T-ISC 0042-2024 軟件安全開(kāi)發(fā)能力評(píng)估技術(shù)規(guī)范

團(tuán)體標(biāo)準(zhǔn)Technicalspecificationforevaluatingsoftwares中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布I 22規(guī)范性引用文件 23術(shù)語(yǔ)和定義 24縮略語(yǔ) 55安全開(kāi)發(fā)體系評(píng)估模型 55.1成熟度模型架構(gòu) 55.2安全能力維度 65.3能力成熟度等級(jí)維度 75.4安全開(kāi)發(fā)過(guò)程維度 86安全需求 6.1PA01安全開(kāi)發(fā)分類分級(jí) 6.2PA02威脅分析 6.3PA03安全需求管理 7安全設(shè)計(jì) 7.1PA04IT架構(gòu)安全 7.2PA05安全設(shè)計(jì)管理 7.3PA06第三方組件安全管理 8安全編碼 8.1PA07安全編碼管理 9安全測(cè)試 9.1PA08代碼審計(jì) 9.2PA09滲透測(cè)試 10安全部署/發(fā)布 10.1PA10安全配置管理 10.2PA11軟件/應(yīng)用自我防御加固 11安全運(yùn)維 11.1PA12應(yīng)急響應(yīng) 11.2PA13安全持續(xù)保障 12基礎(chǔ)安全 12.1PA14安全培訓(xùn) 12.2PA15組織和人員管理 12.3PA16合規(guī)管理 12.4PA17開(kāi)發(fā)測(cè)試環(huán)境安全管理 12.5PA18軟件資產(chǎn)管理 B.1能力成熟度等級(jí)評(píng)估流程 B.2能力成熟度模型使用方法 參考文獻(xiàn) 411本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本標(biāo)準(zhǔn)由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)歸口。本文件起草單位：中國(guó)信息通信研究院、北京國(guó)舜科技股份有限公司、北京風(fēng)行網(wǎng)安科技有限公司、深圳開(kāi)源互聯(lián)網(wǎng)安全技術(shù)有限公司、揚(yáng)州數(shù)安技術(shù)有限公司、中國(guó)石油昆侖數(shù)智科技有限責(zé)任公司、中國(guó)民航信息網(wǎng)絡(luò)股份有限公司、中郵信息科技(北京)有限公司、中國(guó)經(jīng)濟(jì)信息社、中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司、中國(guó)電力科學(xué)研究院有限公司、中建數(shù)字科技有限公司、北京航天繪景、OpenSDV汽車軟件開(kāi)源聯(lián)盟、杭州默安科技有限公司、北京智精靈科技有限公司、北京德安信華科技有限公司、四川賽闖檢測(cè)股份有限公司、成都信息工程大學(xué)、北京龍盾數(shù)據(jù)有限公司、網(wǎng)宿科技股份有限公司、北京微步在線科技有限公司、阿里巴巴集團(tuán)、仁壽智仁智慧科技有限公司、四川仁恒智合科技有限公司、江蘇大道云隱科技有限公司。本文件主要起草人：蔣阿芳、馬英軒、樊可欣、湯志剛、于偉杰、郭治文、張志強(qiáng)、王頡、張磊、王曉龍、滕征岑、張嵩、孫忠偉、楊京煜、王宇、翟冬梅、馬德斌、陳長(zhǎng)勝、馬周瓊、馮麗、袁麗、馬欣、秦元、黃莎琳、呂士表、楊志偉、童兆豐、婁珽、吳孟晴、黨杜均、鄧恒、黃圣超。2軟件安全開(kāi)發(fā)能力評(píng)估技術(shù)規(guī)范身的安全開(kāi)發(fā)能力評(píng)估和過(guò)程改進(jìn)，適用于第三方開(kāi)展軟件安全開(kāi)發(fā)體系28458-2020、GB/T24363-2009界定的以及34在評(píng)估中用于不能清晰界定屬于某一安全過(guò)程域而重要且基礎(chǔ)的安全開(kāi)發(fā)相關(guān)活動(dòng)。5BP：基本實(shí)踐（BasePractiSSDCMM：軟件安全開(kāi)發(fā)能力成熟度模型（SoftwareSecureDevelopmentCapabilityDevOps：研發(fā)運(yùn)營(yíng)一體化（DevelopmentandOperatioSCA：軟件成分分析（SoftwareCompositIAST：交互式應(yīng)用程序安全測(cè)試（Inte6安全能力維度明確了組織在安全開(kāi)發(fā)領(lǐng)域應(yīng)具備的能力，包括組織建設(shè)、制度流安全開(kāi)發(fā)能力成熟度等級(jí)劃分為五級(jí)，具體包括：1劃跟蹤級(jí)，3級(jí)是充分定義級(jí)，4級(jí)是量化控制級(jí)，5級(jí)是持續(