軟件安全開(kāi)發(fā)服務(wù)資質(zhì)專業(yè)評(píng)價(jià)要求針對(duì)準(zhǔn)備、需求、設(shè)計(jì)、編碼、測(cè)試、驗(yàn)收和維保七個(gè)階段進(jìn)行,具體分級(jí)要求如下:
E1 三級(jí)要求
E1.1準(zhǔn)備階段
a) 建立軟件項(xiàng)目安全開(kāi)發(fā)團(tuán)隊(duì),明確各崗位、人員、職責(zé)。
b) 制定軟件項(xiàng)目安全開(kāi)發(fā)管理計(jì)劃,明確開(kāi)發(fā)過(guò)程管控措施。
c) 建立軟件開(kāi)發(fā)的配置管理計(jì)劃,明確配置管理的安全要求。
d) 建立變更控制制度,明確軟件項(xiàng)目變更控制的安全要求。
e) 制定軟件項(xiàng)目安全培訓(xùn)計(jì)劃,對(duì)相關(guān)人員進(jìn)行安全培訓(xùn)。
f) 建立獨(dú)立的開(kāi)發(fā)環(huán)境,確保開(kāi)發(fā)環(huán)境與運(yùn)行環(huán)境隔離。
E1.2需求階段
a) 調(diào)研項(xiàng)目背景信息,收集項(xiàng)目需求,明確軟件功能、性能及安全性要求。
b) 結(jié)合軟件項(xiàng)目需求、安全需求,與用戶充分溝通,達(dá)成共識(shí)并形成記錄。
E1.3設(shè)計(jì)階段
a) 根據(jù)軟件項(xiàng)目需求,編制軟件設(shè)計(jì)方案、設(shè)計(jì)說(shuō)明書。
b) 軟件設(shè)計(jì)方案明確系統(tǒng)/子系統(tǒng)的功能和非功能設(shè)計(jì)要求。
c) 軟件設(shè)計(jì)方案明確包含安全功能要求,包括標(biāo)識(shí)與鑒別、訪問(wèn)控制、安全審計(jì)和安全管理等。
E1.4編碼階段
a) 制定統(tǒng)一的代碼安全編碼規(guī)范,確保開(kāi)發(fā)人員參照規(guī)范安全編碼。
b) 依據(jù)詳細(xì)設(shè)計(jì)說(shuō)明書,對(duì)軟件進(jìn)行安全編碼。
c) 軟件代碼要經(jīng)過(guò)安全檢查、評(píng)審,對(duì)于發(fā)現(xiàn)的漏洞能有效修復(fù)。
E1.5測(cè)試階段
a) 依據(jù)軟件設(shè)計(jì)方案、設(shè)計(jì)說(shuō)明書對(duì)軟件功能、安全功能進(jìn)行測(cè)試。
b) 對(duì)測(cè)試過(guò)程中發(fā)現(xiàn)的漏洞進(jìn)行分析并有效修復(fù)。
E1.6驗(yàn)收階段
E1.6.1系統(tǒng)試運(yùn)行
a) 測(cè)試系統(tǒng)運(yùn)行的可靠性、穩(wěn)定性和安全性,進(jìn)行試運(yùn)行,并記錄系統(tǒng)運(yùn)行狀況,試運(yùn)行周
期至少一個(gè)月。
b) 基于系統(tǒng)試運(yùn)行相關(guān)記錄,及時(shí)對(duì)軟件進(jìn)行調(diào)整、維護(hù)。
E1.6.2驗(yàn)收交付
a) 根據(jù)合同約定,向客戶提交完整的項(xiàng)目資料及交付物,并提出驗(yàn)收申請(qǐng)。
b) 根據(jù)合同約定,進(jìn)行項(xiàng)目驗(yàn)收,形成項(xiàng)目驗(yàn)收?qǐng)?bào)告。
E1.7維保階段
對(duì)于影響軟件系統(tǒng)安全、穩(wěn)定運(yùn)行的缺陷,及時(shí)有效采取打補(bǔ)丁、版本升級(jí)等方式予以消除,并提供遠(yuǎn)程技術(shù)支持服務(wù)。
E2 二級(jí)要求
組織申報(bào)二級(jí)資質(zhì),除滿足三級(jí)能力要求外,還應(yīng)滿足以下要求:
E2.1準(zhǔn)備階段
a) 建立軟件安全開(kāi)發(fā)項(xiàng)目風(fēng)險(xiǎn)管理機(jī)制,對(duì)軟件項(xiàng)目進(jìn)行風(fēng)險(xiǎn)評(píng)估。
b) 使用配置管理工具對(duì)軟件項(xiàng)目進(jìn)行配置管理。
c) 配備專職的測(cè)試人員。
d) 建立獨(dú)立的測(cè)試環(huán)境,確保測(cè)試環(huán)境與開(kāi)發(fā)環(huán)境隔離。
E2.2需求階段
a) 準(zhǔn)確識(shí)別和綜合分析軟件項(xiàng)目在可用性、完整性、真實(shí)性、機(jī)密性、不可否認(rèn)性、可控性
和可靠性等方面的安全需求。
b) 對(duì)于數(shù)據(jù)采集、產(chǎn)生、使用,明確識(shí)別安全保護(hù)要求。
c) 基于客戶需求和投入能力,開(kāi)展需求分析,編制具有軟件安全需求的分析報(bào)告。
d) 需求分析報(bào)告中明確項(xiàng)目開(kāi)發(fā)中使用的安全技術(shù)標(biāo)準(zhǔn)、規(guī)范。
E2.3設(shè)計(jì)階段
E2.3.1概要設(shè)計(jì)
概要設(shè)計(jì)方案明確安全功能要求,還應(yīng)包括數(shù)據(jù)完整性和保密性、通信完整性和保密性、軟件容錯(cuò)、資源控制等。
