軟件安全開發(fā)成熟度評估技術(shù)規(guī)范 征求意見稿_第1頁
軟件安全開發(fā)成熟度評估技術(shù)規(guī)范 征求意見稿_第2頁
軟件安全開發(fā)成熟度評估技術(shù)規(guī)范 征求意見稿_第3頁
軟件安全開發(fā)成熟度評估技術(shù)規(guī)范 征求意見稿_第4頁
軟件安全開發(fā)成熟度評估技術(shù)規(guī)范 征求意見稿_第5頁
已閱讀5頁,還剩56頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1T/ZHSIAXXX—XXXX軟件研發(fā)安全成熟度評估技術(shù)規(guī)范本標(biāo)準(zhǔn)定義了軟件安全開發(fā)成熟度的評估模型和評估體系,從54個(gè)基本安全實(shí)踐的執(zhí)行頻率、覆蓋度及執(zhí)行質(zhì)量進(jìn)行量化評估,為軟件研發(fā)安全成熟度評估及自主提升軟件研發(fā)安全成熟度水平提供標(biāo)準(zhǔn)和依據(jù),適用于:a.第三方對軟件研發(fā)單位開展軟件研發(fā)安全成熟度評估認(rèn)證;b.軟件研發(fā)單位自主提升軟件研發(fā)安全成熟度水平。2.規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,標(biāo)注日期的引用文件,僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語GB/T29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯GB/T19000-2016質(zhì)量管理體系基礎(chǔ)和術(shù)語GB/T20261-2020信息安全技術(shù)系統(tǒng)安全工程能力成熟度模型GB/T28458-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識與描述規(guī)范GB/T24363-2009信息安全技術(shù)信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范3.術(shù)語和定義GB/T25069-2010、GB/T29246-2017、GB/T19000-2016、GB/T20261-2020、GB/T28458-2020、GB/T24363-2009界定的以及下列術(shù)語和定義適用于本文件。3.1.軟件生命周期softwarelifecycle軟件產(chǎn)品從構(gòu)思開始到軟件停止使用為止的時(shí)間周期。軟件生命周期在組織中典型地包括:需求階段、設(shè)計(jì)階段、實(shí)現(xiàn)階段、測試階段、部署階段或發(fā)布階段、操作和維護(hù)階段,有時(shí)還包括銷毀階段。2T/ZHSIAXXX—XXXX3.2.軟件研發(fā)安全softwaresecuritydevelopment識別軟件生命周期中潛在的安全威脅,對信息和數(shù)據(jù)進(jìn)行保護(hù)的一組技術(shù)狀態(tài)管理活動。3.3.保密性confidentiality使信息不泄漏給未授權(quán)的個(gè)人、實(shí)體、進(jìn)程,或不被其利用的特性。[來源:GB/T25069-2010,2.1.1]3.4.完整性integrity準(zhǔn)確和完備的特性。[來源:GB/T29246-2017,2.40]3.5.可用性availability已授權(quán)實(shí)體一旦需要就可訪問和使用的數(shù)據(jù)和資源的特性。[來源:GB/T25069-2010,2.1.20]3.6.安全開發(fā)能力securitydevelopmentcapability組織在組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對安全開發(fā)的保障。3.7.能力成熟度capabilitymaturity對一個(gè)組織有條理的持續(xù)改進(jìn)能力以及實(shí)現(xiàn)特定過程的連續(xù)性、可持續(xù)性、有效性和可信度的水平。3.8.能力成熟度模型capabilitymaturitymodel對一個(gè)組織的能力成熟度進(jìn)行度量的模型,包括一系列代表能力和進(jìn)展的特征、屬性、指示或者模式。3.9.安全過程securityprocess用于實(shí)現(xiàn)某一安全目標(biāo)的完整過程,該過程包含輸入和輸出。3T/ZHSIAXXX—XXXX3.10.基本實(shí)踐basepractice實(shí)現(xiàn)某一安全目標(biāo)的安全開發(fā)相關(guān)活動。3.11.安全域processarea實(shí)現(xiàn)同一安全目標(biāo)的相關(guān)安全開發(fā)基本實(shí)踐的集合。3.12.基礎(chǔ)實(shí)踐foundationpractice在評估中用于不能清晰界定屬于某一安全安全域而重要且基礎(chǔ)的安全開發(fā)相關(guān)活動。3.13.評估assessment對于某一產(chǎn)品、系統(tǒng)或服務(wù),對照某一標(biāo)準(zhǔn),采用相應(yīng)的評估方法,以建立合規(guī)性并確定其所做是否得到確保的驗(yàn)證。3.14.過程process利用輸入實(shí)現(xiàn)預(yù)期結(jié)果的相互關(guān)聯(lián)或相互作用的一組活動。[來源:GB/T19000-2016,3.4.1]3.15.基線baseline經(jīng)過一個(gè)正式評審并通過的規(guī)約或產(chǎn)品,作為后續(xù)開發(fā)的基礎(chǔ)。對其變更只有通過正式的變更控制規(guī)程方可進(jìn)行。[來源:GB/T20261-2020,3.11]3.16.威脅threat可能對系統(tǒng)或組織造成危害的不期望事件的潛在因素。3.17.組件component在系統(tǒng)中,實(shí)現(xiàn)其部分功能的可識別區(qū)分的部分。4T/ZHSIAXXX—XXXX3.18.網(wǎng)絡(luò)安全漏洞cyberspacesecurityvulnerability網(wǎng)絡(luò)產(chǎn)品和服務(wù)在需求分析、設(shè)計(jì)、實(shí)現(xiàn)、配置、測試、運(yùn)行、維護(hù)等過程中,無意或有意產(chǎn)生的、有可能被利用的缺陷或薄弱點(diǎn)。[來源:GB/T28458-2020,3.1]3.19.應(yīng)急響應(yīng)emergencyresponse組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備,以及在事件發(fā)生后所采取的措施。