|
序號
|
要點 |
條款 |
證明材料 |
|
|
服務技術要求 |
建立軟件安全開發服務流程��。 |
軟件安全開發服務流程,流程圖中應包括每個階段對應的職責���、輸入輸出等。 |
|
1. |
制定軟件安全開發服務規范并按照規范實施�����。 |
軟件安全開發服務規范并按照規范實施���。 |
|
2. |
準備階段 |
制定軟件項目安全開發管理計劃��,明確開發過程管控措施��。 |
項目開發計劃,計劃中應包含安全開發的內容�����。 |
|
3. |
建立軟件開發的配置管理計劃��,明確配置管理的安全要求��。 |
項目配置管理計劃,包含安全相關活動�。提供配置管理相關記錄����。 |
|
4. |
建立變更控制制度����,明確軟件項目變更控制的安全要求��。 |
變更控制管理制度����,提供項目變更控制記錄���,變更的記錄單�,記錄單中的內容應包含變更申請,審批����,執行��,執行后的評價結果。 |
|
5. |
僅二級/一級要求:建立軟件安全開發項目風險管理機制,對軟件項目進行風險評估�。 |
風險管理制度�、風險管理計劃�、風險分析報告。 |
|
6. |
需求階段 |
調研項目背景信息,收集項目需求,明確軟件功能��、性能及安全方面的要求��。 |
需求階段控制程序文件�;需求階段項目文檔��,包括可行性報告�����、招標文件、需求分析報告等,需求文檔的內容應涉及軟件功能����、性能及安全性要求。 |
|
7. |
僅二級/一級要求:基于客戶需求���,開展需求分析,編制具有軟件安全需求的分析報告。 |
需求分析報告 |
|
8. |
僅二級/一級要求:需求分析報告中明確項目開發中使用的安全技術標準��、規范���。 |
|
9. |
僅一級要求:應基于軟件安全威脅開展需求分析�。 |
|
10. |
僅一級要求:基于軟件項目需求分析建立軟件安全開發模型����。 |
|
11. |
設計階段
|
根據軟件項目需求�,編制軟件設計說明書。 |
設計階段控制程序文件;提供軟件設計說明書�,內容應覆蓋條款的要求�����。 |
|
12. |
軟件設計說明書明確系統/子系統的功能和非功能設計要求。 |
|
13. |
軟件設計說明書明確包含安全功能要求,包括標識與鑒別���、訪問控制、安全審計和安全管理等。 |
|
14. |
僅二級/一級要求:概要設計說明書應明確數據完整性和保密性、通信完整性和保密性���、軟件容錯、資源控制等安全功能要求。 |
設計階段控制程序文件;提供概要設計說明書,內容應覆蓋條款的要求。 |
|
15. |
僅一級要求:概要設計說明書中應明確基于軟件安全威脅分析的安全要求�。 |
|
16. |
僅一級要求:當開發場景適用時����,概要設計說明書中應明確抗抵賴��、安全標記���、可信路徑等安全功能要求��。 |
|
17. |
僅二級/一級要求:詳細設計說明書中應包含對數據產生�、傳輸、存儲���、使用、處理和歸檔安全方面的詳細設計��。 |
詳細設計說明書���,內容應覆蓋條款的要求�����。 |
|
18. |
僅一級要求:依據安全要求
|