E2.3.2詳細(xì)設(shè)計(jì)
詳細(xì)設(shè)計(jì)說(shuō)明書中包含對(duì)數(shù)據(jù)產(chǎn)生、傳輸、存儲(chǔ)、使用、處理和歸檔安全性的詳細(xì)設(shè)計(jì)。
E2.4編碼階段
軟件代碼要經(jīng)過(guò)安全檢查、評(píng)審,對(duì)于發(fā)現(xiàn)的漏洞能有效修復(fù),且形成記錄。
E2.5測(cè)試階段
E2.5.1單元測(cè)試
a) 明確單元測(cè)試策略,制定單元測(cè)試計(jì)劃。
b) 依據(jù)詳細(xì)設(shè)計(jì)說(shuō)明書和測(cè)試計(jì)劃進(jìn)行單元測(cè)試設(shè)計(jì),并執(zhí)行單元測(cè)試,形成測(cè)試記錄。
E2.5.2集成測(cè)試
a) 明確集成測(cè)試策略,制定集成測(cè)試計(jì)劃。
b) 依據(jù)概要設(shè)計(jì)方案和測(cè)試計(jì)劃進(jìn)行集成測(cè)試設(shè)計(jì),并執(zhí)行集成測(cè)試,形成測(cè)試記錄。
c) 對(duì)安全子系統(tǒng)進(jìn)行兼容性和安全性測(cè)試,完整記錄測(cè)試過(guò)程相關(guān)信息。
E2.5.3系統(tǒng)測(cè)試
a) 制定針對(duì)系統(tǒng)安全性測(cè)試在內(nèi)的測(cè)試計(jì)劃和測(cè)試設(shè)計(jì),并執(zhí)行系統(tǒng)測(cè)試,形成測(cè)試記錄。
b) 基于軟件安全功能的安全要求,制定脆弱性測(cè)試方案,對(duì)安全漏洞進(jìn)行測(cè)試,形成測(cè)試記
錄。
c) 提供系統(tǒng)測(cè)試報(bào)告和安全方面分析報(bào)告。
E2.6驗(yàn)收階段
E2.6.1系統(tǒng)試運(yùn)行
試運(yùn)行結(jié)束后,制定系統(tǒng)試運(yùn)行報(bào)告,并提交客戶。
E2.6.2驗(yàn)收交付
提交軟件安全評(píng)析報(bào)告。
E2.7維保階段
a) 制定系統(tǒng)運(yùn)行計(jì)劃、事件響應(yīng)計(jì)劃、事件應(yīng)急預(yù)案,建立應(yīng)急響應(yīng)服務(wù)保障團(tuán)隊(duì)。
b) 及時(shí)應(yīng)對(duì)突發(fā)事件,并向用戶提供故障事件解決報(bào)告。
E3 一級(jí)要求
組織申報(bào)一級(jí)資質(zhì),除滿足二級(jí)能力要求外,還應(yīng)滿足以下要求:
E3.1準(zhǔn)備階段
a) 建立軟硬件設(shè)備和工具等資源安全使用規(guī)范。
b) 配備安全管理人員。
c) 建立變更控制委員會(huì)。
E3.2需求階段
a) 基于軟件安全威脅,開(kāi)展需求分析,編制具有軟件安全需求的分析報(bào)告。
b) 基于軟件項(xiàng)目需求分析,結(jié)合安全開(kāi)發(fā)要素建立軟件開(kāi)發(fā)模型。
E3.3設(shè)計(jì)階段
E3.3.1概要設(shè)計(jì)
a) 設(shè)計(jì)方案中明確基于軟件安全威脅分析的安全要求。
b) 設(shè)計(jì)方案中明確安全功能要求,還應(yīng)包括抗抵賴、安全標(biāo)記、可信路徑等。
E3.3.2詳細(xì)設(shè)計(jì)
依據(jù)安全要求和設(shè)計(jì)方案,明確基于軟件安全威脅分析的詳細(xì)設(shè)計(jì)。
E3.4編碼階段
采用代碼檢查工具實(shí)施安全審查。
E3.5測(cè)試階段
E3.5.1單元測(cè)試
對(duì)單元測(cè)試結(jié)果進(jìn)行分析,形成分析報(bào)告。
E3.5.2集成測(cè)試
對(duì)集成測(cè)試結(jié)果進(jìn)行分析,形成分析報(bào)告。
E3.5.3系統(tǒng)測(cè)試
基于軟件項(xiàng)目的安全要求,制定系統(tǒng)滲透性測(cè)試方案,模擬攻擊場(chǎng)景,對(duì)系統(tǒng)安全性進(jìn)行測(cè)試。
E3.6驗(yàn)收階段
E3.6.1系統(tǒng)試運(yùn)行
a) 提供三個(gè)月以上的試運(yùn)行記錄和報(bào)告。
b) 綜合軟件系統(tǒng)試運(yùn)行狀態(tài),建立軟件系統(tǒng)運(yùn)行策略和安全指南。
E3.6.2驗(yàn)收交付
提交軟件產(chǎn)品最終安全評(píng)析報(bào)告。
E3.7維保階段
a) 制定軟件健康檢查計(jì)劃、方案,定期實(shí)施,提交相應(yīng)的系統(tǒng)健康檢查報(bào)告、巡檢報(bào)告。
b) 根據(jù)健康檢查報(bào)告進(jìn)行分析,持續(xù)優(yōu)化系統(tǒng)。
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請(qǐng)發(fā)送郵件至 舉報(bào),一經(jīng)查實(shí),本站將立刻刪除。