[來源:GB/T24363-2009,3.4]4.縮略語下列縮略語適用于本文件。S-SDLCCMM:全稱為SecureSoftwareDevelopmentLifeCycleCapabilityMaturityModel,即軟件安全開發(fā)生命周期成熟度模型。S-SDLC域:軟件安全開發(fā)生命周期成熟度模型共分為4個(gè)評估域:監(jiān)管域、能力域、觸點(diǎn)域、運(yùn)維域。S-SDLC子域:4個(gè)評估域安全能力拆解為特定的能力域集合。BP:全稱為BasePractice,即基本實(shí)踐。5.安全開發(fā)體系評估模型5.1.成熟度模型架構(gòu)S-SDLCCMM架構(gòu)如圖1所示。圖1S-SDLCCMM架構(gòu)圖S-SDLCCMM的架構(gòu)由以下三個(gè)層次構(gòu)成:5T/ZHSIAXXX—XXXX5.1.1.安全域軟件安全開發(fā)生命周期成熟度模型分為4個(gè)安全域:監(jiān)管域、能力域、觸點(diǎn)域、運(yùn)維域,分別從如下維度對軟件研發(fā)成熟度評估進(jìn)行闡述:監(jiān)管域:闡述軟件開發(fā)組織制定軟件安全開發(fā)流程、合規(guī)要求、管理制度等方面的體系化要求;能力域:闡述軟件開發(fā)組織保障各種安全活動執(zhí)行應(yīng)具備的基礎(chǔ)設(shè)施;觸點(diǎn)域:闡述軟件開發(fā)組織在軟件開發(fā)生命周期中應(yīng)如何融入恰當(dāng)?shù)陌踩珜?shí)踐;運(yùn)維域:闡述軟件開發(fā)組織的生產(chǎn)環(huán)境和軟件上線需要執(zhí)行的安全實(shí)踐。5.1.2.子域?yàn)榱吮阌谠u估工作開展,將每個(gè)安全域的安全能力拆解為多個(gè)子域,每個(gè)子域描述一個(gè)特定的軟件研發(fā)安全成熟度能力集,拆解后共包含18個(gè)子域。5.1.3.基本實(shí)踐基本實(shí)踐是子域的進(jìn)一步細(xì)分,是軟件研發(fā)過程中需要實(shí)施的具體安全事項(xiàng)。每個(gè)基本實(shí)踐包含一個(gè)或多個(gè)評價(jià)指標(biāo),對每個(gè)評價(jià)指標(biāo)分別打分后得到每個(gè)基本實(shí)踐的成熟度等級。6T/ZHSIAXXX—XXXX5.2.模型內(nèi)容S-SDLCCMM模型定義的成熟度等級通過綜合18個(gè)子域評分得到,最終評分可在模型框架下進(jìn)行同行業(yè)最佳實(shí)踐比較。為指導(dǎo)軟件研發(fā)組織實(shí)施軟件安全能力評估及改進(jìn),我們在子域中給出了具體的實(shí)踐內(nèi)容以及對應(yīng)的參考指標(biāo),這些措施提煉自大量的實(shí)踐經(jīng)驗(yàn)以及業(yè)界的先進(jìn)共識。組織通過實(shí)施模型提供的實(shí)踐內(nèi)容和參考指標(biāo)進(jìn)行改進(jìn),能切實(shí)提高軟件安全開發(fā)的能力。S-SDLCCMM整體結(jié)構(gòu)如圖2。監(jiān)管能力觸點(diǎn)運(yùn)維攻擊模型流程與政策安全設(shè)計(jì)方案與安全開發(fā)組件安全需求分析滲透測試合規(guī)性第三方組件庫管理安全設(shè)計(jì)軟件環(huán)境培訓(xùn)標(biāo)準(zhǔn)與要求標(biāo)準(zhǔn)與要求安全實(shí)現(xiàn)運(yùn)營支持供應(yīng)鏈管理DevSecOps能力敏感數(shù)據(jù)處理安全測試應(yīng)急響應(yīng)圖2S-SDLCCMM整體結(jié)構(gòu)圖5.3.S-SDLCCMM評估域概述安全能力量化維度S-SDLCCMM的各評估域、子域、相關(guān)安全實(shí)踐以及評價(jià)指標(biāo)框架如下。子域?qū)嵺`流程與政策建立統(tǒng)一的企業(yè)軟件安全戰(zhàn)略制定組織安全開發(fā)管理流程7T/ZHSIAXXX—XXXX建設(shè)和運(yùn)營組織安全文化建立組織級S-SDLC量化管理體系合規(guī)性合規(guī)性法律文件和要求轉(zhuǎn)化為安全需求培訓(xùn)對高管進(jìn)行軟件安全意識培訓(xùn)對技術(shù)人員進(jìn)行安全技能培訓(xùn)根據(jù)公司經(jīng)驗(yàn)教訓(xùn)建立并使用特定的培訓(xùn)材料外部優(yōu)秀安全經(jīng)驗(yàn)吸收能力供應(yīng)鏈安全管理成立軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理委員會建立正式的軟件供應(yīng)鏈安全管理制度子域?qū)嵺`攻擊模型識別可能存在的潛在攻擊者建立攻擊模型和技術(shù)知識庫建設(shè)攻擊團(tuán)隊(duì)安全設(shè)計(jì)方案與安全開發(fā)組件建立相對完善的安全設(shè)計(jì)庫建立相對完善的威脅庫安全開發(fā)組件第三方組件庫管理建立并使用內(nèi)部完整定義的第三方組件庫標(biāo)準(zhǔn)與要求定義滲透測試標(biāo)準(zhǔn)建立一個(gè)有關(guān)安全信息的內(nèi)網(wǎng)站點(diǎn)定義安全需求基線定義安全編碼規(guī)范定義代碼安全審核的標(biāo)準(zhǔn)8T/ZHSIAXXX—XXXX定義第三方開源組件分析活動的標(biāo)準(zhǔn)定義安全紅線定義安全測試標(biāo)準(zhǔn)定義數(shù)據(jù)庫、中間件和操作系統(tǒng)的安全配置基線定義漏洞管理標(biāo)準(zhǔn)DevSecOps能力使用自動化管理平臺進(jìn)行安全管理敏感數(shù)據(jù)處理根據(jù)數(shù)據(jù)的類別進(jìn)行標(biāo)識對敏感數(shù)據(jù)進(jìn)行安全處理子域?qū)嵺`安全需求分析識別安全需求安全設(shè)計(jì)使用安全設(shè)計(jì)原則安全團(tuán)隊(duì)參與系統(tǒng)架構(gòu)活動開展威脅分析根據(jù)安全需求進(jìn)行安全設(shè)計(jì)安全實(shí)現(xiàn)執(zhí)行代碼安全審核執(zhí)行安全編碼規(guī)范檢查對軟件系統(tǒng)執(zhí)行第三方組件安全掃描安全測試執(zhí)行安全測試使用自研工具進(jìn)行安全測試子域?qū)嵺`9T/ZHSIAXXX—XXXX滲透測試執(zhí)行滲透測試軟件環(huán)境建立環(huán)境隔離策略建立統(tǒng)一的標(biāo)準(zhǔn)軟件庫制定系統(tǒng)加固方案實(shí)施安全的容器化部署方案運(yùn)營支持建立擁有安全能力的運(yùn)營支持小組維護(hù)操作環(huán)境規(guī)范說明建立持續(xù)監(jiān)控機(jī)制持續(xù)優(yōu)化安全策略建立安全補(bǔ)丁與更新管理流程建立持續(xù)審計(jì)機(jī)制應(yīng)急響應(yīng)建立擁有安全能力的應(yīng)急小組制定應(yīng)急響應(yīng)預(yù)案5.4.