軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自表_第1頁
軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自表_第2頁
軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自表_第3頁
軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自表_第4頁
軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自表_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、CCRC-QOT-0433-B/4 軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自評(píng)估表軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自評(píng)估表組織名稱申報(bào)級(jí)別評(píng)估時(shí)間評(píng)估部門/人員序號(hào)要點(diǎn)條款需提供證明材料自評(píng)估結(jié)論證明材料清單符合不符合1.服務(wù)技術(shù)要求建立軟件安全開發(fā)服務(wù)流程。軟件安全開發(fā)服務(wù)流程,流程圖中應(yīng)包括每個(gè)階段對(duì)應(yīng)的職責(zé)、輸入輸出等。2.制定軟件安全開發(fā)服務(wù)規(guī)范并按照規(guī)范實(shí)施。軟件安全開發(fā)服務(wù)規(guī)范并按照規(guī)范實(shí)施。3.準(zhǔn)備階段建立軟件項(xiàng)目安全開發(fā)團(tuán)隊(duì),明確各崗位、人員、職責(zé)。項(xiàng)目人員構(gòu)成表或其他能體現(xiàn)項(xiàng)目組成員構(gòu)成的文檔,其中明確項(xiàng)目組成員構(gòu)成情況以及安全開發(fā)人員的角色及職責(zé)。4.制定軟件項(xiàng)目安全開發(fā)管理計(jì)劃,明確開發(fā)過程管

2、控措施。項(xiàng)目開發(fā)計(jì)劃,計(jì)劃中應(yīng)包含安全開發(fā)的內(nèi)容。5.建立軟件開發(fā)的配置管理計(jì)劃,明確配置管理的安全要求。項(xiàng)目配置管理計(jì)劃,包含安全相關(guān)活動(dòng)。提供配置管理相關(guān)記錄。6.建立變更控制制度,明確軟件項(xiàng)目變更控制的安全要求。變更控制管理制度,提供項(xiàng)目變更控制記錄,變更的記錄單,記錄單中的內(nèi)容應(yīng)包含變更申請(qǐng),審批,執(zhí)行,執(zhí)行后的評(píng)價(jià)結(jié)果。7.制定軟件項(xiàng)目安全培訓(xùn)計(jì)劃,對(duì)相關(guān)人員進(jìn)行安全培訓(xùn)。培訓(xùn)管理制度,項(xiàng)目培訓(xùn)計(jì)劃和培訓(xùn)記錄。8.建立獨(dú)立的開發(fā)環(huán)境,確保開發(fā)環(huán)境與運(yùn)行環(huán)境隔離。開發(fā)環(huán)境與運(yùn)行環(huán)境配置的說明文檔。9.僅二級(jí)/一級(jí)要求:建立軟件安全開發(fā)項(xiàng)目風(fēng)險(xiǎn)管理機(jī)制,對(duì)軟件項(xiàng)目進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)管理制

3、度、風(fēng)險(xiǎn)管理計(jì)劃、風(fēng)險(xiǎn)分析報(bào)告。10.僅二級(jí)/一級(jí)要求:使用配置管理工具對(duì)軟件項(xiàng)目進(jìn)行配置管理。配置管理計(jì)劃,其中描述采用的配置管理工具;配置管理工具的使用情況介紹。11.僅二級(jí)/一級(jí)要求:配備專職的測(cè)試人員。項(xiàng)目人員構(gòu)成表或其他能體現(xiàn)項(xiàng)目組成員構(gòu)成的文檔,設(shè)立專職的測(cè)試人員,并明確描述其職責(zé)。12.僅二級(jí)/一級(jí)要求:建立獨(dú)立的測(cè)試環(huán)境,確保測(cè)試環(huán)境與開發(fā)環(huán)境隔離。開發(fā)環(huán)境與測(cè)試環(huán)境配置的說明文檔。13.僅一級(jí)要求:建立軟硬件設(shè)備和工具等資源安全使用規(guī)范。軟硬件設(shè)備及工具安全使用規(guī)范;軟硬件設(shè)備及工具資源配備計(jì)劃。14.僅一級(jí)要求:配備安全管理人員。安全管理專職人員的任命文件,項(xiàng)目相關(guān)的安全監(jiān)