xù)優(yōu)2）開(kāi)發(fā)生命周期安全過(guò)程具體包括：安全需求、安全設(shè)計(jì)、安全編碼、安全測(cè)c）技術(shù)工具：通過(guò)技術(shù)手段和產(chǎn)品工具落實(shí)安全開(kāi)發(fā)要求或自動(dòng)化實(shí)現(xiàn)安全開(kāi)發(fā)工d）人員能力：執(zhí)行安全開(kāi)發(fā)工作人員的安全從承擔(dān)安全開(kāi)發(fā)工作組織應(yīng)具備的組織建設(shè)能力角度，根據(jù)以下方面進(jìn)行能力等級(jí)區(qū)從組織在安全開(kāi)發(fā)制度流程的建設(shè)以及執(zhí)行情況角度，根據(jù)以下方面進(jìn)行能力等級(jí)區(qū)7從組織用于開(kāi)展安全開(kāi)發(fā)工作的安全技術(shù)、應(yīng)用系統(tǒng)和工具出發(fā)，根據(jù)以下方面進(jìn)行a）安全開(kāi)發(fā)技術(shù)在開(kāi)發(fā)全生命周期過(guò)程中的利用情況，應(yīng)對(duì)開(kāi)發(fā)全生命周期安全風(fēng)b）利用技術(shù)工具對(duì)安全開(kāi)發(fā)工作的自動(dòng)化支持能力，對(duì)安全開(kāi)發(fā)制度流程固化執(zhí)行從組織承擔(dān)安全開(kāi)發(fā)工作人員應(yīng)具備的能力出發(fā)，根據(jù)以下方面進(jìn)行能力等a）安全開(kāi)發(fā)人員所具備的安全開(kāi)發(fā)技能是否能夠滿足實(shí)現(xiàn)安全目標(biāo)的能力要求（對(duì)b）開(kāi)發(fā)團(tuán)隊(duì)的安全意識(shí)以及對(duì)關(guān)鍵安全開(kāi)發(fā)崗位員工安全開(kāi)發(fā)能力的部分軟件和應(yīng)用系統(tǒng)開(kāi)發(fā)執(zhí)行過(guò)程中根據(jù)臨時(shí)的需求執(zhí)行了相關(guān)作的人員未達(dá)到相應(yīng)能力。所執(zhí)行的過(guò)程稱為“非正式過(guò)程”發(fā)安全過(guò)程，依賴于個(gè)人a）規(guī)劃執(zhí)行：對(duì)開(kāi)發(fā)安全過(guò)程進(jìn)行規(guī)劃，提前分配資源和責(zé)b）執(zhí)行：對(duì)開(kāi)發(fā)安全過(guò)程進(jìn)行控制，使用執(zhí)行計(jì)劃、執(zhí)行基于c）驗(yàn)證執(zhí)行：確認(rèn)過(guò)程按預(yù)定的方式執(zhí)行，驗(yàn)證過(guò)程的執(zhí)行與d）跟蹤執(zhí)行：控制安全開(kāi)發(fā)過(guò)程執(zhí)行的進(jìn)展，當(dāng)過(guò)程實(shí)踐與計(jì)在重要軟件和重要應(yīng)用系統(tǒng)的開(kāi)發(fā)中，主動(dòng)地實(shí)現(xiàn)了安全過(guò)程的計(jì)劃與執(zhí)對(duì)執(zhí)行質(zhì)量沒(méi)有規(guī)范性要a）定義標(biāo)準(zhǔn)過(guò)程：組織對(duì)標(biāo)準(zhǔn)過(guò)程進(jìn)行制度化，為組織定義標(biāo)在組織級(jí)別實(shí)現(xiàn)了安全過(guò)8b）執(zhí)行已定義的過(guò)程：充分定義的過(guò)程是可重復(fù)執(zhí)行的，并使用過(guò)程執(zhí)行的結(jié)果數(shù)據(jù)，對(duì)有缺陷的過(guò)程結(jié)果和安全實(shí)踐進(jìn)c）協(xié)調(diào)安全實(shí)踐：確定各技術(shù)團(tuán)隊(duì)之間、組織外部活動(dòng)的協(xié)調(diào)b）客觀地管理執(zhí)行：確定過(guò)程能力的量化測(cè)量，使用量化測(cè)量建立了量化目標(biāo)，安全過(guò)b）改進(jìn)過(guò)程有效性：制定處于持續(xù)改進(jìn)狀態(tài)下的規(guī)程，對(duì)規(guī)程根據(jù)組織的整體目標(biāo)，不a）將組織在每個(gè)安全開(kāi)發(fā)PA的能力成熟度劃分為五級(jí)，針對(duì)每個(gè)等級(jí)下組織應(yīng)具d）安全測(cè)試：在軟件開(kāi)發(fā)的測(cè)試階段，驗(yàn)9e）安全部署/發(fā)布：對(duì)于應(yīng)用系統(tǒng)軟件，在軟件部署階段，按照安全需求，參照安全照安全設(shè)計(jì)，對(duì)通用軟件的默認(rèn)配置進(jìn)行安全特定的軟件安全開(kāi)發(fā)所經(jīng)歷的生命周期由實(shí)際的業(yè)務(wù)所決定，可為完整的6個(gè)階段或全管理3個(gè)PA；件安全發(fā)布3個(gè)PA；組織內(nèi)部的開(kāi)發(fā)項(xiàng)目分類分級(jí)方法，開(kāi)發(fā)項(xiàng)目包括新建系統(tǒng)的項(xiàng)目和系統(tǒng)升級(jí)改造的項(xiàng)目，a）組織建設(shè)：應(yīng)由開(kāi)發(fā)團(tuán)隊(duì)或項(xiàng)目管理團(tuán)隊(duì)人員負(fù)責(zé)相關(guān)系統(tǒng)和開(kāi)發(fā)項(xiàng)目的分類分a）組織建設(shè)：組織應(yīng)設(shè)立負(fù)責(zé)系統(tǒng)和開(kāi)發(fā)項(xiàng)目分類分級(jí)工作的管理崗位和人員，主3）應(yīng)明確開(kāi)發(fā)項(xiàng)目分類分級(jí)變更審批流程和機(jī)制，通過(guò)該流程保證對(duì)開(kāi)發(fā)分類c）技術(shù)工具：應(yīng)在所有開(kāi)發(fā)管理工具和安全開(kāi)發(fā)工具中體現(xiàn)開(kāi)發(fā)項(xiàng)目分類分級(jí)信息d）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)了解系統(tǒng)和開(kāi)發(fā)項(xiàng)目分類分級(jí)的要求，能夠識(shí)a）應(yīng)能自動(dòng)化進(jìn)行開(kāi)發(fā)項(xiàng)目的分類分級(jí)，記錄自動(dòng)分類分級(jí)結(jié)果與人工審核后的分類分級(jí)結(jié)果之間的差異，定期分析改進(jìn)分類分級(jí)標(biāo)識(shí)工具，提升工具處理的準(zhǔn)確b）應(yīng)對(duì)開(kāi)發(fā)項(xiàng)目分類分級(jí)的操作、變更過(guò)程進(jìn)行日志記錄和分析，定期通過(guò)日志分a）制度流程：應(yīng)定期評(píng)審開(kāi)發(fā)項(xiàng)目分類分級(jí)的規(guī)范和細(xì)則，考慮其內(nèi)容是否完全覆b）技術(shù)工具：應(yīng)跟蹤開(kāi)發(fā)項(xiàng)目分類分級(jí)標(biāo)識(shí)效果，持續(xù)改進(jìn)開(kāi)發(fā)項(xiàng)目分類分級(jí)的技脅項(xiàng)，并針對(duì)威脅項(xiàng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，提出相應(yīng)的消除、緩解措施，即安組織建設(shè)：組織未建立成熟的威脅建模方法論，在安全需求階段僅憑個(gè)人經(jīng)驗(yàn)由安全a）組織建設(shè)：組織應(yīng)明確執(zhí)行威脅分析的開(kāi)發(fā)團(tuán)隊(duì)和安全團(tuán)隊(duì)人員的角色和職責(zé)，負(fù)d）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)了解威脅建模的內(nèi)容和實(shí)施規(guī)范，具備對(duì)威脅項(xiàng)技術(shù)方案：在業(yè)界分享相關(guān)威脅建模的方法論和工具最佳實(shí)踐，成為行業(yè)標(biāo)桿組織建設(shè)：未建立成熟穩(wěn)定的安全需求分析機(jī)制，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)驗(yàn)對(duì)a）組織建設(shè)：組織應(yīng)設(shè)立負(fù)責(zé)安全開(kāi)發(fā)需求分析的崗位和人員，負(fù)責(zé)對(duì)業(yè)務(wù)系統(tǒng)需求分析階段開(kāi)展安全需求分析工作，確保安全需求的有效制定和規(guī)范化表達(dá)1）應(yīng)明確安全需求分析的流程和評(píng)審機(jī)制，明確安全需求文檔內(nèi)容要求2）應(yīng)依據(jù)國(guó)家法律、法規(guī)、標(biāo)準(zhǔn)等要求，分析軟件或應(yīng)用系統(tǒng)軟件的安全合規(guī)3）應(yīng)識(shí)別軟件或應(yīng)用系統(tǒng)軟件面臨的潛在威脅和自身潛在脆弱性，分析安全風(fēng)1）應(yīng)建立承載安全需求分析活動(dòng)的安全需求分析系統(tǒng)，該系統(tǒng)記錄所有開(kāi)發(fā)項(xiàng)目的安全需求分析結(jié)果，以保證對(duì)所有的安全需求分析過(guò)程的有效追溯d）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)具有安全需求分析能力，對(duì)組織的安全需求管理有充分的理解，并通過(guò)培訓(xùn)實(shí)現(xiàn)各業(yè)務(wù)的需求分析人員對(duì)安