安全能力量化維度基本實(shí)踐的評價(jià)指標(biāo)是對基本實(shí)踐能力進(jìn)行量化評估的基礎(chǔ),每個(gè)基本實(shí)踐對應(yīng)若干個(gè)不同的評價(jià)指標(biāo),評價(jià)指標(biāo)量化的安全能力分為以下3個(gè)方面:5.4.1.頻率包含實(shí)踐本身發(fā)生的頻率、升級頻率、更新頻率等。如:“對高管進(jìn)行安全意識培訓(xùn)”實(shí)踐下對高管參加培訓(xùn)的頻率有客觀的量化要求;5.4.2.覆蓋度指活動發(fā)生時(shí)覆蓋的情況。如:“對技術(shù)人員提供安全技能培訓(xùn)”實(shí)踐下對“安全技能課程覆蓋的項(xiàng)目組成員比例”提出了要求,包括開發(fā)、測試、產(chǎn)品、項(xiàng)目經(jīng)理等項(xiàng)目成員參與技能培訓(xùn)的人員占比項(xiàng)目組全部人員的比例;5.4.3.執(zhí)行質(zhì)量T/ZHSIAXXX—XXXX指企業(yè)在對實(shí)踐進(jìn)行執(zhí)行的質(zhì)量如何,一般從活動的角色、職責(zé)、流程、輸入輸出等方面評判。如:“識別可能存在的潛在攻擊者”評價(jià)質(zhì)量時(shí),會評價(jià)對攻擊者的識別是否從不同的角度和側(cè)面進(jìn)行識別,包括企業(yè)外側(cè)和內(nèi)測、系統(tǒng)的業(yè)務(wù)側(cè)和數(shù)據(jù)側(cè)等評價(jià)是否識別得完善和系統(tǒng)。5.5.能力成熟度等級維度組織的安全開發(fā)能力成熟度等級共分為5級,見表1。組織在安全開發(fā)過程中不能有效地執(zhí)行相關(guān)工作,僅在部分軟件和應(yīng)用系統(tǒng)開發(fā)執(zhí)行過程中根據(jù)臨時(shí)的需求執(zhí)行了相關(guān)工作,未形成成熟機(jī)制保證相關(guān)工作的所執(zhí)行的過程稱為“非正式過程”在重要軟件和重要應(yīng)用系在組織級別實(shí)現(xiàn)了安全過a)建立可測的安全目標(biāo):為組織的安全開發(fā)建T/ZHSIAXXX—XXXX立可測量目標(biāo)。b)客觀地管理執(zhí)行:確定過程能力的量化測量,使用量化測量管理安全過程,并以量化測量作為修正行動的基礎(chǔ)a)改進(jìn)組織能力:在整個(gè)組織范圍內(nèi)對規(guī)程的使用進(jìn)行比較,尋找改進(jìn)規(guī)程的機(jī)會,并進(jìn)行改進(jìn)。b)改進(jìn)過程有效性:制定處于持續(xù)改進(jìn)狀態(tài)下的規(guī)程,對規(guī)程的缺陷進(jìn)行消除,并對規(guī)程進(jìn)行持續(xù)改進(jìn)表1安全開發(fā)能力成熟度等級共性特征能力成熟度等級與域,子域,基本實(shí)踐的關(guān)系如下:a.根據(jù)每個(gè)安全子域下不同安全實(shí)踐的實(shí)施難度和成效,為基本實(shí)踐劃定不同的成熟度等級范圍,例如觸點(diǎn)域下安全設(shè)計(jì)子域的“使用安全設(shè)計(jì)原則”這一基本實(shí)踐成熟度為1級到3級,而同一子域下的基本實(shí)踐“開展威脅分析”成熟度為1級到5級;b.對于每個(gè)基本實(shí)踐,存在若干個(gè)評價(jià)指標(biāo)用于從不同維度評估企業(yè)在這一安全實(shí)踐下的成熟度等級,在能力等級評估的時(shí)可根據(jù)實(shí)際情況去除不適用的評價(jià)指標(biāo)。c.對于評價(jià)指標(biāo)來自于BP的3個(gè)安全能力量化維度,即頻率、覆蓋度、執(zhí)行質(zhì)量。根據(jù)基本實(shí)踐內(nèi)多個(gè)評價(jià)指標(biāo)的綜合計(jì)算結(jié)果,計(jì)算得出每個(gè)基本實(shí)踐的成熟度在成熟度等級范圍內(nèi)的具體等級;d.每個(gè)基本實(shí)踐的最終成熟度來自于該基本實(shí)踐的多個(gè)評價(jià)指標(biāo)的得分結(jié)果,子域的成熟度等級來源于子域內(nèi)所有基本實(shí)踐的計(jì)算結(jié)果,安全域的成熟度等級來自于安全域內(nèi)所有安全子域成熟度的計(jì)算結(jié)果;能力成熟度等級評估參考方法,參見附錄A。能力成熟度等級評估流程和模型使用方法,參見附錄B。5.6.評估體系評估體系分為4個(gè)大域、18個(gè)子域,共包含54個(gè)BP:a.監(jiān)管域的BP(BP01~BP11)包括:建立統(tǒng)一的企業(yè)軟件安全戰(zhàn)略,建立組織安全開發(fā)管理流程,建設(shè)和運(yùn)營組織安全文化,建立組織級SDL量化管理,合規(guī)性法T/ZHSIAXXX—XXXX律文件要求轉(zhuǎn)化為安全需求,對高管進(jìn)行安全軟件意識培訓(xùn),對技術(shù)人員的安全技能培訓(xùn),根據(jù)公司經(jīng)驗(yàn)教訓(xùn)建立并使用特定的培訓(xùn)材料,外部優(yōu)秀安全經(jīng)驗(yàn)吸收能力,成立軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理委員會,建立正式的軟件供應(yīng)鏈安全管理制度11個(gè)BP。b.能力域的BP(BP12~BP31)包括:識別可能存在的潛在攻擊者,建立攻擊模式和技術(shù)知識庫,構(gòu)建攻擊團(tuán)隊(duì),建立相對完善的安全設(shè)計(jì)庫,建立相對完善的威脅庫,安全開發(fā)組件,建立并使用內(nèi)部完整定義的第三方組件庫,定義滲透測試標(biāo)準(zhǔn),建立一個(gè)有關(guān)安全信息的內(nèi)網(wǎng)站點(diǎn),定義安全需求基線,定義安全編碼規(guī)范,定義代碼安全審核的標(biāo)準(zhǔn),定義第三方開源組件分析活動的標(biāo)準(zhǔn),定義安全紅線,定義安全測試標(biāo)準(zhǔn),定義數(shù)據(jù)庫、中間件和操作系統(tǒng)的安全配置基線,定義漏洞管理標(biāo)準(zhǔn),使用自動化管理平臺進(jìn)行安全管理,根據(jù)數(shù)據(jù)的類別進(jìn)行標(biāo)識,對敏感數(shù)據(jù)進(jìn)行安全處理20個(gè)BPc.