信息安全軟件安全開(kāi)發(fā)服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求

Date11 8 月 2019

信息安全軟件安全開(kāi)發(fā)服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求針對(duì)準(zhǔn)備、需求、設(shè)計(jì)、編碼、測(cè)試、驗(yàn)收和維保七個(gè)階
段進(jìn)行，具體分級(jí)要求如下：
E1 信息安全軟件安全開(kāi)發(fā)服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求
E1.1準(zhǔn)備階段
a) 建立軟件項(xiàng)目安全開(kāi)發(fā)團(tuán)隊(duì)，明確各崗位、人員、職責(zé)。
b) 制定軟件項(xiàng)目安全開(kāi)發(fā)管理計(jì)劃，明確開(kāi)發(fā)過(guò)程管控措施。
c) 建立軟件開(kāi)發(fā)的配置管理計(jì)劃，明確配置管理的安全要求。
d) 建立變更控制制度，明確軟件項(xiàng)目變更控制的安全要求。
e) 制定軟件項(xiàng)目安全培訓(xùn)計(jì)劃，對(duì)相關(guān)人員進(jìn)行安全培訓(xùn)。
f) 建立獨(dú)立的開(kāi)發(fā)環(huán)境，確保開(kāi)發(fā)環(huán)境與運(yùn)行環(huán)境隔離。
E1.2需求階段
a) 調(diào)研項(xiàng)目背景信息，收集項(xiàng)目需求，明確軟件功能、性能及安全方面的要求。
b) 結(jié)合軟件項(xiàng)目需求、安全需求，與用戶充分溝通，達(dá)成共識(shí)并形成記錄。
E1.3設(shè)計(jì)階段
a) 根據(jù)軟件項(xiàng)目需求，編制軟件設(shè)計(jì)說(shuō)明書(shū)。
b) 軟件設(shè)計(jì)說(shuō)明書(shū)明確系統(tǒng)/子系統(tǒng)的功能和非功能設(shè)計(jì)要求。
c) 軟件設(shè)計(jì)說(shuō)明書(shū)明確包含安全功能要求，包括標(biāo)識(shí)與鑒別、訪問(wèn)控制、安全審計(jì)和安全管
理等。
E1.4編碼階段
a) 制定統(tǒng)一的代碼安全編碼規(guī)范，確保開(kāi)發(fā)人員參照規(guī)范安全編碼。
b) 依據(jù)詳細(xì)設(shè)計(jì)說(shuō)明書(shū)，對(duì)軟件進(jìn)行安全編碼。
c) 軟件代碼要經(jīng)過(guò)安全檢查、評(píng)審，對(duì)于發(fā)現(xiàn)的漏洞能有效修復(fù)。
E1.5測(cè)試階段
a) 依據(jù)軟件設(shè)計(jì)說(shuō)明書(shū)對(duì)軟件功能、安全功能進(jìn)行測(cè)試。
b) 對(duì)測(cè)試發(fā)現(xiàn)的漏洞進(jìn)行分析并有效修復(fù)。
E1.6驗(yàn)收階段
E1.6.1系統(tǒng)試運(yùn)行
a) 測(cè)試系統(tǒng)運(yùn)行的可靠性、穩(wěn)定性和安全性，進(jìn)行試運(yùn)行，并記錄系統(tǒng)運(yùn)行狀況，試運(yùn)行周
期至少一個(gè)月。
b) 基于系統(tǒng)試運(yùn)行相關(guān)記錄，及時(shí)對(duì)軟件進(jìn)行調(diào)整、維護(hù)。
E1.6.2驗(yàn)收交付
a) 根據(jù)合同約定，向客戶提交完整的項(xiàng)目資料及交付物，并提出驗(yàn)收申請(qǐng)。
b) 根據(jù)合同約定，進(jìn)行項(xiàng)目驗(yàn)收，形成項(xiàng)目驗(yàn)收?qǐng)?bào)告。
E1.7維保階段
對(duì)于影響軟件系統(tǒng)安全、穩(wěn)定運(yùn)行的缺陷，及時(shí)有效采取打補(bǔ)丁、版本升級(jí)等方式予以消除，
并提供遠(yuǎn)程技術(shù)支持服務(wù)。