软件安全开发服务资质认证自评估表

文章出处:澳门新莆京娱乐网站  原创 人气:2726 发表时间:2017-10-25

组织名称

 

申报级别

 

评估时间

 

评估部门/人员


序号

要点

条款

需提供证明材料

自评估结论

证明材料清单

符合

不符合

准备阶段

建立软件项目安全开发团队,明确各岗位、人员、职责。

项目人员管理文件,项目安全开发组织机构,人员配备、角色职责,明确安全管理人员及职责。

 

 

 

制定软件项目安全开发管理计划,明确开发过程管控措施。

安全开发计划,明确里程碑管理、进度、管控措施等,内容包括安全要素。

 

 

 

建立软件开发的配置管理计划,明确配置管理的安全要求。

配置管理计划,内容应覆盖审核条款的要求。

 

 

 

建立变更控制制度,明确软件项目变更控制的安全要求。

变更控制制度,变更过程控制记录,内容应覆盖审核条款的要求。

 

 

 

制定软件项目安全培训计划,对相关人员进行安全培训。

培训管理制度,安全培训计划和记录。

 

 

 

建立独立的开发环境,确保开发环境与运行环境隔离。

软件开发规范,开发环境和运行环境说明文档。

 

 

 

仅二级/一级要求:建立软件安全开发项目风险管理机制,对软件项目进行风险评估。

风险管理制度,风险分析报告,内容应覆盖审核条款的要求。

 

 

 

仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。

现场查看配置管理工具使用情况。

 

 

 

仅二级/一级要求:配备专职的测试人员。

人员管理文件,内容应覆盖审核条款的要求。

 

 

 

仅二级/一级要求:建立独立的测试环境,确保测试环境与开发环境隔离。

软件开发规范,开发环境和测试环境说明文档。

 

 

 

仅一级要求:建立软硬件设备和工具等资源安全使用规范。

资源安全使用规范;项目资源配备计划,内容应覆盖审核条款的要求。

 

 

 

仅一级要求:配备安全管理人员。

安全方面专职人员的任命文件,项目相关的安全监控记录。

 

 

 

仅一级要求:建立变更控制委员会。

变更控制委员会成员构成与职责规定文件,变更管理控制相关记录。

 

 

 

需求阶段

调研项目背景信息,收集项目需求,明确软件功能、性能及安全性要求。

需求阶段控制程序文件;需求阶段项目文档,内容应覆盖审核条款的要求。
需求阶段项目文档包括可行性报告、招标文件、需求分析报告等。

 

 

 

结合软件项目需求、安全需求,与客户充分沟通,达成共识并形成记录。

与客户沟通的记录。

 

 

 

仅二级/一级要求:准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。

需求分析报告,内容应覆盖审核条款的要求。

 

 

 

仅二级/一级要求:对于数据采集、产生、使用,明确识别安全保护要求。

 

 

 

仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制具有软件安全需求的分析报告。

 

 

 

仅二级/一级要求:需求分析报告中明确项目开发中使用的安全技术标准、规范。

 

 

 

仅一级要求:基于软件安全威胁、开展需求分析,编制具有软件安全需求的分析报告。

 

 

 

仅一级要求:基于软件项目需求分析,结合安全开发要素建立软件开发模型。

 

 

 

设计阶段-概要设计

根据软件项目需求,编制软件设计方案、设计说明书。

设计阶段控制程序文件;项目概要设计说明书/详细设计说明书,内容应覆盖审核条款的要求。

 

 

 

软件设计方案明确系统/子系统的功能和非功能设计要求。

 

 

 

软件设计方案明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管理等。

 

 

 

仅二级/一级要求:概要设计方案明确安全功能要求,还应包括数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等。

 

 

 

仅一级要求:设计方案中明确基于软件安全威胁分析的安全要求。

 

 

 

仅一级要求:设计方案中明确安全功能要求,还应包括抗抵赖、安全标记、可信路径等。

 

 

 

设计阶段-详细设计

仅二级/一级要求:详细设计说明书中包含对数据产生、传输、存储、使用、处理、归档安全性的详细设计。

详细设计说明书,内容应覆盖审核条款的要求。

 

 

 

仅一级要求:依据安全要求和设计方案,明确基于软件安全威胁的详细设计。

 

 

 

编码阶段

制定统一的代码安全编码规范,确保开发人员参照规范安全编码。

安全编码规范文件,内容应覆盖审核条款的要求。

 

 

 

依据详细设计说明书,对软件进行安全编码。

提供编码过程中采取的安全编码方法与措施文档。

 

 

 

软件代码要经过安全检查、评审,对于发现的漏洞能有效修复。

提供代码检查、评审、漏洞修复过程的相关文档。

 

 

 

仅二级/一级要求:软件代码要经过安全检查、评审,对于发现的漏洞能有效修复,且形成记录。

代码检查、评审相关记录。

 