觸點(diǎn)域的BP(BP32~BP41)包括:識別安全需求,使用安全設(shè)計(jì)原則,安全團(tuán)隊(duì)參與系統(tǒng)架構(gòu)活動,開展威脅分析,根據(jù)安全需求進(jìn)行安全設(shè)計(jì),執(zhí)行代碼安全審核,執(zhí)行安全編碼規(guī)范檢查,對軟件或代碼進(jìn)行第三方組件安全掃描,執(zhí)行安全測試,使用自動化工具進(jìn)行安全測試10個(gè)BP。d.運(yùn)維域的BP(BP42~BP54)執(zhí)行滲透測試,建立環(huán)境隔離策略,建立統(tǒng)一的軟件標(biāo)準(zhǔn)庫,制定系統(tǒng)加固方案,實(shí)施安全的容器化部署方案,建立擁有安全能力的運(yùn)營支持小組,維護(hù)操作環(huán)境規(guī)范說明,建立持續(xù)監(jiān)控機(jī)制,持續(xù)優(yōu)化安全策略,建立安全補(bǔ)丁與更新管理流程,建立持續(xù)審計(jì)機(jī)制,建立擁有安全能力的應(yīng)急小組,制定應(yīng)急響應(yīng)預(yù)案13個(gè)BP。5.7.BP編碼規(guī)則安全開發(fā)BP編碼規(guī)則如下:每個(gè)BP有對應(yīng)的編號,分別采用遞增的數(shù)值01、02,...,表示。示例1:BP01,代表BP“建立統(tǒng)一的企業(yè)軟件安全戰(zhàn)略”。6.監(jiān)管域6.1.流程與政策6.1.1.評估子域描述軟件安全開發(fā)體系的實(shí)施必須是自上而下的,由高層授權(quán),中層平衡相關(guān)利益方的訴求,T/ZHSIAXXX—XXXX從而達(dá)成組織對軟件開發(fā)安全的共識,為后續(xù)的安全實(shí)踐落地提供合適的土壤。組織需要對軟件安全開發(fā)的流程和合規(guī)性進(jìn)行監(jiān)管,保證執(zhí)行的效果,最終將安全內(nèi)化到企業(yè)文化之中,為企業(yè)的業(yè)務(wù)產(chǎn)品提升安全方面的核心競爭力?!傲鞒膛c政策”包括建立統(tǒng)一的軟件安全戰(zhàn)略、制定組織安全開發(fā)管理流程、建設(shè)和運(yùn)營組織安全文化、建立組織級別的SDL量化管理體系等安全實(shí)踐。6.1.2.基本實(shí)踐.BP01:建立統(tǒng)一的企業(yè)軟件安全戰(zhàn)略(等級:1-4)該BP包含2個(gè)評價(jià)指標(biāo):1.建立明確的企業(yè)軟件安全目標(biāo);2.制定圍繞組織軟件安全目標(biāo)的實(shí)施規(guī)劃。.BP02:制定組織安全開發(fā)管理流程(等級:1-4)該BP包含4個(gè)評價(jià)指標(biāo):1.明確了軟件開發(fā)生命周期內(nèi)的各安全卡點(diǎn);2.清晰定義了安全開發(fā)生命周期管理目的、適用范圍、術(shù)語定義、角色與職責(zé)、流程圖、活動描述、輸入、輸出和文檔模板;3.建立了軟件系統(tǒng)分類管理安全策略;4.制定了系統(tǒng)上線前風(fēng)險(xiǎn)評估管理流程。.BP03:建設(shè)和運(yùn)營組織安全文化(等級:1-5)該BP包含4個(gè)評價(jià)指標(biāo):1.建立在組織內(nèi)部進(jìn)行安全推廣活動的宣傳角色;2.制定軟件開發(fā)安全相關(guān)文化活動的開展計(jì)劃;3.建立企業(yè)內(nèi)部對軟件開發(fā)安全文化進(jìn)行宣導(dǎo)的渠道;4.有對行業(yè)的影響力輸出能力。.BP04:建立組織級SDL量化管理體系(等級:1-5)該BP包含3個(gè)評價(jià)指標(biāo):1.建立SDL系統(tǒng)以量化管理SDL質(zhì)量指標(biāo)體系;T/ZHSIAXXX—XXXX2.建立對SDL質(zhì)量和SDL過程性能不達(dá)標(biāo)的情況進(jìn)行根因分析并改進(jìn)SDL績效的流程;3.建立定期評估和更新SDL質(zhì)量目標(biāo)和SDL過程性能目標(biāo)的流程。6.2.合規(guī)性6.2.1.評估子域描述在研發(fā)初期就應(yīng)該從需求層面考慮軟件應(yīng)該符合哪些相關(guān)的法律法規(guī),對于合規(guī)性的漠視可能會讓組織付出慘痛的代價(jià)?!昂弦?guī)性”主要描述了軟件開發(fā)組織從需求就開始重視監(jiān)管規(guī)則。該子域包含了轉(zhuǎn)化政策法規(guī)、行業(yè)條例、監(jiān)管要求為安全需求的安全實(shí)踐。6.2.2.基本實(shí)踐.BP05:合規(guī)性法律文件和要求轉(zhuǎn)化為安全需求(等級:1-4)該BP包含5個(gè)評價(jià)指標(biāo):1.建立了合規(guī)法律文件轉(zhuǎn)化為安全需求的流程2.轉(zhuǎn)化了網(wǎng)絡(luò)空間安全法律合規(guī)等法律文件為安全需求,如:網(wǎng)絡(luò)安全法、等保及行業(yè)相關(guān)法律法規(guī)3.轉(zhuǎn)化了數(shù)據(jù)安全相關(guān)法律合規(guī)等法律文件為安全需求,如:數(shù)據(jù)安全法、網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例、數(shù)據(jù)分類分級指引等;4.轉(zhuǎn)化了個(gè)人信息保護(hù)法律合規(guī)等法律文件為安全需求,如:個(gè)人信息保護(hù)法、個(gè)人信息安全規(guī)范、個(gè)人金融信息保護(hù)技術(shù)規(guī)范等5.轉(zhuǎn)化了組織所處行業(yè)的法律合規(guī)等法律文件為安全需求,若客戶所處行業(yè)為云計(jì)算行業(yè),則需轉(zhuǎn)化云計(jì)算服務(wù)安全評估辦法6.3.培訓(xùn)6.3.1.評估子域描述安全知識的培訓(xùn)對軟件開發(fā)組織中的每個(gè)角色都至關(guān)重要,這是做好軟件開發(fā)安全實(shí)踐的前提?!芭嘤?xùn)”域主要描述了組織為提升高管和技術(shù)人員安全知識水平而制定并更新軟件安全培訓(xùn)內(nèi)容和考核內(nèi)容的能力。6.3.2.基本實(shí)踐T/ZHSIAXXX—XXXX.BP06:對高管進(jìn)行安全意識培訓(xùn)(等級:1-4)該BP包含3個(gè)評價(jià)指標(biāo):1.制定了對高管參加培訓(xùn)頻率的要求2.制定了安全意識課程考核指標(biāo)3.設(shè)計(jì)了針對高管的安全意識培訓(xùn)內(nèi)容.BP07:對技術(shù)人員進(jìn)行安全技能培訓(xùn)(等級:1-4)該BP包含4個(gè)評價(jià)指標(biāo):1.安全技能課程覆蓋項(xiàng)目組成員的比例2.根據(jù)技術(shù)人員角色,如開發(fā)、測試、運(yùn)維、入職新人等,提供了針對性的安全技能課程3.制定了安全技能課程考核指標(biāo)4.考核指標(biāo)與人員晉升績效掛鉤.BP08:根據(jù)公司經(jīng)驗(yàn)教訓(xùn)建立并使用特定的培訓(xùn)材料(等級:1-4)該BP包含3個(gè)評價(jià)指標(biāo):1.定期更新了標(biāo)準(zhǔn)化的安全經(jīng)驗(yàn)教訓(xùn)庫用于公司培訓(xùn)2.安全經(jīng)驗(yàn)教訓(xùn)庫被覆蓋到項(xiàng)目團(tuán)隊(duì)的比例3.安全經(jīng)驗(yàn)教訓(xùn)庫的宣講制定了配套的考核指標(biāo).BP09:外部優(yōu)秀安全經(jīng)驗(yàn)吸收能力(等級:1-4)該BP包含2個(gè)評價(jià)指標(biāo):1.周期性組織吸收外部專家或團(tuán)隊(duì)優(yōu)秀安全開發(fā)經(jīng)驗(yàn)2.外部組織或?qū)<业姆?wù)覆蓋了項(xiàng)目組的比例6.4.供應(yīng)鏈管理6.4.1.評估子域描述在數(shù)字化轉(zhuǎn)型的大背景下,軟件開發(fā)組織采購了大量的第三方軟件加快組織的數(shù)字化轉(zhuǎn)型,隨之而來的是軟件供應(yīng)鏈安全攻擊事件地成倍增長,造成了越來越嚴(yán)重的危害。供應(yīng)商T/ZHSIAXXX—XXXX軟件產(chǎn)品的安全性對軟件開發(fā)組織而言至關(guān)重要?!败浖?yīng)鏈安全管理”主要是幫助企業(yè)建立正式的制度,管理軟件供應(yīng)鏈的安全風(fēng)險(xiǎn),該子域的內(nèi)容包括成立軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理委員會和建立正式的軟件供應(yīng)鏈安全管理制度。6.4.2.基本實(shí)踐.BP10:成立軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理委員會(等級:1-2)該BP包含2個(gè)評價(jià)指標(biāo):1.建立了委員會其成員涵蓋風(fēng)險(xiǎn)管理相關(guān)主要職能部門的高管2.明確了軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理委員會的角色、職責(zé).BP11:建立正式的軟件供應(yīng)鏈安全管理制度(等級:1-3)該BP包含3個(gè)評價(jià)指標(biāo):1.制定了軟件供應(yīng)鏈風(fēng)險(xiǎn)審查和風(fēng)險(xiǎn)緩解流程2.建立了針對軟件供應(yīng)商安全開發(fā)及交付過程的安全要求和控制措施3.制定了一套管理關(guān)鍵供應(yīng)商的流程7.能力域7.1.攻擊模型7.1.1.評估子域描述軟件開發(fā)組織應(yīng)能主動了解可能存在的攻擊者、攻擊模式和相關(guān)技術(shù),做到知己知彼、防患未然。“攻擊模型”主要描述了當(dāng)前軟件開發(fā)組織需要具備的建立攻擊者視角的主動防御能力。7.1.2.基本實(shí)踐.BP12:識別可能存在的攻擊者(等級:1-4)該BP包含2個(gè)評價(jià)指標(biāo):1.從不同角度識別了可能存在的攻擊者2.定期更新潛在攻擊者清單T/ZHSIAXXX—XXXX.BP13:建立攻擊模型和技術(shù)知識庫(等級:1-5)該BP包含3個(gè)評價(jià)指標(biāo):1.收集并使用了攻擊情報(bào)2.收集并發(fā)布了攻擊案例3.建立了相應(yīng)渠道來討論各種攻擊.BP14:建設(shè)攻擊團(tuán)隊(duì)(等級:1-5)該BP包含3個(gè)評價(jià)指標(biāo):1.建立了一支研究新攻擊方法的研究團(tuán)隊(duì)2.創(chuàng)建了與特定技術(shù)相關(guān)的攻擊模式3.開展了不定期的相關(guān)攻擊活動來暴露相關(guān)弱點(diǎn)7.2.安全設(shè)計(jì)方案與安全開發(fā)組件7.2.1.評估子域描述軟件開發(fā)組織可以通過安全設(shè)計(jì)方案和安全開發(fā)組件減少研發(fā)團(tuán)隊(duì)對安全專業(yè)知識的依賴,快速實(shí)現(xiàn)對研發(fā)團(tuán)隊(duì)的安全賦能?!鞍踩O(shè)計(jì)方案與安全開發(fā)組件”描述了軟件開發(fā)組織構(gòu)建安全開發(fā)、安全設(shè)計(jì)、威脅分析知識庫和安全開發(fā)組件的能力,“安全設(shè)計(jì)方案與安全開發(fā)組件”的使用可以提升安全開發(fā)效率,降低安全開發(fā)成本。7.2.2.基本實(shí)踐.BP15:建立相對完善的安全設(shè)計(jì)庫(等級:1-3)該BP包含1個(gè)評價(jià)指標(biāo):1.建立安全設(shè)計(jì)庫,且該設(shè)計(jì)庫覆蓋了安全需求庫中的需求.BP16:建立相對完善的威脅庫(等級:1-3)該BP包含1個(gè)評價(jià)指標(biāo):1.建立了威脅庫,且該威脅庫覆蓋了各產(chǎn)品使用的技術(shù)及業(yè)務(wù)場景.BP17:安全開發(fā)組件(等級:1-3)T/ZHSIAXXX—XXXX該BP包含2個(gè)評價(jià)指標(biāo):1.建立了較為全面的安全開發(fā)組件,包括常用安全功能類組件和防漏洞類組件2.安全開發(fā)組件覆蓋了各項(xiàng)目組用到的開發(fā)語言和框架7.3.第三方組件庫管理7.3.1.評估子域描述軟件系統(tǒng)的開發(fā)往往會用到大量的開源組件,軟件開發(fā)組織需要完善流程、加強(qiáng)安全管控,減小第三方組件庫的潛在安全風(fēng)險(xiǎn)?!暗谌浇M件庫管理”描述了軟件開發(fā)組織管控開源組件的能力。7.3.2.基本實(shí)踐.BP18:建立并使用內(nèi)部完整定義的第三方組件庫(等級:1-4)該BP包含2個(gè)評價(jià)指標(biāo):1.建立團(tuán)隊(duì)負(fù)責(zé)按照正式的管理流程建立、更新、維護(hù)內(nèi)部第三方組件庫2.內(nèi)部定義的第三方組件庫涵蓋所有產(chǎn)品線7.4.標(biāo)準(zhǔn)與要求7.4.1.評估子域描述“標(biāo)準(zhǔn)與要求”描述了安全活動的標(biāo)準(zhǔn)以及要求是如何定義的。在這個(gè)子域中對于安全開發(fā)流程中可能涉及到的規(guī)范標(biāo)準(zhǔn)都做了定義描述。