软件安全开发服务资质认证自表

文件编码：CCRC-ISV-C01:2018信息安全服务规范2018-05-25发布 2018-06-01实施中国网络安全审查技术与认证中心发布目录1. 适用范围 (1)2. 规范性引用文件 (1)3. 术语与定义 (1)3.1. 信息安全服务 (1)3.2. 信息安全风险评估 (1)3.3. 信息安全应急处理 (1)3.4. 信息系统安全集成 (1)3.5. 信息系统灾难备份与恢复 (1)3.6. 软件安全开发 (2)3.7. 信息系统安全运维 (2)3.8. 网络安全审计 .................................................................................. 错误!未定义书签。

3.9. 工业控制系统安全 (2)4. 通用评价要求 (2)4.1. 三级评价要求 (2)4.1.1. 法律地位要求 (2)4.1.2. 财务资信要求 (2)4.1.3. 办公场所要求 (2)4.1.4. 人员能力要求 (3)4.1.5. 业绩要求 (3)4.1.6. 服务管理要求 (3)4.1.7. 服务技术要求 (3)4.2. 二级评价要求 (3)4.2.1. 法律地位要求 (4)4.2.2. 财务资信要求 (4)4.2.3. 办公场所要求 (4)4.2.4. 人员能力要求 (4)4.2.5. 业绩要求 (4)4.2.6. 服务管理要求 (4)4.2.7. 技术工具要求 (5)4.2.8. 服务技术要求 (5)4.3. 一级评价要求 (5)4.3.1. 法律地位要求 (5)4.3.2. 财务资信要求 (5)4.3.3. 办公场所要求 (5)4.3.4. 人员素质与资质要求 (6)4.3.5. 业绩要求 (6)4.3.6. 服务管理要求 (6)4.3.7. 技术工具要求 (7)4.3.8. 服务技术要求 (7)5. 专业评价要求 (7)5.1. 风险评估服务资质专业评价要求 (7)5.2. 安全集成服务资质专业评价要求 (7)5.3. 应急处理服务资质专业评价要求 (7)5.4. 灾难备份与恢复服务资质专业评价要求 (7)5.5. 软件安全开发服务资质专业评价要求 (7)5.6. 安全运维服务资质专业评价要求 (7)5.7. 网络安全审计服务资质专业评价要求 (7)5.8. 工业控制系统安全服务资质专业评价要求 (7)附录A（规范性附录）：信息安全风险评估服务资质专业评价要求 (8)附录B（规范性附录）：信息系统安全集成服务资质专业评价要求 (11)附录C（规范性附录）：信息安全应急处理服务资质专业评价要求 (14)附录D（规范性附录）：信息系统灾难备份与恢复服务资质专业评价要求 (18)附录E（规范性附录）：软件安全开发服务资质专业评价要求 (22)附录F（规范性附录）：安全运维服务资质专业评价要求 (26)附录G（规范性附录）：网络安全审计服务资质专业评价要求 (29)附录H（规范性附录）：工业控制系统安全服务资质专业评价要求 (35)附录I：信息安全服务人员能力要求 (41)附录J: 参考文献 (64)1.适用范围本规范规定了信息安全服务提供者（以下简称服务提供者）在提供服务时应具备的服务安全通用要求和专业服务能力要求。

编码：ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期：2017 年9 月 1 日生效日期：2017 年 9月 1日主责处室：体系与服务认证部批准：张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范，确保申请组织的自评价材料基本信息清晰明了。

2适用范围适用于所有服务资质申请企业。

3职责申请组织相关人员填写自评估表。

4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息：所提供的财务审计或者财务报告的年份，对于财务审核报告需填写所出具的会计事务所名称，需填写收入、净利润等信息。

4.1.2、办公场所填写内容包含以下信息：房屋产权证或房屋租赁合同；产权人/出租人、地址、面积、租期。

4.1.3、人员能力填写内容包含以下信息：1）填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

2）填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

3）填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

4）填写信息安全服务人员数量，养老保险证明出具单位及出具时间，劳动合同的签订时间及有效期。

5）信息安全专业保障人员认证证书，填写获证人员名称、证书编号、发证日期、有效期。

6）填写项目经理人员数量，人员的名称、证书名称、证书编号等。

4.1.4、业绩填写内容包含以下信息：1）填写首个信息安全服务（与申报类别一致）项目名称、合同签订时间、项目验收时间。

2）填写近三年信息安全服务项目（与申报类别一致）名称、合同金额、合同签订时间、验收时间、项目服务内容等。

4.1.5、服务管理填写内容包含以下信息：1）填写人员管理程序，内容应包含岗位职责，人员任前、中、后的监督、考核、评价、奖惩方式，信息安全服务相关技术岗位的能力指标。