 

 

仅一级要求:采用代码检查工具实施安全审查。

代码检查工具的使用情况说明文档。

 

 

 

测试阶段-单元测试

仅二级/一级要求:明确单元测试策略,制定单元测试计划。

单元测试的测试策略、测试计划。

 

 

 

仅二级/一级要求:依据详细设计说明书和测试计划进行单元测试设计,并执行单元测试,形成测试记录。

单元测试设计、测试记录。

 

 

 

仅一级要求:对单元测试结果进行分析,形成分析报告。

单元测试分析报告。

 

 

 

测试阶段-集成测试

仅二级/一级要求:明确集成测试策略,制定集成测试计划。

集成测试的测试策略、测试计划。

 

 

 

仅二级/一级要求:依据概要设计方案和测试计划进行集成测试设计,并执行集成测试,形成测试记录。

集成测试设计、测试记录。

 

 

 

仅二级/一级要求:对安全子系统进行兼容性和安全性测试,完整记录测试过程相关信息。

 

 

 

仅一级要求:对集成测试结果进行分析,形成分析报告。

测试分析报告。

 

 

 

测试阶段-系统测试

依据软件设计方案、设计说明书对软件功能、安全功能进行测试。

系统测试相关文档,内容应覆盖审核条款的要求。

 

 

 

对测试过程中发现的漏洞进行分析并有效修复。

漏洞发现、分析与修复的情况说明文档。

 

 

 

仅二级/一级要求:制定针对系统安全性测试在内的测试计划和测试设计,并执行系统测试,形成测试记录。

测试计划和测试设计文档、测试记录,内容应覆盖审核条款的要求。

 

 

 

仅二级/一级要求:基于软件安全功能的安全要求,制定脆弱性测试方案,对安全漏洞进行测试,形成测试记录。

 

 

 

仅二级/一级要求:提供系统测试报告和安全方面分析报告。

系统测试报告和安全方面分析报告。

 

 

 

仅一级要求:基于软件项目的安全要求,制定系统渗透性测试方案,模拟攻击场景,对系统安全性进行测试。

渗透性测试方案、测试记录和测试报告,内容应覆盖审核条款的要求。

 

 

 

验收阶段-系统试运行

测试系统运行的可靠性、稳定性和安全性,进行试运行,并记录系统运行状况,试运行周期至少一个月。

系统试运行相关记录,内容应覆盖审核条款的要求。

 

 

 

基于系统试运行相关记录,及时对软件进行调整、维护。

 

 

 

仅二级/一级要求:试运行结束后,制定系统试运行报告,并提交客户。

系统试运行报告,内容应覆盖审核条款的要求。

 

 

 

仅一级要求:提供三个月以上的试运行记录和报告。

系统试运行记录和报告。

 

 

 

仅一级要求:综合软件系统试运行状态,建立软件系统运行策略和安全指南。

系统试运行策略、安全指南。

 

 

 

验收阶段-验收交付

根据合同约定,向客户提交完整的项目资料及交付物,并提出验收申请。

申请验收资料、验收报告,内容应覆盖审核条款的要求。

 

 

 

根据合同约定,进行项目验收,形成项目验收报告。

 

 

 

仅二级/一级要求:提交软件安全评析报告。

软件安全评析报告。

 

 

 

仅一级要求:提交软件产品最终安全评析报告。

专家/第三方权威机构出具的软件产品最终安全评析报告。

 

 

 

维保阶段

对于影响软件系统安全、稳定运行的缺陷,及时有效采取打补丁、版本升级等方式予以消除,并提供远程技术支持服务。

巡查记录、故障记录、升级记录等。

 

 

 

仅二级/一级要求:制定系统运行计划、事件响应计划、事件应急预案,建立应急响应服务保障团队。

系统运行计划、事件响应计划、事件应急预案;应急保障团队人员组织构成和职责规定文件;应急事件记录。

 

 

 

仅二级/一级要求:及时应对突发事件,并向用户提供故障事件解决报告。

 

 

 

仅一级要求:建立软件健康检查计划、方案,定期实施,提交相应的系统健康检查报告、巡检报告。

健康检查计划、方案、系统健康检查报告、巡检报告,内容应覆盖审核条款的要求。

 

 

 

仅一级要求:根据健康检查报告进行分析,持续优化系统。

 

 

 

上一年度提出的观察项跟踪验证情况(如有)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

上一年度提出的不符合项跟踪验证情况(如有)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



自评估结论:
经自主评估,本单位的软件安全开发服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方评审。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。

本文TAG:

相关资讯

版权所有:澳门新莆京娱乐网站
电话:0731-84117318
湘ICP备17020036号-1   技术支持:竞网智赢 

XML 地图 | Sitemap 地图