您現在所在位置:首頁 > 資質認證中心 > 信息系統集成資質

軟件安全開發服務資質認證自評估表

文章出處:原創 人氣:1780 發表時間:2017-10-25

組織名稱

 

申報級別

 

評估時間

 

評估部門/人員


序號

要點

條款

需提供證明材料

自評估結論

證明材料清單

符合

不符合

準備階段

建立軟件項目安全開發團隊,明確各崗位、人員、職責。

項目人員管理文件,項目安全開發組織機構,人員配備、角色職責,明確安全管理人員及職責。

 

 

 

制定軟件項目安全開發管理計劃,明確開發過程管控措施。

安全開發計劃,明確里程碑管理、進度、管控措施等,內容包括安全要素。

 

 

 

建立軟件開發的配置管理計劃,明確配置管理的安全要求。

配置管理計劃,內容應覆蓋審核條款的要求。

 

 

 

建立變更控制制度,明確軟件項目變更控制的安全要求。

變更控制制度,變更過程控制記錄,內容應覆蓋審核條款的要求。

 

 

 

制定軟件項目安全培訓計劃,對相關人員進行安全培訓。

培訓管理制度,安全培訓計劃和記錄。

 

 

 

建立獨立的開發環境,確保開發環境與運行環境隔離。

軟件開發規范,開發環境和運行環境說明文檔。

 

 

 

僅二級/一級要求:建立軟件安全開發項目風險管理機制,對軟件項目進行風險評估。

風險管理制度,風險分析報告,內容應覆蓋審核條款的要求。

 

 

 

僅二級/一級要求:使用配置管理工具對軟件項目進行配置管理。

現場查看配置管理工具使用情況。

 

 

 

僅二級/一級要求:配備專職的測試人員。

人員管理文件,內容應覆蓋審核條款的要求。

 

 

 

僅二級/一級要求:建立獨立的測試環境,確保測試環境與開發環境隔離。

軟件開發規范,開發環境和測試環境說明文檔。

 

 

 

僅一級要求:建立軟硬件設備和工具等資源安全使用規范。

資源安全使用規范;項目資源配備計劃,內容應覆蓋審核條款的要求。

 

 

 

僅一級要求:配備安全管理人員。

安全方面專職人員的任命文件,項目相關的安全監控記錄。

 

 

 

僅一級要求:建立變更控制委員會。

變更控制委員會成員構成與職責規定文件,變更管理控制相關記錄。

 

 

 

需求階段

調研項目背景信息,收集項目需求,明確軟件功能、性能及安全性要求。

需求階段控制程序文件;需求階段項目文檔,內容應覆蓋審核條款的要求。
需求階段項目文檔包括可行性報告、招標文件、需求分析報告等。

 

 

 

結合軟件項目需求、安全需求,與客戶充分溝通,達成共識并形成記錄。

與客戶溝通的記錄。

 

 

 

僅二級/一級要求:準確識別和綜合分析軟件項目在可用性、完整性、真實性、機密性、不可否認性、可控性和可靠性等方面的安全需求。

需求分析報告,內容應覆蓋審核條款的要求。

 

 

 

僅二級/一級要求:對于數據采集、產生、使用,明確識別安全保護要求。

 

 

 

僅二級/一級要求:基于客戶需求和投入能力,開展需求分析,編制具有軟件安全需求的分析報告。

 

 

 

僅二級/一級要求:需求分析報告中明確項目開發中使用的安全技術標準、規范。

 

 

 

僅一級要求:基于軟件安全威脅、開展需求分析,編制具有軟件安全需求的分析報告。

 

 

 

僅一級要求:基于軟件項目需求分析,結合安全開發要素建立軟件開發模型。

 

 

 

設計階段-概要設計

根據軟件項目需求,編制軟件設計方案、設計說明書。

設計階段控制程序文件;項目概要設計說明書/詳細設計說明書,內容應覆蓋審核條款的要求。

 

 

 

軟件設計方案明確系統/子系統的功能和非功能設計要求。

 

 

 

軟件設計方案明確包含安全功能要求,包括標識與鑒別、訪問控制、安全審計和安全管理等。

 

 

 

僅二級/一級要求:概要設計方案明確安全功能要求,還應包括數據完整性和保密性、通信完整性和保密性、軟件容錯、資源控制等。

 

 

 

僅一級要求:設計方案中明確基于軟件安全威脅分析的安全要求。

 

 

 

僅一級要求:設計方案中明確安全功能要求,還應包括抗抵賴、安全標記、可信路徑等。

 

 

 

設計階段-詳細設計

僅二級/一級要求:詳細設計說明書中包含對數據產生、傳輸、存儲、使用、處理、歸檔安全性的詳細設計。

詳細設計說明書,內容應覆蓋審核條款的要求。

 

 

 

僅一級要求:依據安全要求和設計方案,明確基于軟件安全威脅的詳細設計。

 

 

 

編碼階段

制定統一的代碼安全編碼規范,確保開發人員參照規范安全編碼。

安全編碼規范文件,內容應覆蓋審核條款的要求。

 

 

 

依據詳細設計說明書,對軟件進行安全編碼。

提供編碼過程中采取的安全編碼方法與措施文檔。

 

 

 

軟件代碼要經過安全檢查、評審,對于發現的漏洞能有效修復。

提供代碼檢查、評審、漏洞修復過程的相關文檔。

 

 

 

僅二級/一級要求:軟件代碼要經過安全檢查、評審,對于發現的漏洞能有效修復,且形成記錄。

代碼檢查、評審相關記錄。

 

 

 

