軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自表

上傳人：石*** IP屬地：廣東上傳時(shí)間：2022-01-08 格式：DOC 頁(yè)數(shù)：10 大?。?49KB 積分：12 舉報(bào) 版權(quán)申訴

軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自表_第2頁(yè)

軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自表_第3頁(yè)

軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自表_第4頁(yè)

軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自表_第5頁(yè)

已閱讀5頁(yè)，還剩5頁(yè)未讀，繼續(xù)免費(fèi)閱讀

版權(quán)說(shuō)明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自評(píng)估表組織名稱申報(bào)級(jí)別評(píng)估時(shí)間評(píng)估部門/人員序號(hào)要點(diǎn)條款需提供證明材料自評(píng)估結(jié)論證明材料清單符合不符合1.準(zhǔn)備階段建立軟件項(xiàng)目安全開發(fā)團(tuán)隊(duì)，明確各崗位、人員、職責(zé)。項(xiàng)目人員管理文件，項(xiàng)目安全開發(fā)組織機(jī)構(gòu)，人員配備、角色職責(zé)，明確安全管理人員及職責(zé)。2.制定軟件項(xiàng)目安全開發(fā)管理計(jì)劃，明確開發(fā)過(guò)程管控措施。安全開發(fā)計(jì)劃，明確里程碑管理、進(jìn)度、管控措施等，內(nèi)容包括安全要素。3.建立軟件開發(fā)的配置管理計(jì)劃，明確配置管理的安全要求。配置管理計(jì)劃，內(nèi)容應(yīng)覆蓋審核條款的要求。4.建立變更控制制度，明確軟件項(xiàng)目變更控制的安全要求。變更控制制度，變更過(guò)程控制記錄，內(nèi)容應(yīng)覆蓋審核條款的要

2、求。5.制定軟件項(xiàng)目安全培訓(xùn)計(jì)劃，對(duì)相關(guān)人員進(jìn)行安全培訓(xùn)。培訓(xùn)管理制度，安全培訓(xùn)計(jì)劃和記錄。6.建立獨(dú)立的開發(fā)環(huán)境，確保開發(fā)環(huán)境與運(yùn)行環(huán)境隔離。軟件開發(fā)規(guī)范，開發(fā)環(huán)境和運(yùn)行環(huán)境說(shuō)明文檔。7.僅二級(jí)/一級(jí)要求：建立軟件安全開發(fā)項(xiàng)目風(fēng)險(xiǎn)管理機(jī)制，對(duì)軟件項(xiàng)目進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)管理制度，風(fēng)險(xiǎn)分析報(bào)告，內(nèi)容應(yīng)覆蓋審核條款的要求。8.僅二級(jí)/一級(jí)要求：使用配置管理工具對(duì)軟件項(xiàng)目進(jìn)行配置管理?，F(xiàn)場(chǎng)查看配置管理工具使用情況。9.僅二級(jí)/一級(jí)要求：配備專職的測(cè)試人員。人員管理文件，內(nèi)容應(yīng)覆蓋審核條款的要求。10.僅二級(jí)/一級(jí)要求：建立獨(dú)立的測(cè)試環(huán)境，確保測(cè)試環(huán)境與開發(fā)環(huán)境隔離。軟件開發(fā)規(guī)范，開發(fā)環(huán)境和測(cè)試環(huán)境說(shuō)

3、明文檔。11.僅一級(jí)要求：建立軟硬件設(shè)備和工具等資源安全使用規(guī)范。資源安全使用規(guī)范；項(xiàng)目資源配備計(jì)劃，內(nèi)容應(yīng)覆蓋審核條款的要求。12.僅一級(jí)要求：配備安全管理人員。安全方面專職人員的任命文件，項(xiàng)目相關(guān)的安全監(jiān)控記錄。13.僅一級(jí)要求：建立變更控制委員會(huì)。變更控制委員會(huì)成員構(gòu)成與職責(zé)規(guī)定文件，變更管理控制相關(guān)記錄。14.需求階段調(diào)研項(xiàng)目背景信息，收集項(xiàng)目需求，明確軟件功能、性能及安全性要求。需求階段控制程序文件；需求階段項(xiàng)目文檔，內(nèi)容應(yīng)覆蓋審核條款的要求。需求階段項(xiàng)目文檔包括可行性報(bào)告、招標(biāo)文件、需求分析報(bào)告等。15.結(jié)合軟件項(xiàng)目需求、安全需求，與客戶充分溝通，達(dá)成共識(shí)并形成記錄。與客戶溝通的記

