軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自表.doc

CCRC-QOT-0433-B/4 軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自評估表軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自評估表組織名稱申報(bào)級別評估時(shí)間評估部門/人員序號要點(diǎn)條款需提供證明材料自評估結(jié)論證明材料清單符合不符合1.服務(wù)技術(shù)要求建立軟件安全開發(fā)服務(wù)流程。軟件安全開發(fā)服務(wù)流程，流程圖中應(yīng)包括每個(gè)階段對應(yīng)的職責(zé)、輸入輸出等。2.制定軟件安全開發(fā)服務(wù)規(guī)范并按照規(guī)范實(shí)施。軟件安全開發(fā)服務(wù)規(guī)范并按照規(guī)范實(shí)施。3.準(zhǔn)備階段建立軟件項(xiàng)目安全開發(fā)團(tuán)隊(duì)，明確各崗位、人員、職責(zé)。項(xiàng)目人員構(gòu)成表或其他能體現(xiàn)項(xiàng)目組成員構(gòu)成的文檔，其中明確項(xiàng)目組成員構(gòu)成情況以及安全開發(fā)人員的角色及職責(zé)。4.制定軟件項(xiàng)目安全開發(fā)管理計(jì)劃，明確開發(fā)過程管控措施。項(xiàng)目開發(fā)計(jì)劃，計(jì)劃中應(yīng)包含安全開發(fā)的內(nèi)容。5.建立軟件開發(fā)的配置管理計(jì)劃，明確配置管理的安全要求。項(xiàng)目配置管理計(jì)劃，包含安全相關(guān)活動(dòng)。提供配置管理相關(guān)記錄。6.建立變更控制制度，明確軟件項(xiàng)目變更控制的安全要求。變更控制管理制度，提供項(xiàng)目變更控制記錄，變更的記錄單，記錄單中的內(nèi)容應(yīng)包含變更申請，審批，執(zhí)行，執(zhí)行后的評價(jià)結(jié)果。7.制定軟件項(xiàng)目安全培訓(xùn)計(jì)劃，對相關(guān)人員進(jìn)行安全培訓(xùn)。培訓(xùn)管理制度，項(xiàng)目培訓(xùn)計(jì)劃和培訓(xùn)記錄。8.建立獨(dú)立的開發(fā)環(huán)境，確保開發(fā)環(huán)境與運(yùn)行環(huán)境隔離。開發(fā)環(huán)境與運(yùn)行環(huán)境配置的說明文檔。9.僅二級/一級要求：建立軟件安全開發(fā)項(xiàng)目風(fēng)險(xiǎn)管理機(jī)制，對軟件項(xiàng)目進(jìn)行風(fēng)險(xiǎn)評估。風(fēng)險(xiǎn)管理制度、風(fēng)險(xiǎn)管理計(jì)劃、風(fēng)險(xiǎn)分析報(bào)告。10.僅二級/一級要求：使用配置管理工具對軟件項(xiàng)目進(jìn)行配置管理。配置管理計(jì)劃，其中描述采用的配置管理工具；配置管理工具的使用情況介紹。11.僅二級/一級要求：配備專職的測試人員。項(xiàng)目人員構(gòu)成表或其他能體現(xiàn)項(xiàng)目組成員構(gòu)成的文檔，設(shè)立專職的測試人員，并明確描述其職責(zé)。12.僅二級/一級要求：建立獨(dú)立的測試環(huán)境，確保測試環(huán)境與開發(fā)環(huán)境隔離。開發(fā)環(huán)境與測試環(huán)境配置的說明文檔。13.僅一級要求：建立軟硬件設(shè)備和工具等資源安全使用規(guī)范。軟硬件設(shè)備及工具安全使用規(guī)范；軟硬件設(shè)備及工具資源配備計(jì)劃。14.僅一級要求：配備安全管理人員。安全管理專職人員的任命文件，項(xiàng)目相關(guān)的安全監(jiān)控記錄。15.僅一級要求：建立變更控制委員會。變更控制委員會成員構(gòu)成與職責(zé)規(guī)定文件。16.需求階段調(diào)研項(xiàng)目背景信息，收集項(xiàng)目需求，明確軟件功能、性能及安全方面的要求。需求階段控制程序文件；需求階段項(xiàng)目文檔，包括可行性報(bào)告、招標(biāo)文件、需求分析報(bào)告等，需求文檔的內(nèi)容應(yīng)涉及軟件功能、性能及安全性要求。17.結(jié)合軟件項(xiàng)目需求、安全需求，與客戶充分溝通，達(dá)成共識并形成記錄。與客戶溝通的記錄。18.