软件安全开发服务资质认证自评价表

软件安全开发服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.2.3.4.5.准备阶段在项目开发团队中，明确软件安全开发人员、职责。项目人员构成表或其他能体现项目组成员构成的文档，其中明确项目组成员构成情况以及安全开发人员的角色及职责。在项目开发计划中具有安全管控内容。项目开发计划，计划中应包含安全开发的内容。建立配置管理计划，明确软件项目配置管理的安全要求。项目配置管理计划，包含安全相关活动。提供配置管理相关记录。建立变更控制制度，明确软件项目变更控制的安全要求。变更控制管理制度，提供项目变更控制记录。制定软件项目安全培训计划，对相关人员进行安全培训。培训管理制度，项目培训计划和培训记录。

自评估结论序号要点条款需提供证明材料符合不符合证明材料清单6.建立独立的开发环境，确保开发环境与运行环境相互独立。开发环境与运行环境配置的说明文档。7.仅二级/一级要求：配备专职的软件安全管理人员、测试人员。项目人员构成表或其他能体现项目组成员构成的文档，设立专职的软件安全管理人员、测试人员，并明确描述其职责。8.仅二级/一级要求：使用配置管理工具对软件项目进行配置管理。配置管理计划，其中描述米用的配置管理工具；现场查看配置管理工具使用情况。9.仅—级/级要求：建立软件安全开发项目风险管理制度，对软件项目进行风险管理。风险管理制度、风险管理计划、风险分析报告。10.仅二级/—级要求：建立独立测试环境，确保测试环境与开发环境相互独立。开发环境与测试环境配置的说明文档。11.仅一级要求：设立专门的安全管理组织，对项目进行安全监管。组织机构相关文件，其中明确设立安全管理部门，部门职责描述中包含对项目的安全监管。12.仅一级要求：制定软件项目安全管理计划，明确软件安全开发过程管控措施。制定专门的项目安全管理计划， 策划软件开发生命周期中的安全相关活动，明确定义软件开发每一个阶段的安全要素及管控措施。13.仅级要求：建立软件安全风险库。建立软件安全风险库，可按软件产品类

自评估结论序号要点条款需提供证明材料符合不符合证明材料清单型、安全风险来源、安全风险级别、风险优先级等要求建立的软件安全风险库。14.仅一级要求：建立变更控制委员会。提供委员会成员及职责文档。15.明确软件项目安全需求，并在需求文档中具有安全需求说明。16.仅二级/—级要求：基于客户的软件安全需求形成需求分析文档。17.需求阶仅二级/一级要求：需求分析文档中明确项目开发中遵循的安全技术标准、规范。需求阶段文档，如需求规格说明书/需求分析报告等，内容满足审核条款的要求。18.段仅二级/一级要求：需求分析文档中明确数据安全保护要求。19.仅一级要求：识别软件安全威胁，编制具有软件安全需求的分析报告。20.仅一级要求：基于软件项目需求分析，结合安全开发要素建立软件开发过程全生命周期模型。项目计划书或相关文档，其中包括项目所建立的软件安全开发生命周期模型。21.设计阶软件设计方案等文档中明确系统 /子系统的功能和非功能设计要求。设计方案/设计说明书等，内谷满足申核22.段软件设计方案等文档明确包含安全要求，包括标识与鉴别/访冋控制/安全条款的要求。