4、錄。16.僅二級(jí)/一級(jí)要求：準(zhǔn)確識(shí)別和綜合分析軟件項(xiàng)目在可用性、完整性、真實(shí)性、機(jī)密性、不可否認(rèn)性、可控性和可靠性等方面的安全需求。需求分析報(bào)告，內(nèi)容應(yīng)覆蓋審核條款的要求。17.僅二級(jí)/一級(jí)要求：對(duì)于數(shù)據(jù)采集、產(chǎn)生、使用，明確識(shí)別安全保護(hù)要求。18.僅二級(jí)/一級(jí)要求：基于客戶需求和投入能力，開展需求分析，編制具有軟件安全需求的分析報(bào)告。19.僅二級(jí)/一級(jí)要求：需求分析報(bào)告中明確項(xiàng)目開發(fā)中使用的安全技術(shù)標(biāo)準(zhǔn)、規(guī)范。20.僅一級(jí)要求：基于軟件安全威脅、開展需求分析，編制具有軟件安全需求的分析報(bào)告。21.僅一級(jí)要求：基于軟件項(xiàng)目需求分析，結(jié)合安全開發(fā)要素建立軟件開發(fā)模型。22.設(shè)計(jì)階段-概要設(shè)計(jì)根據(jù)

5、軟件項(xiàng)目需求，編制軟件設(shè)計(jì)方案、設(shè)計(jì)說(shuō)明書。設(shè)計(jì)階段控制程序文件；項(xiàng)目概要設(shè)計(jì)說(shuō)明書/詳細(xì)設(shè)計(jì)說(shuō)明書，內(nèi)容應(yīng)覆蓋審核條款的要求。23.軟件設(shè)計(jì)方案明確系統(tǒng)/子系統(tǒng)的功能和非功能設(shè)計(jì)要求。24.軟件設(shè)計(jì)方案明確包含安全功能要求，包括標(biāo)識(shí)與鑒別、訪問控制、安全審計(jì)和安全管理等。25.僅二級(jí)/一級(jí)要求：概要設(shè)計(jì)方案明確安全功能要求，還應(yīng)包括數(shù)據(jù)完整性和保密性、通信完整性和保密性、軟件容錯(cuò)、資源控制等。26.僅一級(jí)要求：設(shè)計(jì)方案中明確基于軟件安全威脅分析的安全要求。27.僅一級(jí)要求：設(shè)計(jì)方案中明確安全功能要求，還應(yīng)包括抗抵賴、安全標(biāo)記、可信路徑等。28.設(shè)計(jì)階段-詳細(xì)設(shè)計(jì)僅二級(jí)/一級(jí)要求：詳細(xì)設(shè)計(jì)說(shuō)明

6、書中包含對(duì)數(shù)據(jù)產(chǎn)生、傳輸、存儲(chǔ)、使用、處理、歸檔安全性的詳細(xì)設(shè)計(jì)。詳細(xì)設(shè)計(jì)說(shuō)明書，內(nèi)容應(yīng)覆蓋審核條款的要求。29.僅一級(jí)要求：依據(jù)安全要求和設(shè)計(jì)方案，明確基于軟件安全威脅的詳細(xì)設(shè)計(jì)。30.編碼階段制定統(tǒng)一的代碼安全編碼規(guī)范,確保開發(fā)人員參照規(guī)范安全編碼。安全編碼規(guī)范文件，內(nèi)容應(yīng)覆蓋審核條款的要求。31.依據(jù)詳細(xì)設(shè)計(jì)說(shuō)明書，對(duì)軟件進(jìn)行安全編碼。提供編碼過(guò)程中采取的安全編碼方法與措施文檔。32.軟件代碼要經(jīng)過(guò)安全檢查、評(píng)審，對(duì)于發(fā)現(xiàn)的漏洞能有效修復(fù)。提供代碼檢查、評(píng)審、漏洞修復(fù)過(guò)程的相關(guān)文檔。33.僅二級(jí)/一級(jí)要求：軟件代碼要經(jīng)過(guò)安全檢查、評(píng)審，對(duì)于發(fā)現(xiàn)的漏洞能有效修復(fù)，且形成記錄。代碼檢查、評(píng)審

