软件安全开发服务资格认证自我评估表格.doc 10页

ISCCC-QOT-0433-B / 3软件安全开发服务资格认证自我评估表PAGE中国信息安全认证中心第1页，共NUMPAGES第10页软件安全开发服务资格认证自我评估表组织名称申请等级评估时间评估部门/人员序列号关键条款需要提供认证材料自我评估结论，以证明材料清单符合服务的技术要求，不符合建立软件安全开发服务流程的要求。软件安全开发服务过程中，流程图应包括与每个阶段相对应的职责，输入和输出。制定软件安全开发服务规范，并按照规范执行。软件安全开发服务规范以及根据规范的实现。在准备阶段，将建立一个软件项目安全开发团队，以阐明所有职位，人员和职责。可反映项目团队成员组成的项目人员组成表或其他文档，这些文件指定项目团队成员的组成以及安全开发人员的角色和职责。制定软件项目安全开发管理计划，并明确开发过程控制措施。项目开发计划，该计划应包括安全开发内容。建立用于软件开发的配置管理计划，并阐明配置管理的安全要求。项目配置管理计划包括与安全相关的活动。提供与配置管理相关的记录。建立变更控制系统，以阐明软件项目变更控制的安全要求。变更控制管理系统，提供项目变更控制记录，变更记录表，记录表的内容应包括变更申请，批准，实施和实施后的评估结果。制定软件项目安全培训计划，并对相关人员进行安全培训。

培训管理系统，项目培训计划和培训记录。建立独立的开发环境，以确保开发环境与操作环境隔离。开发环境和操作环境配置的文档。仅第2级/第1级要求：建立软件安全开发项目的风险管理机制，并对软件项目进行风险评估。风险管理系统，风险管理计划，风险分析报告。仅2级/ 1级要求：使用配置管理工具来配置软件项目。配置管理计划，描述所使用的配置管理工具；介绍配置管理工具的使用。仅二级/一级要求：配备全职测试人员。项目人员组成表或其他可以反映项目团队成员组成，建立专职软件安全管理人员和测试人员并明确描述其职责的文档。仅2级/ 1级要求：建立独立的测试环境，以确保测试环境与开发环境隔离。开发环境和测试环境的配置文档。仅一级要求：建立安全使用资源的规范，例如软件和硬件设备及工具。安全使用软件和硬件设备及工具的规范；软硬件设备和工具资源分配计划。仅一级要求：配备安全管理人员。专职安全管理人员的任命文件，与项目有关的安全监控记录。仅一级要求：建立变更控制委员会。有关变更控制委员会的组成和职责的文件。在需求阶段，调查项目的背景信息，收集项目需求，并明确软件功能，性能和安全性的需求。在需求阶段控制程序文件；需求阶段的项目文件，包括可行性报告，招标文件，需求分析报告等。需求文件的内容应涉及软件功能，性能和安全要求。

结合软件项目要求和安全要求，与客户进行充分沟通，达成共识并形成记录。与客户沟通记录。仅次要/主要需求：在可用性，完整性，真实性，机密性，不可否认性，可控制性和可靠性方面，准确地识别和全面分析软件项目的安全性需求。需求分析报告中，内容应涵盖该条款的需求。仅2级/ 1级要求：对于数据收集，生成和使用，请明确确定安全保护要求。仅第2级/第1级需求：根据客户需求，进行需求分析并编译具有软件安全性需求的分析报告。仅2级/ 1级要求：要求分析报告指定了项目开发中使用的安全技术标准和规范。仅第一级要求：需求分析应基于软件安全威胁。仅第一级要求：基于对软件项目要求的分析，建立软件安全开发模型。在设计阶段，根据软件项目的要求，编制软件设计规范。在设计阶段控制程序文件；提供软件设计说明时，内容应涵盖本条款的要求。软件设计规范指定了系统/子系统的功能和非功能设计要求。软件设计规范明确包含对安全功能的要求，包括标识和身份验证，访问控制，安全审核和安全管理。设计阶段-轮廓设计仅具有第二级/第一级要求：轮廓设计规范应指定安全功能要求，例如数据完整性和机密性，通信完整性和机密性，软件容错性和资源控制。设计阶段的控制程序文件；提供简短的设计规范，内容应涵盖该条款的要求。仅第一级要求：在大纲设计规范中应指定基于软件安全威胁分析的安全要求。

