认证中心软件开发安全自评估表
信息安全服务资质认证自评估表-公共管理
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
信息系统安全集成服务资质认证自评估表
需提供证明材料
自评估 结论 不
符 合符
合
项目方案设计阶段控制程序文件, 内 容应覆盖审核条款的要求。 提供自主 开发的信息安全产品、 平台和工具清 单。
项目建设实施阶段控制程序文件, 包 括工作内容、 过程、 方法、 文档模板, 内容应覆盖审核条款的要求。 提供项 目施工记录。
项目建设实施阶段控制程序, 覆盖审 核条款要求。提供沟通方案。
技能培训。
仅一级要求:结合项目需要,编制安全
15.
集成项目施工手册和作业指导书。
仅一级要求:对于新建系统,建设实施
过程应重点关注信息系统的功能、性能
和安全性等方面要求。对于系统改造,
16.
还应考虑改造前技术测试验证及在实
施失败后的回退措施。技术测试验证需
要考虑新旧系统的兼容问题,包括网络
兼容、系统兼容、应用兼容等。
审核条款要求。
安全需求。
仅二级 / 一级要求:基于客户需求和投 入能力,开展需求分析,编制需求分析
报告。
仅一级要求:协助客户有效识别系统建 设过程中的政策、法律和约束条件,有 效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险 评估报告。
根据系统建设安全需求,编制安全集成
技术方案。 依据技术方案,编制安全集成实施方 案, 明确项目人员、 进度、 质量、 沟通、 风险等方面要求。 结合技术方案和实施方案,与客户进行
建设实施 - 人,畅通信息沟通渠道,保障各相关方
20. 实施集成
在项目实施过程中能够有效充分的沟
通。
仅二级 / 一级要求:产品、设备安装调 21.
试过程中,应完整妥善记录相关信息。
仅二级 / 一级要求:项目建设施工完成 22.
tisax isa自评估表
tisax isa自评估表TISAX(Trusted Information Security Assessment Exchange)是一种全球性的信息安全自评估方法和工具,旨在帮助组织评估和改进其信息安全管理系统,以满足汽车行业的安全要求。
ISA(Information Security Assessment)即为信息安全自评估表,是TISAX的一部分。
本文将对TISAX ISA自评估表进行介绍和解读。
TISAX ISA自评估表是TISAX评估的核心工具之一,用于组织自行评估其信息安全管理系统的合规性和有效性。
通过填写和提交ISA自评估表,组织可以了解其信息安全管理体系的强弱之处,并基于评估结果采取相应的改进措施。
ISA自评估表共分为12个主题,分别覆盖了信息安全管理体系的各个方面。
以下是对每个主题的简要介绍:1. Information Security Organization(信息安全组织):评估组织内部信息安全的组织架构和责任分配情况。
2. Information Security Policies(信息安全政策):评估组织是否建立并有效实施了针对信息安全的政策和程序。
3. Human Resources Security(人力资源安全):评估组织对员工的信息安全培训和管理等方面的工作。
4. Asset Management(资产管理):评估组织对信息资产的分类、保护和管理情况。
5. Access Control(访问控制):评估组织对访问控制措施的建立和执行情况,以确保系统和数据的安全性。
6. Cryptographic Controls(加密控制):评估组织是否正确使用加密技术保护敏感数据和通信。
7. Physical and Environmental Security(物理和环境安全):评估组织对物理环境的安全措施,包括设备和机房的安全保护。
8. Operations Security(运营安全):评估组织的安全管理过程和手段,包括事件管理、变更管理等方面。
信息系统安全集成服务资质认证自评估表
3・
4.
5.
6.
集成准备・ 需求调研 与分析
调研客户背景信息,采集系统建设需求 和建设目标,明确系统功能、性能及安 全性要求。
准备阶段控制程序文件,包括明确工 作内容、流程、方法、文档模板,内 容至少包括需求调研、分析、评审, 产品选型,财务预算。提供投标文件、 项目文档等证明。
仅一级要求:对于新建系统,建设实施 过程应重点关注信息系统的功能、性能 和安全性等方而要求。对于系统改造, 还应考虑改造前技术测试验证及在实 施失败后的回退措施。技术测试验证需 要考虑新旧系统的兼容问题,包括网络 兼容、系统兼容、应用兼容等。
序 号
17.
要点
条款
需提供证明材料
自评估 结论
证明材料清单
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门从员
序 号
要点
条款
需提供证明材料
自评估
结论
证明材料清单
符 合
不 符 合
1・
2.
