1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 人力资源/企业管理
  5. 项目管理

ISCCCQOT0440-软件安全开发服务资质认证审核记录表.docxVIP

ISCCCQOT0440-软件安全开发服务资质认证审核记录表.docx

    1. 1、本文档共11页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    软件安全开发服务资质认证审核记录表

    组织名称

    申请类别/级别

    审核时间

    受审核部门/人员

    序号

    要点

    条款

    需提供证明材料

    审核结果

    审核记录

    不符

    需观察

    1.

    服务技术要求

    4.1.7/4.2.8/4.3.8a)建立软件安全开发服务流程。

    按照相关标准建立软件安全开发服务流程,流程图中应包括每个阶段对应的职责、输入输出等。

    2.

    4.1.7/4.2.8/4.3.8b)制定软件安全开发服务规范并按照规范实施。

    制定软件安全开发服务规范并按照规范实施。

    3.

    准备阶段

    El.la)建立软件项目安全开发团队,明确各岗位、人员、职责。

    查验项目人员管理文件,抽查项目,查验项目安全开发组织机构、人员配备、角色职责,是否明确安全管理人员及职责。

    4.

    El.lb)制定软件项目安全开发管理计划,明确开发过程管控措施。

    抽查项目,查验安全开发计划,明确里程碑管理、进度、管控措施等,内容包括安全要素。

    5.

    El.lc)建立软件开发的配置管理计划,

    抽查项目,查验配置管理计划,内容

    序号

    要点

    条款

    需提供证明材料

    审核结果

    审核记录

    不符合

    需观察

    明确配置管理的安全要求。

    包括但不限于CM人员构成、配置库结构、配置活动计划、等级、角色、权

    限等。

    6.

    El.ld)建立变更控制制度,明确软件项目变更控制的安全要求。

    查验变更控制制度,抽查项目,查验变更过程控制记录,内容应覆盖审核条款的要求,变更的记录单,记录单中的内容应包含变更申请,审批,执行,执行后的评价结果。

    7.

    El.le)制定软件项目安全培训计划,对相关人员进行安全培训。

    查验培训管理制度,抽查项目,查验安全培训计划和记录。

    8.

    El.lf)建立独立的开发环境,确保开发环境与运行环境隔离。

    查验软件开发规范,现场查看开发环境和运行环境。

    9.

    E2.1a)仅二级/一级要求:建立软件安全开发项目风险管理机制,对软件项目进行风险评估。

    查验风险管理制度,抽查项目,查验风险分析报告,内容应覆盖审核条款的要求。

    10.

    E2.1b)仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。

    抽查项目,现场查验配置管理工具使用情况。

    11.

    E2.1c)仅二级/一级要求:配备专职的测试人员。

    抽查项目,查验人员管理文件,内容应覆盖审核条款的要求。

    12.

    E2.1d)仅二级/一级要求:建立独立的测试环境,确保测试环境与开发环境隔

    抽查项目,现场查看开发环境和测试环境。

    序号

    要点

    条款

    需提供证明材料

    审核结果

    审核记录

    不符合

    需观察

    离。

    13.

    E3.1a)仅一级要求:建立软硬件设备和工具等资源安全使用规范。

    查验资源安全使用规范;抽查项目,查验资源配备计划,内容应覆盖审核条款的要求。

    14.

    E3.1b)仅一级要求:配备安全管理人员。

    查验安全管理专职人员的任命文件,抽查项目相关的安全监控记录。

    15.

    E3.1c)仅一级要求:建立变更控制委员会。

    查验变更控制委员会成员构成与职责规定文件。

    16.

    需求阶段

    EL2a)调研项目背景信息,收集项目需求,明确软件功能、性能及安全方面的要求。

    查验需求阶段控制程序文件;抽查项目,查验需求阶段项目文档,内容应覆盖审核条款的要求。

    需求阶段项目文档包括可行性报告、招标文件、需求分析报告等。

    17.

    E1.2b)结合软件项目需求、安全需求,与客户充分沟通,达成共识并形成记录。

    抽查项目,查验与客户沟通的记录。

    18.

    19.

    E2.2a)仅二级/一级要求:准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。

    E2.2b)仅二级/一级要求:对于数据采集、产生、使用,明确识别安全保护要

    抽查项目,查验需求分析报告,内容应覆盖审核条款的要求。

    序号

    要点

    条款

    需提供证明材料

    审核结果

    审核记录

    不符合

    需观察

    求。

    20.

    E2.2c)仅二级/一级要求:基于客户需求,开展需求分析,编制具有软件安全需求的分析报告。

    21.

    E2.2d)仅二级/一级要求:需求分析报告中明确项目开发中使用的安全技术标

    准、规范。

    22.

    E3.2a)仅一级要求:应基于软件安全威胁开展需求分析。

    23.

    E3.2b)仅一级要求:基于软件项目需求分析建立软件安全开发模型。

    24.

    设计阶段

    EL3a)根据软件项目需求,编制软件设计说明书。

    查验设计阶段控制程序文件;抽查项目,查验软件设计说明书,内容应覆盖审核条款的要求。

    25.

    E1.3b)软件设计说明书明确系统/子

    您可能关注的文档

    最近下载

    文档评论(0)

    131****2653 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >