軟件安全開發(fā)服務(wù)資質(zhì)認證自表

1、CCRC-QOT-0433-B/4 軟件安全開發(fā)服務(wù)資質(zhì)認證自評估表軟件安全開發(fā)服務(wù)資質(zhì)認證自評估表組織名稱申報級別評估時間評估部門/人員序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合1.服務(wù)技術(shù)要求建立軟件安全開發(fā)服務(wù)流程。軟件安全開發(fā)服務(wù)流程，流程圖中應(yīng)包括每個階段對應(yīng)的職責、輸入輸出等。2.制定軟件安全開發(fā)服務(wù)規(guī)范并按照規(guī)范實施。軟件安全開發(fā)服務(wù)規(guī)范并按照規(guī)范實施。3.準備階段建立軟件項目安全開發(fā)團隊，明確各崗位、人員、職責。項目人員構(gòu)成表或其他能體現(xiàn)項目組成員構(gòu)成的文檔，其中明確項目組成員構(gòu)成情況以及安全開發(fā)人員的角色及職責。4.制定軟件項目安全開發(fā)管理計劃，明確開發(fā)過程管

2、控措施。項目開發(fā)計劃，計劃中應(yīng)包含安全開發(fā)的內(nèi)容。5.建立軟件開發(fā)的配置管理計劃，明確配置管理的安全要求。項目配置管理計劃，包含安全相關(guān)活動。提供配置管理相關(guān)記錄。6.建立變更控制制度，明確軟件項目變更控制的安全要求。變更控制管理制度，提供項目變更控制記錄，變更的記錄單，記錄單中的內(nèi)容應(yīng)包含變更申請，審批，執(zhí)行，執(zhí)行后的評價結(jié)果。7.制定軟件項目安全培訓(xùn)計劃，對相關(guān)人員進行安全培訓(xùn)。培訓(xùn)管理制度，項目培訓(xùn)計劃和培訓(xùn)記錄。8.建立獨立的開發(fā)環(huán)境，確保開發(fā)環(huán)境與運行環(huán)境隔離。開發(fā)環(huán)境與運行環(huán)境配置的說明文檔。9.僅二級/一級要求：建立軟件安全開發(fā)項目風(fēng)險管理機制，對軟件項目進行風(fēng)險評估。風(fēng)險管理制

3、度、風(fēng)險管理計劃、風(fēng)險分析報告。10.僅二級/一級要求：使用配置管理工具對軟件項目進行配置管理。配置管理計劃，其中描述采用的配置管理工具；配置管理工具的使用情況介紹。11.僅二級/一級要求：配備專職的測試人員。項目人員構(gòu)成表或其他能體現(xiàn)項目組成員構(gòu)成的文檔，設(shè)立專職的測試人員，并明確描述其職責。12.僅二級/一級要求：建立獨立的測試環(huán)境，確保測試環(huán)境與開發(fā)環(huán)境隔離。開發(fā)環(huán)境與測試環(huán)境配置的說明文檔。13.僅一級要求：建立軟硬件設(shè)備和工具等資源安全使用規(guī)范。軟硬件設(shè)備及工具安全使用規(guī)范；軟硬件設(shè)備及工具資源配備計劃。14.僅一級要求：配備安全管理人員。安全管理專職人員的任命文件，項目相關(guān)的安全監(jiān)

4、控記錄。15.僅一級要求：建立變更控制委員會。變更控制委員會成員構(gòu)成與職責規(guī)定文件。16.需求階段調(diào)研項目背景信息，收集項目需求，明確軟件功能、性能及安全方面的要求。需求階段控制程序文件；需求階段項目文檔，包括可行性報告、招標文件、需求分析報告等，需求文檔的內(nèi)容應(yīng)涉及軟件功能、性能及安全性要求。17.結(jié)合軟件項目需求、安全需求，與客戶充分溝通，達成共識并形成記錄。與客戶溝通的記錄。18.僅二級/一級要求：準確識別和綜合分析軟件項目在可用性、完整性、真實性、機密性、不可否認性、可控性和可靠性等方面的安全需求。需求分析報告，內(nèi)容應(yīng)覆蓋條款的要求。19.僅二級/一級要求：對于數(shù)據(jù)采集、產(chǎn)生、使用，明