技术服务 要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图 中应包括每个阶段对应的职责、输入 输岀等。
制左信息系统安全集成服务规范并按 照规范实施。
审核条款要求。
仅二级/一级要求:基于客户需求和投 入能力,开展需求分析,编制需求分析 报告。
仅一级要求:协助客户有效识别系统建 设过程中的政策、法律和约束条件,有 效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险 评估报告。
9.
10.
11.
12.
方案设计
根据系统建设安全需求,编制安全集成 技术方案。
ISCCC-QOT-0459-B1信息安全服务资质自评估表-安全运维类(试用版)
网站安全预警监测报告、监控平台问题原始记录
18.
仅二级要求:对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
19.
仅二级要求:编写安全运维服务目录,目录内容包括但不限于:运维监控与分析、终端安全监控、等级保护合规性运维。
安全运维服务目录,内容应包含有条款的要求。
√
管理数据库
28.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
√
管理数据库,专业人员负责管理安全接口
29.
建立服务目录。
安全运维服务目录。
√
网站安全监控服务白皮书
30.
20.
仅二级要求:建立信息系统安全运维的问题管理程序。
信息系统问题管理程序,已审批并发布。
21.
仅二级要求:建立知识管理程序及初步形成知识库。
知识管理程序,已审批并发布。
22.
仅二级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
信息系统的可用性事件、计划、报告。
23.
信息系统安全
组织名称
沈阳赛宝科技服务有限公司(辽宁省信息安全与软件测评认证中心)
申报级别
一级
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
准备阶段—需求调研与分析
采集客户对信息系统运维服务时间的需求。
运维前的客户需求调查报告,可结合结合业务部门,公司高层的战略规划,内容必须有服务时间要求。
员工安全自我评估表格
员工安全自我评估表格以下是一个员工安全自我评估表格的例子:员工安全自我评估表格日期:________________请根据以下指标进行评估,并在每个项目后面选择适当的选项。
1. 工作场所安全设施:a. 紧急出口标识清晰易读。
- 是- 否b. 紧急出口通道畅通无障碍。
- 是- 否c. 紧急报警设备正常运行。
- 是- 否2. 个人保护装备(PPE):a. 我理解并且正确使用了适当的个人保护装备。
- 是- 否b. 我的个人保护装备处于良好状态,并及时更换。
- 是- 否3. 工作操作安全:a. 我按照安全操作规程进行工作。
- 是- 否b. 我遵守工具和设备的正确使用方法。
- 是- 否c. 我与同事合作,并及时向他们提供帮助,以确保工作安全。
- 是- 否4. 紧急事件应急准备:a. 我知道公司的紧急撤离程序。
- 是- 否b. 我知道如何使用灭火器和其他紧急设备。
- 是- 否c. 我知道公司的紧急联系人及其联系方式。
- 是- 否请根据上述指标选择适当的选项,然后进行总结评估。
总结评估:请在以下方框中对您的员工安全进行评估:- 优秀:所有指标都达到或超过要求。
- 良好:大部分指标达到或超过要求。
- 一般:一些指标未达到要求。
- 需改进:大多数指标未达到要求。
评估结果:_____________________备注/建议:_____________________________________________________请注意,在此表格中选择"否"的任何项目都需要提供额外的解释或行动计划。
请签字确认:员工姓名:_____________________签字:_____________________日期:_____________________。
安全性评估表格
安全性评估表格
安全性评估表格通常包含以下几个方面的内容:
1. 安全风险评估:对系统、应用程序或设备中可能存在的安全风险进行评估,包括物理风险、网络风险、数据安全风险等。
2. 安全威胁分析:对系统、应用程序或设备可能面临的各种安全威胁进行分析,包括黑客攻击、恶意软件、社会工程等。
3. 安全控制措施:列出已经实施或将要实施的各种安全控制措施,包括访问控制、加密、防火墙、入侵检测系统等。
