软件安全开发服务资质认证自表

软件安全开发服务资质认证自表

ID:22123903

大小:164.50 KB

页数:10页

时间:2018-10-27

软件安全开发服务资质认证自表_第1页
软件安全开发服务资质认证自表_第2页
软件安全开发服务资质认证自表_第3页
软件安全开发服务资质认证自表_第4页
软件安全开发服务资质认证自表_第5页
资源描述:

《软件安全开发服务资质认证自表》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、ISCCC-QOT-0433-B/2软件安全开发服务资质认证自评估表软件安全开发服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.准备阶段建立软件项目安全开发团队,明确各岗位、人员、职责。项目人员管理文件,项目安全开发组织机构,人员配备、角色职责,明确安全管理人员及职责。2.制定软件项目安全开发管理计划,明确开发过程管控措施。安全开发计划,明确里程碑管理、进度、管控措施等,内容包括安全要素。3.建立软件开发的配置管理计划,明确配

2、置管理的安全要求。配置管理计划,内容应覆盖审核条款的要求。4.建立变更控制制度,明确软件项目变更控制的安全要求。变更控制制度,变更过程控制记录,内容应覆盖审核条款的要求。5.制定软件项目安全培训计划,对相关人员进行安全培训。培训管理制度,安全培训计划和记录。中国信息安全认证中心第9页共10页ISCCC-QOT-0433-B/2软件安全开发服务资质认证自评估表1.建立独立的开发环境,确保开发环境与运行环境隔离。软件开发规范,开发环境和运行环境说明文档。2.仅二级/一级要求:建立软件安全开发项目风险管

3、理机制,对软件项目进行风险评估。风险管理制度,风险分析报告,内容应覆盖审核条款的要求。3.仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。现场查看配置管理工具使用情况。4.仅二级/一级要求:配备专职的测试人员。人员管理文件,内容应覆盖审核条款的要求。5.仅二级/一级要求:建立独立的测试环境,确保测试环境与开发环境隔离。软件开发规范,开发环境和测试环境说明文档。6.仅一级要求:建立软硬件设备和工具等资源安全使用规范。资源安全使用规范;项目资源配备计划,内容应覆盖审核条款的要求。7.仅一级要

4、求:配备安全管理人员。安全方面专职人员的任命文件,项目相关的安全监控记录。8.仅一级要求:建立变更控制委员会。变更控制委员会成员构成与职责规定文件,变更管理控制相关记录。9.需求阶段调研项目背景信息,收集项目需求,明确软件功能、性能及安全性要求。需求阶段控制程序文件;需求阶段项目文档,内容应覆盖审核条款的要求。需求阶段项目文档包括可行性报告、招标文件、需求分析报告等。中国信息安全认证中心第9页共10页ISCCC-QOT-0433-B/2软件安全开发服务资质认证自评估表1.结合软件项目需求、安全需求

5、,与客户充分沟通,达成共识并形成记录。与客户沟通的记录。2.仅二级/一级要求:准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。需求分析报告,内容应覆盖审核条款的要求。3.仅二级/一级要求:对于数据采集、产生、使用,明确识别安全保护要求。4.仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制具有软件安全需求的分析报告。5.仅二级/一级要求:需求分析报告中明确项目开发中使用的安全技术标准、规范。6.仅一级要求:基于软件安全威胁、开展需求

6、分析,编制具有软件安全需求的分析报告。7.仅一级要求:基于软件项目需求分析,结合安全开发要素建立软件开发模型。8.设计阶段-概要设计根据软件项目需求,编制软件设计方案、设计说明书。设计阶段控制程序文件;项目概要设计说明书/详细设计说明书,内容应覆盖审核条款的要求。9.中国信息安全认证中心第9页共10页ISCCC-QOT-0433-B/2软件安全开发服务资质认证自评估表软件设计方案明确系统/子系统的功能和非功能设计要求。1.软件设计方案明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管

7、理等。2.仅二级/一级要求:概要设计方案明确安全功能要求,还应包括数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等。3.仅一级要求:设计方案中明确基于软件安全威胁分析的安全要求。4.仅一级要求:设计方案中明确安全功能要求,还应包括抗抵赖、安全标记、可信路径等。5.设计阶段-详细设计仅二级/一级要求:详细设计说明书中包含对数据产生、传输、存储、使用、处理、归档安全性的详细设计。详细设计说明书,内容应覆盖审核条款的要求。6.仅一级要求:依据安全要求和设计方案,明确基于软件安全威胁的详细设计

8、。7.编码阶段制定统一的代码安全编码规范,确保开发人员参照规范安全编码。安全编码规范文件,内容应覆盖审核条款的要求。中国信息安全认证中心第9页共10页ISCCC-QOT-0433-B/2软件安全开发服务资质认证自评估表1.依据详细设计说明书,对软件进行安全编码。提供编码过程中采取的安全编码方法与措施文档。2.软件代码要经过安全检查、评审,对于发现的漏洞能有效修复。提供代码检查、评审、漏洞修复过程的相关文档。3.仅二级/一级要求:软件代码要经过安全检查、评审,对于发现的漏洞能有效修复

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。