软件安全开发服务资质认证自评价表

1、ISCCC-QOT-0433-B/2软件安全开发服务资质认证自评估表软件安全开发服务资质认证自评估表组织名称申报级别评估时间评估部门 /人员自评估结论序条款需提供证明材料不证明材料清单要点号符符合合在项目开发团队中，明确软件安全开项目人员构成表或其他能体现项目组成1.员构成的文档， 其中明确项目组成员构成发人员、职责。情况以及安全开发人员的角色及职责。2.在项目开发计划中具有安全管控内项目开发计划， 计划中应包含安全开发的容。内容。准 备 阶建立配置管理计划，明确软件项目配项目配置管理计划，包含安全相关活动。3. 段置管理的安全要求。提供配置管理相关记录。4.建立变更控制制度，明确软件项目变变

2、更控制管理制度， 提供项目变更控制记更控制的安全要求。录。5.制定软件项目安全培训计划，对相关培训管理制度，项目培训计划和培训记人员进行安全培训。录。中国信息安全认证中心第1页共8页ISCCC-QOT-0433-B/2软件安全开发服务资质认证自评估表序要点条款需提供证明材料号6.建立独立的开发环境，确保开发环境开发环境与运行环境配置的说明文档。与运行环境相互独立。仅二级 / 一级要求 ：配备专职的软件安项目人员构成表或其他能体现项目组成7.员构成的文档， 设立专职的软件安全管理全管理人员、测试人员。人员、测试人员，并明确描述其职责。8.仅二级 / 一级要求 ：使用配置管理工具配置管理计划， 其

3、中描述采用的配置管理对软件项目进行配置管理。工具；现场查看配置管理工具使用情况。仅二级 / 一级要求 ：建立软件安全开发风险管理制度、 风险管理计划、 风险分析9.项目风险管理制度，对软件项目进行报告。风险管理。仅二级 / 一级要求 ：建立独立测试环10.境，确保测试环境与开发环境相互独开发环境与测试环境配置的说明文档。立。仅一级要求 ：设立专门的安全管理组组织机构相关文件， 其中明确设立安全管11.理部门，部门职责描述中包含对项目的安织，对项目进行安全监管。全监管。仅一级要求 ：制定软件项目安全管理制定专门的项目安全管理计划，策划软件开发生命周期中的安全相关活动，明确定12.计划，明确软件安

4、全开发过程管控措义软件开发每一个阶段的安全要素及管施。控措施。13.仅一级要求 ：建立软件安全风险库。建立软件安全风险库，可按软件产品类自评估结论不证明材料清单符符合合中国信息安全认证中心第2页共8页ISCCC-QOT-0433-B/2软件安全开发服务资质认证自评估表序要点条款需提供证明材料号型、安全风险来源、 安全风险级别、 风险优先级等要求建立的软件安全风险库。14.仅一级要求 ：建立变更控制委员会。提供委员会成员及职责文档。15.明确软件项目安全需求，并在需求文档中具有安全需求说明。16.仅二级 / 一级要求 ：基于客户的软件安全需求形成需求分析文档。仅二级 / 一级要求 ：需求分析文档

5、中明需求阶段文档，如需求规格说明书/ 需求17.确项目开发中遵循的安全技术标准、分析报告等，内容满足审核条款的要求。需 求 阶规范。18.段仅二级 / 一级要求 ：需求分析文档中明确数据安全保护要求。19.仅一级要求 ：识别软件安全威胁，编制具有软件安全需求的分析报告。仅一级要求 ：基于软件项目需求分析，项目计划书或相关文档， 其中包括项目所20.结合安全开发要素建立软件开发过程建立的软件安全开发生命周期模型。全生命周期模型。21.软件设计方案等文档中明确系统/ 子设 计 阶系统的功能和非功能设计要求。设计方案 / 设计说明书等，内容满足审核22.段软件设计方案等文档明确包含安全要条款的要求。

6、求，包括标识与鉴别 / 访问控制 /安全自评估结论不证明材料清单符符合合中国信息安全认证中心第3页共8页ISCCC-QOT-0433-B/2软件安全开发服务资质认证自评估表序要点条款需提供证明材料号审计等。自评估结论不证明材料清单符符合合23.24.25.26.27. 编 码 阶段28.29.仅二级 / 一级要求 ：软件设计方案等文档明确安全要求，包括对数据产生、传输、存储、使用、处理和归档的安全性。仅一级要求：软件设计方案等文档中明确基于软件安全威胁分析的安全要求。仅一级要求：软件设计方案等文档中明确安全功能要求，还应包括抗抵赖、安全标记、可信路径等。制定统一的安全编码规范, 确保开发软件开

