信息安全軟件安全開發(fā)服務(wù)資質(zhì)一級評價要求

Date13 8 月 2019

信息安全軟件安全開發(fā)服務(wù)資質(zhì)一級評價要求針對準(zhǔn)備、需求、設(shè)計(jì)、編碼、測試、驗(yàn)收和維保七個階
段進(jìn)行，具體分級要求如下：

E3 信息安全軟件安全開發(fā)服務(wù)資質(zhì)一級評價要求
組織申報一級資質(zhì)，除滿足二級能力要求外，還應(yīng)滿足以下要求：
E3.1準(zhǔn)備階段
a) 建立軟硬件設(shè)備和工具等資源安全使用規(guī)范。
b) 配備安全管理人員。
c) 建立變更控制委員會。
E3.2需求階段
a) 應(yīng)基于軟件安全威脅開展需求分析。
b) 基于軟件項(xiàng)目需求分析建立軟件安全開發(fā)模型。
E3.3設(shè)計(jì)階段
E3.3.1概要設(shè)計(jì)
a) 概要設(shè)計(jì)說明書中應(yīng)明確基于軟件安全威脅分析的安全要求。
b) 當(dāng)開發(fā)場景適用時，概要設(shè)計(jì)說明書中應(yīng)明確抗抵賴、安全標(biāo)記、可信路徑等安全功能要
求。
E3.3.2詳細(xì)設(shè)計(jì)
依據(jù)安全要求和概要設(shè)計(jì)說明書，明確基于軟件安全威脅分析進(jìn)行詳細(xì)設(shè)計(jì)。
E3.4編碼階段
采用自動化工具對代碼安全漏洞進(jìn)行審查，對于發(fā)現(xiàn)的漏洞能有效修復(fù)，并形成審查報告。
E3.5測試階段
E3.5.1單元測試
對單元測試結(jié)果進(jìn)行分析，形成分析報告。
E3.5.2集成測試
對集成測試結(jié)果進(jìn)行分析，形成分析報告。
E3.5.3系統(tǒng)測試
基于軟件項(xiàng)目的安全要求，制定系統(tǒng)滲透性測試方案，模擬攻擊場景，對系統(tǒng)安全性進(jìn)行測試，
并形成分析報告。
E3.6驗(yàn)收階段
E3.6.1系統(tǒng)試運(yùn)行
a) 提供三個月以上的試運(yùn)行記錄和報告。
b) 綜合軟件系統(tǒng)試運(yùn)行狀態(tài)，建立軟件系統(tǒng)運(yùn)行策略和安全指南。
E3.6.2驗(yàn)收交付
提交軟件產(chǎn)品第三方安全測評報告或安全認(rèn)證證書。
E3.7維保階段
a) 制定軟件健康檢查計(jì)劃、方案，定期實(shí)施，提交相應(yīng)的系統(tǒng)健康檢查報告、巡檢報告。
b) 根據(jù)健康檢查報告進(jìn)行分析，持續(xù)優(yōu)化系統(tǒng)。