4. 安全漏洞和风险评估:对系统、应用程序或设备中可能存在的安全漏洞和风险进行评估,包括弱密码、未更新的软件、不安全的配置等。
5. 安全事件响应计划:制定一份安全事件响应计划,明确安全事件发生时的应对措施和责任分工。
6. 安全培训与意识:列出为员工提供的安全培训计划,包括安全意识培训、网络安全培训等。
7. 安全政策与合规性:列出组织的安全政策和合规性要求,并评估其与实际情况的符合程度。
8. 安全审计与监测:制定一套安全审计和监测机制,确保对系统、应用程序或设备的安全管理和监控。
以上是一个安全性评估表格的基本内容,可以根据具体的需求和情况进行适当的调整和补充。
软件安全开发服务资质认证自评价表
编码。
措施文档。
软件代码要经过安全检查、评审,对于 提供代码检查、评审、漏洞修复过程的相
发现的漏洞能有效修复。
关文档。
仅二级/一级要求:软件代码要经过安全
检查、评审,对于发现的漏洞能有效修 代码检查、评审相关记录。
复,且形成记录。
仅一级要求:采用代码检查工具实施安 代码检查工具的使用情况说明文档。 全审查。
理、归档安全性的详细设计。
详细设计说明书,内容应覆盖审核条款的
要求。
仅一级要求:依据安全要求和设计方案,
明确基于软件安全威胁的详细设计。
制定统一的代码安全编码规范,确保开 安全编码规范文件,内容应覆盖审核条款
发人员参照规范安全编码。
的要求。
依据详细设计说明书,对软件进行安全 提供编码过程中采取的安全编码方法与
急响应服务保障团队。
预案;应急保障团队人员组织构成和职责
仅二级/一级要求:及时应对突发事件, 规定文件;应急事件记录。
并向用户提供故障事件解决报告。
仅一级要求:建立软件健康检查计划、 方案,定期实施,提交相应的系统健康 检查报告、巡检报告。 仅一级要求:根据健康检查报告进行分 析,持续优化系统。
健康检查计划、方案、系统健康检查报告、 巡检报告,内容应覆盖审核条款的要求。
安全要求,制定脆弱性测试方案,对安
全漏洞进行测试,形成测试记录。
仅二级/一级要求:提供系统测试报告和 系统测试报告和安全方面分析报告。
安全方面分析报告。
仅一级要求:基于软件项目的安全要求, 渗透性测试方案、测试记录和测试报告,
制定系统渗透性测试方案,模拟攻击场 内容应覆盖审核条款的要求。 景,对系统安全性进行测试。
开发过程管控措施。
软件质量评估表
软件质量评估表背景在软件开发和使用过程中,确保软件质量是至关重要的。
本文档为软件质量评估提供了一个简单而有效的方法,旨在帮助评估软件的质量和可靠性。
软件质量评估表评估指标说明1. 功能性:评估软件是否满足预期的功能需求,包括功能的完整性和正确性。
功能性:评估软件是否满足预期的功能需求,包括功能的完整性和正确性。
2. 可靠性:评估软件在正常和异常情况下的可靠性,包括错误处理和异常情况的处理能力。
可靠性:评估软件在正常和异常情况下的可靠性,包括错误处理和异常情况的处理能力。
3. 可用性:评估软件对用户的友好程度和易用性,包括界面设计和用户体验。
可用性:评估软件对用户的友好程度和易用性,包括界面设计和用户体验。
4. 安全性:评估软件的安全性措施和防护措施,包括数据保护和用户身份验证。
安全性:评估软件的安全性措施和防护措施,包括数据保护和用户身份验证。
5. 易维护性:评估软件的易维护性,包括代码结构的清晰性、模块化和文档化程度。
易维护性:评估软件的易维护性,包括代码结构的清晰性、模块化和文档化程度。
6. 可移植性:评估软件在不同平台和环境下的可移植性,包括操作系统和硬件的兼容性。
可移植性:评估软件在不同平台和环境下的可移植性,包括操作系统和硬件的兼容性。
7. 效率:评估软件的性能和资源利用情况,包括响应时间和系统资源占用。
效率:评估软件的性能和资源利用情况,包括响应时间和系统资源占用。
8. 可测试性:评估软件的可测试性,包括测试用例的编写和自动化测试的可行性。
可测试性:评估软件的可测试性,包括测试用例的编写和自动化测试的可行性。
评价在每个评估指标的"执行情况"列中填写相应的评估结果,可以使用以下评价:- 优秀:满足所有要求,没有发现任何问题。
- 良好:大部分要求得到满足,只有少量问题。
- 一般:需要改进,存在一些问题。
- 差:大部分要求未得到满足,存在严重问题。
总结软件质量评估表提供了一种简单但实用的方法来评估软件的质量。
信息安全风险评估服务资质认证自评估表
应对脆弱性进行赋值。
已完成项目的脆弱性赋值列表。
28.
风险识别阶段-威胁识别
应参考国家或国际标准,对威胁进行分类;
威胁分类清单。
29.