软件企业认证要求-回复软件企业认证是为了确保一家企业在软件开发和服务方面具备一定的能力和质量标准。

认证要求的具体内容可能有所不同，但通常包括以下几个方面：1. 资质要求：软件企业认证通常要求企业具备一定的法律注册资格，如公司注册证书、税务登记证明等。

此外，还需要提供企业的组织机构代码证和工商营业执照等相关证件。

2. 人员要求：要求企业具备一定数量和素质的专业技术人员。

认证机构会要求企业提供员工的相关证明和资质证书，例如软件工程师的职称证书、项目经理的PMP证书等。

此外，还需要提供员工的教育背景和工作经历等相关信息。

3. 质量管理体系要求：软件企业认证通常要求企业具备一套完善的质量管理体系，以确保软件开发和服务的质量。

认证机构可能要求企业提供相关的质量管理文件，如质量手册、程序文件和操作规程等。

此外，还需要提供质量管理相关的培训证明和内审报告等。

4. 项目管理要求：软件企业认证通常要求企业具备一定的项目管理能力，以确保项目能够按时、按质量要求完成。

认证机构可能要求企业提供项目管理的相关文件，如项目计划、需求分析和设计文档等。

此外，还需要提供项目管理相关的培训证明和项目的实施过程等。

5. 安全要求：软件企业认证通常要求企业具备一定的信息安全管理能力，以确保软件开发和服务不受到恶意攻击和泄露。

认证机构可能要求企业提供信息安全管理的相关文件，如安全策略、安全体系文件和风险评估报告等。

此外，还需要提供信息安全管理相关的培训证明和安全事件的处理过程等。

6. 过程和结果评估要求：软件企业认证通常要求企业的软件开发过程和结果进行评估。

认证机构可能要求企业提供项目的评估报告、用户满意度调查和客户反馈等。

此外，还需要提供相关过程和结果的改进措施和实施情况。

总的来说，软件企业认证要求企业具备一定的法律资质、人员素质、质量管理体系、项目管理能力、信息安全管理能力，并通过过程和结果评估来确保企业的软件开发和服务质量。

认证过程通常由认证机构进行，他们会对企业的相关资料进行审查和评估，最终确定是否给予认证。

CCRC信息安全服务资质申请条件：
申请机构所从事的行业开展的项目类型和IT相关，有合适的办公场地，良好的财务状况和资信水平，具备一定的服务人员队伍，建立有基本的管理制度并有效运行，能够为组织的安全服务过程提供支撑和保障。

CCRC认证的办理条件
三级：
（1）独立法人，公司成立不少于6个月：
（2）社保不少于10人；其中本科毕业满6年左右（最好是计算机相关专业）的不少于1人：
（3）项目要求：申请公司需要提供至少1个对应方向近3年内签订并完工的项目合同，并提供该项目的验收报告、发票及银行回单：
（4）营业执照范围：与申请方向相对应的范围，如申请【软件安全开发】须有“软件开发”等字眼，【安全集成】须有“集成”等字眼，【安全运维】须有“运维服务或计算机技术服务”等字眼。

二级：
（1）独立法人，公司成立不少于3年或取得3级不少于1年；
（2）社保不少于25人：其中本科毕业6年左右（最好是计算机相关专业）的不少于1人：（3）项目要求：初次申请，申请公司需要提供至少6个对应方向近3年内签订并完工的项目合同，并需提供对应项目的验收报告、发票及银行回单：监督申请，申请公司需要至少2个对应近1年内签订并完工的项目合同，并需提供对应项目的验收报告、发票及银行回单：（4）有相关的技术工具。

（如运维工具、漏洞扫描工具、配置管理工具等）；
（5）取得ISO9001、ISO27001或ISO20000证书；（或提供9001、27001或20000的整套管理体系文件）：
（6）营业执照范围：与申请方向相对应的范围，如申请【软件安全开发】须有“软件开发”等字眼，【安全集成】须有“集成”等字眼，【安全运维】须有“运维服务或计算机技术服务”等字眼。