全需求分析標(biāo)準(zhǔn)的a）制度流程：應(yīng)使用威脅驅(qū)動(dòng)分析方法或模型，對(duì)業(yè)務(wù)系統(tǒng)的潛在威脅和自身潛在a）制度流程：應(yīng)持續(xù)優(yōu)化安全開(kāi)發(fā)需求分析，以保證符合組織發(fā)展戰(zhàn)略和業(yè)務(wù)發(fā)展b）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)具有應(yīng)對(duì)新技術(shù)新場(chǎng)景的安全需求分析挖掘能通訊安全架構(gòu)等安全內(nèi)容，從而保證系統(tǒng)架構(gòu)層面的b）制度流程：應(yīng)在架構(gòu)管理的制度中明確架構(gòu)安全的管理要求，關(guān)鍵業(yè)務(wù)的架構(gòu)設(shè)c）技術(shù)工具：應(yīng)部署相關(guān)設(shè)備支撐安全架構(gòu)設(shè)計(jì)，如加解密設(shè)備、統(tǒng)一用戶登錄平d）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)具有架構(gòu)安全設(shè)計(jì)的能力，了解架構(gòu)安全規(guī)范，為實(shí)現(xiàn)安全需求，建立對(duì)應(yīng)的安全設(shè)計(jì)，保證組織內(nèi)業(yè)務(wù)的安全需求實(shí)組織建設(shè)：組織未建立成熟穩(wěn)定的安全設(shè)計(jì)機(jī)制，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)驗(yàn)對(duì)a）組織建設(shè)：組織應(yīng)設(shè)立負(fù)責(zé)安全開(kāi)發(fā)設(shè)計(jì)的崗位和人員，負(fù)責(zé)在軟件設(shè)計(jì)階段開(kāi)2）安全設(shè)計(jì)除滿足安全需求外，還應(yīng)滿足國(guó)家法律、法規(guī)、標(biāo)準(zhǔn)等未在安全需1）應(yīng)建立安全設(shè)計(jì)管理系統(tǒng)，該系統(tǒng)記錄所有項(xiàng)目的安全設(shè)計(jì)結(jié)果，以保證對(duì)2）能夠建立組織的安全設(shè)計(jì)標(biāo)準(zhǔn)方案庫(kù)，并建立安全需求與安全設(shè)計(jì)的自動(dòng)關(guān)d）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)具有安全設(shè)計(jì)能力，對(duì)組織的安全設(shè)計(jì)管理有充分的理解，對(duì)組織的安全設(shè)計(jì)標(biāo)準(zhǔn)方案有充分的理解并能在安全設(shè)計(jì)中靈活應(yīng)用，以及通過(guò)培訓(xùn)實(shí)現(xiàn)各業(yè)務(wù)的安全設(shè)計(jì)人員對(duì)安全設(shè)計(jì)標(biāo)準(zhǔn)的一致性理解a）制度流程：應(yīng)持續(xù)優(yōu)化安全設(shè)計(jì)規(guī)范，安全設(shè)計(jì)標(biāo)準(zhǔn)庫(kù)，以保證符合組織發(fā)展戰(zhàn)b）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)具有應(yīng)對(duì)新技術(shù)新場(chǎng)景的安全設(shè)計(jì)能力a）組織建設(shè)：組織應(yīng)設(shè)立第三方組件安全管理的崗位和人員，負(fù)責(zé)制定相關(guān)的第三方組件安全管理的制度，推動(dòng)相關(guān)要求、流程的落地，并對(duì)具體業(yè)務(wù)或項(xiàng)目的第2）應(yīng)在第三方組件引入時(shí)，對(duì)其風(fēng)險(xiǎn)進(jìn)行評(píng)估，包括來(lái)源的合法性，軟件許可d）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)能夠充分理解第三方組件的安全要求，并能夠b）制度流程：在重要軟件和重要應(yīng)用系統(tǒng)建設(shè)中應(yīng)將代碼安全管控作為必要的環(huán)節(jié)1）應(yīng)明確編碼安全的技術(shù)規(guī)范，編寫(xiě)編碼安全指南指導(dǎo)開(kāi)發(fā)團(tuán)隊(duì)安全編碼2）應(yīng)明確編碼環(huán)節(jié)中，開(kāi)發(fā)團(tuán)隊(duì)的內(nèi)部編碼安全管控機(jī)制，明確編碼安全的評(píng)審機(jī)制，利用內(nèi)部交叉檢查、外部代碼審計(jì)等常規(guī)手段進(jìn)行安全編碼管控b)考慮通