《軟件安全開發(fā)成熟度評估技術(shù)規(guī)范》編制說明

《軟件安全開發(fā)成熟度評估技術(shù)規(guī)范》編制說明一、工作簡況（一）任務(wù)來源2024年7月31日，珠海市軟件行業(yè)協(xié)會(huì)組織專家召開了團(tuán)體標(biāo)準(zhǔn)立項(xiàng)評審會(huì)，與會(huì)專家一致同意《軟件安全開發(fā)成熟度評估技術(shù)規(guī)范》立項(xiàng)。（二）起草單位本標(biāo)準(zhǔn)由以下單位共同起草：珠海市軟件行業(yè)協(xié)會(huì)、開源網(wǎng)安（珠海）技術(shù)有限公司、遠(yuǎn)光軟件股份有限公司、東信和平科技股份有限公司、珠海豹趣科技有限公司、珠海經(jīng)濟(jì)特區(qū)偉思有限公司、長園新能源材料研究院（廣東）有限公司、廣東柔石電子科技有限公司、珠海愛浦京軟件股份有限公司、珠海全視通信息技術(shù)有限公司、廣東知業(yè)科技有限公司、珠海市深瑞智聯(lián)科技有限公司、深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司、武漢科技大學(xué)、廣西網(wǎng)絡(luò)信息安全服務(wù)研究院、中山大學(xué)。其中開源網(wǎng)安（珠海）技術(shù)有限公司為本標(biāo)準(zhǔn)起草的牽頭單位。（三）編制背景近年來軟件系統(tǒng)復(fù)雜性和信息化規(guī)模持續(xù)增加，對軟件安全性提出了更為迫切的需求，但我國目前欠缺對組織的軟件安全開發(fā)成熟度進(jìn)行評估的標(biāo)準(zhǔn)和技術(shù)規(guī)范。GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》規(guī)定了特定系統(tǒng)需滿足對應(yīng)定級的網(wǎng)絡(luò)安全要求，作用對象主要是特定系統(tǒng)，不適合用于對組織的軟件安全開發(fā)能力成熟度進(jìn)行評估。開源網(wǎng)安（珠海）技術(shù)有限公司及深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司的業(yè)務(wù)聚焦于軟件安全，十余年來積累了大量國內(nèi)頭部軟件開發(fā)組織的軟件安全開發(fā)成熟度評估及咨詢案例，幫助客戶有效提升了自身的軟件安全開發(fā)成熟度水平，逐步形成了一套科學(xué)的軟件安全開發(fā)成熟度評估技術(shù)規(guī)范。為了更好地服務(wù)珠海的軟件開發(fā)組織，尤其是軟件、芯片、電力等珠海市優(yōu)勢行業(yè)的企事業(yè)單位，開源網(wǎng)安（珠海）技術(shù)有限公司決定在自身具有的技術(shù)規(guī)范基礎(chǔ)上，聯(lián)合珠海及廣東的多家軟件企業(yè)及國內(nèi)多所高校共同制定本標(biāo)準(zhǔn)。（四）編制過程2024年1月，開源網(wǎng)安（珠海）技術(shù)有限公司決定基于自身具有的軟件安全開發(fā)成熟度評估技術(shù)規(guī)范制定珠海市軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)，并開始學(xué)習(xí)《珠海市軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)管理辦法（試行）》（珠軟協(xié)字[2020]7號），了解了珠海市軟件行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)制定的流程和要求。同期，珠海市軟件行業(yè)協(xié)會(huì)開始征集團(tuán)體標(biāo)準(zhǔn)的起草單位，確定了16家參與本標(biāo)準(zhǔn)的起草單位名單，標(biāo)準(zhǔn)編制工作組正式成立。2024年1月至4月，起草單位共同編制形成了本標(biāo)準(zhǔn)的草案，并填寫了本標(biāo)準(zhǔn)的立項(xiàng)申請書。2024年4月中旬，標(biāo)準(zhǔn)牽頭單位向珠海市軟件行業(yè)協(xié)會(huì)正式遞交了本標(biāo)準(zhǔn)的立項(xiàng)申請材料。2024年7月31日，珠海市軟件行業(yè)協(xié)會(huì)組織召開了本標(biāo)準(zhǔn)的立項(xiàng)評審會(huì)。