|
序號
|
要點 |
條款 |
證明材料 |
|
|
服務技術要求 |
建立軟件安全開發服務流程。 |
軟件安全開發服務流程,流程圖中應包括每個階段對應的職責、輸入輸出等。 |
|
1. |
制定軟件安全開發服務規范并按照規范實施。 |
軟件安全開發服務規范并按照規范實施。 |
|
2. |
準備階段 |
制定軟件項目安全開發管理計劃,明確開發過程管控措施。 |
項目開發計劃,計劃中應包含安全開發的內容。 |
|
3. |
建立軟件開發的配置管理計劃,明確配置管理的安全要求。 |
項目配置管理計劃,包含安全相關活動。提供配置管理相關記錄。 |
|
4. |
建立變更控制制度,明確軟件項目變更控制的安全要求。 |
變更控制管理制度,提供項目變更控制記錄,變更的記錄單,記錄單中的內容應包含變更申請,審批,執行,執行后的評價結果。 |
|
5. |
僅二級/一級要求:建立軟件安全開發項目風險管理機制,對軟件項目進行風險評估。 |
風險管理制度、風險管理計劃、風險分析報告。 |
|
6. |
需求階段 |
調研項目背景信息,收集項目需求,明確軟件功能、性能及安全方面的要求。 |
需求階段控制程序文件;需求階段項目文檔,包括可行性報告、招標文件、需求分析報告等,需求文檔的內容應涉及軟件功能、性能及安全性要求。 |
|
7. |
僅二級/一級要求:基于客戶需求,開展需求分析,編制具有軟件安全需求的分析報告。 |
需求分析報告 |
|
8. |
僅二級/一級要求:需求分析報告中明確項目開發中使用的安全技術標準、規范。 |
|
9. |
僅一級要求:應基于軟件安全威脅開展需求分析。 |
|
10. |
僅一級要求:基于軟件項目需求分析建立軟件安全開發模型。 |
|
11. |
設計階段
|
根據軟件項目需求,編制軟件設計說明書。 |
設計階段控制程序文件;提供軟件設計說明書,內容應覆蓋條款的要求。 |
|
12. |
軟件設計說明書明確系統/子系統的功能和非功能設計要求。 |
|
13. |
軟件設計說明書明確包含安全功能要求,包括標識與鑒別、訪問控制、安全審計和安全管理等。 |
|
14. |
僅二級/一級要求:概要設計說明書應明確數據完整性和保密性、通信完整性和保密性、軟件容錯、資源控制等安全功能要求。 |
設計階段控制程序文件;提供概要設計說明書,內容應覆蓋條款的要求。 |
|
15. |
僅一級要求:概要設計說明書中應明確基于軟件安全威脅分析的安全要求。 |
|
16. |
僅一級要求:當開發場景適用時,概要設計說明書中應明確抗抵賴、安全標記、可信路徑等安全功能要求。 |
|
17. |
僅二級/一級要求:詳細設計說明書中應包含對數據產生、傳輸、存儲、使用、處理和歸檔安全方面的詳細設計。 |
詳細設計說明書,內容應覆蓋條款的要求。 |
|
18. |
僅一級要求:依據安全要求
|