5、確識別安全保護要求。20.僅二級/一級要求：基于客戶需求，開展需求分析，編制具有軟件安全需求的分析報告。21.僅二級/一級要求：需求分析報告中明確項目開發(fā)中使用的安全技術(shù)標準、規(guī)范。22.僅一級要求：應(yīng)基于軟件安全威脅開展需求分析。23.僅一級要求：基于軟件項目需求分析建立軟件安全開發(fā)模型。24.設(shè)計階段根據(jù)軟件項目需求，編制軟件設(shè)計說明書。設(shè)計階段控制程序文件；提供軟件設(shè)計說明書，內(nèi)容應(yīng)覆蓋條款的要求。25.軟件設(shè)計說明書明確系統(tǒng)/子系統(tǒng)的功能和非功能設(shè)計要求。26.軟件設(shè)計說明書明確包含安全功能要求，包括標識與鑒別、訪問控制、安全審計和安全管理等。27.設(shè)計階段-概要設(shè)計僅二級/一級要求：

6、概要設(shè)計說明書應(yīng)明確數(shù)據(jù)完整性和保密性、通信完整性和保密性、軟件容錯、資源控制等安全功能要求。設(shè)計階段控制程序文件；提供概要設(shè)計說明書，內(nèi)容應(yīng)覆蓋條款的要求。28.僅一級要求：概要設(shè)計說明書中應(yīng)明確基于軟件安全威脅分析的安全要求。29.僅一級要求：當開發(fā)場景適用時，概要設(shè)計說明書中應(yīng)明確抗抵賴、安全標記、可信路徑等安全功能要求。30.設(shè)計階段-詳細設(shè)計僅二級/一級要求：詳細設(shè)計說明書中應(yīng)包含對數(shù)據(jù)產(chǎn)生、傳輸、存儲、使用、處理和歸檔安全方面的詳細設(shè)計。詳細設(shè)計說明書，內(nèi)容應(yīng)覆蓋條款的要求。31.僅一級要求：依據(jù)安全要求和概要設(shè)計說明書，明確基于軟件安全威脅分析進行詳細設(shè)計。32.編碼階段制定統(tǒng)一

7、的代碼安全編碼規(guī)范，確保開發(fā)人員參照規(guī)范安全編碼。軟件開發(fā)所使用語言的安全編碼規(guī)范，規(guī)范內(nèi)容包括但不限于代碼安全編寫的原則、方式、方法等。33.依據(jù)詳細設(shè)計說明書，對軟件進行安全編碼。在編碼過程中，對規(guī)避高危風(fēng)險的漏洞采取的方法或措施的文檔或記錄。34.軟件代碼要經(jīng)過安全檢查、評審，對于發(fā)現(xiàn)的漏洞能有效修復(fù)。代碼安全檢查、評審記錄，對發(fā)現(xiàn)的漏洞，提供漏洞修復(fù)與驗證記錄。35.僅二級/一級要求：軟件代碼的安全檢查、評審工作應(yīng)形成記錄。代碼檢查、審核相關(guān)記錄。36.僅一級要求：采用自動化工具對代碼安全漏洞進行審查，對于發(fā)現(xiàn)的漏洞能有效修復(fù)，并形成審查報告。代碼檢查工具的檢查結(jié)果記錄/報告。37.測

8、試階段依據(jù)軟件設(shè)計說明書對軟件功能、安全功能進行測試。測試方案、測試計劃，提供軟件功能測試、安全性測試記錄與報告。38.對測試發(fā)現(xiàn)的漏洞進行分析并有效修復(fù)。漏洞發(fā)現(xiàn)、分析與修復(fù)的記錄。39.測試階段-單元測試僅二級/一級要求：明確單元測試策略，制定單元測試計劃。單元測試的測試策略、測試計劃。40.僅二級/一級要求：依據(jù)詳細設(shè)計說明書和測試計劃進行單元測試設(shè)計，并執(zhí)行單元測試，形成測試記錄。單元測試用例設(shè)計、測試記錄。41.僅一級要求：對單元測試結(jié)果進行分析，形成分析報告。單元測試分析報告。42.測試階段-集成測試僅二級/一級要求：明確集成測試策略，制定集成測試計劃。集成測試的測試策略、測試計劃