7、相關(guān)記錄。34.僅一級(jí)要求：采用代碼檢查工具實(shí)施安全審查。代碼檢查工具的使用情況說(shuō)明文檔。35.測(cè)試階段-單元測(cè)試僅二級(jí)/一級(jí)要求：明確單元測(cè)試策略，制定單元測(cè)試計(jì)劃。單元測(cè)試的測(cè)試策略、測(cè)試計(jì)劃。36.僅二級(jí)/一級(jí)要求：依據(jù)詳細(xì)設(shè)計(jì)說(shuō)明書和測(cè)試計(jì)劃進(jìn)行單元測(cè)試設(shè)計(jì)，并執(zhí)行單元測(cè)試，形成測(cè)試記錄。單元測(cè)試設(shè)計(jì)、測(cè)試記錄。37.僅一級(jí)要求：對(duì)單元測(cè)試結(jié)果進(jìn)行分析，形成分析報(bào)告。單元測(cè)試分析報(bào)告。38.測(cè)試階段-集成測(cè)試僅二級(jí)/一級(jí)要求：明確集成測(cè)試策略，制定集成測(cè)試計(jì)劃。集成測(cè)試的測(cè)試策略、測(cè)試計(jì)劃。39.僅二級(jí)/一級(jí)要求：依據(jù)概要設(shè)計(jì)方案和測(cè)試計(jì)劃進(jìn)行集成測(cè)試設(shè)計(jì)，并執(zhí)行集成測(cè)試，形成測(cè)試記錄

8、。集成測(cè)試設(shè)計(jì)、測(cè)試記錄。40.僅二級(jí)/一級(jí)要求：對(duì)安全子系統(tǒng)進(jìn)行兼容性和安全性測(cè)試，完整記錄測(cè)試過(guò)程相關(guān)信息。41.僅一級(jí)要求：對(duì)集成測(cè)試結(jié)果進(jìn)行分析，形成分析報(bào)告。測(cè)試分析報(bào)告。42.測(cè)試階段-系統(tǒng)測(cè)試依據(jù)軟件設(shè)計(jì)方案、設(shè)計(jì)說(shuō)明書對(duì)軟件功能、安全功能進(jìn)行測(cè)試。系統(tǒng)測(cè)試相關(guān)文檔，內(nèi)容應(yīng)覆蓋審核條款的要求。43.對(duì)測(cè)試過(guò)程中發(fā)現(xiàn)的漏洞進(jìn)行分析并有效修復(fù)。漏洞發(fā)現(xiàn)、分析與修復(fù)的情況說(shuō)明文檔。44.僅二級(jí)/一級(jí)要求：制定針對(duì)系統(tǒng)安全性測(cè)試在內(nèi)的測(cè)試計(jì)劃和測(cè)試設(shè)計(jì)，并執(zhí)行系統(tǒng)測(cè)試，形成測(cè)試記錄。測(cè)試計(jì)劃和測(cè)試設(shè)計(jì)文檔、測(cè)試記錄，內(nèi)容應(yīng)覆蓋審核條款的要求。45.僅二級(jí)/一級(jí)要求：基于軟件安全功能的安全

9、要求，制定脆弱性測(cè)試方案，對(duì)安全漏洞進(jìn)行測(cè)試，形成測(cè)試記錄。46.僅二級(jí)/一級(jí)要求：提供系統(tǒng)測(cè)試報(bào)告和安全方面分析報(bào)告。系統(tǒng)測(cè)試報(bào)告和安全方面分析報(bào)告。47.僅一級(jí)要求：基于軟件項(xiàng)目的安全要求，制定系統(tǒng)滲透性測(cè)試方案，模擬攻擊場(chǎng)景，對(duì)系統(tǒng)安全性進(jìn)行測(cè)試。滲透性測(cè)試方案、測(cè)試記錄和測(cè)試報(bào)告，內(nèi)容應(yīng)覆蓋審核條款的要求。48.驗(yàn)收階段-系統(tǒng)試運(yùn)行測(cè)試系統(tǒng)運(yùn)行的可靠性、穩(wěn)定性和安全性，進(jìn)行試運(yùn)行，并記錄系統(tǒng)運(yùn)行狀況，試運(yùn)行周期至少一個(gè)月。系統(tǒng)試運(yùn)行相關(guān)記錄，內(nèi)容應(yīng)覆蓋審核條款的要求。49.基于系統(tǒng)試運(yùn)行相關(guān)記錄，及時(shí)對(duì)軟件進(jìn)行調(diào)整、維護(hù)。50.僅二級(jí)/一級(jí)要求：試運(yùn)行結(jié)束后，制定系統(tǒng)試運(yùn)行報(bào)告，并提交