4、控記錄。15.僅一級(jí)要求:建立變更控制委員會(huì)。變更控制委員會(huì)成員構(gòu)成與職責(zé)規(guī)定文件。16.需求階段調(diào)研項(xiàng)目背景信息,收集項(xiàng)目需求,明確軟件功能、性能及安全方面的要求。需求階段控制程序文件;需求階段項(xiàng)目文檔,包括可行性報(bào)告、招標(biāo)文件、需求分析報(bào)告等,需求文檔的內(nèi)容應(yīng)涉及軟件功能、性能及安全性要求。17.結(jié)合軟件項(xiàng)目需求、安全需求,與客戶充分溝通,達(dá)成共識(shí)并形成記錄。與客戶溝通的記錄。18.僅二級(jí)/一級(jí)要求:準(zhǔn)確識(shí)別和綜合分析軟件項(xiàng)目在可用性、完整性、真實(shí)性、機(jī)密性、不可否認(rèn)性、可控性和可靠性等方面的安全需求。需求分析報(bào)告,內(nèi)容應(yīng)覆蓋條款的要求。19.僅二級(jí)/一級(jí)要求:對(duì)于數(shù)據(jù)采集、產(chǎn)生、使用,明

5、確識(shí)別安全保護(hù)要求。20.僅二級(jí)/一級(jí)要求:基于客戶需求,開展需求分析,編制具有軟件安全需求的分析報(bào)告。21.僅二級(jí)/一級(jí)要求:需求分析報(bào)告中明確項(xiàng)目開發(fā)中使用的安全技術(shù)標(biāo)準(zhǔn)、規(guī)范。22.僅一級(jí)要求:應(yīng)基于軟件安全威脅開展需求分析。23.僅一級(jí)要求:基于軟件項(xiàng)目需求分析建立軟件安全開發(fā)模型。24.設(shè)計(jì)階段根據(jù)軟件項(xiàng)目需求,編制軟件設(shè)計(jì)說明書。設(shè)計(jì)階段控制程序文件;提供軟件設(shè)計(jì)說明書,內(nèi)容應(yīng)覆蓋條款的要求。25.軟件設(shè)計(jì)說明書明確系統(tǒng)/子系統(tǒng)的功能和非功能設(shè)計(jì)要求。26.軟件設(shè)計(jì)說明書明確包含安全功能要求,包括標(biāo)識(shí)與鑒別、訪問控制、安全審計(jì)和安全管理等。27.設(shè)計(jì)階段-概要設(shè)計(jì)僅二級(jí)/一級(jí)要求:

6、概要設(shè)計(jì)說明書應(yīng)明確數(shù)據(jù)完整性和保密性、通信完整性和保密性、軟件容錯(cuò)、資源控制等安全功能要求。設(shè)計(jì)階段控制程序文件;提供概要設(shè)計(jì)說明書,內(nèi)容應(yīng)覆蓋條款的要求。28.僅一級(jí)要求:概要設(shè)計(jì)說明書中應(yīng)明確基于軟件安全威脅分析的安全要求。29.僅一級(jí)要求:當(dāng)開發(fā)場(chǎng)景適用時(shí),概要設(shè)計(jì)說明書中應(yīng)明確抗抵賴、安全標(biāo)記、可信路徑等安全功能要求。30.設(shè)計(jì)階段-詳細(xì)設(shè)計(jì)僅二級(jí)/一級(jí)要求:詳細(xì)設(shè)計(jì)說明書中應(yīng)包含對(duì)數(shù)據(jù)產(chǎn)生、傳輸、存儲(chǔ)、使用、處理和歸檔安全方面的詳細(xì)設(shè)計(jì)。詳細(xì)設(shè)計(jì)說明書,內(nèi)容應(yīng)覆蓋條款的要求。31.僅一級(jí)要求:依據(jù)安全要求和概要設(shè)計(jì)說明書,明確基于軟件安全威脅分析進(jìn)行詳細(xì)設(shè)計(jì)。32.編碼階段制定統(tǒng)一