僅二級/一級要求：準(zhǔn)確識別和綜合分析軟件項(xiàng)目在可用性、完整性、真實(shí)性、機(jī)密性、不可否認(rèn)性、可控性和可靠性等方面的安全需求。需求分析報(bào)告，內(nèi)容應(yīng)覆蓋條款的要求。19.僅二級/一級要求：對于數(shù)據(jù)采集、產(chǎn)生、使用，明確識別安全保護(hù)要求。20.僅二級/一級要求：基于客戶需求，開展需求分析，編制具有軟件安全需求的分析報(bào)告。21.僅二級/一級要求：需求分析報(bào)告中明確項(xiàng)目開發(fā)中使用的安全技術(shù)標(biāo)準(zhǔn)、規(guī)范。22.僅一級要求：應(yīng)基于軟件安全威脅開展需求分析。23.僅一級要求：基于軟件項(xiàng)目需求分析建立軟件安全開發(fā)模型。24.設(shè)計(jì)階段根據(jù)軟件項(xiàng)目需求，編制軟件設(shè)計(jì)說明書。設(shè)計(jì)階段控制程序文件；提供軟件設(shè)計(jì)說明書，內(nèi)容應(yīng)覆蓋條款的要求。25.軟件設(shè)計(jì)說明書明確系統(tǒng)/子系統(tǒng)的功能和非功能設(shè)計(jì)要求。26.軟件設(shè)計(jì)說明書明確包含安全功能要求，包括標(biāo)識與鑒別、訪問控制、安全審計(jì)和安全管理等。27.設(shè)計(jì)階段-概要設(shè)計(jì)僅二級/一級要求：概要設(shè)計(jì)說明書應(yīng)明確數(shù)據(jù)完整性和保密性、通信完整性和保密性、軟件容錯(cuò)、資源控制等安全功能要求。設(shè)計(jì)階段控制程序文件；提供概要設(shè)計(jì)說明書，內(nèi)容應(yīng)覆蓋條款的要求。28.僅一級要求：概要設(shè)計(jì)說明書中應(yīng)明確基于軟件安全威脅分析的安全要求。29.僅一級要求：當(dāng)開發(fā)場景適用時(shí)，概要設(shè)計(jì)說明書中應(yīng)明確抗抵賴、安全標(biāo)記、可信路徑等安全功能要求。30.設(shè)計(jì)階段-詳細(xì)設(shè)計(jì)僅二級/一級要求：詳細(xì)設(shè)計(jì)說明書中應(yīng)包含對數(shù)據(jù)產(chǎn)生、傳輸、存儲、使用、處理和歸檔安全方面的詳細(xì)設(shè)計(jì)。詳細(xì)設(shè)計(jì)說明書，內(nèi)容應(yīng)覆蓋條款的要求。31.僅一級要求：依據(jù)安全要求和概要設(shè)計(jì)說明書，明確基于軟件安全威脅分析進(jìn)行詳細(xì)設(shè)計(jì)。32.編碼階段制定統(tǒng)一的代碼安全編碼規(guī)范，確保開發(fā)人員參照規(guī)范安全編碼。軟件開發(fā)所使用語言的安全編碼規(guī)范，規(guī)范內(nèi)容包括但不限于代碼安全編寫的原則、方式、方法等。33.依據(jù)詳細(xì)設(shè)計(jì)說明書，對軟件進(jìn)行安全編碼。在編碼過程中，對規(guī)避高危風(fēng)險(xiǎn)的漏洞采取的方法或措施的文檔或記錄。34.軟件代碼要經(jīng)過安全檢查、評審，對于發(fā)現(xiàn)的漏洞能有效修復(fù)。代碼安全檢查、評審記錄，對發(fā)現(xiàn)的漏洞，提供漏洞修復(fù)與驗(yàn)證記錄。35.僅二級/一級要求：軟件代碼的安全檢查、評審工作應(yīng)形成記錄。代碼檢查、審核相關(guān)記錄。36.僅一級要求：采用自動(dòng)化工具對代碼安全漏洞進(jìn)行審查，對于發(fā)現(xiàn)的漏洞能有效修復(fù)，并形成審查報(bào)告。代碼檢查工具的檢查結(jié)果記錄/報(bào)告。37.測試階段依據(jù)軟件設(shè)計(jì)說明書對軟件功能、安全功能進(jìn)行測試。測試方案、測試計(jì)劃，提供軟件功能測試、安全性測試記錄與報(bào)告。38.對測試發(fā)現(xiàn)的漏洞進(jìn)行分析并有效修復(fù)。漏洞發(fā)現(xiàn)、分析與修復(fù)的記錄。39.測試階段-單元測試僅二級/一級要求：明確單元測試策略，制定單元測試計(jì)劃。單元測試的測試策略、測試計(jì)劃。40.僅二級/一級要求：依據(jù)詳細(xì)設(shè)計(jì)說明書和測試計(jì)劃進(jìn)行單元測試設(shè)計(jì)，并執(zhí)行單元測試，形成測試記錄。單元測試用例設(shè)計(jì)、測試記錄。41.僅一級要求：對單元測試結(jié)果進(jìn)行分析，形成分析報(bào)告。單元測試分析報(bào)告。42.測試階段-集成測試僅二級/一級要求：明確集成測試策略，制定集成測試計(jì)劃。