信息安全軟件安全開發(fā)服務資質三級評價要求

Date11 8 月 2019

信息安全軟件安全開發(fā)服務資質三級評價要求針對準備、需求、設計、編碼、測試、驗收和維保七個階
段進行，具體分級要求如下：
E1 信息安全軟件安全開發(fā)服務資質三級評價要求
E1.1準備階段
a) 建立軟件項目安全開發(fā)團隊，明確各崗位、人員、職責。
b) 制定軟件項目安全開發(fā)管理計劃，明確開發(fā)過程管控措施。
c) 建立軟件開發(fā)的配置管理計劃，明確配置管理的安全要求。
d) 建立變更控制制度，明確軟件項目變更控制的安全要求。
e) 制定軟件項目安全培訓計劃，對相關人員進行安全培訓。
f) 建立獨立的開發(fā)環(huán)境，確保開發(fā)環(huán)境與運行環(huán)境隔離。
E1.2需求階段
a) 調研項目背景信息，收集項目需求，明確軟件功能、性能及安全方面的要求。
b) 結合軟件項目需求、安全需求，與用戶充分溝通，達成共識并形成記錄。
E1.3設計階段
a) 根據(jù)軟件項目需求，編制軟件設計說明書。
b) 軟件設計說明書明確系統(tǒng)/子系統(tǒng)的功能和非功能設計要求。
c) 軟件設計說明書明確包含安全功能要求，包括標識與鑒別、訪問控制、安全審計和安全管
理等。
E1.4編碼階段
a) 制定統(tǒng)一的代碼安全編碼規(guī)范，確保開發(fā)人員參照規(guī)范安全編碼。
b) 依據(jù)詳細設計說明書，對軟件進行安全編碼。
c) 軟件代碼要經(jīng)過安全檢查、評審，對于發(fā)現(xiàn)的漏洞能有效修復。
E1.5測試階段
a) 依據(jù)軟件設計說明書對軟件功能、安全功能進行測試。
b) 對測試發(fā)現(xiàn)的漏洞進行分析并有效修復。
E1.6驗收階段
E1.6.1系統(tǒng)試運行
a) 測試系統(tǒng)運行的可靠性、穩(wěn)定性和安全性，進行試運行，并記錄系統(tǒng)運行狀況，試運行周
期至少一個月。
b) 基于系統(tǒng)試運行相關記錄，及時對軟件進行調整、維護。
E1.6.2驗收交付
a) 根據(jù)合同約定，向客戶提交完整的項目資料及交付物，并提出驗收申請。
b) 根據(jù)合同約定，進行項目驗收，形成項目驗收報告。
E1.7維保階段
對于影響軟件系統(tǒng)安全、穩(wěn)定運行的缺陷，及時有效采取打補丁、版本升級等方式予以消除，
并提供遠程技術支持服務。