信息安全軟件安全開發(fā)服務(wù)資質(zhì)一級評價要求

Date13 8 月 2019

信息安全軟件安全開發(fā)服務(wù)資質(zhì)一級評價要求針對準備、需求、設(shè)計、編碼、測試、驗收和維保七個階
段進行，具體分級要求如下：

E3 信息安全軟件安全開發(fā)服務(wù)資質(zhì)一級評價要求
組織申報一級資質(zhì)，除滿足二級能力要求外，還應(yīng)滿足以下要求：
E3.1準備階段
a) 建立軟硬件設(shè)備和工具等資源安全使用規(guī)范。
b) 配備安全管理人員。
c) 建立變更控制委員會。
E3.2需求階段
a) 應(yīng)基于軟件安全威脅開展需求分析。
b) 基于軟件項目需求分析建立軟件安全開發(fā)模型。
E3.3設(shè)計階段
E3.3.1概要設(shè)計
a) 概要設(shè)計說明書中應(yīng)明確基于軟件安全威脅分析的安全要求。
b) 當開發(fā)場景適用時，概要設(shè)計說明書中應(yīng)明確抗抵賴、安全標記、可信路徑等安全功能要
求。
E3.3.2詳細設(shè)計
依據(jù)安全要求和概要設(shè)計說明書，明確基于軟件安全威脅分析進行詳細設(shè)計。
E3.4編碼階段
采用自動化工具對代碼安全漏洞進行審查，對于發(fā)現(xiàn)的漏洞能有效修復(fù)，并形成審查報告。
E3.5測試階段
E3.5.1單元測試
對單元測試結(jié)果進行分析，形成分析報告。
E3.5.2集成測試
對集成測試結(jié)果進行分析，形成分析報告。
E3.5.3系統(tǒng)測試
基于軟件項目的安全要求，制定系統(tǒng)滲透性測試方案，模擬攻擊場景，對系統(tǒng)安全性進行測試，
并形成分析報告。
E3.6驗收階段
E3.6.1系統(tǒng)試運行
a) 提供三個月以上的試運行記錄和報告。
b) 綜合軟件系統(tǒng)試運行狀態(tài)，建立軟件系統(tǒng)運行策略和安全指南。
E3.6.2驗收交付
提交軟件產(chǎn)品第三方安全測評報告或安全認證證書。
E3.7維保階段
a) 制定軟件健康檢查計劃、方案，定期實施，提交相應(yīng)的系統(tǒng)健康檢查報告、巡檢報告。
b) 根據(jù)健康檢查報告進行分析，持續(xù)優(yōu)化系統(tǒng)。