7、的代碼安全編碼規(guī)范,確保開發(fā)人員參照規(guī)范安全編碼。軟件開發(fā)所使用語言的安全編碼規(guī)范,規(guī)范內(nèi)容包括但不限于代碼安全編寫的原則、方式、方法等。33.依據(jù)詳細(xì)設(shè)計(jì)說明書,對(duì)軟件進(jìn)行安全編碼。在編碼過程中,對(duì)規(guī)避高危風(fēng)險(xiǎn)的漏洞采取的方法或措施的文檔或記錄。34.軟件代碼要經(jīng)過安全檢查、評(píng)審,對(duì)于發(fā)現(xiàn)的漏洞能有效修復(fù)。代碼安全檢查、評(píng)審記錄,對(duì)發(fā)現(xiàn)的漏洞,提供漏洞修復(fù)與驗(yàn)證記錄。35.僅二級(jí)/一級(jí)要求:軟件代碼的安全檢查、評(píng)審工作應(yīng)形成記錄。代碼檢查、審核相關(guān)記錄。36.僅一級(jí)要求:采用自動(dòng)化工具對(duì)代碼安全漏洞進(jìn)行審查,對(duì)于發(fā)現(xiàn)的漏洞能有效修復(fù),并形成審查報(bào)告。代碼檢查工具的檢查結(jié)果記錄/報(bào)告。37.測(cè)

8、試階段依據(jù)軟件設(shè)計(jì)說明書對(duì)軟件功能、安全功能進(jìn)行測(cè)試。測(cè)試方案、測(cè)試計(jì)劃,提供軟件功能測(cè)試、安全性測(cè)試記錄與報(bào)告。38.對(duì)測(cè)試發(fā)現(xiàn)的漏洞進(jìn)行分析并有效修復(fù)。漏洞發(fā)現(xiàn)、分析與修復(fù)的記錄。39.測(cè)試階段-單元測(cè)試僅二級(jí)/一級(jí)要求:明確單元測(cè)試策略,制定單元測(cè)試計(jì)劃。單元測(cè)試的測(cè)試策略、測(cè)試計(jì)劃。40.僅二級(jí)/一級(jí)要求:依據(jù)詳細(xì)設(shè)計(jì)說明書和測(cè)試計(jì)劃進(jìn)行單元測(cè)試設(shè)計(jì),并執(zhí)行單元測(cè)試,形成測(cè)試記錄。單元測(cè)試用例設(shè)計(jì)、測(cè)試記錄。41.僅一級(jí)要求:對(duì)單元測(cè)試結(jié)果進(jìn)行分析,形成分析報(bào)告。單元測(cè)試分析報(bào)告。42.測(cè)試階段-集成測(cè)試僅二級(jí)/一級(jí)要求:明確集成測(cè)試策略,制定集成測(cè)試計(jì)劃。集成測(cè)試的測(cè)試策略、測(cè)試計(jì)劃

9、。43.僅二級(jí)/一級(jí)要求:依據(jù)概要設(shè)計(jì)方案和測(cè)試計(jì)劃進(jìn)行集成測(cè)試設(shè)計(jì),并執(zhí)行集成測(cè)試,形成測(cè)試記錄。集成測(cè)試用例設(shè)計(jì)、測(cè)試記錄。44.僅一級(jí)要求:對(duì)集成測(cè)試結(jié)果進(jìn)行分析,形成分析報(bào)告。集成測(cè)試分析報(bào)告。45.測(cè)試階段-系統(tǒng)測(cè)試僅二級(jí)/一級(jí)要求:制定包括系統(tǒng)安全性測(cè)試在內(nèi)的測(cè)試計(jì)劃,并執(zhí)行系統(tǒng)測(cè)試,形成測(cè)試記錄。安全性測(cè)試計(jì)劃和測(cè)試用例設(shè)計(jì)文檔、測(cè)試記錄。46.47.僅二級(jí)/一級(jí)要求:基于軟件安全功能的安全要求,制定脆弱性測(cè)試方案,對(duì)安全漏洞進(jìn)行測(cè)試,形成測(cè)試記錄。脆弱性測(cè)試方案、測(cè)試記錄。48.僅二級(jí)/一級(jí)要求:對(duì)系統(tǒng)測(cè)試結(jié)果進(jìn)行分析,形成分析報(bào)告。測(cè)試分析報(bào)告,其中包括軟件安全測(cè)試的結(jié)果分析