仅第一级要求：当适用开发方案时，大纲设计规范应明确指定安全功能要求，例如不可否认性，安全标记和可信路径。设计阶段的详细设计只有两个/第一级要求：详细的设计规范应包括有关数据生成，传输，存储，使用，处理和归档安全的详细设计。详细的设计规范应涵盖该条款的要求。仅一级要求：根据安全要求和概要设计规范，详细设计显然基于软件安全威胁分析。在编码阶段，制定了统一的代码安全性编码规范，以确保开发人员遵循该规范并确保编码安全。软件开发中使用的语言的安全编码规范，规范内容包括但不限于代码安全性编写的原理，方法和方法。根据详细的设计规范，对软件进行安全编码。在编码过程中，为避免高风险漏洞而采取的方法或措施的文档或记录。该软件代码必须经过安全检查和审查，并且可以有效地修复发现的漏洞。对安全检查和检查记录进行编码，并为发现的漏洞提供漏洞修复和验证记录。仅2级/ 1级要求：应记录安全检查和软件代码审查。代码检查和审核相关记录。仅一级要求：使用自动化工具来检查代码安全漏洞，有效修复发现的漏洞并形成审查报告。记录/报告代码检查工具的检查结果。在测试阶段，将根据软件设计规范对软件功能和安全功能进行测试。测试计划，测试计划，提供软件功能测试，安全测试记录和报告。

分析测试中发现的漏洞并有效地修复它们。漏洞发现，分析和修复的记录。测试阶段单元测试仅具有第二级/第一级要求：阐明单元测试策略并制定单元测试计划。单元测试的测试策略和测试计划。仅2级/ 1级要求：根据详细的设计规范和测试计划执行单元测试设计，并执行单元测试以形成测试记录。单元测试用例设计，测试记录。仅一个级别的要求：分析单元测试结果并形成分析报告。单元测试分析报告。测试阶段集成测试仅满足第二级/第一级要求：阐明集成测试策略并制定集成测试计划。集成测试的测试策略和测试计划。仅2级/ 1级要求：根据大纲设计方案和测试计划执行集成测试设计，并执行集成测试以形成测试记录。集成测试用例设计，测试记录。仅一级要求：分析集成测试结果并形成分析报告。集成测试分析报告。测试阶段-系统测试只有两个/一级要求：制定包括系统安全测试的测试计划，并执行系统测试以形成测试记录。安全测试计划和测试用例设计文件以及测试记录。仅次要/主要要求：根据软件安全功能的安全要求，制定漏洞测试计划，测试安全漏洞，并形成测试记录。漏洞测试计划和测试记录。仅2级/ 1级要求：分析系统测试结果并形成分析报告。测试分析报告，包括对软件安全测试结果的分析。

仅第一级要求：根据软件项目的安全要求，制定系统渗透测试计划，模拟攻击场景，测试系统安全性并形成分析报告。渗透测试计划，渗透测试记录和渗透测试报告。验收阶段系统试运行测试系统运行的可靠性，稳定性和安全性，进行试运行，并记录系统运行状态，试运行周期至少为一个月。系统试运行相关记录。根据系统试用操作的相关记录，及时调整和维护软件。系统调整和维护记录。仅2级/ 1级要求：测试运行结束后，将制作系统测试运行报告并提交给客户。系统调试报告。仅一级要求：提供三个月以上的试运行记录和报告。系统试运行记录和报告。仅一级要求：全面的软件系统试用运行状态，建立软件系统运行策略和安全准则。系统运行策略，安全指南。验收阶段-验收交付根据合同，完整的项目材料和可交付成果将提交给客户，并提交验收申请。验收申请，验收信息，验收报告。根据合同，进行项目验收并形成项目验收报告。仅2级/ 1级要求：提交软件安全评估报告。软件安全评估报告。仅一级要求：提交软件产品的第三方安全评估报告或安全。专家/第三方机构发布的软件产品安全评估报告或安全认证。在维护阶段，通过修补和版本升级及时有效地消除了影响软件系统安全和稳定运行的缺陷，并提供了远程技术支持服务。

检查记录，故障记录，升级记录等。仅二级/一级要求：制定系统运行计划，安全事件响应计划，安全事件应急计划，建立应急服务保障团队。系统运行计划，安全事件响应计划，安全事件应急计划；紧急支援小组人员的组织和职责规定的文件；紧急事件记录。仅第2级/第1级要求：及时响应安全事件并为用户提供安全事件解决报告。仅一级要求：开发软件运行状况检查计划和程序，定期实施它们，并提交相应的系统运行状况检查报告和检查报告。健康检查计划，程序，系统健康检查报告，检查报告，系统优化和改进记录。仅一级要求：根据运行状况检查报告进行分析，并不断优化系统。上一年度提议的观察项目的纠正（如果有的话）中国信息安全认证中心上一年度提议的不合格项的纠正（如果有的话）NUMPAGES第10页第10页自我评估结论：独立后评估，该部门的软件安全开发服务符合____级“信息安全服务规范”的要求，并且适用于第三方审查。本部门郑重保证“信息安全服务资质认证自我评估表-公共管理”中提供的所有信息和此自我评估表都是真实可信的，并可以提供相应的支持材料。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-335800-1.html