相關(guān)實(shí)踐包括:定義安全需求基線、建立安全編碼規(guī)范以及定義代碼安全審核標(biāo)準(zhǔn)等相關(guān)標(biāo)準(zhǔn)和要求。7.4.2.基本實(shí)踐.BP19:定義滲透測試標(biāo)準(zhǔn)(等級:1-3)該BP包含1個(gè)評價(jià)指標(biāo):1.組織根據(jù)需要定義了較為全面的滲透測試標(biāo)準(zhǔn).BP20:建立內(nèi)部安全信息共享站點(diǎn)(等級:1-3)該BP包含3個(gè)評價(jià)指標(biāo):T/ZHSIAXXX—XXXX1.建立了安全門戶網(wǎng)站以便相關(guān)角色獲取軟件安全的最新信息2.在組織內(nèi)推廣了網(wǎng)站,以便相關(guān)研發(fā)角色了解該網(wǎng)站并從其中獲取安全信息3.建立了針對網(wǎng)站的評估與更新機(jī)制.BP21:定義安全需求基線(等級:1-3)該BP包含3個(gè)評價(jià)指標(biāo):1.安全需求基線包含通用的安全需求2.安全需求基線包含產(chǎn)品相關(guān)的合規(guī)需求3.建立了針對安全需求基線的評估和更新機(jī)制.BP22:定義安全編碼規(guī)范(等級:1-3)該BP包含1個(gè)評價(jià)指標(biāo):1.安全編碼規(guī)范涵蓋了公司的編程語言和開發(fā)框架.BP23:定義代碼安全審核標(biāo)準(zhǔn)(等級:1-3)該BP包含1個(gè)評價(jià)指標(biāo):1.定義了代碼安全審核相關(guān)活動的要求和審批要求.BP24:定義第三方開源組件分析活動標(biāo)準(zhǔn)(等級:1-3)該BP包含2個(gè)評價(jià)指標(biāo):1.定義了漏洞風(fēng)險(xiǎn)等級分類標(biāo)準(zhǔn)2.定義了各種軟件許可協(xié)議的法律風(fēng)險(xiǎn)等級.BP25:定義安全紅線(等級:1-2)該BP包含1個(gè)評價(jià)指標(biāo):1.安全紅線涵蓋公司的所有軟件系統(tǒng).BP26:定義安全測試標(biāo)準(zhǔn)(等級:1-3)該BP包含3個(gè)評價(jià)指標(biāo):T/ZHSIAXXX—XXXX1.標(biāo)準(zhǔn)涵蓋:要求設(shè)計(jì)安全測試用例2.標(biāo)準(zhǔn)涵蓋:要求安全用例覆蓋全部安全需求3.標(biāo)準(zhǔn)涵蓋:要求把安全測試發(fā)現(xiàn)的問題登記在漏洞管理平臺跟蹤.BP27:定義數(shù)據(jù)庫、中間件和操作系統(tǒng)的安全配置基線(等級:1-3)該BP包含2個(gè)評價(jià)指標(biāo):1.安全配置基線蓋各產(chǎn)品開發(fā)所用到的數(shù)據(jù)庫、中間件和操作系統(tǒng)2.建立了針對安全配置基線的評估和更新機(jī)制0.BP28:定義漏洞管理標(biāo)準(zhǔn)(等級:1-3)該BP包含2個(gè)評價(jià)指標(biāo):1.定義了漏洞分類分級的標(biāo)準(zhǔn)2.定義了基于漏洞等級的處理標(biāo)準(zhǔn)7.5.DevSecOps能力7.5.1.評估子域描述隨著近些年DevSecOps推廣的不斷深入,越來越多的企業(yè)開始意識到需要在企業(yè)內(nèi)部建立一個(gè)將整個(gè)安全研發(fā)流程順暢管理起來的DevSecOps平臺。但對于DevSecOps平臺在安全性上需要做何考量,多數(shù)企業(yè)可能有少許細(xì)節(jié)的思考,但如何從更高的系統(tǒng)級維度進(jìn)行設(shè)計(jì),可能還沒有更多可以參考的經(jīng)驗(yàn)。在本模型中,“DevSecOps工具”子域描述了在建設(shè)DevSecOps工具時(shí),明確了需要對DevSecOps平臺做怎樣設(shè)計(jì)的要求。7.5.2.基本實(shí)踐.BP29:使用自動化管理平臺進(jìn)行安全管理(等級:1-5)該BP包含5個(gè)評價(jià)指標(biāo):1.安全工具的集成能力2.?dāng)?shù)據(jù)的管理能力3.權(quán)限控制能力5.SDL量化能力T/ZHSIAXXX—XXXX7.6.敏感數(shù)據(jù)處理7.6.1.評估子域描述為了保護(hù)敏感數(shù)據(jù)的安全性,軟件開發(fā)組織需要采取一系列措施,如對敏感數(shù)據(jù)進(jìn)行加密、安全傳輸、安全存儲、密鑰管理、數(shù)據(jù)脫敏等,確保敏感數(shù)據(jù)不被非法獲取。加密是保證敏感數(shù)據(jù)安全性的基本手段,即使加密過的敏感數(shù)據(jù)被非法泄露到外部,也能保證內(nèi)容不可讀。在此基礎(chǔ)上,將加密過后的敏感數(shù)據(jù)存儲在安全的位置,并對密鑰進(jìn)行管理也是保護(hù)敏感數(shù)據(jù)機(jī)密性的核心工作,這將直接影響到敏感數(shù)據(jù)的安全性,因此敏感數(shù)據(jù)的訪問控制和備份以及密鑰的生成、存儲、分發(fā)、更新和銷毀,組織都必須予以重視。在數(shù)據(jù)傳輸方面,通常采用HTTPS或TLS等安全協(xié)議,以確保數(shù)據(jù)在傳輸過程中不被竊取或篡改。數(shù)據(jù)脫敏可以在保證數(shù)據(jù)可用性的前提下,隱藏或部分顯示敏感數(shù)據(jù),以保護(hù)個(gè)人隱私和數(shù)據(jù)安全。鑒于敏感數(shù)據(jù)安全處理需要從多個(gè)方面進(jìn)行考慮,組織應(yīng)該綜合實(shí)現(xiàn)敏感數(shù)據(jù)從生成、傳輸、存儲到使用的完整安全處理流程。7.6.2.基本實(shí)踐在組織的開發(fā)過程中需求環(huán)節(jié),建立針對性的安全需求分析機(jī)制,分析組織內(nèi)軟件或應(yīng)用系統(tǒng)軟件的安全需求,跟蹤安全需求的實(shí)現(xiàn)情況。.BP30:根據(jù)數(shù)據(jù)的類別進(jìn)行標(biāo)識(等級:1-3)該BP包含1個(gè)評價(jià)指標(biāo):1.建立了針對不同類別數(shù)據(jù)的標(biāo)識的技術(shù)方案.BP31:對敏感數(shù)據(jù)進(jìn)行安全處理(等級:1-3)該BP包含1個(gè)評價(jià)指標(biāo):1.建立了數(shù)據(jù)加解密和數(shù)據(jù)脫敏的技術(shù)方案8.觸點(diǎn)域8.1.安全需求分析8.1.1.評估子域描述T/ZHSIAXXX—XXXX安全基線規(guī)定了軟件系統(tǒng)在安全、合規(guī)以及漏洞方面的基礎(chǔ)要求,軟件開發(fā)組織需要按照組織定義的安全基線,識別每一項(xiàng)業(yè)務(wù)需求,并將其轉(zhuǎn)化為安全需求。