10、客戶。系統(tǒng)試運(yùn)行報(bào)告，內(nèi)容應(yīng)覆蓋審核條款的要求。51.僅一級(jí)要求：提供三個(gè)月以上的試運(yùn)行記錄和報(bào)告。系統(tǒng)試運(yùn)行記錄和報(bào)告。52.僅一級(jí)要求：綜合軟件系統(tǒng)試運(yùn)行狀態(tài)，建立軟件系統(tǒng)運(yùn)行策略和安全指南。系統(tǒng)試運(yùn)行策略、安全指南。53.驗(yàn)收階段-驗(yàn)收交付根據(jù)合同約定，向客戶提交完整的項(xiàng)目資料及交付物，并提出驗(yàn)收申請(qǐng)。申請(qǐng)驗(yàn)收資料、驗(yàn)收?qǐng)?bào)告，內(nèi)容應(yīng)覆蓋審核條款的要求。54.根據(jù)合同約定，進(jìn)行項(xiàng)目驗(yàn)收，形成項(xiàng)目驗(yàn)收?qǐng)?bào)告。55.僅二級(jí)/一級(jí)要求：提交軟件安全評(píng)析報(bào)告。軟件安全評(píng)析報(bào)告。56.僅一級(jí)要求：提交軟件產(chǎn)品最終安全評(píng)析報(bào)告。專家/第三方權(quán)威機(jī)構(gòu)出具的軟件產(chǎn)品最終安全評(píng)析報(bào)告。57.維保階段對(duì)于影響軟

11、件系統(tǒng)安全、穩(wěn)定運(yùn)行的缺陷，及時(shí)有效采取打補(bǔ)丁、版本升級(jí)等方式予以消除，并提供遠(yuǎn)程技術(shù)支持服務(wù)。巡查記錄、故障記錄、升級(jí)記錄等。58.僅二級(jí)/一級(jí)要求：制定系統(tǒng)運(yùn)行計(jì)劃、事件響應(yīng)計(jì)劃、事件應(yīng)急預(yù)案，建立應(yīng)急響應(yīng)服務(wù)保障團(tuán)隊(duì)。系統(tǒng)運(yùn)行計(jì)劃、事件響應(yīng)計(jì)劃、事件應(yīng)急預(yù)案；應(yīng)急保障團(tuán)隊(duì)人員組織構(gòu)成和職責(zé)規(guī)定文件；應(yīng)急事件記錄。59.僅二級(jí)/一級(jí)要求：及時(shí)應(yīng)對(duì)突發(fā)事件，并向用戶提供故障事件解決報(bào)告。60.僅一級(jí)要求：建立軟件健康檢查計(jì)劃、方案，定期實(shí)施，提交相應(yīng)的系統(tǒng)健康檢查報(bào)告、巡檢報(bào)告。健康檢查計(jì)劃、方案、系統(tǒng)健康檢查報(bào)告、巡檢報(bào)告，內(nèi)容應(yīng)覆蓋審核條款的要求。61.僅一級(jí)要求：根據(jù)健康檢查報(bào)告進(jìn)行分析，持續(xù)優(yōu)化系統(tǒng)。62.上一年度提出的觀察項(xiàng)跟蹤驗(yàn)證情況（如有）63.64.

人人文庫(kù)> 全部分類> 應(yīng)用文書 > 合同范本

溫馨提示

1. 本站所有資源如無(wú)特殊說(shuō)明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2. 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3. 本站RAR壓縮包中若帶圖紙，網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽，若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間，僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理，對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容，請(qǐng)與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

軟件安全開發(fā)服務(wù)資質(zhì)認(rèn)證自表

文檔簡(jiǎn)介

溫馨提示

最新文檔

評(píng)論