IT服务企业资质1. 双软认证(即“软件产品认证”和“软件企业认定”)2. 高新技术企业认定3. ISO9000族质量体系4. 集成能力成熟度模型CMMI5. 信息安全管理体系标准ISO/IEC270016.计算机信息系统集成资质7.ISO /IEC20000 IT服务管理体系标准8.信息系统工程监理资质9.人力资源能力成熟度模型People CMM信息安全服务资质认证包括如下：10-1510.应急处理服务资质认证11.风险评估服务资质认证12.信息系统安全集成服务资质认证13.信息系统灾难备份与恢复服务资质认证14.软件安全开发服务资质认证15.安全运维服务资质认证//16.涉及国家秘密的计算机信息系统集成资质17.涉密信息系统集成资质18.AAA级信用企业19.CISCO认证（网络安全：CCNA认证CCSP认证CCIE认证/ 网络设计：CCNA认证CCDA 认证CCDP认证）IT证书：1.全国计算机等级考试2.微软认证考试（包括系统管理方向MCSE，数据库方向MCDBA和开发方向MCAD/MCSD的证书。

3.中国计算机软件专业技术资格和水平考试（高级工程师、工程师、助理工程师和技术员）4.CIT剑桥信息技术考试5.全国信息应用技术证书考试（NIT）pTIA A+7.(ISC)2 CISSPpTIA Project+ / PMP9.ITILpTIA Security+ / CASP11.Six SigmapTIA Linux+ / RHCE13.Oracle Java14.IBM Cognos15.Adobe认证16.HP认证（惠普认证）17.Cisco认证：CCNA（思科认证网络工程师）CCNP（思科认证资深认证工程师）CCIE（思科认证互联网络专家）CCSP（思科认证安全工程师）18.Linux认证LinuxProfessionalInstitute（简称为LPI）SairLinuxGNU、Linux+RedHatCertifiedEngineer19.CIW (认证互联网管理员）。

CCRC信息系统安全证书是信息安全服务资质的简称，是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、技术能力等方面的要求。

CCRC信息安全服务资质有多个分项，包括信息安全风险评估、信息安全应急处理、信息系统安全集成、信息系统灾难备份与恢复、软件安全开发、信息系统安全运维、网络安全审计、工业控制系统安全等，各分项都有三个级别，三级最低，一级最高。

其中如果是做三级单个分项，其申报基础要求为：社保人数10人以上；近三年完成的信息安全项目1个以上；持证信息安全保障人员2名以上。

软件能力成熟度模型集成（CMMI）资质使用说明(1)软件能力成熟度模型集成（CMMI）（ITSS）介绍CMMI（Capability Maturity Model Integration For Software，软件能力成熟度模型集成）是在CMM（Capability Maturity Model For Software，软件能力成熟度模型）的基础上发展而来的。

CMMI是由美国卡耐基梅隆大学软件工程研究所（Software Engineering Institute，SEI）组织全世界的软件过程改进和软件开发管理方面的专家历时四年而开发出来的，并在全世界推广实施的一种软件能力成熟度评估标准，主要用于指导软件开发过程的改进和进行软件开发能力的评估。

CMM模型自20世纪80年代末推出，并于20世纪90年代广泛应用于软件过程的改进以来，极大地促进了软件生产率的提高和软件质量的提高，为软件产业的发展和壮大做出了巨大的贡献。

CMMI共有5个级别，代表软件团队能力成熟度的5个等级，数字越大，成熟度越高，高成熟度等级表示有比较强的软件综合开发能力。

CMMI一级，执行级。

在执行级水平上，软件组织对项目的目标与要做的努力很清晰，项目的目标可以实现。

但是由于任务的完成带有很大的偶然性，软件组织无法保证在实施同类项目时仍然能够完成任务。

项目实施能否成功主要取决于实施人员。

CMMI二级，管理级。

在管理级水平上，所有第一级的要求都已经达到，另外，软件组织在项目实施上能够遵守既定的计划与流程，有资源准备，权责到人，对项目相关的实施人员进行了相应的培训，对整个流程进行监测与控制，并联合上级单位对项目与流程进行审查。

二级水平的软件组织对项目有一系列管理程序，避免了软件组织完成任务的随机性，保证了软件组织实施项目的成功率。

CMMl三级，明确级。

在明确级水平上，所有第二级的要求都已经达到，另外，软件组织能够根据自身的特殊情况及自己的标准流程，将这套管理体系与流程予以制度化。

注册软件安全专业人员（CWASP CSSP）学员培训手册发布日期2017年4月版本：中国信息安全测评中心深圳开源互联网安全技术有限公司CWASP CSSP学员培训指南咨询及索取关于中国信息安全测评中心CWASP CSSP培训相关的更多信息，请与CWASP CSSP运营中心联系。

CWASP CSSP运营中心联系方式：【联系地址】深圳市龙华清祥路宝能科技园7栋B座6J-2【邮政编码】518000【电话】0【传真】0【电子邮件】【官方网站】深圳开源互联网安全技术有限公司（简称SecZone），致力于软件安全开发生命周期（S-SDLC：Secure Software Development Life Cycle）的技术研究、推广等。

公司是中国信息安全测评中心授权的注册软件安全专业人员（CWASP CSSP）及注册软件安全开发人员（CWASP CSSD）运营机构，负责注册软件安全专业人员（CWASP CSSP）业务的推广、市场宣传、授权培训机构管理及持证人员的服务。

CWASP CSSP专注于培养高级应用安全人才，是业界首个理论与实践相结合的认证培训体系。

目录目录...................................... 错误!未定义书签。

第 1 章 CWASP CSSP介绍...................... 错误!未定义书签。

引言 ................................... 错误!未定义书签。

谁管理CWASP CSSP ....................... 错误!未定义书签。

什么是CWASP CSSP ....................... 错误!未定义书签。

成为CWASP CSSP的基本要求............... 错误!未定义书签。

CWASP CSSP专业培训..................... 错误!未定义书签。

安全服务认证证书
中国网络安全审查技术与认证中心（CCRC，原中国信息安全认证中心）依据国家《网络安全法》和国家有关强制性产品认证、网络安全管理法规，通过对申请企业实施网络安全审查和认证，认证通过后颁发安全服务认证证书。

CCRC信息安全服务认证包含8大认证分项，即信息系统安全集成服务资质认证、安全运维服务资质认证、风险评估服务资质认证、应急处理服务资质认证、软件安全开发服务资质认证、信息系统灾难备份与恢复服务资质认证、工业控制安全服务资质认证、网络安全审计服务资质认证。

安全服务认证证书的意义：通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。

同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

软件企业认定条件
软件企业是指从事软件开发、销售和服务的企业。

下面是软件企业认定的条件：
1、拥有软件开发、销售和服务的资质定位：企业必须拥有有效的营业执照、组织机
构代码证或其他相应的许可证等营业所需的有效证书和具备一定规模的软件行业专业人才；
2、独立经营软件开发、销售和服务业务：企业必须有完善的软件开发和管理体系，
专业技术设备，完善的软件销售、服务体系，并实际从事软件开发、销售和服务业务；
3、财务清晰：拥有较高水平的经济能力，技术能力和管理能力，水平达到一定的经
济规模，财务状况良好，亏损连续两年以上的单位不得认定为软件企业；
4、产品质量：对涉及到公共安全、公共卫生、环境保护等重要方面的软件产品，企
业必须正确处理，并拥有质量体系认证；
5、设置实验室：认定的软件企业必须设立有效的实验室，建立完善的质量控制体系；
6、社会责任：企业必须遵守风险管理、社会责任及环境保护的有关法律法规，具有
完善的质量控制体系和责任机制；
7、技术创新：企业应定期完善公司的技术，研究开发新的产品、新的技术，促进产
品进步，提高技术能力和技术创新能力；
8、客户服务：企业应保证及时向客户提供安全可靠、有效的技术服务，解决客户发
现的问题，维护客户利益。

以上是软件企业认定所需遵从的条件，为了使社会及时采纳和使用软件企业开发的产品，保障软件产品的安全和有效性，企业实施和改进上述八方面的条件是非常必要的。

1.【软件著作权】2.【双软企业认定】软件产品认证、软件企业认证3.【软件行业能力资质（三标管理体系）】CMM/CMMI、ISO90004.【重点软件企业认定（国家区重点软件企业认定）】5.【高新技术企业认定】6.【计算机信息系统集成资质】7.【CISCO认证（网络安全：CCNA认证CCSP认证CCIE认证/ 网络设计：CCNA认证CCDA认证CCDP认证）】8.【信息产业部安全服务资质】9.【国家秘密的计算机信息系统集成资质】10.【安全生产许可认证】11.【AAA级信用企业】软件著作权1. 计算机软件著作权是指软件的开发者或者其他权利人依据有关著作权法律的规定,对于软件作品所享有的各项专有权利。