应识别所评估信息资产存在的潜在威胁;
已完成项目中的威胁识别清单。
30.
应识别威胁利用脆弱性的可能性;
已完成项目中分析威胁利用脆弱性可能性的证明材料。
31.
应分析威胁利用脆弱性对组织可能造成的影响。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求:协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
50.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
25.
仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
26.
风险识别阶段-脆弱性识别
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。
17.
数据安全自评估表
数据安全自评估表
以下是一个数据安全自评估表的示例:
1. 数据分类和标识
- 是否对数据进行分类和标识,以区分不同敏感级别的数据? - 是否有明确的策略和流程来处理不同分类的数据?
2. 访问控制
- 是否实施了适当的访问控制措施来保护数据?
- 是否有明确的用户权限管理和访问控制策略?
3. 加密
- 是否对敏感数据进行加密,包括数据传输和存储过程中的
加密措施?
- 是否有明确的加密策略和管理过程?
4. 备份和恢复
- 是否定期备份数据,并测试备份的可恢复性?
- 是否有明确的备份和恢复策略?
5. 安全审计
- 是否有实施安全审计机制,以监测和记录用户操作和数据
访问?
- 是否有明确的审计策略和报告机制?
6. 员工培训和意识
- 是否为员工提供数据安全培训,让他们了解数据安全的重
要性和最佳实践?
- 是否定期进行安全意识活动和培训?
7. 物理安全
- 是否对存储数据的物理设备(例如服务器和硬盘)进行适当的安全保护?
- 是否有防止非授权访问和设备丢失的措施?
8. 安全漏洞管理
- 是否有程序来管理和修复发现的安全漏洞和弱点?
- 是否定期进行安全漏洞扫描和评估?
9. 第三方风险管理
- 是否对与第三方共享的数据进行风险评估和管理?
- 是否建立了合适的合同和监控机制来管理第三方的数据安全?
10. 事件应对和恢复
- 是否有明确的应对数据安全事件的流程和计划?
- 是否定期进行演练和测试?
以上是一个基本的数据安全自评估表,您可以根据实际情况进行适当的调整和补充。
信息安全服务资质自评价表-中国信息安全认证中心
信息系统安全集成服务资质认证自评估表
提出的观察项整改情况(如有)提出的不符合项整改情况(如有)
CCRC-QOT-0429-B/4 信息系统安全集成服务资质认证自评估表自评估结论:
经自主评估,本单位的信息系统安全集成服务满足《信息安全服务规范》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
中国网络安全审查技术与认证中心制第 5 页共5 页。
软件安全开发服务资质认证自评价表填写指引-中国信息安全认证中心
软件安全开发服务资质认证自评估表填写指南 填写要求:1.当条款对应的需提供证明材料为制度或项目文档时,在“证明材料清单栏目”填写文档的完整名称。
例如《XX 公司软件安全开发服务规范》、《XX公司项目变更管理制度》、《XX项目渗透测试方案》、《XX项目需求分析报告》等,并概括地介绍制度或项目文档各章节的内容。
2.当条款对应的需提供证明材料为记录文档时,在“证明材料清单栏目”填写记录的完整名称。
例如《XX项目软件代码安全检查记录》、《XX项目软件单元测试记录》、《XX项目系统试运行记录》等,并概括地介绍记录文档的主要内容。
3.当条款对应的需提供证明材料为某制度或文档的某章节内容时,在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。
例如《XX项目需求分析报告》第X章安全性需求分析、《XX项目概要设计说明书》第X章安全设计等,并对相关内容进行总结概括。
4.所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档,建立文件夹的格式为“序号-条款的考核内容”,例如“1-软件开发服务流程”、“5-配置管理计划”、“20-安全需求分析报告”、“52-试运行报告”等。
以下给出了一份填写样例,供申请组织进行参考。
填报组织应按照填写样例的细粒度,进行相关信息的填报。
当申请三级服务资质时,仅填写自评估表中与三级相关的条款(具体分两种情况:1、标明适用于三级的;2、未标明属于哪个级别的);申请二级服务资质时,除填写标明适用于二级的条款之外,还应填写所有属于三级要求的条款;申请一级服务资质时,填写全部条款。
组织名称 XX公司(全称)申报级别X级评估时间 XX年X月X日-X月X日评估部门/人员 XX部/XX序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.服务技术要求建立软件安全开发服务流程。
软件安全开发服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
(完整word版)ISCCCQOT0459B1信息安全服务资质自评估表安全运维类试用版
54.
