您的位置:360文档中心› 软件安全开发服务资质认证自评估表填写指南

软件安全开发服务资质认证自评估表填写指南

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

软件安全开发服务资质认证自评估表填写指南 填写要求:

1.当条款对应的需提供证明材料为制度或项目文档时,在“证明材料清单栏目”填写文档的完整名称。例如《XX 公司软件安全开发服务规范》、《XX公司项目变更管理制度》、《XX项目渗透测试方案》、《XX项目需求分析报告》等,并概括地介绍制度或项目文档各章节的内容。

2.当条款对应的需提供证明材料为记录文档时,在“证明材料清单栏目”填写记录的完整名称。例如《XX项目软件代码安全检查记录》、《XX项目软件单元测试记录》、《XX项目系统试运行记录》等,并概括地介绍记录文档的主要内容。

3.当条款对应的需提供证明材料为某制度或文档的某章节内容时,在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。例如《XX项目需求分析报告》第X章安全性需求分析、《XX项目概要设计说明书》第X章安全设计等,并对相关内容进行总结概括。

4.所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档,建立文件夹的格式为“序号-条款的考核内容”,例如“1-软件开发服务流程”、“5-配置管理计划”、“20-安全需求分析报告”、“52-试运行报告”等。

以下给出了一份填写样例,供申请组织进行参考。填报组织应按照填写样例的细粒度,进行相关信息的填报。当申请三级服务资质时,仅填写自评估表中与三级相关的条款(具体分两种情况:1、标明适用于三级的;2、未标明属于哪个级别的);申请二级服务资质时,除填写标明适用于二级的条款之外,还应填写所有属于三级要求的条款;申请一级服务资质时,填写全部条款。

组织名称 XX公司(全称)申报级别X级

评估时间 XX年X月X日-X月X日评估部门/人员 XX部/XX

序号要点条款需提供证明材料

自评估

结论

证明材料清单

1.服务技术

要求

建立软件安全开发服务流程。

软件安全开发服务流程,流程图中应包

括每个阶段对应的职责、输入输出等。

已制定《软件项目启动过程》(文件编号:XXX),

2.3节给出输入(软件项目方案申请表、项目估算

记录、招标文件、投标文件、立项报告等),2.4

节给出输出(合同意向执行申请、软件项目启动通

知、软件项目启动会议纪要等),第3节给出活动

图(主要包含编写合同意向执行申请、审批合同意

向执行申请、启动软件项目、下达项目任务书等过

程);

已制定《需求分析过程》(文件编号:XXX),2.3

节给出输入(用户需求说明书),2.4节给出输出(项

目日程、软件需求规格说明书、用户手册等),第

3节给出活动图(主要包含制定详细日程、选择开

发方法工具、项目估算等过程);

已制定《系统设计过程》(文件编号:XXX),2.3

节给出输入(软件需求规格说明书),2.4节给出输

出(系统设计说明书、系统测试用例、集成测试用

序号要点条款需提供证明材料

自评估

结论

证明材料清单

例等),第3节给出活动图(主要包含组织系统设

计、编写集成测试用例、系统测试用例等过程);

已制定《代码设计过程》(文件编号:XXX),2.3

节给出输入(系统设计说明书),2.4节给出输出(单

元测试用例、单元测试记录、重点代码检查表等),

第3节给出活动图(主要包含设计单元测试用例、

编写模块代码、执行代码走查等过程);

已制定《产品发布过程》(文件编号:XXX),2.3

节给出输入(系统设计说明书、模块源代码、用户

手册、操作手册等),2.4节给出输出(集成测试记

录、缺陷跟踪、软件产品等),第3节给出活动图

(主要包含搭建可运行环境、执行集成测试、整理

手册、申请产品发布等过程);

已制定《测试过程》(文件编号:XXX),2.3节给

出输入(系统测试用例、确认测试用例),2.4节给

出输出(系统测试用例记录、系统测试报告、确认

测试报告、性能测试报告等),第3节给出活动图

(主要包含建立测试环境、执行测试、编写测试报

告等过程);

已制定《系统实施过程》(文件编号:XXX),2.3

节给出输入(项目合同、用户需求说明书、软件产

序号要点条款需提供证明材料

自评估

结论

证明材料清单

品等),2.4节给出输出(培训资料、确认测试报告、

培训签到表、用户问题跟踪表、系统验收申请、系

统试运行报告、系统验收报告、项目总结报告等),

第3节给出活动图(主要包含用户培训、系统试运

行、系统验收等过程)。

2.制定软件安全开发服务规范并按照规范

实施。

软件安全开发服务规范并按照规范实

施。

已制定JA V A编码规范、编码指南、软件编码规范

等程序文件及规范。

3.

准备阶段建立软件项目安全开发团队,明确各岗

位、人员、职责。

项目人员构成表或其他能体现项目组

成员构成的文档,其中明确项目组成员

构成情况以及安全开发人员的角色及

职责。

提供XXX人员管理规定。

提供XXX项目XX文档,文档中XX章给出项目

开发组成员构成,包含项目经理XX、系统架构师

XX等,其中XX承担安全设计工作,XXX承担

安全编码工作,XXX承担安全测试工作等。

4.制定软件项目安全开发管理计划,明确

开发过程管控措施。

项目开发计划,计划中应包含安全开发

的内容。

提供XXX项目开发计划,计划包含XX、XX、

XX等章节内容,XX章给出项目里程碑,XX章

对项目进度进行描述,XX章对质量管控、沟通管

理等进行描述。

备注:此条要求的安全要素可以体现在质量管控里

面,例如代码的安全质量,也可以体现在其他方面。

5.建立软件开发的配置管理计划,明确配

置管理的安全要求。

项目配置管理计划,包含安全相关活

动。提供配置管理相关记录。

提供XX项目配置管理计划,计划中包含XX、XX

等章节内容,并对配置库权限等安全要求进行描

述。

相关文档
最新文档