软件安全开发服务资质认证自评估表.doc

软件安全开发服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
服务技术要求
建立软件安全开发服务流程。
软件安全开发服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
制定软件安全开发服务规范并按照规范实施。
软件安全开发服务规范并按照规范实施。
准备阶段
建立软件项目安全开发团队,明确各岗位、人员、职责。
项目人员构成表或其他能体现项目组成员构成的文档,其中明确项目组成员构成情况以及安全开发人员的角色及职责。
制定软件项目安全开发管理计划,明确开发过程管控措施。
项目开发计划,计划中应包含安全开发的内容。
建立软件开发的配置管理计划,明确配置管理的安全要求。
项目配置管理计划,包含安全相关活动。提供配置管理相关记录。
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
建立变更控制制度,明确软件项目变更控制的安全要求。
变更控制管理制度,提供项目变更控制记录,变更的记录单,记录单中的内容应包含变更申请,审批,执行,执行后的评价结果。
制定软件项目安全培训计划,对相关人员进行安全培训。
培训管理制度,项目培训计划和培训记录。
建立独立的开发环境,确保开发环境与运行环境隔离。
开发环境与运行环境配置的说明文档。
仅二级/一级要求:建立软件安全开发项目风险管理机制,对软件项目进行风险评估。
风险管理制度、风险管理计划、风险分析报告。
仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。
配置管理计划,其中描述采用的配置管理工具;配置管理工具的使用情况介绍。
仅二级/一级要求:配备专职的测试人员。
项目人员构成表或其他能体现项目组成员构成的文档,设立专职的软件安全管理人员、测试人员,并明确描述其职责。
仅二级/一级要求:建立独立的测试环境,确保测试环境与开发环境隔离。
开发环境与测试环境配置的说明文档。
仅一级要求:建立软硬件设备和工具等资源安全使用规范
软硬件设备及工具安全使用规范;软硬件设备及工具
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
。
资源配备计划。
仅一级要求:配备安全管理人员。
安全管理专职人员的任命文件,项目相关的安全监控记录。
仅一级要求:建立变更控制委员会。
变更控制委员会成员构成与职责规定文件。
需求阶段
调研项目背景信息,收集项目需求,明确软件功能、性能及安全方面的要求。
需求阶段控制程序文件;需求阶段项目文档,包括可行性报告、招标文件、需求分析报告等,需求文档的内容应涉及软件功能、性能及安全性要求。
结合软件项目需求、安全需求,与客户充分沟通,达成共识并形成记录。
与客户沟通的记录。
仅二级/一级要求:准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。
需求分析报告,内容应覆盖条款的要求。
仅二级/一级要求:对于数据采集、产生、使用,明确识别安全保护要求。
仅二级/一级要求:基于客户需求,开展需求分析,编制具有软件安全需求的分析报告。
序号
要点
条款
需提供证明材料
自