過(guò)部分安全組件代碼開(kāi)源方式，在業(yè)界分享最佳實(shí)踐，成為行業(yè)標(biāo)桿組織建設(shè)：組織未建立成熟穩(wěn)定的代碼安全檢測(cè)手段，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)a）組織建設(shè)：組織應(yīng)設(shè)立負(fù)責(zé)代碼安全檢測(cè)崗位和人員，負(fù)責(zé)制定統(tǒng)一的代碼安全1）應(yīng)明確對(duì)代碼安全檢測(cè)的內(nèi)容以及技術(shù)規(guī)范，明確代碼安全評(píng)審的要求1）應(yīng)采用自動(dòng)和人工審計(jì)相結(jié)合的方法或手段對(duì)代碼進(jìn)行靜態(tài)代碼安全檢測(cè)d）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)了解代碼安全檢測(cè)的內(nèi)容和技術(shù)規(guī)范，具備對(duì)b）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)充分理解代碼安全檢測(cè)的要求，可以持續(xù)優(yōu)化c）人員能力：負(fù)責(zé)模擬攻擊測(cè)試工作的人員理解模擬攻擊的要求，能夠進(jìn)行有效的3）應(yīng)明確模擬攻擊測(cè)試的安全評(píng)審的要求，包括清晰的安全質(zhì)量通過(guò)標(biāo)準(zhǔn)1）應(yīng)采用自動(dòng)和人工模擬攻擊相結(jié)合的方式和手段，檢測(cè)主機(jī)、操作系統(tǒng)、數(shù)2）應(yīng)采用自動(dòng)和人工模擬攻擊相結(jié)合的方式和手段，檢測(cè)應(yīng)用系統(tǒng)的安全性，3）應(yīng)采用自動(dòng)和人工模擬攻擊相結(jié)合的方式和手段，檢測(cè)應(yīng)用系統(tǒng)的業(yè)務(wù)邏輯組織建設(shè)：未在組織建立成熟穩(wěn)定的配置安全管理，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)驗(yàn)b）制度流程：應(yīng)明確重要軟件發(fā)布或重要應(yīng)用系統(tǒng)軟件部署的安全配置和審核流程1）應(yīng)明確軟件發(fā)布或應(yīng)用系統(tǒng)軟件部署的配置安全審核制度，審核配置方案是2）應(yīng)審核正式發(fā)布版本或正式部署版本的配置與最后測(cè)試版本配置的差異性，3）應(yīng)審核配置方案中的配置項(xiàng)完整性，防止配置缺失而影響系統(tǒng)安全性c）技術(shù)工具：應(yīng)在發(fā)布/部署流程管控中具備配置安全審核的內(nèi)容，并對(duì)配置方案存組織建設(shè)：組織未建立成熟穩(wěn)定的軟件/應(yīng)用自我防御加固方案，僅根據(jù)臨時(shí)需求或基a)組織建設(shè)：應(yīng)由開(kāi)發(fā)團(tuán)隊(duì)或運(yùn)維團(tuán)隊(duì)相關(guān)人員負(fù)責(zé)對(duì)應(yīng)用實(shí)施應(yīng)用自我防御加固b)制度流程：重要軟件和重要應(yīng)用系統(tǒng)開(kāi)發(fā)應(yīng)建立明確的軟件/應(yīng)用自我防御加固方a)組織建設(shè)：組織應(yīng)在開(kāi)發(fā)團(tuán)隊(duì)或者安全團(tuán)隊(duì)設(shè)立負(fù)責(zé)應(yīng)用自我防御加固的崗位和d)人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)了解軟件/應(yīng)人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)充分了解軟件/應(yīng)用自身安全加固的原理，可以持續(xù)組織建設(shè)：未在組織建立成熟穩(wěn)定的發(fā)布安全管理，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)驗(yàn)a）組織建設(shè)：應(yīng)由開(kāi)發(fā)團(tuán)隊(duì)或運(yùn)維團(tuán)隊(duì)的相關(guān)人員負(fù)責(zé)軟件發(fā)布安全控制c）人員能力：負(fù)責(zé)軟件發(fā)布安全工作的人員應(yīng)基本理解軟件安全發(fā)布的要求2）應(yīng)明確軟件發(fā)布的安全審核制度，審核發(fā)布方案是否符合安全要求，所選擇3）應(yīng)審核正式發(fā)布版本與最后測(cè)試版本配置的差異性，是否采取必要的電子簽4）應(yīng)審核發(fā)布方案中的配置項(xiàng)完整性，保證充分利用發(fā)