软件安全开发服务资质认证自表.DOC

上传人:天*** 文档编号:123184 上传时间:2018-07-08 格式:DOC 页数:10 大小:164KB
下载 相关 举报
软件安全开发服务资质认证自表.DOC_第1页
第1页 / 共10页
软件安全开发服务资质认证自表.DOC_第2页
第2页 / 共10页
软件安全开发服务资质认证自表.DOC_第3页
第3页 / 共10页
亲,该文档总共10页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

1、ISCCC-QOT-0433-B/2 软件安全开发 服务资质 认证 自评估表 中国信息安全认证中心 第 1 页 共 10 页 软件安全开发 服务 资质 认证 自评估表 组织名称 申报 级别 评估时间 评估部门 /人员 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 1. 准备阶段 建立软件项目安全开发团队,明确各岗位、人员、职责。 项目人员管理 文件, 项目安全开发组织机构,人员配备、角色职责,明确安全管理人员及职责。 2. 制定软件项目安全开发管理计划,明确开发过程管控措施。 安全开发计划,明确里程碑管理、 进 度、管控措施 等,内容包括安全要素。 3. 建立软件开

2、发的配置管理计划,明 确配置管理的安全要求。 配置管理计划 ,内容应覆盖审核条款的要求。 4. 建立变更控制制度,明确软件项目变更控制的安全要求。 变更控制制度, 变更过程控制记录,内容应覆盖审核条款的要求。 5. 制定软件项目安全培训计划,对相关人员进行安全培训。 培训管理制度,安全培训计划和记录。 ISCCC-QOT-0433-B/2 软件安全开发 服务资质 认证 自评估表 中国信息安全认证中心 第 2 页 共 10 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 6. 建立独立的开发环境,确保开发环境与运行环境隔离。 软件开发规范,开发环境和运行环境说明 文

3、档 。 7. 仅二级 /一级要求 :建立软件安全开发项目风险管理机制,对软件项目进行风险评估。 风险管理制度, 风险分析报告 ,内容应覆盖审核条款的要求。 8. 仅二级 /一级要求 :使用配置管理工具对软件项目进行配置管理。 现场查看 配置管理工具使用情况。 9. 仅二级 /一级要求 :配备专职 的 测试人员。 人员管理文件,内容应覆盖审核条款的要 求。 10. 仅二级 /一级要求 :建立独立的测试环境,确保测试环境与开发环境隔离。 软件开发规范,开发环境和测试环境说明 文档 。 11. 仅一级要求 :建立软硬件设备和工具等资源安全使用规范。 资源安全使用规范;项目 资源 配备计划,内容应覆盖

4、审核条款的要求。 12. 仅一级要求 :配备安 全管理人员。 安全方面专职人员的任命文件, 项目相关的安全监控记录。 13. 仅一级要求 :建立变更控制委员会。 变更控制委员会成员构成与职责规定文件,变更管理控制相关记录。 14. 需求阶段 调研项目背景信息,收集项目需求,明确软件功能、性能及安全性要求。 需求阶段控制程序文件;需求阶段项目文档,内容应覆盖审核条款的要求。 需求阶段项目文档包括可行性报告、招标文件、需求分析报告等。 ISCCC-QOT-0433-B/2 软件安全开发 服务资质 认证 自评估表 中国信息安全认证中心 第 3 页 共 10 页 序号 要点 条款 需提供证明材料 自评

5、估结论 证明材料清单 符合 不符合 15. 结合软件项目需求、安全需求,与客户充分沟通,达成共识并形成记录。 与客户沟通的记录 。 16. 仅二级 /一级 要求 :准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。 需求 分析 报告, 内容应覆盖审核条款的要求 。 17. 仅二级 /一级要求 :对于数据采集、产生、使用,明确识别安全保护要求。 18. 仅二级 /一级要求 :基于客户需求和投入能力,开展需求分析,编制具有软件安全需求的分析报告。 19. 仅二级 /一级要求 :需求分析报告中明确项目开发中使用的安全技术标准、规范。 20. 仅一

