人員能力：培訓組織人員能夠了解當前開發(fā)安全現(xiàn)狀和對應的培訓要求，培訓講據(jù)培訓人員的反饋和組織內部要求不斷優(yōu)化，針對不同能力水平的培訓對象實現(xiàn)定制化培通過建立組織內部負責安全開發(fā)工作的職能部門及崗位，以及對人力資源管理過程中各環(huán)節(jié)進行安全管理，防范組織和人員管理過程中存在的安全組織建設：組織未在任何部門中設立固定的安全開發(fā)管理人員，僅根據(jù)臨時需求或基2）重要軟件和重要應用系統(tǒng)開發(fā)應具有安全開發(fā)崗位和人員，以實現(xiàn)對安全開1）重要軟件和重要應用系統(tǒng)開發(fā)應對重要崗位候選者從法律法規(guī)、行業(yè)道德準c）人員能力：負責重要軟件和重要應用系統(tǒng)安全開發(fā)職能的人員，應能夠充分了解3）應建立組織內部的監(jiān)督管理職能部門，負責對組織內部的需求、設計、開發(fā)、4）應指定安全開發(fā)的安全需求、安全設計、安全測試、安全部署/發(fā)布、安全運5）應明確組織層面承擔人員安全開發(fā)培訓管理職責的崗位和人員，負責對安全1）應明確安全開發(fā)相關部門或崗位的要求，明確其工作職責，以及職能部門之2）應明確安全開發(fā)追責機制，定期對責任部門和安全崗位組織安全檢查，形成3）應明確針對開發(fā)合作方的安全管理制度，并要求簽署保密協(xié)議，定期對合作4）應明確重要崗位人員的安全開發(fā)培訓計劃，并在重要崗位轉崗、崗位升級等c）技術工具：應通過技術工具自動化實現(xiàn)安全開發(fā)相關的人力資源管理流程1）負責組織和人員管理的人員應充分理解人力資源管理流程中可對安全風險進2）應開展針對員工入職過程中的安全開發(fā)教育，通過培訓、考試等手段提升其a）組織建設：應能夠持續(xù)優(yōu)化組織的安全開發(fā)職能設置，以實現(xiàn)整體業(yè)務目標的優(yōu)b）制度流程：應能夠持續(xù)優(yōu)化組織和人員管理的相關流程，以保證符合業(yè)務發(fā)展的跟進組織需符合的法律法規(guī)和行業(yè)監(jiān)管要求，以保證組織業(yè)務的發(fā)展不會面臨合規(guī)風組織建設：未在組織建立成熟穩(wěn)定的安全開發(fā)合規(guī)工作，僅根據(jù)臨時需求或基于個人b）制度流程：重要軟件和重要應用系統(tǒng)開發(fā)應通過識別安全開發(fā)合規(guī)要求，將合規(guī)要求更新至重要軟件和重要應用系統(tǒng)開發(fā)相關的制度流程中，并在重要環(huán)節(jié)中設c）人員能力：負責該項工作的人員應基本理解安全開發(fā)的合規(guī)要求，并可基于業(yè)務a）組織建設：應在組織層面設立了專職負責安全開發(fā)合規(guī)的崗位和人員，負責明確安全開發(fā)合規(guī)需求，制定安全開發(fā)合規(guī)的技術規(guī)范和管理制度、流程，推進其在1）應明確組織所有的外部合規(guī)要求并形成清單，能夠定期通過跟進監(jiān)管機構合規(guī)要求動態(tài)對該清單進行更新，同時將其拆分發(fā)送給相關方以進行宣貫2）應依據(jù)相關法律法規(guī)及行業(yè)監(jiān)管要求，建立組織統(tǒng)一的安全開發(fā)制度和管控c）技術工具：應建立安全開發(fā)合規(guī)資料庫，相關人員可以通過該資料庫查詢合規(guī)要d）人員能力：負責該項過程的人員應具備對安全開發(fā)合規(guī)要求的解讀和分析能力組織建設：應設置專門的合規(guī)崗位，該崗位負責與監(jiān)管機構對接，跟進監(jiān)管機構的合a）組織建設：組織應設置開發(fā)測試環(huán)境管理崗位和人員，負責管理制度的制定和落2）應明確開發(fā)測試環(huán)境與其他環(huán)境的數(shù)據(jù)、文件、代碼導入、導出的管理制度1）應通過技術工具實現(xiàn)開發(fā)測試環(huán)境與其他網絡的邏輯隔離或物理隔離2）應通過技術工具實現(xiàn)對開發(fā)測試環(huán)境與其他環(huán)境數(shù)據(jù)、文件、代碼導入、導d）人員能力：負責安全開發(fā)測試環(huán)境安全的人員應了解安全管理需求，對數(shù)據(jù)、文通過建立針對組織軟件資產的有效管理手段，實現(xiàn)統(tǒng)一的管理b）制度流程：重要軟件和重要應用系統(tǒng)應制定軟件資產登記制度，建立軟件資產清a）組織建設：組織應設置軟件資產管理崗位和人員，對組織的軟件資產進行統(tǒng)一管2）應明確軟件資產登記機制，確保組織內部重要的軟件資產已有明確的管理者1）應通過技術工具執(zhí)行軟件資產的登記，實現(xiàn)對軟件資產的自動屬性標識2）應建立軟件資產版本變更管理工具，并能夠及時更新軟件資產版本相關信息d）人員能力：負責統(tǒng)一管理組織軟件資產的人員應了解組織內部軟件資產的管理需技術工具：應能統(tǒng)計軟件資產的風險情況，合規(guī)情況，支持軟件資產管理的調整（資料性附錄）能力成熟度等級評估參考方法組織機構的安全開發(fā)能力成熟度等級取決于各個安全開發(fā)PA的能力成熟度等級。各個本標準不對評級方法做具體限定，表A.1給出一種綜合判定參考方法，供評估人員參表A.1PA評估表…（資料性附錄）能力成熟度等級評估流程和模型使用方法安全開發(fā)能力成熟度等級的評估從組織建設、制度流程、技術工具和人員能力4個關鍵能力展開。通過對各項安全過程所需具備安全能力的評估，可評估組織在每項安全過程1）確定模型適用范圍：分析需要保護的開發(fā)資產及業(yè)務范圍，確定模型使用或2）確定能力成熟度級別目標：分析組織機構安全開發(fā)風險，確定能力成熟度等3）選取安全PA：針對組織機構的開發(fā)相關的業(yè)務現(xiàn)狀，選取適當?shù)陌踩_發(fā)PA。例如，對于有的組織機構而言，不存在第三方組件的第三方組件的PA；6）確定組織機構整體等級：結合所有PA發(fā)能力成熟度等級，對安全開發(fā)能力進行持續(xù)1）組織建設：評估是否具有開展工作的專職/兼職崗位、團隊或人2