软件安全开发服务资质认证自评估表
组织名称
申报级别
评估时间
评估部1'T /人员
自评估 结论
序
号
要点
条款
需提供证明材料
符 合
不 符 合
证明材料清单
1.
建立软件项目安全开发团队,明确各岗 位、人员、职责。
项目人员管理文件,项目安全开发组织机 构,人员配备、角色职责,明确安全管理 人员及职责。
2.
制定软件项目安全开发管理计划,明确 开发过程管控措施。
安全开发计划,明确里程碑管理、进度、 管控措施等,内容包括安全要素。
3.
准备阶段
建立软件开发的配置管理计划,明确配 置管理的安全要求。
配麻理计划,内容应覆盖审核条款的要 求。
4.
建立变更控制制度,明确软件项目变更 控制的安全要求。
变更控制制度,变更过程控制记录,内容 应覆盖审核条款的要求。
5.
制定软件项目安全培训计划,对相关人 贝进行安全培训。
培训管理制度,安全培训计划和记录。
序
号
要点
条款
需提供证明材料
自评估 结论
证明材料清单
符
合
不 符 合
6.
建立独立的开发环境,确保开发环境与 运行环境隔离。
软件开发规范,开发环境和运行环境说明 文档。
7.
仅二级/一级要求:建立软件安全开发项 目风险管理机制,对软件项目进行风险 评估。
风险管理制度,风险分析报告,内容应覆 盖审核条款的要求。
8.
仅二级/一级要求:使用配置管理工具对 软件项目进行配置管理。
现场查看配置管理工具使用情况。
9.
仅二级/一级要求:配备专职的测试人 员。
人员管理文件,内容应覆盖审核条款的要 求。
10.
仅一级/一级要求:建立独立的测试环 境,确保测试环境与开发环境隔离。
软件开发规范,开发环境和测试环境说明 文档。
11.
仅一级要求:建立软硬件设备和工具等 资源安全使用规范。
资源安全使用规范;项目资源配备计划, 内容应覆盖审核条款的要求。
12.
仅一级要求:配备安全管理人员。
安全方面专职人员的任命文件, 项目相关 的安全监控记录。
13.
仅一级要求:建立变更控制委员会。
变更控制委员会成员构成与职责规定文 件,变更管理控制相关记录。
14.
需求阶段
调研项目背景信息,收集项目需求,明 确软件功能、性能及安全性要求。
需求阶段控制程序文件; 需求阶段项目文 档,内容应覆盖审核条款的要求。
需求阶段项目文档包括可行性报告、 招标
文件、需求分析报告等。
序
号
要点
条款
需提供证明材料
自评估 结论
证明材料清单
符
合
不 符 合
15.
结合软件项目需求、安全需求,与客户 充分沟通,达成共识并形成记录。
与客户沟通的记录。
16.
仅二级/一级要求:准确识别和综合分析 软件项目在可用性、完整性、真实性、 机密性、江可否认性、可控性和可靠性 等方面的安全需求。
需求分析报告,内容应覆盖审核条款的要 求。
17.
仅二级/一
软件安全开发服务资质认证自评价表 来自淘豆网www.taodocs.com转载请标明出处.