（精选文档）软件安全开发服务资质认证自表.doc

软件安全开发服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
准备阶段
建立软件项目安全开发团队，明确各岗位、人员、职责。
项目人员管理文件，项目安全开发组织机构，人员配备、角色职责，明确安全管理人员及职责。
制定软件项目安全开发管理计划，明确开发过程管控措施。
安全开发计划，明确里程碑管理、进度、管控措施等，内容包括安全要素。
建立软件开发的配置管理计划，明确配置管理的安全要求。
配置管理计划，内容应覆盖审核条款的要求。
建立变更控制制度，明确软件项目变更控制的安全要求。
变更控制制度，变更过程控制记录，内容应覆盖审核条款的要求。
制定软件项目安全培训计划，对相关人员进行安全培训。
培训管理制度，安全培训计划和记录。
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
建立独立的开发环境，确保开发环境与运行环境隔离。
软件开发规范，开发环境和运行环境说明文档。
仅二级/一级要求：建立软件安全开发项目风险管理机制，对软件项目进行风险评估。
风险管理制度，风险分析报告，内容应覆盖审核条款的要求。
仅二级/一级要求：使用配置管理工具对软件项目进行配置管理。
现场查看配置管理工具使用情况。
仅二级/一级要求：配备专职的测试人员。
人员管理文件，内容应覆盖审核条款的要求。
仅二级/一级要求：建立独立的测试环境，确保测试环境与开发环境隔离。
软件开发规范，开发环境和测试环境说明文档。
仅一级要求：建立软硬件设备和工具等资源安全使用规范。
资源安全使用规范；项目资源配备计划，内容应覆盖审核条款的要求。
仅一级要求：配备安全管理人员。
安全方面专职人员的任命文件，项目相关的安全监控记录。
仅一级要求：建立变更控制委员会。
变更控制委员会成员构成与职责规定文件，变更管理控制相关记录。
需求阶段
调研项目背景信息，收集项目需求，明确软件功能、性能及安全性要求。
需求阶段控制程序文件；需求阶段项目文档，内容应覆盖审核条款的要求。
需求阶段项目文档包括可行性报告、招标文件、需求分析报告等。
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
结合软件项目需求、安全需求，与客户充分沟通，达成共识并形成记录。
与客户沟通的记录。
仅二级/一级要求：准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。
需求分析报告，内容应覆盖审核条款的要求。
仅二级/一级要求：对于数据采集、产生、使用，明确识别安全保护要求。
仅二级/一级要求：基于客户需求和投入能力，开展需求分析，编制具有软件安全需求的分析报告。
仅二级/一级要求：需求分析报告中明确项目开发中使用的安全技术标准、规范。
仅一级要求：基于软件安全威胁、开展需求分析，编制具有软件安全需求的分析报告。
仅一级要求：基于软件项目需求分析，结合安全开发要素建立软件开发模型。
设计阶段-概要设计
根据软件项目需求，编制软件设计方案、设计说明书。
设计阶段控制程序文件；项目概要设计说明书/详细设计说明书，内容应覆盖审核条款的要求。
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
软件设计方案明确系统/子系统的功能和非功能设计要求。
软件设计方案明确包含安全功能要求，包括标识与鉴别、访问控制、安全审计和安全管理等。
仅二级/一级要求：概要设计方案明确安全功能要求，还应包括数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等。
仅一级要求：设计方案中明确基于软件安全威胁分析的安全要求。
仅一级要求：设计方案中明确安全功能要求，还应包括抗抵赖、安全标记、可信路径等。
设计阶段-详细设计
仅二级/一级要求：详细设计说明书中包含对数据产生、传输、存储、使用、处理、归档安全性的详细设计。
详细设计说明书，内容应覆盖审核条款的要求。
仅一级要求：依据安全