僅一級要求:采用代碼檢查工具實施安全審查。

代碼檢查工具的使用情況說明文檔。

 

 

 

測試階段-單元測試

僅二級/一級要求:明確單元測試策略,制定單元測試計劃。

單元測試的測試策略、測試計劃。

 

 

 

僅二級/一級要求:依據詳細設計說明書和測試計劃進行單元測試設計,并執行單元測試,形成測試記錄。

單元測試設計、測試記錄。

 

 

 

僅一級要求:對單元測試結果進行分析,形成分析報告。

單元測試分析報告。

 

 

 

測試階段-集成測試

僅二級/一級要求:明確集成測試策略,制定集成測試計劃。

集成測試的測試策略、測試計劃。

 

 

 

僅二級/一級要求:依據概要設計方案和測試計劃進行集成測試設計,并執行集成測試,形成測試記錄。

集成測試設計、測試記錄。

 

 

 

僅二級/一級要求:對安全子系統進行兼容性和安全性測試,完整記錄測試過程相關信息。

 

 

 

僅一級要求:對集成測試結果進行分析,形成分析報告。

測試分析報告。

 

 

 

測試階段-系統測試

依據軟件設計方案、設計說明書對軟件功能、安全功能進行測試。

系統測試相關文檔,內容應覆蓋審核條款的要求。

 

 

 

對測試過程中發現的漏洞進行分析并有效修復。

漏洞發現、分析與修復的情況說明文檔。

 

 

 

僅二級/一級要求:制定針對系統安全性測試在內的測試計劃和測試設計,并執行系統測試,形成測試記錄。

測試計劃和測試設計文檔、測試記錄,內容應覆蓋審核條款的要求。

 

 

 

僅二級/一級要求:基于軟件安全功能的安全要求,制定脆弱性測試方案,對安全漏洞進行測試,形成測試記錄。

 

 

 

僅二級/一級要求:提供系統測試報告和安全方面分析報告。

系統測試報告和安全方面分析報告。

 

 

 

僅一級要求:基于軟件項目的安全要求,制定系統滲透性測試方案,模擬攻擊場景,對系統安全性進行測試。

滲透性測試方案、測試記錄和測試報告,內容應覆蓋審核條款的要求。

 

 

 

驗收階段-系統試運行

測試系統運行的可靠性、穩定性和安全性,進行試運行,并記錄系統運行狀況,試運行周期至少一個月。

系統試運行相關記錄,內容應覆蓋審核條款的要求。

 

 

 

基于系統試運行相關記錄,及時對軟件進行調整、維護。

 

 

 

僅二級/一級要求:試運行結束后,制定系統試運行報告,并提交客戶。

系統試運行報告,內容應覆蓋審核條款的要求。

 

 

 

僅一級要求:提供三個月以上的試運行記錄和報告。

系統試運行記錄和報告。

 

 

 

僅一級要求:綜合軟件系統試運行狀態,建立軟件系統運行策略和安全指南。

系統試運行策略、安全指南。

 

 

 

驗收階段-驗收交付

根據合同約定,向客戶提交完整的項目資料及交付物,并提出驗收申請。

申請驗收資料、驗收報告,內容應覆蓋審核條款的要求。

 

 

 

根據合同約定,進行項目驗收,形成項目驗收報告。

 

 

 

僅二級/一級要求:提交軟件安全評析報告。

軟件安全評析報告。

 

 

 

僅一級要求:提交軟件產品最終安全評析報告。

專家/第三方權威機構出具的軟件產品最終安全評析報告。

 

 

 

維保階段

對于影響軟件系統安全、穩定運行的缺陷,及時有效采取打補丁、版本升級等方式予以消除,并提供遠程技術支持服務。

巡查記錄、故障記錄、升級記錄等。

 

 

 

僅二級/一級要求:制定系統運行計劃、事件響應計劃、事件應急預案,建立應急響應服務保障團隊。

系統運行計劃、事件響應計劃、事件應急預案;應急保障團隊人員組織構成和職責規定文件;應急事件記錄。

 

 

 

僅二級/一級要求:及時應對突發事件,并向用戶提供故障事件解決報告。

 

 

 

僅一級要求:建立軟件健康檢查計劃、方案,定期實施,提交相應的系統健康檢查報告、巡檢報告。

健康檢查計劃、方案、系統健康檢查報告、巡檢報告,內容應覆蓋審核條款的要求。

 

 

 

僅一級要求:根據健康檢查報告進行分析,持續優化系統。

 

 

 

上一年度提出的觀察項跟蹤驗證情況(如有)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

上一年度提出的不符合項跟蹤驗證情況(如有)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



自評估結論:
經自主評估,本單位的軟件安全開發服務資質滿足ISCCC-SV-001:2015《信息安全服務資質認證實施規則》級要求,申請第三方評審。
本單位鄭重承諾,《信息安全服務資質認證自評估表-公共管理》與本自評估表中所提供全部信息真實可信,且均可提供相應證明材料。

本文TAG:

相關資訊

版權所有:湖南省電子信息產業研究院
電話:0731-84117318
湘ICP備17020036號-1   技術支持:競網智贏 

网络棋牌频道直播 武汉晃晃麻将技巧 黑龙江22选5奖池 002573股票分析 浙江20选5开奖结果查询 推荐免费股票软件 网络游戏赚钱排行榜 大庆麻将带宝下载 五分钟好运快三网址 腾讯财经股票 德州市原油期货配资 打海南麻将必胜绝技 山西快乐十分开奖前 体彩排列三走势图 正规股票配资平台 炒股的基本常识 真人填大坑手机游戏下载