- 1、本文档共10页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全服务资质自评估.-中国信息安全认证中心.doc
软件安全开发服务资质认证自评估表
组织名称 申报级别 评估时间 评估部门/人员
序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 准备阶段 建立软件项目安全开发团队,明确各岗位、人员、职责。 项目人员管理文件,项目安全开发组织机构,人员配备、角色职责,明确安全管理人员及职责。 制定软件项目安全开发管理计划,明确开发过程管控措施。 安全开发计划,明确里程碑管理、进度、管控措施等,内容包括安全要素。 建立软件开发的配置管理计划,明确配置管理的安全要求。 配置管理计划,内容应覆盖审核条款的要求。 建立变更控制制度,明确软件项目变更控制的安全要求。 变更控制制度,变更过程控制记录,内容应覆盖审核条款的要求。 制定软件项目安全培训计划,对相关人员进行安全培训。 培训管理制度,安全培训计划和记录。 建立独立的开发环境,确保开发环境与运行环境隔离。 软件开发规范,开发环境和运行环境说明文档。 仅二级/一级要求:建立软件安全开发项目风险管理机制,对软件项目进行风险评估。 风险管理制度,风险分析报告,内容应覆盖审核条款的要求。 仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。 现场查看配置管理工具使用情况。 仅二级/一级要求:配备专职的测试人员。 人员管理文件,内容应覆盖审核条款的要求。 仅二级/一级要求:建立独立的测试环境,确保测试环境与开发环境隔离。 软件开发规范,开发环境和测试环境说明文档。 仅一级要求:建立软硬件设备和工具等资源安全使用规范。 资源安全使用规范;项目资源配备计划,内容应覆盖审核条款的要求。 仅一级要求:配备安全管理人员。 安全方面专职人员的任命文件,项目相关的安全监控记录。 仅一级要求:建立变更控制委员会。 变更控制委员会成员构成与职责规定文件,变更管理控制相关记录。 需求阶段 调研项目背景信息,收集项目需求,明确软件功能、性能及安全性要求。 需求阶段控制程序文件;需求阶段项目文档,内容应覆盖审核条款的要求。
需求阶段项目文档包括可行性报告、招标文件、需求分析报告等。 结合软件项目需求、安全需求,与客户充分沟通,达成共识并形成记录。 与客户沟通的记录。 仅二级/一级要求:准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。 需求分析报告,内容应覆盖审核条款的要求。 仅二级/一级要求:对于数据采集、产生、使用,明确识别安全保护要求。 仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制具有软件安全需求的分析报告。 仅二级/一级要求:需求分析报告中明确项目开发中使用的安全技术标准、规范。 仅一级要求:基于软件安全威胁、开展需求分析,编制具有软件安全需求的分析报告。 仅一级要求:基于软件项目需求分析,结合安全开发要素建立软件开发模型。 设计阶段-概要设计 根据软件项目需求,编制软件设计方案、设计说明书。 设计阶段控制程序文件;项目概要设计说明书/详细设计说明书,内容应覆盖审核条款的要求。 软件设计方案明确系统/子系统的功能和非功能设计要求。 软件设计方案明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管理等。 仅二级/一级要求:概要设计方案明确安全功能要求,还应包括数据完整性和必威体育官网网址性、通信完整性和必威体育官网网址性、软件容错、资源控制等。 仅一级要求:设计方案中明确基于软件安全威胁分析的安全要求。 仅一级要求:设计方案中明确安全功能要求,还应包括抗抵赖、安全标记、可信路径等。 设计阶段-详细设计 仅二级/一级要求:详细设计说明书中包含对数据产生、传输、存储、使用、处理、归档安全性的详细设计。 详细设计说明书,内容应覆盖审核条款的要求。 仅一级要求:依据安全要求和设计方案,明确基于软件安全威胁的详细设计。 编码阶段 制定统一的代码安全编码规范,确保开发人员参照规范安全编码。 安全编码规范文件,内容应覆盖审核条款的要求。 依据详细设计说明书,对软件进行安全编码。 提供编码过程中采取的安全编码方法与措施文档。 软件代码要经过安全检查、评审,对于发现的漏洞能有效修复。 提供代码检查、评审、漏洞修复过程的相关文档。 仅二级/一级要求:软件代码要经过安全检查、评审,对于发现的漏洞能有效修复,且形成记录。 代码检查、评审相关记
您可能关注的文档
- 以消费者价格敏感度为依据.ppt
- 以超声振动原理模拟滑动轴承的气蚀磨损-摩擦学学报.PDF
- 企业$地理与出口产品价格.PDF
- 企业、地理与出口产品价格.PDF
- 企业技术创新国际化能力分析与测评体系构建-科技促进发展.PDF
- 企业经营管理法令实务进阶班.doc
- 会展营销的目标.ppt
- 会计学》课程实验教学大纲-重庆交通大学.doc
- 会计学专业本科培养方案-中华女子学院.doc
- 传统之现代性变迁的生动体现和理论提炼①-钧瓷.PDF
- 2024年学校党总支巡察整改专题民主生活会个人对照检查材料3.docx
- 2025年民主生活会个人对照检查发言材料(四个带头).docx
- 县委常委班子2025年专题生活会带头严守政治纪律和政治规矩,维护党的团结统一等“四个带头方面”对照检查材料四个带头:.docx
- 巡察整改专题民主生活会个人对照检查材料5.docx
- 2024年度围绕带头增强党性、严守纪律、砥砺作风方面等“四个方面”自我对照(问题、措施)7.docx
- 2025年度民主生活会领导班子对照检查材料(“四个带头”).docx
- 国企党委书记2025年度民主生活会个人对照检查材料(五个带头).docx
- 带头严守政治纪律和政治规矩,维护党的团结统一等(四个方面)存在的问题整改发言提纲.docx
- 党委书记党组书记2025年带头增强党性、严守纪律、砥砺作风方面等“四个带头”个人对照检查发言材料.docx
- 2025年巡视巡察专题民主生活会对照检查材料.docx
最近下载
- 《ISO 55013-2024 资产管理-数据资产管理指南》解读和实施指导材料(雷泽佳编制-2024).pdf VIP
- 肿瘤放化疗病人并发症护理课件.pptx VIP
- 新概念第一册lesson79.pptx VIP
- 政府采购机票操作手册.pdf VIP
- 二级展开式斜齿圆柱齿轮减速器设计说明书.pdf
- 字节跳动产品运营专员岗面试题库参考答案和答题要点.docx VIP
- 小学英语单词(带音标).pdf VIP
- 字节跳动运营数据分析师岗面试题库参考答案和答题要点.docx VIP
- 八年级数学上册专题15 半角模型证全等(原卷版).docx VIP
- 字节跳动新媒体运营专员岗面试题库参考答案和答题要点.docx VIP
文档评论(0)