软件安全开发服务资质认证自评估表填写指南
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
软件安全开发服务资质认证自评估表填写指南 填写要求:
1.当条款对应的需提供证明材料为制度或项目文档时,在“证明材料清单栏目”填写文档的完整名称。例如《XX 公司软件安全开发服务规范》、《XX公司项目变更管理制度》、《XX项目渗透测试方案》、《XX项目需求分析报告》等,并概括地介绍制度或项目文档各章节的内容。
2.当条款对应的需提供证明材料为记录文档时,在“证明材料清单栏目”填写记录的完整名称。例如《XX项目软件代码安全检查记录》、《XX项目软件单元测试记录》、《XX项目系统试运行记录》等,并概括地介绍记录文档的主要内容。
3.当条款对应的需提供证明材料为某制度或文档的某章节内容时,在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。例如《XX项目需求分析报告》第X章安全性需求分析、《XX项目概要设计说明书》第X章安全设计等,并对相关内容进行总结概括。
4.所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档,建立文件夹的格式为“序号-条款的考核内容”,例如“1-软件开发服务流程”、“5-配置管理计划”、“20-安全需求分析报告”、“52-试运行报告”等。
以下给出了一份填写样例,供申请组织进行参考。填报组织应按照填写样例的细粒度,进行相关信息的填报。当申请三级服务资质时,仅填写自评估表中与三级相关的条款(具体分两种情况:1、标明适用于三级的;2、未标明属于哪个级别的);申请二级服务资质时,除填写标明适用于二级的条款之外,还应填写所有属于三级要求的条款;申请一级服务资质时,填写全部条款。
组织名称 XX公司(全称)申报级别X级
评估时间 XX年X月X日-X月X日评估部门/人员 XX部/XX
序号要点条款需提供证明材料
自评估
结论
证明材料清单
符
合
不
符
合
1.服务技术
要求
建立软件安全开发服务流程。
软件安全开发服务流程,流程图中应包
括每个阶段对应的职责、输入输出等。
已制定《软件项目启动过程》(文件编号:XXX),
2.3节给出输入(软件项目方案申请表、项目估算
记录、招标文件、投标文件、立项报告等),2.4
节给出输出(合同意向执行申请、软件项目启动通
知、软件项目启动会议纪要等),第3节给出活动
图(主要包含编写合同意向执行申请、审批合同意
向执行申请、启动软件项目、下达项目任务书等过
程);
已制定《需求分析过程》(文件编号:XXX),2.3
节给出输入(用户需求说明书),2.4节给出输出(项
目日程、软件需求规格说明书、用户手册等),第
3节给出活动图(主要包含制定详细日程、选择开
发方法工具、项目估算等过程);
已制定《系统设计过程》(文件编号:XXX),2.3
节给出输入(软件需求规格说明书),2.4节给出输
出(系统设计说明书、系统测试用例、集成测试用
序号要点条款需提供证明材料
自评估
结论
证明材料清单
符
合
不
符
合
例等),第3节给出活动图(主要包含组织系统设
计、编写集成测试用例、系统测试用例等过程);
已制定《代码设计过程》(文件编号:XXX),2.3
节给出输入(系统设计说明书),2.4节给出输出(单
元测试用例、单元测试记录、重点代码检查表等),
第3节给出活动图(主要包含设计单元测试用例、
编写模块代码、执行代码走查等过程);
已制定《产品发布过程》(文件编号:XXX),2.3
节给出输入(系统设计说明书、模块源代码、用户
手册、操作手册等),2.4节给出输出(集成测试记
录、缺陷跟踪、软件产品等),第3节给出活动图
(主要包含搭建可运行环境、执行集成测试、整理
手册、申请产品发布等过程);
已制定《测试过程》(文件编号:XXX),2.3节给
出输入(系统测试用例、确认测试用例),2.4节给
出输出(系统测试用例记录、系统测试报告、确认
测试报告、性能测试报告等),第3节给出活动图
(主要包含建立测试环境、执行测试、编写测试报
告等过程);
已制定《系统实施过程》(文件编号:XXX),2.3
节给出输入(项目合同、用户需求说明书、软件产
序号要点条款需提供证明材料
自评估
结论
证明材料清单
符
合
不
符
合
品等),2.4节给出输出(培训资料、确认测试报告、
培训签到表、用户问题跟踪表、系统验收申请、系
统试运行报告、系统验收报告、项目总结报告等),
第3节给出活动图(主要包含用户培训、系统试运
行、系统验收等过程)。
2.制定软件安全开发服务规范并按照规范
实施。
软件安全开发服务规范并按照规范实
施。
已制定JA V A编码规范、编码指南、软件编码规范
等程序文件及规范。
3.
准备阶段建立软件项目安全开发团队,明确各岗
位、人员、职责。
项目人员构成表或其他能体现项目组
成员构成的文档,其中明确项目组成员
构成情况以及安全开发人员的角色及
职责。
提供XXX人员管理规定。
提供XXX项目XX文档,文档中XX章给出项目
开发组成员构成,包含项目经理XX、系统架构师
XX等,其中XX承担安全设计工作,XXX承担
安全编码工作,XXX承担安全测试工作等。
4.制定软件项目安全开发管理计划,明确
开发过程管控措施。
项目开发计划,计划中应包含安全开发
的内容。
提供XXX项目开发计划,计划包含XX、XX、
XX等章节内容,XX章给出项目里程碑,XX章
对项目进度进行描述,XX章对质量管控、沟通管
理等进行描述。
备注:此条要求的安全要素可以体现在质量管控里
面,例如代码的安全质量,也可以体现在其他方面。
5.建立软件开发的配置管理计划,明确配
置管理的安全要求。
项目配置管理计划,包含安全相关活
动。提供配置管理相关记录。
提供XX项目配置管理计划,计划中包含XX、XX
等章节内容,并对配置库权限等安全要求进行描
述。