安全需求的例子包括:為新增的重要業(yè)務(wù)功能采用多因素的方式來認(rèn)證身份,收集敏感數(shù)據(jù)時(shí)彈窗提示用戶收集的數(shù)據(jù)及其用途,為WEB應(yīng)用訂單的提交增加預(yù)防WEB安全漏洞的功能等。建立并維護(hù)一套安全需求知識庫,將有助于團(tuán)隊(duì)準(zhǔn)確而高效的識別安全需求。安全需求知識庫的建立是一個(gè)長期的過程,并且要根據(jù)新的業(yè)務(wù)場景、使用新的技術(shù)手段,保持安全需求知識庫的時(shí)效性。8.1.2.基本實(shí)踐在組織的開發(fā)過程中需求環(huán)節(jié),建立針對性的安全需求分析機(jī)制,分析組織內(nèi)軟件或應(yīng)用系統(tǒng)軟件的安全需求,跟蹤安全需求的實(shí)現(xiàn)情況。.BP32:識別安全需求(等級:1-3)該BP包含3個(gè)評價(jià)指標(biāo):1.開展安全需求分析,定義了安全需求實(shí)現(xiàn)的計(jì)劃2.安全需求的定義和分析過程經(jīng)過了評審3.安全需求的實(shí)現(xiàn)情況得到追蹤8.2.安全設(shè)計(jì)8.2.1.評估子域描述“安全設(shè)計(jì)”包括安全需求所引導(dǎo)的安全設(shè)計(jì),以及從攻擊者角度出發(fā)的安全威脅分析,還有軟件層次的整體性架構(gòu)設(shè)計(jì)。8.2.2.基本實(shí)踐在組織的開發(fā)過程中需求環(huán)節(jié),建立針對性的安全需求分析機(jī)制,分析組織內(nèi)軟件或應(yīng)用系統(tǒng)軟件的安全需求,跟蹤安全需求的實(shí)現(xiàn)情況。.BP33:使用安全設(shè)計(jì)原則(等級:1-3)該BP包含1個(gè)評價(jià)指標(biāo):1.參與設(shè)計(jì)的架構(gòu)師或其他角色,熟悉常見安全設(shè)計(jì)原則并充分考慮安全T/ZHSIAXXX—XXXX.BP34:安全團(tuán)隊(duì)參與系統(tǒng)架構(gòu)活動(等級:1-3)該BP包含2個(gè)評價(jià)指標(biāo):1.組織內(nèi)有能參與安全架構(gòu)活動的安全架構(gòu)師2.安全架構(gòu)師參與軟件系統(tǒng)的系統(tǒng)架構(gòu)活動.BP35:開展威脅分析(等級:1-5)該BP包含2個(gè)評價(jià)指標(biāo):1.使用了威脅分析模型尋找系統(tǒng)潛在威脅2.對識別到的威脅制定了相應(yīng)的策略,策略經(jīng)過評審.BP36:根據(jù)安全需求進(jìn)行安全設(shè)計(jì)(等級:1-3)該BP包含3個(gè)評價(jià)指標(biāo):1.開展了架構(gòu)安全設(shè)計(jì)2.已知的安全需求都經(jīng)過了安全設(shè)計(jì)3.針對安全需求的設(shè)計(jì)都得到了評審8.3.安全實(shí)現(xiàn)8.3.1.評估子域描述安全實(shí)現(xiàn)包含了安全代碼審計(jì)和安全編碼兩部分,安全編碼指在安全設(shè)計(jì)的指引下進(jìn)行代碼的實(shí)現(xiàn),安全代碼審計(jì)是為了防止非預(yù)期的漏洞被遺漏。8.3.2.基本實(shí)踐在組織的開發(fā)過程中需求環(huán)節(jié),建立針對性的安全需求分析機(jī)制,分析組織內(nèi)軟件或應(yīng)用系統(tǒng)軟件的安全需求,跟蹤安全需求的實(shí)現(xiàn)情況。.BP37:執(zhí)行代碼安全審核(等級:1-3)該BP包含3個(gè)評價(jià)指標(biāo):1.進(jìn)行了代碼提交觸發(fā)了人工或自動化的審核;2.使用了自動化工具進(jìn)行代碼安全檢查;T/ZHSIAXXX—XXXX3.根據(jù)漏洞管理標(biāo)準(zhǔn)對代碼安全審核的結(jié)果進(jìn)行處理。.BP38:執(zhí)行安全編碼規(guī)范檢查(等級:1-4)該BP包含1個(gè)評價(jià)指標(biāo):1.采用人工或自動化方式對代碼進(jìn)行安全檢查。.BP39:對軟件系統(tǒng)執(zhí)行第三方組件安全掃描(等級:1-3)該BP包含2個(gè)評價(jià)指標(biāo):1.制定了第三方組件安全掃描策略;2.按照漏洞管理標(biāo)準(zhǔn)對SCA的掃描結(jié)果進(jìn)行處理。8.4.安全測試8.4.1.評估子域描述“安全測試”是基于安全需求引導(dǎo)而來的對于安全實(shí)現(xiàn)的確認(rèn),其中包括工具的使用以及測試結(jié)果的評估。8.4.2.基本實(shí)踐在組織的開發(fā)過程中需求環(huán)節(jié),建立針對性的安全需求分析機(jī)制,分析組織內(nèi)軟件或應(yīng)用系統(tǒng)軟件的安全需求,跟蹤安全需求的實(shí)現(xiàn)情況。.BP40:執(zhí)行安全測試(等級:1-3)該BP包含3個(gè)評價(jià)指標(biāo):1.設(shè)計(jì)了針對安全需求的安全測試用例;2.根據(jù)安全測試用例執(zhí)行了對系統(tǒng)的安全測試活動;3.測試用例和安全需求可雙向追溯。.BP41:使用自研工具進(jìn)行安全測試(等級:1-4)該BP包含2個(gè)評價(jià)指標(biāo):1.使用了IAST/DAST工具進(jìn)行安全測試;2.使用了自研的安全測試工具。T/ZHSIAXXX—XXXX9.運(yùn)維域9.1.滲透測試9.1.1.評估子域描述“滲透測試”是上線前對軟件殘余風(fēng)險(xiǎn)的最后確認(rèn)。9.1.2.基本實(shí)踐.BP42:執(zhí)行滲透測試(等級:1-3)該BP包含2個(gè)評價(jià)指標(biāo):1.進(jìn)行了系統(tǒng)上線前執(zhí)行滲透測試;2.進(jìn)行了系統(tǒng)上線后執(zhí)行滲透測試。9.2.軟件環(huán)境9.2.1.評估子域描述“軟件環(huán)境”描述了軟件在運(yùn)行環(huán)境需要考慮的安全基線并根據(jù)基線的內(nèi)容對環(huán)境進(jìn)行檢測和加固。9.2.2.基本實(shí)踐.BP43:建立環(huán)境隔離策略(等級:1-3)該BP包含2個(gè)評價(jià)指標(biāo):1.建立并維護(hù)了公網(wǎng)和私網(wǎng)的隔離策略;2.建立了開發(fā)環(huán)境與生產(chǎn)環(huán)境隔離策略。.BP44:建立統(tǒng)一的標(biāo)準(zhǔn)軟件庫(等級:1-3)該BP包含1個(gè)評價(jià)指標(biāo):1.