布渠道的安全機(jī)制建立針對(duì)已發(fā)布的軟件或已部署的應(yīng)用系統(tǒng)軟件的應(yīng)急響應(yīng)體系，對(duì)各類安全事件進(jìn)組織建設(shè)：未在組織建立成熟穩(wěn)定的應(yīng)急響應(yīng)機(jī)制，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)驗(yàn)a）組織建設(shè)：已發(fā)布的軟件和已部署的重要應(yīng)用系統(tǒng)應(yīng)設(shè)立負(fù)責(zé)安全事件管理和應(yīng)b）制度流程：已發(fā)布的軟件和已部署的重要應(yīng)用系統(tǒng)應(yīng)明確安全事件管理和應(yīng)急響a）組織建設(shè)：組織應(yīng)設(shè)立專職負(fù)責(zé)安全事件管理和應(yīng)急響應(yīng)的崗位和人員1）應(yīng)明確安全事件管理和應(yīng)急響應(yīng)工作管理制度和流程，定義安全事件類型，d）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)具備安全事件的判斷能力，熟悉安全事件應(yīng)急組織建設(shè)：組織未建立成熟穩(wěn)定的安全持續(xù)保障機(jī)制，僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)a）制度流程：相關(guān)部門(mén)對(duì)已發(fā)布的軟件或已部署的應(yīng)用系統(tǒng)實(shí)施安全持續(xù)保障活動(dòng)，a）組織建設(shè)：組織內(nèi)應(yīng)設(shè)立負(fù)責(zé)安全持續(xù)保障的崗位和人員，負(fù)責(zé)安全持續(xù)保障制1）應(yīng)采用自動(dòng)和人工模擬攻擊相結(jié)合的方式和手段，在保證不影響應(yīng)用系統(tǒng)工作的前提下，檢測(cè)主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件系統(tǒng)等的安全性2）應(yīng)采用自動(dòng)和人工參與相結(jié)合的方式和手段，跟蹤軟件相關(guān)第三方組件的安3）應(yīng)有對(duì)已發(fā)布軟件或已部署應(yīng)用系統(tǒng)軟件的漏洞和安全脆弱性進(jìn)行管理的系d）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)充分了解安全持續(xù)保障的管理制度和工作流程，a）制度流程：組織應(yīng)定期對(duì)已發(fā)布的軟件或已部署的應(yīng)用系統(tǒng)軟件安全性進(jìn)行量化b）技術(shù)工具：能夠統(tǒng)計(jì)已發(fā)布的軟件或已部署的應(yīng)用系統(tǒng)軟件的漏洞數(shù)量、漏洞種組織應(yīng)通過(guò)傳授安全意識(shí)和技能來(lái)提高組織和人員的安全意識(shí)和防范能力，培訓(xùn)的內(nèi)容包括國(guó)家最新的安全政策和法規(guī)，近期重大軟件安全事件，新的安全管理制度和監(jiān)督機(jī)組織建設(shè)：組織未在任何部門(mén)中設(shè)立固定的安全意識(shí)和技能培訓(xùn)人員，僅根據(jù)團(tuán)隊(duì)個(gè)人的經(jīng)驗(yàn)水平傳授安全意識(shí)和技能的相關(guān)知識(shí)，由個(gè)別人員臨時(shí)承擔(dān)了安全培訓(xùn)的工作1）應(yīng)由相關(guān)業(yè)務(wù)部門(mén)人員負(fù)責(zé)完成人力資源管理策略中的安全培訓(xùn)要求1）人力資源部門(mén)與安全培訓(xùn)部門(mén)的人員能夠進(jìn)行有效配合，對(duì)培訓(xùn)考核的結(jié)果1）應(yīng)明確重要崗位人員的安全開(kāi)發(fā)培訓(xùn)計(jì)劃，并在重要崗位轉(zhuǎn)崗、崗位升級(jí)等2）組織對(duì)重要崗位人員的安全開(kāi)發(fā)培訓(xùn)計(jì)劃需要具備吸收外部資源在開(kāi)發(fā)安全3）安全培訓(xùn)部門(mén)對(duì)于組織內(nèi)部的軟件安全實(shí)施情況有制度性的調(diào)查安排，清楚c）技術(shù)工具：應(yīng)通過(guò)技術(shù)工具實(shí)現(xiàn)部分培訓(xùn)內(nèi)容的自動(dòng)化和可拓展化，便于培訓(xùn)內(nèi)d）人員能力：培訓(xùn)組織人員能夠了解當(dāng)前開(kāi)發(fā)安全現(xiàn)狀和對(duì)應(yīng)的培訓(xùn)要求，培訓(xùn)講據(jù)培訓(xùn)人員的反饋和組織內(nèi)部要求不斷優(yōu)化，針對(duì)不同能力