7、发所使用语言的安全编码规范，规范内容包括但不限于代码安全编写的原人员参照规范安全编码。则、方式、方法等。依据设计文档， 对软件进行安全编码，在编码过程中， 对规避高危风险的漏洞采在编码过程中规避高危风险的漏洞。取的方法或措施的文档或记录。仅二级 / 一级要求 ：软件代码要经过检代码检查记录、 会议评审记录等文档，记查、评审，对于发现的漏洞进行修复录中应包括漏洞修复后再确认的结果。确认，并形成记录。仅二级 / 一级要求 ：编码过程中使用的安全性评估 / 审核记录。第三方开源代码、组件等技术资源，中国信息安全认证中心第4页共8页ISCCC-QOT-0433-B/2软件安全开发服务资质认证自评估表序

8、要点条款号需要通过安全性评估/ 审核。30.仅一级要求 ：建立评审机制。仅一级要求：使用代码检查工具，实31.施安全审查。依据软件设计文档对软件功能、安全32.功能进行测试。测 试 阶对测试过程中发现的漏洞进行分析，33.段并修复确认。仅二级 / 一级要求 ：明确测试策略， 制34.定测试计划，进行测试，形成记录。仅二级 / 一级要求 ：制定脆弱性测试方35.案，对软件漏洞进行测试，形成记录。仅二级 / 一级要求 ：对软件升级或改36. 测 试 阶 造，应进行兼容性和安全性测试，形成记录。段仅一级要求：使用自动化测试工具进37.行安全测试。仅一级要求：对测试结果进行分析，38.形成分析报告。需

9、提供证明材料评审规程文件， 包括评审流程、 方式、方法等内容，提供评审记录。代码检查工具的检查结果记录/ 报告。测试用例、测试记录等文档。漏洞分析、修复、确认的文档。测试策略、测试计划、测试记录。脆弱性测试方案，测试记录。测试方案 / 计划，其中应包括兼容性测试及改造后整体安全性的测试， 提供测试记录。在测试过程中采用自动化测试工具进行软件安全性测试的测试记录 / 报告。测试分析报告， 其中包括软件安全测试的结果分析。自评估结论不证明材料清单符符合合中国信息安全认证中心第5页共8页ISCCC-QOT-0433-B/2序要点条款需提供证明材料号软件安全开发服务资质认证自评估表自评估结论不证明材料

10、清单符符合合39.40.41.42.交 付 阶43. 段44.45.46.仅一级要求 ：基于软件项目的安全要求，制定系统渗透性测试方案，对系渗透性测试方案、渗透性测试报告。统安全性进行测试，形成测试报告。对试运行的软件系统进行安装、 配置、系统试运行过程相关记录。维护，形成记录。向客户提交的项目资料中，应明确软用户手册 / 操作说明书等，其中应包括软件安全说明。件使用、操作、运行安全性方面说明。软件交付后， 对于影响软件系统安全、稳定运行的缺陷，及时有效采取打补系统更新、 升级记录， 以及为客户提供支丁、版本升级等方式予以消除，并提持的记录。供技术支持服务。仅二级 / 一级要求： 试运行结束后

11、， 形成系统试运行报告、软件安全分析报系统试运行报告、软件安全分析报告。告，并提交客户。仅二级 / 一级要求： 建立一致的事件响事件响应流程 / 系统维保计划，突发事件应流程，明确安全事件报告程序；针响应和处理记录。对软件安全突发事件， 建立应对机制。仅一级要求 ：制定系统运行计划、事系统运行计划、 事件响应计划、 事件应急件响应计划、事件应急预案，建立应预案。急响应服务保障团队。仅一级要求 ：及时应对突发事件，并事件解决报告， 可包括故障类别、 原因分中国信息安全认证中心第6页共8页ISCCC-QOT-0433-B/2软件安全开发服务资质认证自评估表序要点条款需提供证明材料号向用户提供故障事件解决报告。析、解决方法、验证等内容。仅一级要求 ：提交第三方机构或外部第三方专业机构 / 外部专家 / 用户认可的47.专家出具的或用户认可的软件产品最软件产品安全评估分析报告，可包括依终安全评估分析报告。据、方法、度量、结果、分析等内容。48.仅一级要求 ：制定软件项目质保期内健康检查方案， 可包括时间节点、 检查方的健康检查方案，并能有效实施。式、检查内容等。提供检查报告。49. 上一年度提出的观察项跟踪验证情况（如有）50.51.52.53. 上一年度提出的不符合项跟踪验证情况（如有）54.55.56.自评估结论不证明材料清单符符合合中国信息安全认证中心第7页共8