自评估结论序号要点条款需提供证明材料符合不符合证明材料清单审计等。23.仅二级/一级要求：软件设计方案等文档明确安全要求，包括对数据产生、传输、存储、使用、处理和归档的安全性。24.仅一级要求：软件设计方案等文档中明确基于软件安全威胁分析的安全要求。25.仅一级要求：软件设计方案等文档中明确安全功能要求，还应包括抗抵赖、安全标记、可信路径等。26.制定统一的安全编码规范，确保开发人员参照规范安全编码。软件开发所使用语言的安全编码规范， 规范内容包括但不限于代码安全编写的原贝V、方式、方法等。27.编码阶段依据设计文档，对软件进行安全编码，在编码过程中规避高危风险的漏洞。在编码过程中，对规避高危风险的漏洞采取的方法或措施的文档或记录。28.仅二级/一级要求：软件代码要经过检查、评审，对于发现的漏洞进行修复确认，并形成记录。代码检查记录、会议评审记录等文档，记录中应包括漏洞修复后再确认的结果。29.仅二级/一级要求：编码过程中使用的第三方开源代码、组件等技术资源，安全性评估/审核记录。

自评估结论序号要点条款需提供证明材料符合不符合证明材料清单需要通过安全性评估/审核。30.仅一级要求：建立评审机制。评审规程文件，包括评审流程、方式、方法等内容，提供评审记录。31.仅一级要求：使用代码检杳工具，实施安全审查。代码检杳工具的检杳结果记录/报告。32.依据软件设计文档对软件功能、安全功能进行测试。测试用例、测试记录等文档。33.测试阶段对测试过程中发现的漏洞进行分析，并修复确认。漏洞分析、修复、确认的文档。34.仅二级/一级要求：明确测试策略，制定测试计划，进行测试，形成记录。测试策略、测试计划、测试记录。35.仅二级/—级要求：制定脆弱性测试方案，对软件漏洞进行测试，形成记录。脆弱性测试方案，测试记录。36.测试阶段仅二级/一级要求：对软件升级或改造，应进行兼容性和安全性测试，形成记录。测试方案/计划，其中应包括兼容性测试及改造后整体安全性的测试，提供测试记录。37.仅一级要求：使用自动化测试工具进行安全测试。在测试过程中采用自动化测试工具进行软件安全性测试的测试记录/报告。38.仅一级要求：对测试结果进行分析，形成分析报告。测试分析报告，其中包括软件安全测试的结果分析。

自评估结论序号要点条款需提供证明材料符合不符合证明材料清单39.仅级要求：基于软件项目的安全要求，制定系统渗透性测试方案，对系统安全性进行测试，形成测试报告。渗透性测试方案、渗透性测试报告。40.对试运行的软件系统进行安装、 配置、维护，形成记录。系统试运行过程相关记录。41.向客户提交的项目资料中，应明确软件安全说明。用户手册/操作说明书等，其中应包括软件使用、操作、运行安全性方面说明。42.软件交付后，对于影响软件系统安全、稳定运行的缺陷，及时有效采取打补丁、版本升级等方式予以消除，并提供技术支持服务。系统更新、升级记录，以及为客户提供支持的记录。43.交付阶段仅二级/一级要求：试运行结束后，形成系统试运行报告、软件安全分析报告，并提交客户。系统试运行报告、软件安全分析报告。44.仅二级/一级要求：建立一致的事件响应流程，明确安全事件报告程序；针对软件安全突发事件，建立应对机制。事件响应流程/系统维保计划，突发事件响应和处理记录。45.仅一级要求：制定系统运行计划、事件响应计划、事件应急预案，建立应急响应服务保障团队。系统运行计划、事件响应计划、事件应急预案。46.仅一级要求：及时应对突发事件，并事件解决报告，可包括故障类别、原因分

序号47.48.要点条款需提供证明材料自评估结论证明材料清单符合不符合向用户提供故障事件解决报告。析、解决方法、验证等内容。仅一级要求：提交第二方机构或外部专家出具的或用户认可的软件产品最终安全评估分析报告。第二方专业机构/外部专家/用户认可的软件产品安全评估分析报告，可包括依据、方法、度量、结果、分析等内容。仅一级要求：制定软件项目质保期内的健康检查方案，并能有效实施。健康检查方案，可包括时间节点、检查方式、检查内容等。提供检杳报告。49.上一年度提出的观察项跟踪验证情况（如有）50.51