軟件安全開發服務資質專業評價要求針對準備、需求、設計、編碼、測試、驗收和維保七個階段進行,具體分級要求如下:
E1 三級要求
E1.1準備階段
a) 建立軟件項目安全開發團隊,明確各崗位、人員、職責。
b) 制定軟件項目安全開發管理計劃,明確開發過程管控措施。
c) 建立軟件開發的配置管理計劃,明確配置管理的安全要求。
d) 建立變更控制制度,明確軟件項目變更控制的安全要求。
e) 制定軟件項目安全培訓計劃,對相關人員進行安全培訓。
f) 建立獨立的開發環境,確保開發環境與運行環境隔離。
E1.2需求階段
a) 調研項目背景信息,收集項目需求,明確軟件功能、性能及安全性要求。
b) 結合軟件項目需求、安全需求,與用戶充分溝通,達成共識并形成記錄。
E1.3設計階段
a) 根據軟件項目需求,編制軟件設計方案、設計說明書。
b) 軟件設計方案明確系統/子系統的功能和非功能設計要求。
c) 軟件設計方案明確包含安全功能要求,包括標識與鑒別、訪問控制、安全審計和安全管理等。
E1.4編碼階段
a) 制定統一的代碼安全編碼規范,確保開發人員參照規范安全編碼。
b) 依據詳細設計說明書,對軟件進行安全編碼。
c) 軟件代碼要經過安全檢查、評審,對于發現的漏洞能有效修復。
E1.5測試階段
a) 依據軟件設計方案、設計說明書對軟件功能、安全功能進行測試。
b) 對測試過程中發現的漏洞進行分析并有效修復。
E1.6驗收階段
E1.6.1系統試運行
a) 測試系統運行的可靠性、穩定性和安全性,進行試運行,并記錄系統運行狀況,試運行周
期至少一個月。
b) 基于系統試運行相關記錄,及時對軟件進行調整、維護。
E1.6.2驗收交付
a) 根據合同約定,向客戶提交完整的項目資料及交付物,并提出驗收申請。
b) 根據合同約定,進行項目驗收,形成項目驗收報告。
E1.7維保階段
對于影響軟件系統安全、穩定運行的缺陷,及時有效采取打補丁、版本升級等方式予以消除,并提供遠程技術支持服務。
E2 二級要求
組織申報二級資質,除滿足三級能力要求外,還應滿足以下要求:
E2.1準備階段
a) 建立軟件安全開發項目風險管理機制,對軟件項目進行風險評估。
b) 使用配置管理工具對軟件項目進行配置管理。
c) 配備專職的測試人員。
d) 建立獨立的測試環境,確保測試環境與開發環境隔離。
E2.2需求階段
a) 準確識別和綜合分析軟件項目在可用性、完整性、真實性、機密性、不可否認性、可控性
和可靠性等方面的安全需求。
b) 對于數據采集、產生、使用,明確識別安全保護要求。
c) 基于客戶需求和投入能力,開展需求分析,編制具有軟件安全需求的分析報告。
d) 需求分析報告中明確項目開發中使用的安全技術標準、規范。
E2.3設計階段
E2.3.1概要設計
概要設計方案明確安全功能要求,還應包括數據完整性和保密性、通信完整性和保密性、軟件容錯、資源控制等。
E2.3.2詳細設計
詳細設計說明書中包含對數據產生、傳輸、存儲、使用、處理和歸檔安全性的詳細設計。
E2.4編碼階段
軟件代碼要經過安全檢查、評審,對于發現的漏洞能有效修復,且形成記錄。
E2.5測試階段
E2.5.1單元測試
a) 明確單元測試策略,制定單元測試計劃。
b) 依據詳細設計說明書和測試計劃進行單元測試設計,并執行單元測試,形成測試記錄。
E2.5.2集成測試
a) 明確集成測試策略,制定集成測試計劃。
b) 依據概要設計方案和測試計劃進行集成測試設計,并執行集成測試,形成測試記錄。
c) 對安全子系統進行兼容性和安全性測試,完整記錄測試過程相關信息。
E2.5.3系統測試
a) 制定針對系統安全性測試在內的測試計劃和測試設計,并執行系統測試,形成測試記錄。
b) 基于軟件安全功能的安全要求,制定脆弱性測試方案,對安全漏洞進行測試,形成測試記
錄。
c) 提供系統測試報告和安全方面分析報告。
E2.6驗收階段
E2.6.1系統試運行
試運行結束后,制定系統試運行報告,并提交客戶。
E2.6.2驗收交付
提交軟件安全評析報告。
E2.7維保階段
a) 制定系統運行計劃、事件響應計劃、事件應急預案,建立應急響應服務保障團隊。
b) 及時應對突發事件,并向用戶提供故障事件解決報告。
E3 一級要求
組織申報一級資質,除滿足二級能力要求外,還應滿足以下要求:
E3.1準備階段
a) 建立軟硬件設備和工具等資源安全使用規范。
b) 配備安全管理人員。
c) 建立變更控制委員會。
E3.2需求階段
a) 基于軟件安全威脅,開展需求分析,編制具有軟件安全需求的分析報告。
b) 基于軟件項目需求分析,結合安全開發要素建立軟件開發模型。
E3.3設計階段
E3.3.1概要設計
a) 設計方案中明確基于軟件安全威脅分析的安全要求。
b) 設計方案中明確安全功能要求,還應包括抗抵賴、安全標記、可信路徑等。
E3.3.2詳細設計
依據安全要求和設計方案,明確基于軟件安全威脅分析的詳細設計。
E3.4編碼階段
采用代碼檢查工具實施安全審查。
E3.5測試階段
E3.5.1單元測試
對單元測試結果進行分析,形成分析報告。
E3.5.2集成測試
對集成測試結果進行分析,形成分析報告。
E3.5.3系統測試
基于軟件項目的安全要求,制定系統滲透性測試方案,模擬攻擊場景,對系統安全性進行測試。
E3.6驗收階段
E3.6.1系統試運行
a) 提供三個月以上的試運行記錄和報告。
b) 綜合軟件系統試運行狀態,建立軟件系統運行策略和安全指南。
E3.6.2驗收交付
提交軟件產品最終安全評析報告。
E3.7維保階段
a) 制定軟件健康檢查計劃、方案,定期實施,提交相應的系統健康檢查報告、巡檢報告。
b) 根據健康檢查報告進行分析,持續優化系統。
版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至 舉報,一經查實,本站將立刻刪除。