6、级要求 :基于软件安全威胁、开展需求分析,编制具有软件安全需求的分析报 告。 21. 仅一级要求 :基于软件项目需求分析,结合安全开发要素建立软件开发模型。 22. 设计阶段 -概要设计 根据软件项目需求,编制软件设计方案、设计说明书。 设计阶段控制程序文件 ;项目 概要设计 说明书 /详细设计说明书 ,内容应覆盖审核条款的要求。 23. 软件设计方案明确系统 /子系统的功能 ISCCC-QOT-0433-B/2 软件安全开发 服务资质 认证 自评估表 中国信息安全认证中心 第 4 页 共 10 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 和非功能设计要求。

7、24. 软件设计方案明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管理等。 25. 仅二级 /一级要求 :概要设计方案明确安全功能要求,还应包括数据完整性和保密性、 通信完整性和保密性、软件容错、资源控制等。 26. 仅一级要求 :设计方案中明确基于软件安全威胁分析的安全要求。 27. 仅一级要求 :设计方案中明确安全功能要求,还应包括抗抵赖、安全标记、可信路径等。 28. 设计阶段 -详细设计 仅二级 /一级要求 :详细设计说明书中包含对数据产生、传输、存储、使用、处理、归档安全性的详细设计。 详细设计说明书,内容应覆盖审核条款的 要求。 29. 仅一级要求 :依据安全要求和

8、设计方案,明确基于软件安全威胁的详细设计。 30. 编码阶段 制定统一的代码安全编码 规范 ,确保开发人员参照规范安全编码。 安全编码规范文件,内容应覆盖审核条款 的要求。 ISCCC-QOT-0433-B/2 软件安全开发 服务资质 认证 自评估表 中国信息安全认证中心 第 5 页 共 10 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 31. 依据详细设计说明书,对软件进行安全编码。 提供 编码过程中采取的安全编码方法与措施 文档 。 32. 软件代码要经过安全检查、评审,对于发现的漏洞能有效修复。 提供 代码检查、评审 、漏洞修复 过程 的相关文档 。 3

9、3. 仅二级 /一级要求 :软件代码要经过安全检查、评审,对于发现的漏洞能有效修复, 且 形成记录。 代码检查、评审相关记录。 34. 仅一级要求 :采用代码检查工具实施安全审查。 代码检查工具的使用情况说明文档 。 35. 测试阶段 -单元测试 仅二级 /一级要求 :明确单元测试策略,制定单元测试计划。 单元测试的测试策略、测试计划 。 36. 仅二级 /一级要求 :依据详细设计说明书和测试计划进行单元测试设计,并执行单元测试,形成测试记录。 单元测试设计、测试记录 。 37. 仅一级要求 :对单元测试结果进行分析,形成分析报告。 单元测试分析报告 。 38. 测试阶段 -集成测试 仅二级

10、/一级要求 :明确集成测试策略,制定集成测试计划。 集成测试的测试策略、测试计划 。 39. 仅二级 /一级要求 :依据概要设计方案和测试计划进行集成测试设计,并执行集成测试,形成测试记录。 集成测试设计、测试记录 。 ISCCC-QOT-0433-B/2 软件安全开发 服务资质 认证 自评估表 中国信息安全认证中心 第 6 页 共 10 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 40. 仅二级 /一级要求 :对安全子系统进行兼容性和安全性测试,完整记录测试过程相关信息。 41. 仅一级要求 :对集成测试结果进行分析,形成分析报告。 测试分析报告。 42.