集成測試的測試策略、測試計(jì)劃。43.僅二級/一級要求：依據(jù)概要設(shè)計(jì)方案和測試計(jì)劃進(jìn)行集成測試設(shè)計(jì)，并執(zhí)行集成測試，形成測試記錄。集成測試用例設(shè)計(jì)、測試記錄。44.僅一級要求：對集成測試結(jié)果進(jìn)行分析，形成分析報(bào)告。集成測試分析報(bào)告。45.測試階段-系統(tǒng)測試僅二級/一級要求：制定包括系統(tǒng)安全性測試在內(nèi)的測試計(jì)劃，并執(zhí)行系統(tǒng)測試，形成測試記錄。安全性測試計(jì)劃和測試用例設(shè)計(jì)文檔、測試記錄。46.47.僅二級/一級要求：基于軟件安全功能的安全要求，制定脆弱性測試方案，對安全漏洞進(jìn)行測試，形成測試記錄。脆弱性測試方案、測試記錄。48.僅二級/一級要求：對系統(tǒng)測試結(jié)果進(jìn)行分析，形成分析報(bào)告。測試分析報(bào)告，其中包括軟件安全測試的結(jié)果分析。49.僅一級要求：基于軟件項(xiàng)目的安全要求，制定系統(tǒng)滲透性測試方案，模擬攻擊場景，對系統(tǒng)安全性進(jìn)行測試，并形成分析報(bào)告。滲透性測試方案、滲透測試記錄和滲透測試報(bào)告。50.驗(yàn)收階段-系統(tǒng)試運(yùn)行測試系統(tǒng)運(yùn)行的可靠性、穩(wěn)定性和安全性，進(jìn)行試運(yùn)行，并記錄系統(tǒng)運(yùn)行狀況，試運(yùn)行周期至少一個(gè)月。系統(tǒng)試運(yùn)行相關(guān)記錄。51.基于系統(tǒng)試運(yùn)行相關(guān)記錄，及時(shí)對軟件進(jìn)行調(diào)整、維護(hù)。系統(tǒng)調(diào)整、維護(hù)記錄。52.僅二級/一級要求：試運(yùn)行結(jié)束后，制定系統(tǒng)試運(yùn)行報(bào)告，并提交客戶。系統(tǒng)試運(yùn)行報(bào)告。53.僅一級要求：提供三個(gè)月以上的試運(yùn)行記錄和報(bào)告。系統(tǒng)試運(yùn)行記錄和報(bào)告。54.僅一級要求：綜合軟件系統(tǒng)試運(yùn)行狀態(tài)，建立軟件系統(tǒng)運(yùn)行策略和安全指南。系統(tǒng)運(yùn)行策略、安全指南。55.驗(yàn)收階段-驗(yàn)收交付根據(jù)合同約定，向客戶提交完整的項(xiàng)目資料及交付物，并提出驗(yàn)收申請。驗(yàn)收申請、驗(yàn)收資料、驗(yàn)收報(bào)告。56.根據(jù)合同約定，進(jìn)行項(xiàng)目驗(yàn)收，形成項(xiàng)目驗(yàn)收報(bào)告。57.僅二級/一級要求：提交軟件安全測評報(bào)告。軟件安全測評報(bào)告。58.僅一級要求：提交軟件產(chǎn)品第三方安全測評報(bào)告或安全認(rèn)證證書。專家/第三方權(quán)威機(jī)構(gòu)出具的軟件產(chǎn)品安全測評報(bào)告或安全認(rèn)證證書。59.維保階段對于影響軟件系統(tǒng)安全、穩(wěn)定運(yùn)行的缺陷，及時(shí)有效采取打補(bǔ)丁、版本升級等方式予以消除，并提供遠(yuǎn)程技術(shù)支持服務(wù)。巡查記錄、故障記錄、升級記錄等。60.僅二級/一級要求：制定系統(tǒng)運(yùn)行計(jì)劃、安全事件響應(yīng)計(jì)劃、安全事件應(yīng)急預(yù)案，建立應(yīng)急響應(yīng)服務(wù)保障團(tuán)隊(duì)。系統(tǒng)運(yùn)行計(jì)劃、安全事件響應(yīng)計(jì)劃、安全事件應(yīng)急預(yù)案；應(yīng)急保障團(tuán)隊(duì)人員組織構(gòu)成和職責(zé)規(guī)定文件；應(yīng)急事件記錄。61.僅二級/一級要求：及時(shí)應(yīng)對突發(fā)安全事件，并向用戶提供安全事件解決報(bào)告。62.僅一級要求：制定軟件健康檢查計(jì)劃、方案，定期實(shí)施，提交相應(yīng)的系統(tǒng)健康檢查報(bào)告、巡檢報(bào)告。健康檢查計(jì)劃、方案、系統(tǒng)健康檢查報(bào)告、巡檢報(bào)告、系統(tǒng)優(yōu)化改進(jìn)記錄。63.僅一級要求：根據(jù)健康檢查報(bào)告進(jìn)行分析，持續(xù)優(yōu)化系統(tǒng)。64.上一年度提出的觀察項(xiàng)整改情況（如有）65.66.67.上一年度提