10、。49.僅一級(jí)要求:基于軟件項(xiàng)目的安全要求,制定系統(tǒng)滲透性測(cè)試方案,模擬攻擊場(chǎng)景,對(duì)系統(tǒng)安全性進(jìn)行測(cè)試,并形成分析報(bào)告。滲透性測(cè)試方案、滲透測(cè)試記錄和滲透測(cè)試報(bào)告。50.驗(yàn)收階段-系統(tǒng)試運(yùn)行測(cè)試系統(tǒng)運(yùn)行的可靠性、穩(wěn)定性和安全性,進(jìn)行試運(yùn)行,并記錄系統(tǒng)運(yùn)行狀況,試運(yùn)行周期至少一個(gè)月。系統(tǒng)試運(yùn)行相關(guān)記錄。51.基于系統(tǒng)試運(yùn)行相關(guān)記錄,及時(shí)對(duì)軟件進(jìn)行調(diào)整、維護(hù)。系統(tǒng)調(diào)整、維護(hù)記錄。52.僅二級(jí)/一級(jí)要求:試運(yùn)行結(jié)束后,制定系統(tǒng)試運(yùn)行報(bào)告,并提交客戶。系統(tǒng)試運(yùn)行報(bào)告。53.僅一級(jí)要求:提供三個(gè)月以上的試運(yùn)行記錄和報(bào)告。系統(tǒng)試運(yùn)行記錄和報(bào)告。54.僅一級(jí)要求:綜合軟件系統(tǒng)試運(yùn)行狀態(tài),建立軟件系統(tǒng)運(yùn)行策略

11、和安全指南。系統(tǒng)運(yùn)行策略、安全指南。55.驗(yàn)收階段-驗(yàn)收交付根據(jù)合同約定,向客戶提交完整的項(xiàng)目資料及交付物,并提出驗(yàn)收申請(qǐng)。驗(yàn)收申請(qǐng)、驗(yàn)收資料、驗(yàn)收?qǐng)?bào)告。56.根據(jù)合同約定,進(jìn)行項(xiàng)目驗(yàn)收,形成項(xiàng)目驗(yàn)收?qǐng)?bào)告。57.僅二級(jí)/一級(jí)要求:提交軟件安全測(cè)評(píng)報(bào)告。軟件安全測(cè)評(píng)報(bào)告。58.僅一級(jí)要求:提交軟件產(chǎn)品第三方安全測(cè)評(píng)報(bào)告或安全認(rèn)證證書。專家/第三方權(quán)威機(jī)構(gòu)出具的軟件產(chǎn)品安全測(cè)評(píng)報(bào)告或安全認(rèn)證證書。59.維保階段對(duì)于影響軟件系統(tǒng)安全、穩(wěn)定運(yùn)行的缺陷,及時(shí)有效采取打補(bǔ)丁、版本升級(jí)等方式予以消除,并提供遠(yuǎn)程技術(shù)支持服務(wù)。巡查記錄、故障記錄、升級(jí)記錄等。60.僅二級(jí)/一級(jí)要求:制定系統(tǒng)運(yùn)行計(jì)劃、安全事件響應(yīng)計(jì)劃、安全事件應(yīng)急預(yù)案,建立應(yīng)急響應(yīng)服務(wù)保障團(tuán)隊(duì)。系統(tǒng)運(yùn)行計(jì)劃、安全事件響應(yīng)計(jì)劃、安全事件應(yīng)急預(yù)案;應(yīng)急保障團(tuán)隊(duì)人員組織構(gòu)成和職責(zé)規(guī)定文件;應(yīng)急事件記錄。61.僅二級(jí)/一級(jí)要求:及時(shí)應(yīng)對(duì)突發(fā)安全事件,并向用戶提供安全事件解決報(bào)告。62.僅一級(jí)要求:制定軟件健康檢查計(jì)劃、方案,定期實(shí)施,提交相應(yīng)的系統(tǒng)健康檢查報(bào)告、巡檢報(bào)告。健康檢查計(jì)劃、方案、系統(tǒng)健康檢查報(bào)告、巡檢報(bào)告、系統(tǒng)優(yōu)化改進(jìn)記錄。63.僅一級(jí)要求:根據(jù)健康檢查報(bào)告進(jìn)行分析,持續(xù)優(yōu)化系統(tǒng)。64.上一年度提出的觀察項(xiàng)整改情況(如有)65.66.67.上一年度提

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論