仅一级要求:建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
针对运维有审批并发布的变更管理程序;运维过程中的变更应有响应的变更记录。
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
有已审批并发布的应急处置方案和恢复策略;
√
使用说明书、安装说明书
14.
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计的记录。
√
安全设备位于IDC机房,满足安全设备日常维护及监控的要求
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
日常维护,巡检、状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除的记录;
√
安全设备位于IDC机房,满足安全设备日常维护及监控的要求
45.
实施日常巡检服务:完成安全设备监控;病毒监测、查杀及网络防病毒维护,并有相关记录。
安全运维服务目录,内容有条款要求的服务。
27.
准备阶段—运维服务导入
收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
√
管理数据库
28.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
信息系统安全运维服务资质认证自评价表
实施健康检查服务:完成安全设备、业务系统的健康检查服务。
安全设备、业务系统的健康检查服务记录,主要关注可靠性、可用性、持续性等。
33.
仅二级/一级要求:收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性(专职管理)。
配置数据库,应能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性(专职管理),如安全设备的配置项有安全策略、管理员账户、IP等。
服务级别协议中,安全运维第三方之间的服务级别设计与内部团队之间的安全运营级别协议应一致。
10.
仅一级要求:安全组织中要设定安全领导小组。
安全组织架构图,其中应有安全领导小组。
11.
准备阶段—签订服务协议
与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
项目合同及保密协议,合同内容应至少包含服务范围、目标、时间、内容、金额、质量和输出等。
信息系统安全运维服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
服务技术要求
建立信息系统安全运维服务流程。
信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息系统安全运维服务规范并按照规范实施。
信息系统安全运维服务规范并按照规范实施。
仅一级要求:编制安全运维项目作业指导书。
安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等。
23.
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
评估 时间
序要 号点
软件安全开发服务资质认证自评估表
申报级 别 评估部 门/人员
条款
需提供证明材料
自 评估 结论
证明材料清单
中
国
信
息
安
全
认
证
中
心
制
第 1 页 共 22 页
不 符 符 合 合
软件安全开发服务流程,
建立软件安全开发服务
1服.
流程图中应包括每个阶段对
流程。
务技术
应的职责、输入输出等。
别和综合分析软件项目在可
18. 用性、完整性、真实性、机密
需求分析报告,内容应
性、不可否认性、可控性和可 覆盖条款的要求。
靠性等方面的安全需求。
19.
仅二级/一级要求:对于数
中
国
信
息
安
全
认
证
中
心
制
第 7 页 共 22 页
据采集、产生、使用,明确识
别安全保护要求。
仅二级/一级要求:基于客
户需求,开展需求分析,编制
20.
具有软件安全需求的分析报
告。
仅二级/一级要求:需求分
21. 析报告中明确项目开发中使
用的安全技术标准、规范。
仅一级要求:应基于软件
22.
安全威胁开展需求分析。
中
国
信
息
安
全
认
证
中
心
制
第 8 页 共 22 页
仅一级要求:基于软件项
23. 目需求分析建立软件安全开
发模型。
根据软件项目需求,编制
24.
计说明书应明确数据完整性
27. 和保密性、通信完整性和保密
设 性、软件容错、资源控制等安
设计阶段控制程序文件;
计阶段- 全功能要求。
提供概要设计说明书,内容
概要设
仅一级要求:概要设计说
应覆盖条款的要求。
计 28. 明书中应明确基于软件安全
威胁分析的安全要求。
仅一级要求:当开发场景
29.
适用时,概要设计说明书中应
项目人员构成表或其他
能体现项目组成员构成的文
仅二级/一级要求:配备专
11.
档,设立专职的软件安全管
职的测试人员。
理人员、测试人员,并明确描
述其职责。
仅二级/一级要求:建立独 开发环境与测试环境配
12. 立的测试环境,确保测试环境 置的说明文档。
与开发环境隔离。
13.
仅一级要求:建立软硬件
软硬件设备及工具安全
要求
2.
制定软件安全开发服务
软件安全开发服务规范
规范并按照规范实施。
并按照规范实施。
准
3.
备阶段
建立软件项目安全开发
项目人员构成表或其他
团队,明确各岗位、人员、职 能体现项目组成员构成的文
责。
档,其中明确项目组成员构
中
国
信
息
安
全
认
证
中
心
制
第 2 页 共 22 页
成情况以及安全开发人员的
角色及职责。
细设计。
3编2.
