信息安全軟件安全開發(fā)服務資質二級評價要求

Date12 8 月 2019

信息安全軟件安全開發(fā)服務資質二級評價要求針對準備、需求、設計、編碼、測試、驗收和維保七個階
段進行，具體分級要求如下：

E2 信息安全軟件安全開發(fā)服務資質二級評價要求
組織申報二級資質，除滿足三級能力要求外，還應滿足以下要求：
E2.1準備階段
a) 建立軟件安全開發(fā)項目風險管理機制，對軟件項目進行風險評估。
b) 使用配置管理工具對軟件項目進行配置管理。
c) 配備專職的測試人員。
d) 建立獨立的測試環(huán)境，確保測試環(huán)境與開發(fā)環(huán)境隔離。
E2.2需求階段
a) 準確識別和綜合分析軟件項目在可用性、完整性、真實性、機密性、不可否認性、可控性
和可靠性等方面的安全需求。
b) 對于數(shù)據(jù)采集、產(chǎn)生、使用，明確識別安全保護要求。
c) 基于客戶需求，開展需求分析，編制具有軟件安全需求的分析報告。
d) 需求分析報告中明確項目開發(fā)中使用的安全技術標準、規(guī)范。
E2.3設計階段
E2.3.1概要設計
概要設計說明書應明確數(shù)據(jù)完整性和保密性、通信完整性和保密性、軟件容錯、資源控制等安
全功能要求。
E2.3.2詳細設計
詳細設計說明書中應包含對數(shù)據(jù)產(chǎn)生、傳輸、存儲、使用、處理和歸檔安全方面的詳細設計。
E2.4編碼階段
軟件代碼的安全檢查、評審工作應形成記錄。
E2.5測試階段
E2.5.1單元測試
a) 明確單元測試策略，制定單元測試計劃。
b) 依據(jù)詳細設計說明書和測試計劃進行單元測試設計，并執(zhí)行單元測試，形成測試記錄。
E2.5.2集成測試
a) 明確集成測試策略，制定集成測試計劃。
b) 依據(jù)概要設計方案和測試計劃進行集成測試設計，并執(zhí)行集成測試，形成測試記錄。
E2.5.3系統(tǒng)測試
a) 制定包括系統(tǒng)安全性測試在內(nèi)的測試計劃，并執(zhí)行系統(tǒng)測試，形成測試記錄。
b) 基于軟件安全功能的安全要求，制定脆弱性測試方案，對安全漏洞進行測試，形成測試記
錄。
c) 對系統(tǒng)測試結果進行分析，形成分析報告。
E2.6驗收階段
E2.6.1系統(tǒng)試運行
試運行結束后，制定系統(tǒng)試運行報告，并提交客戶。
E2.6.2驗收交付
提交軟件安全測評報告。
E2.7維保階段
a) 制定系統(tǒng)運行計劃、安全事件響應計劃、安全事件應急預案，建立應急響應服務保障團隊。
b) 及時應對突發(fā)安全事件，并向用戶提供安全事件解決報告。