標(biāo)準(zhǔn)牽頭單位在會(huì)議上向與會(huì)專家介紹了本標(biāo)準(zhǔn)的背景、意義、內(nèi)容和工作基礎(chǔ)，并附上標(biāo)準(zhǔn)草案，與會(huì)專家經(jīng)過質(zhì)詢后一致同意通過本標(biāo)準(zhǔn)的立項(xiàng)申請，并對標(biāo)準(zhǔn)草案提出建議。2024年7月31日，由珠海市軟件行業(yè)協(xié)會(huì)發(fā)布立項(xiàng)公告通知、公開征求意見通知。2024年7月底至2024年8月初，標(biāo)準(zhǔn)編制工作組成員對本標(biāo)準(zhǔn)的草案進(jìn)行了充分的討論，主要形成了以下3個(gè)方面的修改完善意見：優(yōu)化安全開發(fā)BP（基本實(shí)踐）的分類。優(yōu)化附錄A中的評估參考方法。優(yōu)化文檔結(jié)構(gòu)的順序。2024年8月初，標(biāo)準(zhǔn)編制工作組根據(jù)討論的意見對標(biāo)準(zhǔn)草案進(jìn)行修改，形成征求意見稿。二、標(biāo)準(zhǔn)編制原則和主要內(nèi)容（一）標(biāo)準(zhǔn)編制原則本標(biāo)準(zhǔn)的編制原則包括：1） 廣泛、充分采納和吸收有關(guān)專家的合理意見和建議；2）重視標(biāo)準(zhǔn)的實(shí)用性和可操作性；3）遵循有關(guān)編寫規(guī)定，并與相關(guān)國家標(biāo)準(zhǔn)協(xié)調(diào)一致。（二）標(biāo)準(zhǔn)主要內(nèi)容本標(biāo)準(zhǔn)的主要內(nèi)容為評估模型、監(jiān)管域、能力域、觸點(diǎn)域、運(yùn)維域共5章，以及2個(gè)附錄。評估模型章節(jié)分布從模型架構(gòu)、模型內(nèi)容兩個(gè)方面描述了軟件安全開發(fā)成熟度評估模型，闡述了成熟度評估體系及如何量化安全能力，定義了成熟度的每個(gè)等級；監(jiān)管域、能力域、觸點(diǎn)域、運(yùn)維域這四個(gè)章節(jié)分別對每個(gè)下級子域及其包含的一個(gè)或多個(gè)基本實(shí)踐進(jìn)行了詳細(xì)說明；附錄A說明了成熟度評估的參考方法；附錄B說明了成熟度評估流程和模型使用方法。三、主要試驗(yàn)或驗(yàn)證情況分析本標(biāo)準(zhǔn)的內(nèi)容主要來源于開源網(wǎng)安（珠海）技術(shù)有限公司及深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司（簡稱開源網(wǎng)安，下同）的軟件安全開發(fā)成熟度評估技術(shù)規(guī)范，開源網(wǎng)安已依據(jù)該規(guī)范對十余家央企、國企及頭部科技企業(yè)等大型軟件開發(fā)組織實(shí)施了軟件安全開發(fā)成熟度評估咨詢項(xiàng)目，充分驗(yàn)證了本標(biāo)準(zhǔn)的可實(shí)施性。四、知識產(chǎn)權(quán)情況說明本標(biāo)準(zhǔn)不涉及專利。五、預(yù)期達(dá)到的效果本標(biāo)準(zhǔn)的發(fā)布，將促進(jìn)行業(yè)內(nèi)優(yōu)秀的軟件安全實(shí)踐的傳播與借鑒，加快軟件開發(fā)安全技術(shù)的發(fā)展和普及，提升企業(yè)競爭力及珠海市軟件行業(yè)的整體安全水平，助力珠海市軟件產(chǎn)業(yè)實(shí)現(xiàn)更高質(zhì)量發(fā)展。六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況本標(biāo)準(zhǔn)未采用國際標(biāo)準(zhǔn)和國外標(biāo)準(zhǔn)。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性暫無相應(yīng)的國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。八、重大分歧意見的處理經(jīng)過和依據(jù)無。九、標(biāo)準(zhǔn)性質(zhì)的建議建議該標(biāo)準(zhǔn)為推薦性標(biāo)準(zhǔn)。十、貫徹標(biāo)準(zhǔn)的要求和措施建議建議第三方對軟件研發(fā)開發(fā)企