建立并維護(hù)了標(biāo)準(zhǔn)系統(tǒng)、數(shù)據(jù)庫。.BP45:實(shí)施系統(tǒng)安全基線加固方案(等級:1-4)T/ZHSIAXXX—XXXX該BP包含1個(gè)評價(jià)指標(biāo):1.實(shí)施了操作系統(tǒng)、數(shù)據(jù)庫、中間件加固方案。.BP46:實(shí)施安全的容器化部署方案(等級:1-5)該BP包含4個(gè)評價(jià)指標(biāo):1.建立了容器基礎(chǔ)鏡像;2.建立了容器架構(gòu)保護(hù)策略;3.建立了容器訪問和身份認(rèn)證策略;4.建立了容器化編排部署平臺。9.3.運(yùn)營支持9.3.1.評估子域描述“運(yùn)營支持”描述了軟件開發(fā)組織以業(yè)務(wù)安全為目標(biāo),保障應(yīng)用安全運(yùn)營的相關(guān)能力。相關(guān)實(shí)踐包括建立運(yùn)營支持小組、維護(hù)操作環(huán)境規(guī)范說明、建立持續(xù)監(jiān)控機(jī)制和持續(xù)優(yōu)化安全策略等。9.3.2.基本實(shí)踐.BP47:建立擁有安全能力的運(yùn)營支持小組(等級:1-3)該BP包含3個(gè)評價(jià)指標(biāo):1.建立了的運(yùn)營小組中有負(fù)責(zé)安全能力的人員、角色對組織的安全運(yùn)營負(fù)責(zé);2.運(yùn)營流程中包含對安全事件發(fā)生的處理環(huán)節(jié);3.建立了運(yùn)營支持小組安全人員考核機(jī)制。.BP48:維護(hù)操作環(huán)境規(guī)范說明(等級:1-3)該BP包含1個(gè)評價(jià)指標(biāo):1.明確了部署運(yùn)維安全操作規(guī)范。.BP49:建立持續(xù)監(jiān)控機(jī)制(等級:1-4)該BP包含4個(gè)評價(jià)指標(biāo):1.建立了白帽子測試渠道;T/ZHSIAXXX—XXXX2.制定了監(jiān)控發(fā)現(xiàn)安全漏洞后反饋跟蹤流程;3.部署了入侵檢測、防御系統(tǒng);4.部署了防火墻。.BP50:持續(xù)優(yōu)化安全策略(等級:1-5)該BP包含1個(gè)評價(jià)指標(biāo):1.優(yōu)化防火墻、網(wǎng)關(guān)安全策略。.BP51:建立安全補(bǔ)丁與更新管理流程(等級:1-3)該BP包含2個(gè)評價(jià)指標(biāo):1.制定了評估和更新應(yīng)用程序的要求;2.制定了評估第三方組件并審查補(bǔ)丁修復(fù)的要求。.BP52:建立持續(xù)審計(jì)機(jī)制(等級:1-5)該BP包含2個(gè)評價(jià)指標(biāo):1.應(yīng)用程序的運(yùn)行日志進(jìn)行收集和歸一化預(yù)處理;2.聯(lián)合了日志分析進(jìn)行安全告警。9.4.應(yīng)急響應(yīng)9.4.1.評估子域描述“應(yīng)急響應(yīng)”描述了軟件開發(fā)組織對安全事件的響應(yīng)、處理和恢復(fù)能力。其實(shí)踐包括建立應(yīng)急小組和制定應(yīng)急響應(yīng)預(yù)案。9.4.2.基本實(shí)踐.BP53:建立擁有安全能力的應(yīng)急小組(等級:1-3)該BP包含2個(gè)評價(jià)指標(biāo):1.建立了應(yīng)急響應(yīng)小組并明確組成成員及人員職責(zé)分配;2.建立了對應(yīng)急響應(yīng)組織人員考核機(jī)制。T/ZHSIAXXX—XXXX.BP54:制定應(yīng)急響應(yīng)預(yù)案(等級:1-3)該BP包含2個(gè)評價(jià)指標(biāo):1.制定了應(yīng)急響應(yīng)預(yù)案;2.開展了校驗(yàn)應(yīng)急響應(yīng)預(yù)案有效性的演練。T/ZHSIAXXX—XXXX(資料性附錄)能力成熟度等級評估參考方法組織機(jī)構(gòu)的安全開發(fā)能力成熟度等級取決于各個(gè)安全開發(fā)子域的能力成熟度等級。各個(gè)安全開發(fā)子域的成熟度等級取決于該子域中的基礎(chǔ)實(shí)踐對于目標(biāo)等級的滿足情況。本標(biāo)準(zhǔn)不對評級方法做具體限定,表A.1給出一種綜合判定參考方法,供評估人員參考。3…域的得分范圍,劃出5個(gè)相等的區(qū)間,計(jì)算安全域下所有基本實(shí)踐的均值,均值落入的區(qū)間即為T/ZHSIAXXX—XXXX(資料性附錄)能力成熟度等級評估流程和模型使用方法(一)能力成熟度等級評估流程軟件研發(fā)安全能力成熟度等級的評估從監(jiān)管域、能力域、觸點(diǎn)域和運(yùn)維域4個(gè)安全領(lǐng)域展開。通過對各項(xiàng)安全過程所需具備安全能力的評估,可評估組織在每項(xiàng)安全過程的實(shí)現(xiàn)能力屬于哪一等級。評估的工作流程、信息收集維度、評估方式如下文所述。評估工作流程:1)確定模型適用范圍:分析需要保護(hù)的開發(fā)資產(chǎn)及業(yè)務(wù)范圍,確定模型使用或評估范圍;2)確定能力成熟度級別目標(biāo):分析組織機(jī)構(gòu)安全開發(fā)風(fēng)險(xiǎn),確定能力成熟度等級建設(shè)目標(biāo);3)選取安全子域:針對組織機(jī)構(gòu)的開發(fā)相關(guān)的業(yè)務(wù)現(xiàn)狀,選取適當(dāng)?shù)陌踩_發(fā)子域。例如,對于有的組織機(jī)構(gòu)而言,不存在第三方組件的處理,則無需選擇第三方組件的子域;4)執(zhí)行基礎(chǔ)實(shí)踐:依據(jù)標(biāo)準(zhǔn)對各等級安全開發(fā)基礎(chǔ)實(shí)踐要求,從4個(gè)關(guān)鍵能力進(jìn)行落地和不斷改進(jìn)提升;5)子域安全評估:基于選擇的安全子域范疇,針對各項(xiàng)安全子域?qū)M織機(jī)構(gòu)的安全開發(fā)實(shí)踐情況進(jìn)行現(xiàn)狀的調(diào)研和分析。確定該子域的等級,參見表A.1;6)確定組織機(jī)構(gòu)整體等級:結(jié)合所有子域的等級,確定組織機(jī)構(gòu)整體的安全開發(fā)能力成熟度等級,對安全開發(fā)能力進(jìn)行持續(xù)建設(shè)和改進(jìn)。信息收集維度:1)組織建設(shè):評估是否具有開展工作的專職/兼職崗位、團(tuán)隊(duì)或人員,其工作職責(zé)是

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論