水平的培訓(xùn)對(duì)象實(shí)現(xiàn)定制化培通過(guò)建立組織內(nèi)部負(fù)責(zé)安全開(kāi)發(fā)工作的職能部門(mén)及崗位，以及對(duì)人力資源管理過(guò)程中各環(huán)節(jié)進(jìn)行安全管理，防范組織和人員管理過(guò)程中存在的安全組織建設(shè)：組織未在任何部門(mén)中設(shè)立固定的安全開(kāi)發(fā)管理人員，僅根據(jù)臨時(shí)需求或基2）重要軟件和重要應(yīng)用系統(tǒng)開(kāi)發(fā)應(yīng)具有安全開(kāi)發(fā)崗位和人員，以實(shí)現(xiàn)對(duì)安全開(kāi)1）重要軟件和重要應(yīng)用系統(tǒng)開(kāi)發(fā)應(yīng)對(duì)重要崗位候選者從法律法規(guī)、行業(yè)道德準(zhǔn)c）人員能力：負(fù)責(zé)重要軟件和重要應(yīng)用系統(tǒng)安全開(kāi)發(fā)職能的人員，應(yīng)能夠充分了解3）應(yīng)建立組織內(nèi)部的監(jiān)督管理職能部門(mén)，負(fù)責(zé)對(duì)組織內(nèi)部的需求、設(shè)計(jì)、開(kāi)發(fā)、4）應(yīng)指定安全開(kāi)發(fā)的安全需求、安全設(shè)計(jì)、安全測(cè)試、安全部署/發(fā)布、安全運(yùn)5）應(yīng)明確組織層面承擔(dān)人員安全開(kāi)發(fā)培訓(xùn)管理職責(zé)的崗位和人員，負(fù)責(zé)對(duì)安全1）應(yīng)明確安全開(kāi)發(fā)相關(guān)部門(mén)或崗位的要求，明確其工作職責(zé)，以及職能部門(mén)之2）應(yīng)明確安全開(kāi)發(fā)追責(zé)機(jī)制，定期對(duì)責(zé)任部門(mén)和安全崗位組織安全檢查，形成3）應(yīng)明確針對(duì)開(kāi)發(fā)合作方的安全管理制度，并要求簽署保密協(xié)議，定期對(duì)合作4）應(yīng)明確重要崗位人員的安全開(kāi)發(fā)培訓(xùn)計(jì)劃，并在重要崗位轉(zhuǎn)崗、崗位升級(jí)等c）技術(shù)工具：應(yīng)通過(guò)技術(shù)工具自動(dòng)化實(shí)現(xiàn)安全開(kāi)發(fā)相關(guān)的人力資源管理流程1）負(fù)責(zé)組織和人員管理的人員應(yīng)充分理解人力資源管理流程中可對(duì)安全風(fēng)險(xiǎn)進(jìn)2）應(yīng)開(kāi)展針對(duì)員工入職過(guò)程中的安全開(kāi)發(fā)教育，通過(guò)培訓(xùn)、考試等手段提升其a）組織建設(shè)：應(yīng)能夠持續(xù)優(yōu)化組織的安全開(kāi)發(fā)職能設(shè)置，以實(shí)現(xiàn)整體業(yè)務(wù)目標(biāo)的優(yōu)b）制度流程：應(yīng)能夠持續(xù)優(yōu)化組織和人員管理的相關(guān)流程，以保證符合業(yè)務(wù)發(fā)展的跟進(jìn)組織需符合的法律法規(guī)和行業(yè)監(jiān)管要求，以保證組織業(yè)務(wù)的發(fā)展不會(huì)面臨合規(guī)風(fēng)組織建設(shè)：未在組織建立成熟穩(wěn)定的安全開(kāi)發(fā)合規(guī)工作，僅根據(jù)臨時(shí)需求或基于個(gè)人b）制度流程：重要軟件和重要應(yīng)用系統(tǒng)開(kāi)發(fā)應(yīng)通過(guò)識(shí)別安全開(kāi)發(fā)合規(guī)要求，將合規(guī)要求更新至重要軟件和重要應(yīng)用系統(tǒng)開(kāi)發(fā)相關(guān)的制度流程中，并在重要環(huán)節(jié)中設(shè)c）人員能力：負(fù)責(zé)該項(xiàng)工作的人員應(yīng)基本理解安全開(kāi)發(fā)的合規(guī)要求，并可基于業(yè)務(wù)a）組織建設(shè)：應(yīng)在組織層面設(shè)立了專職負(fù)責(zé)安全開(kāi)發(fā)合規(guī)的崗位和人員，負(fù)責(zé)明確安全開(kāi)發(fā)合規(guī)需求，制定安全開(kāi)發(fā)合規(guī)的技術(shù)規(guī)范和管理制度、流程，推進(jìn)其在1）應(yīng)明確組織所有的外部合規(guī)要求并形成清單，能夠定期通過(guò)跟進(jìn)監(jiān)管機(jī)構(gòu)合規(guī)要求動(dòng)態(tài)對(duì)該清單進(jìn)行更新，同時(shí)將其拆分發(fā)送給相關(guān)方以進(jìn)行宣貫2）應(yīng)依據(jù)相關(guān)法律法規(guī)及行業(yè)監(jiān)管要求，建立組織統(