9、。43.僅二級/一級要求：依據(jù)概要設(shè)計方案和測試計劃進行集成測試設(shè)計，并執(zhí)行集成測試，形成測試記錄。集成測試用例設(shè)計、測試記錄。44.僅一級要求：對集成測試結(jié)果進行分析，形成分析報告。集成測試分析報告。45.測試階段-系統(tǒng)測試僅二級/一級要求：制定包括系統(tǒng)安全性測試在內(nèi)的測試計劃，并執(zhí)行系統(tǒng)測試，形成測試記錄。安全性測試計劃和測試用例設(shè)計文檔、測試記錄。46.47.僅二級/一級要求：基于軟件安全功能的安全要求，制定脆弱性測試方案，對安全漏洞進行測試，形成測試記錄。脆弱性測試方案、測試記錄。48.僅二級/一級要求：對系統(tǒng)測試結(jié)果進行分析，形成分析報告。測試分析報告，其中包括軟件安全測試的結(jié)果分析

10、。49.僅一級要求：基于軟件項目的安全要求，制定系統(tǒng)滲透性測試方案，模擬攻擊場景，對系統(tǒng)安全性進行測試，并形成分析報告。滲透性測試方案、滲透測試記錄和滲透測試報告。50.驗收階段-系統(tǒng)試運行測試系統(tǒng)運行的可靠性、穩(wěn)定性和安全性，進行試運行，并記錄系統(tǒng)運行狀況，試運行周期至少一個月。系統(tǒng)試運行相關(guān)記錄。51.基于系統(tǒng)試運行相關(guān)記錄，及時對軟件進行調(diào)整、維護。系統(tǒng)調(diào)整、維護記錄。52.僅二級/一級要求：試運行結(jié)束后，制定系統(tǒng)試運行報告，并提交客戶。系統(tǒng)試運行報告。53.僅一級要求：提供三個月以上的試運行記錄和報告。系統(tǒng)試運行記錄和報告。54.僅一級要求：綜合軟件系統(tǒng)試運行狀態(tài)，建立軟件系統(tǒng)運行策略

11、和安全指南。系統(tǒng)運行策略、安全指南。55.驗收階段-驗收交付根據(jù)合同約定，向客戶提交完整的項目資料及交付物，并提出驗收申請。驗收申請、驗收資料、驗收報告。56.根據(jù)合同約定，進行項目驗收，形成項目驗收報告。57.僅二級/一級要求：提交軟件安全測評報告。軟件安全測評報告。58.僅一級要求：提交軟件產(chǎn)品第三方安全測評報告或安全認證證書。專家/第三方權(quán)威機構(gòu)出具的軟件產(chǎn)品安全測評報告或安全認證證書。59.維保階段對于影響軟件系統(tǒng)安全、穩(wěn)定運行的缺陷，及時有效采取打補丁、版本升級等方式予以消除，并提供遠程技術(shù)支持服務(wù)。巡查記錄、故障記錄、升級記錄等。60.僅二級/一級要求：制定系統(tǒng)運行計劃、安全事件響應(yīng)計劃、安全事件應(yīng)急預(yù)案，建立應(yīng)急響應(yīng)服務(wù)保障團隊。系統(tǒng)運行計劃、安全事件響應(yīng)計劃、安全事件應(yīng)急預(yù)案；應(yīng)急保障團隊人員組織構(gòu)成和職責規(guī)定文件；應(yīng)急事件記錄。61.僅二級/一級要求：及時應(yīng)對突發(fā)安全事件，并向用戶提供安全事件解決報告。62.僅一級要求：制定軟件健康檢查計劃、方案，定期實施，提交相應(yīng)的系統(tǒng)健康檢查報告、巡檢報告。健康檢查計劃、方案、系統(tǒng)健康檢查報告、巡檢報告、系統(tǒng)優(yōu)化改進記錄。63.僅一級要求：根據(jù)健康檢查報告進行分析，持續(xù)優(yōu)化系統(tǒng)。64.上一年度提出的觀察項整改情況（如有）65.66.67.上一年度提