制定统一的代码安全编
软件开发所使用语言的
中
国
信
息
安
全
认
证
中
心
制
第 11 页 共 22 页
码阶段 码规范,确保开发人员参照规 安全编码规范,规范内容包
范安全编码。
括但不限于代码安全编写的
原则、方式、方法等。
在编码过程中,对规避
依据详细设计说明书,对
33.
高危风险的漏洞采取的方法
软件进行安全编码。
仅二级/一级要求:建立软 风险管理制度、风险管
9. 件安全开发项目风险管理机 理计划、风险分析报告。
制,对软件项目进行风险评估。
10.
仅二级/一级要求:使用配
配置管理计划,其中描
中
国
信
息
安
全
认
证
中
心
制
第 4 页 共 22 页
置管理工具对软件项目进行 述采用的配置管理工具;配置
配置管理。
管理工具的使用情况介绍。
或措施的文档或记录。
软件代码要经过安全检
代码安全检查、评审记
34. 查、评审,对于发现的漏洞能 录,对发现的漏洞,提供漏洞
有效修复。
修复与验证记录。
仅二级/一级要求:软件代
代码检查、审核相关记
35.
码的安全检查、评审工作应形 录。
中
国
信
息
安
全
认
证
中
心
制
第 12 页 共 22 页
成记录。
仅一级要求:采用自动化
中
国
信
息
安
全
认
证
中
心
制
第 10 页 共 22 页
明确抗抵赖、安全标记、可信路
径等安全功能要求。
仅二级/一级要求:详细设
计说明书中应包含对数据产
30.
设 生、传输、存储、使用、处理和
计阶段- 归档安全方面的详细设计。
详细设计说明书,内容
详细设
仅一级要求:依据安全要 应覆盖条款的要求。
计
31.
求和概要设计说明书,明确基 于软件安全威胁分析进行详
需求阶段项目文档,包括可 项目需求,明确软件功能、性
行性报告、招标文件、需求分 能及安全方面的要求。
析报告等,需求文档的内容
中
国
信
息
安
全
认
证
中
心
制
第 6 页 共 22 页
应涉及软件功能、性能及安
全性要求。
结合软件项目需求、安全
17. 需求,与客户充分沟通,达成
与客户沟通的记录。
共识并形成记录。
仅二级/一级要求:准确识
软件设计说明书。
2设5. 计阶段
软件设计说明书明确系 设计阶段控制程序文件;
统/子系统的功能和非功能设 提供软件设计说明书,内容
计要求。 应覆盖条款的要求。
软件设计说明书明确包
26. 含安全功能要求,包括标识与
鉴别、访问控制、安全审计和
中
国
信
息
安
全
认
证
中
心
制
第 9 页 共 22 页
安全管理等。
仅二级/一级要求:概要设
工具对代码安全漏洞进行审
代码检查工具的检查结
36.
查,对于发现的漏洞能有效修 果记录/报告。
复,并形成审查报告。
测
37.
试阶段
测试方案、测试计划,提 依据软件设计说明书对软件
供软件功能测试、安全性测 功能、安全功能进行测试。
试记录与报告。
对测试发现的漏洞进行
漏洞发现、分析与修复
制定软件项目安全开发 项目开发计划,计划中
4. 管理计划,明确开发过程管控 应包含安全开发的内容。
措施。
建立软件开发的配置管
项目配置管理计划,包
5. 理计划,明确配置管理的安全 含安全相关活动。提供配置
要求。
管理相关记录。
建立变更控制制度,明确
变更控制管理制度,提
6. 软件项目变更控制的安全要 供项目变更控制记录,变更
求。
的记录单,记录单中的内容
中
国
信
息
安
全
认Байду номын сангаас
证
中
心
制
第 3 页 共 22 页
应包含变更申请,审批,执行,
执行后的评价结果。
制定软件项目安全培训 培训管理制度,项目培
7. 计划,对相关人员进行安全培 训计划和培训记录。
训。
建立独立的开发环境,确保开
开发环境与运行环境配
8.
发环境与运行环境隔离。
置的说明文档。
中
国
信
息
安
全
认
证
中
心
制
第 5 页 共 22 页
设备和工具等资源安全使用 使用规范;软硬件设备及工具
规范。
资源配备计划。
安全管理专职人员的任
仅一级要求:配备安全管
14.
命文件,项目相关的安全监
理人员。
控记录。
仅一级要求:建立变更控
变更控制委员会成员构
15.
制委员会。
成与职责规定文件。
需
16.
求阶段
需求阶段控制程序文件; 调研项目背景信息,收集