tǒng)一的安全開(kāi)發(fā)制度和管控c）技術(shù)工具：應(yīng)建立安全開(kāi)發(fā)合規(guī)資料庫(kù)，相關(guān)人員可以通過(guò)該資料庫(kù)查詢合規(guī)要d）人員能力：負(fù)責(zé)該項(xiàng)過(guò)程的人員應(yīng)具備對(duì)安全開(kāi)發(fā)合規(guī)要求的解讀和分析能力組織建設(shè)：應(yīng)設(shè)置專門(mén)的合規(guī)崗位，該崗位負(fù)責(zé)與監(jiān)管機(jī)構(gòu)對(duì)接，跟進(jìn)監(jiān)管機(jī)構(gòu)的合a）組織建設(shè)：組織應(yīng)設(shè)置開(kāi)發(fā)測(cè)試環(huán)境管理崗位和人員，負(fù)責(zé)管理制度的制定和落2）應(yīng)明確開(kāi)發(fā)測(cè)試環(huán)境與其他環(huán)境的數(shù)據(jù)、文件、代碼導(dǎo)入、導(dǎo)出的管理制度1）應(yīng)通過(guò)技術(shù)工具實(shí)現(xiàn)開(kāi)發(fā)測(cè)試環(huán)境與其他網(wǎng)絡(luò)的邏輯隔離或物理隔離2）應(yīng)通過(guò)技術(shù)工具實(shí)現(xiàn)對(duì)開(kāi)發(fā)測(cè)試環(huán)境與其他環(huán)境數(shù)據(jù)、文件、代碼導(dǎo)入、導(dǎo)d）人員能力：負(fù)責(zé)安全開(kāi)發(fā)測(cè)試環(huán)境安全的人員應(yīng)了解安全管理需求，對(duì)數(shù)據(jù)、文通過(guò)建立針對(duì)組織軟件資產(chǎn)的有效管理手段，實(shí)現(xiàn)統(tǒng)一的管理b）制度流程：重要軟件和重要應(yīng)用系統(tǒng)應(yīng)制定軟件資產(chǎn)登記制度，建立軟件資產(chǎn)清a）組織建設(shè)：組織應(yīng)設(shè)置軟件資產(chǎn)管理崗位和人員，對(duì)組織的軟件資產(chǎn)進(jìn)行統(tǒng)一管2）應(yīng)明確軟件資產(chǎn)登記機(jī)制，確保組織內(nèi)部重要的軟件資產(chǎn)已有明確的管理者1）應(yīng)通過(guò)技術(shù)工具執(zhí)行軟件資產(chǎn)的登記，實(shí)現(xiàn)對(duì)軟件資產(chǎn)的自動(dòng)屬性標(biāo)識(shí)2）應(yīng)建立軟件資產(chǎn)版本變更管理工具，并能夠及時(shí)更新軟件資產(chǎn)版本相關(guān)信息d）人員能力：負(fù)責(zé)統(tǒng)一管理組織軟件資產(chǎn)的人員應(yīng)了解組織內(nèi)部軟件資產(chǎn)的管理需技術(shù)工具：應(yīng)能統(tǒng)計(jì)軟件資產(chǎn)的風(fēng)險(xiǎn)情況，合規(guī)情況，支持軟件資產(chǎn)管理的調(diào)整（資料性附錄）能力成熟度等級(jí)評(píng)估參考方法組織機(jī)構(gòu)的安全開(kāi)發(fā)能力成熟度等級(jí)取決于各個(gè)安全開(kāi)發(fā)PA的能力成熟度等級(jí)。各個(gè)本標(biāo)準(zhǔn)不對(duì)評(píng)級(jí)方法做具體限定，表A.1給出一種綜合判定參考方法，供評(píng)估人員參表A.1PA評(píng)估表…（資料性附錄）能力成熟度等級(jí)評(píng)估流程和模型使用方法安全開(kāi)發(fā)能力成熟度等級(jí)的評(píng)估從組織建設(shè)、制度流程、技術(shù)工具和人員能力4個(gè)關(guān)鍵能力展開(kāi)。通過(guò)對(duì)各項(xiàng)安全過(guò)程所需具備安全能力的評(píng)估，可評(píng)估組織在每項(xiàng)安全過(guò)程1）確定模型適用范圍：分析需要保護(hù)的開(kāi)發(fā)資產(chǎn)及業(yè)務(wù)范圍，確定模型使用或2）確定能力成熟度級(jí)別目標(biāo)：分析組織機(jī)構(gòu)安全開(kāi)發(fā)風(fēng)險(xiǎn)，確定能力成熟度等3）選取安全PA：針對(duì)組織機(jī)構(gòu)的開(kāi)發(fā)相關(guān)的業(yè)務(wù)現(xiàn)狀，選取適當(dāng)?shù)陌踩_(kāi)發(fā)PA。例如，對(duì)于有的組織機(jī)構(gòu)而言，不存在第三方組件的第三方組件的PA；6）確定組織機(jī)構(gòu)整體等級(jí)：結(jié)合所有PA發(fā)能力成熟度等級(jí)，對(duì)安全開(kāi)發(fā)能力進(jìn)行持續(xù)1）組織建設(shè)：評(píng)估是否具有開(kāi)展工作的專職/兼職崗位、團(tuán)隊(duì)或人2