软件安全开发服务资质认证自评估表.doc

软件安全开发服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合准备阶段在项目开发团队中,明确软件安全开发人员、职责。项目人员构成表或其他能体现项目组成员构成的文档,其中明确项目组成员构成情况以及安全开发人员的角色及职责。在项目开发计划中具有安全管控内容。项目开发计划,计划中应包含安全开发的内容。建立配置管理计划,明确软件项目配置管理的安全要求。项目配置管理计划,包含安全相关活动。提供配置管理相关记录。建立变更控制制度,明确软件项目变更控制的安全要求。变更控制管理制度,提供项目变更控制记录。制定软件项目安全培训计划,对相关人员进行安全培训。培训管理制度,项目培训计划和培训记录。序号要点条款需提供证明材料自评估结论证明材料清单符合不符合建立独立的开发环境,确保开发环境与运行环境相互独立。开发环境与运行环境配置的说明文档。仅二级/一级要求:配备专职的软件安全管理人员、测试人员。项目人员构成表或其他能体现项目组成员构成的文档,设立专职的软件安全管理人员、测试人员,并明确描述其职责。仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。配置管理计划,其中描述采用的配置管理工具;现场查看配置管理工具使用情况。仅二级/一级要求:建立软件安全开发项目风险管理制度,对软件项目进行风险管理。风险管理制度、风险管理计划、风险分析报告。仅二级/一级要求:建立独立测试环境,确保测试环境与开发环境相互独立。开发环境与测试环境配置的说明文档。仅一级要求:设立专门的安全管理组织,对项目进行安全监管。组织机构相关文件,其中明确设立安全管理部门,部门职责描述中包含对项目的安全监管。仅一级要求:制定软件项目安全管理计划,明确软件安全开发过程管控措施。制定专门的项目安全管理计划,策划软件开发生命周期中的安全相关活动,明确定义软件开发每一个阶段的安全要素及管控措施。仅一级要求:建立软件安全风险库。建立软件安全风险库,可按软件产品类型序号要点条款需提供证明材料自评估结论证明材料清单符合不符合、安全风险来源、安全风险级别、风险优先级等要求建立的软件安全风险库。仅一级要求:建立变更控制委员会。提供委员会成员及职责文档。需求阶段明确软件项目安全需求,并在需求文档中具有安全需求说明。需求阶段文档,如需求规格说明书/需求分析报告等,内容满足审核条款的要求。仅二级/一级要求:基于客户的软件安全需求形成需求分析文档。仅二级/一级要求:需求分析文档中明确项目开发中遵循的安全技术标准、规范。仅二级/一级要求:需求分析文档中明确数据安全保护要求。仅一级要求:识别软件安全威胁,编制具有软件安全需求的分析报告。仅一级要求:基于软件项目需求分析,结合安全开发要素建立软件开发过程全生命周期模型。项目计划书或相关文档,其中包括项目所建立的软件安全开发生命周期模型。设计阶段软件设计方案等文档中明确系统/子系统的功能和非功能设计要求。设计方案/设计说明书等,内容满足审核条款的要求。软件设计方案等文档明确包含安全要求,包括标识与鉴别/访问控制/安全审计等。序号要点条款需提供证明材料自评估结论证明材料清单符合不符合仅二级/一级要求:软件设计方案等文档明确安全要求,包括对数据产生、传输、存储、使用、处理和归档的安全性。仅一级要求:软件设计方案等文档中明确基于软件安