11、测试阶段 -系统测试 依据软件设计方案、设计说明书对软件功能、安全功能进行测试。 系统 测试相关文档,内容 应覆盖审核条款的要求。 43. 对测试过程中发现的漏洞进行分析并有效修复。 漏洞发现、分析与修复的情况说明 文档 。 44. 仅二级 /一级要求 :制定针对系统安全性测试在内的测试计划和测试设计,并执行系统测试,形成测试记录。 测试计划和测试设计文档、测试记录 ,内容应覆盖审核条款的要求。 45. 仅二级 /一级要求 :基于软件安全功能的安全要求,制定脆弱性测试方案,对安全漏洞进行测试,形成测试记录。 46. 仅二级 /一级要求 :提供系统测试报告和安全方面分析报告。 系统测试报告和安全

12、方面分析报告。 47. 仅一级要求 :基于软件项目的安全要求,制定系统渗透性测试方案,模拟攻击场景,对系统安全性进行测试。 渗透性测试方案 、测试记录和测试报告 ,内容应覆盖审核条款的要求。 48. 验收 阶段 - 测试系统运行的可靠性、稳定性和安全 系统试运行相关记录,内容应覆盖审核条 ISCCC-QOT-0433-B/2 软件安全开发 服务资质 认证 自评估表 中国信息安全认证中心 第 7 页 共 10 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 系统试运行 性,进行试运行,并记录系统运行状况,试运行周期至少一个月。 款的要求。 49. 基于系统试运行相关

13、记录,及时对软件进行调整、维护。 50. 仅二级 /一级要求 :试运行结束后,制定系统试运行报告,并提交客户。 系统试运行报告,内容应覆盖审核条款的 要求。 51. 仅一级要求 :提供三个月以上的试运行记录和报告。 系统试运行记录和报告。 52. 仅一 级要求 :综合软件系统试运行状态,建立软件系统运行策略和安全指南。 系统试运行策略、安全指南 。 53. 验收 阶段 -验收交付 根据合同约定,向客户提交完整的项目资料及交付物,并提出验收申请。 申请验收资料、验收报告,内容应覆盖审核条款的要求。 54. 根据合同约定,进行项目验收,形成项目验收报告。 55. 仅二级 /一级要求 :提交软件安全

14、评析报告。 软件安全评析报告。 56. 仅一级要求 :提交软件产品最终安全评析报告。 专家 /第三方权威机构出具的软件产品最终安全评析报告。 57. 维保阶段 对于 影响软件系统安全、稳定运行的缺陷,及时有效采取打补丁、版本升级等方式予以消除 ,并提供远程技术支持服巡查记录、故障记录、升级记录等 。 ISCCC-QOT-0433-B/2 软件安全开发 服务资质 认证 自评估表 中国信息安全认证中心 第 8 页 共 10 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 务 。 58. 仅二级 /一级要求 :制定系统运行计划、事件响应计划、事件应急预案,建立应急响应服

15、务保障团队。 系统运行计划、事件响应计划、事件应急预案; 应急保障团队人员组织构成和职责规定 文件; 应急事件记录。 59. 仅二级 /一级要求 :及时应对突发事件,并向用户提供故障事件解决报告。 60. 仅一级要求 : 建立软件健康检查计划、方案,定期实施,提交相应的系统健康检查报告、 巡检报告。 健康检查 计划、方案、 系统健康检查报告、巡检报告 ,内容应覆盖审核条款的要求。 61. 仅一级要求 :根据健康检查报告进行分析,持续优化系统。 62. 上一年度提出的观察项跟踪 验证 情况 (如有) 63. 64. 65. 66. 上一年度提出的 不符合 项跟踪 验证 情况 (如有) 67. 6

16、8. ISCCC-QOT-0433-B/2 软件安全开发 服务资质 认证 自评估表 中国信息安全认证中心 第 9 页 共 10 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 69. ISCCC-QOT-0433-B/2 软件安全开发 服务资质 认证 自评估表 中国信息安全认证中心 制 第 10 页 共 10 页 自评估结论: 经自主评估,本单位的软件安全开发服务资质 满足 ISCCC-SV-001:2015 信息安全服务资质认证实施规则 级 要求,申请第三方评审 。 本 单位 郑重承诺, 信息安全服务资质认证自评估表 -公共管理与 本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文资料库 > 毕业论文

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。