就权利的性质而言,它属于一种民事权利,具备民事权利的共同特征。

著作权是知识产权中的例外，因为著作权的取得无须经过个别确认,这就是人们常说的“自动保护”原则。

软件经过登记后，软件著作权人享有发表权、开发者身份权、使用权、使用许可权和获得报酬权。

计算机软件著作权保护的客体是指计算机软件，即计算机程序及其有关文档。

计算机程序是指为了得到某种结果而可以由计算机等具有信息处理能力的装置执行的代码化指令序列，或者可以被自动转换成代码化指令序列的符号化序列或者符号化语句序列。

同一计算机程序的源程序和目标程序为同一作品。

文档是指用来描述程序的内容、组成、设计、功能规格、开发情况、测试结果及使用方法的文字资料和图表等，如程序说明、流程图、用户手册等。

2.所需材料（一）按要求填写的软件著作权登记申请表；（二）软件的鉴别材料；（三）相关的证明文件；（四）程序和文档的鉴别材料应当由源程序和任何一种文档前、后各连续30页组成。

整个程序和文档不到60页的，应当提交整个源程序和文档。

除特定情况外，程序每页不少于50行，文档每页不少于30行。

（五）自然人、法人或者其他组织的身份证明；（六）有著作权归属书面合同或者项目任务书的，应当提交合同或者项目任务书；（七）经原软件著作权人许可，在原有软件上开发的软件，应当提交原著作权人的许可证明（八）权利继承人、受让人或者承受人，提交权利继承、受让或者承受的证明。

1、【软件著作权】2、【双软企业认定】软件产品认证、软件企业认证3、【软件行业能力资质(三标管理体系)】CMM/CMMI、ISO90004、【重点软件企业认定(国家区重点软件企业认定)】5、【高新技术企业认定】6、【计算机信息系统集成资质】7、【CISCO认证(网络安全:CCNA认证CCSP认证CCIE认证/ 网络设计:CCNA认证CCDA认证CCDP认证)】8、【信息产业部安全服务资质】9、【国家秘密的计算机信息系统集成资质】10、【安全生产许可认证】11、【AAA级信用企业】软件著作权1、计算机软件著作权就是指软件的开发者或者其她权利人依据有关著作权法律的规定,对于软件作品所享有的各项专有权利。

就权利的性质而言,它属于一种民事权利,具备民事权利的共同特征。

著作权就是知识产权中的例外,因为著作权的取得无须经过个别确认,这就就是人们常说的“自动保护”原则。

软件经过登记后,软件著作权人享有发表权、开发者身份权、使用权、使用许可权与获得报酬权。

计算机软件著作权保护的客体就是指计算机软件,即计算机程序及其有关文档。

计算机程序就是指为了得到某种结果而可以由计算机等具有信息处理能力的装置执行的代码化指令序列,或者可以被自动转换成代码化指令序列的符号化序列或者符号化语句序列。

同一计算机程序的源程序与目标程序为同一作品。

文档就是指用来描述程序的内容、组成、设计、功能规格、开发情况、测试结果及使用方法的文字资料与图表等,如程序说明、流程图、用户手册等。

2、所需材料(一)按要求填写的软件著作权登记申请表;(二)软件的鉴别材料;(三)相关的证明文件;(四)程序与文档的鉴别材料应当由源程序与任何一种文档前、后各连续30页组成。

整个程序与文档不到60页的,应当提交整个源程序与文档。

除特定情况外,程序每页不少于50行,文档每页不少于30行。

(五)自然人、法人或者其她组织的身份证明;(六)有著作权归属书面合同或者项目任务书的,应当提交合同或者项目任务书;(七)经原软件著作权人许可,在原有软件上开发的软件,应当提交原著作权人的许可证明(八)权利继承人、受让人或者承受人,提交权利继承、受让或者承受的证明。

第五：软件安全开发服务资质
1、软件安全开发服务资质
通过对软件开发过程的控制，将开发的软件存在的风险控制在可接受的水平。

软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。

安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。

资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

2、软件开发要有哪些内容
安全需求分析；
安全设计落实安全需求；
安全编码过程实现安全设计；
安全测试检验安全功能；
试运行，监测安全功能正常发挥作用；
持续为所开发的系统提供版本升级、打补丁等维保服务；
3、软件安全开发各个阶段
准备阶段-开发管理计划、风险管理、配置管理，变更管理；
需求阶段--需求分析调研项目背景信息，收集项目需求，明确软件功能、性能及安全方面的要求；
设计阶段--软件设计说明书；
编码阶段--安全编码，代码审查；
测试阶段一级二级要求；
验收阶段--系统试运行；。