软件安全开发服务资质认证自评价表VIP免费

1/8软件安全开发服务资质认证自评估表组织名称申报级别评估时间评估部门人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.服务技术要求建立软件安全开发服务流程。软件安全开发服务流程，流程图中应包括每个阶段对应的职责、输入输出等。2.制定软件安全开发服务规范并按照规范实施。软件安全开发服务规范并按照规范实施。3.准备阶段建立软件项目安全开发团队，明确各岗位、人员、职责。项目人员构成表或其他能体现项目组成员构成的文档，其中明确项目组成员构成情况以及安全开发人员的角色及职责。4.制定软件项目安全开发管理计划，明确开发过程管控措施。项目开发计划，计划中应包含安全开发的内容。5.建立软件开发的配置管理计划，明确配置管理的安全要求。项目配置管理计划，包含安全相关活动。提供配置管理相关记录。6.建立变更控制制度，明确软件项目变更控制的安全要求。变更控制管理制度，提供项目变更控制记录，变更的记录单，记录单中的内容应包含变更申请，审批，执行，执行后2/8的评价结果。7.制定软件项目安全培训计划，对相关人员进行安全培训。培训管理制度，项目培训计划和培训记录。8.建立独立的开发环境，确保开发环境与运行环境隔离。开发环境与运行环境配置的说明文档。9.仅二级一级要求：建立软件安全开发项目风险管理机制，对软件项目进行风险评估。风险管理制度、风险管理计划、风险分析报告。10.仅二级一级要求：使用配置管理工具对软件项目进行配置管理。配置管理计划，其中描述采用的配置管理工具；配置管理工具的使用情况介绍。11.仅二级一级要求：配备专职的测试人员。项目人员构成表或其他能体现项目组成员构成的文档，设立专职的测试人员，并明确描述其职责。12.仅二级一级要求：建立独立的测试环境，确保测试环境与开发环境隔离。开发环境与测试环境配置的说明文档。13.仅一级要求：建立软硬件设备和工具等资源安全使用规范。软硬件设备及工具安全使用规范；软硬件设备及工具资源配备计划。14.仅一级要求：配备安全管理人员。安全管理专职人员的任命文件，项目相关的安全监控记录。15.仅一级要求：建立变更控制委员会。变更控制委员会成员构成与职责规定文件。16.需求阶段调研项目背景信息，收集项目需求，明确软件功能、性能及安全方面的要求。需求阶段控制程序文件；需求阶段项目文档，包括可行性报告、招标文件、需求分析报告等，需求文档的内容应涉及软件功能、性能及安全性要求。3/817.结合软件项目需求、安全需求，与客户充分沟通，达成共识并形成记录。与客户沟通的记录。18.仅二级一级要求：准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。需求分析报告，内容应覆盖条款的要求。19.仅二级一级要求：对于数据采集、产生、使用，明确识别安全保护要求。20.仅二级一级要求：基于客户需求，开展需求分析，编制具有软件安全需求的分析报告。21.仅二级一级要求：需求分析报告中明确项目开发中使用的安全技术标准、规范。22.仅一级要求：应基于软件安全威胁开展需求分析。23.仅一级要求：基于软件项目需求分析建立软件安全开发模型。24.设计阶段根据软件项目需求，编制软件设计说明书。设计阶段控制程序文件；提供软件设计说明书，内容应覆盖条款的要求。25.软件设计说明书明确系统子系统的功能和非功能设计要求。26.软件设计说明书明确包含安全功能要求，包括标识与鉴别、访问控制、安全审计和安全管理等。4/827.设计阶段概要设计仅二级一级要求：概要设计说明书应明确数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等安全功能要求。设计阶段控制程序文件；提供概要设计说明书，内容应覆盖条款的要求。28.仅一级要求：概要设计说明书中应明确基于软件安全威胁分析的安全要求。29.仅一级要求：当开发场景适用时，概要设计说明书中应明确抗抵赖、安全标记、可信路径等安全功能要求。30.设计阶段详细设计仅二级一级要求：详细设计说明书中应包含对数据产生、传输、存储、使用、处理和归档安全方面的详细设计。详细设计说明书，内容应覆盖条款的要求。31....