《软件安全开发成熟度评估技术规范》编制说明

《软件安全开发成熟度评估技术规范》编制说明一、工作简况（一）任务来源2024年7月31日，珠海市软件行业协会组织专家召开了团体标准立项评审会，与会专家一致同意《软件安全开发成熟度评估技术规范》立项。（二）起草单位本标准由以下单位共同起草：珠海市软件行业协会、开源网安（珠海）技术有限公司、远光软件股份有限公司、东信和平科技股份有限公司、珠海豹趣科技有限公司、珠海经济特区伟思有限公司、长园新能源材料研究院（广东）有限公司、广东柔石电子科技有限公司、珠海爱浦京软件股份有限公司、珠海全视通信息技术有限公司、广东知业科技有限公司、珠海市深瑞智联科技有限公司、深圳开源互联网安全技术有限公司、武汉科技大学、广西网络信息安全服务研究院、中山大学。其中开源网安（珠海）技术有限公司为本标准起草的牵头单位。（三）编制背景近年来软件系统复杂性和信息化规模持续增加，对软件安全性提出了更为迫切的需求，但我国目前欠缺对组织的软件安全开发成熟度进行评估的标准和技术规范。GB/T22239-2019《信息安全技术网络安全等级保护基本要求》规定了特定系统需满足对应定级的网络安全要求，作用对象主要是特定系统，不适合用于对组织的软件安全开发能力成熟度进行评估。开源网安（珠海）技术有限公司及深圳开源互联网安全技术有限公司的业务聚焦于软件安全，十余年来积累了大量国内头部软件开发组织的软件安全开发成熟度评估及咨询案例，帮助客户有效提升了自身的软件安全开发成熟度水平，逐步形成了一套科学的软件安全开发成熟度评估技术规范。为了更好地服务珠海的软件开发组织，尤其是软件、芯片、电力等珠海市优势行业的企事业单位，开源网安（珠海）技术有限公司决定在自身具有的技术规范基础上，联合珠海及广东的多家软件企业及国内多所高校共同制定本标准。（四）编制过程2024年1月，开源网安（珠海）技术有限公司决定基于自身具有的软件安全开发成熟度评估技术规范制定珠海市软件行业协会团体标准，并开始学习《珠海市软件行业协会团体标准管理办法（试行）》（珠软协字[2020]7号），了解了珠海市软件行业协会团体标准制定的流程和要求。同期，珠海市软件行业协会开始征集团体标准的起草单位，确定了16家参与本标准的起草单位名单，标准编制工作组正式成立。2024年1月至4月，起草单位共同编制形成了本标准的草案，并填写了本标准的立项申请书。2024年4月中旬，标准牵头单位向珠海市软件行业协会正式递交了本标准的立项申请材料。2024年7月31日，珠海市软件行业协会组织召开了本标准的立项评审会。标准牵头单位在会议上向与会专家介绍了本标准的背景、意义、内容和工作基础，并附上标准草案，与会专家经过质询后一致同意通过本标准的立项申请，并对标准草案提出建议。2024年7月31日，由珠海市软件行业协会发布立项公告通知、公开征求意见通知。2024年7月底至2024年8月初，标准编制工作组成员对本标准的草案进行了充分的讨论，主要形成了以下3个方面的修改完善意见：优化安全开发BP（基本实践）的分类。优化附录A中的评估参考方法。优化文档结构的顺序。2024年8月初，标准编制工作组根据讨论的意见对标准草案进行修改，形成征求意见稿。二、标准编制原则和主要内容（一）标准编制原则本标准的编制原则包括：1） 广泛、充分采纳和吸收有关专家的合理意见和建议；2）重视标准的实用性和可操作性；3）遵循有关编写规定，并与相关国家标准协调一致。（二）标准主要内容本标准的主要内容为评估模型、监管域、能力域、触点域、运维域共5章，以及2个附录。评估模型章节分布从模型架构、模型内容两个方面描述了软件安全开发成熟度评估模型，阐述了成熟度评估体系及如何量化安全能力，定义了成熟度的每个等级；监管域、能力域、触点域、运维域这四个章节分别对每个下级子域及其包含的一个或多个基本实践进行了详细说明；附录A说明了成熟度评估的参考方法；附录B说明了成熟度评估流程和模型使用方法。三、主要试验或验证情况分析本标准的内容主要来源于开源网安（珠海）技术有限公司及深圳开源互联网安全技术有限公司（简称开源网安，下同）的软件安全开发成熟度评估技术规范，开源网安已依据该规范对十余家央企、国企及头部科技企业等大型软件开发组织实施了软件安全开发成熟度评估咨询项目，充分验证了本标准的可实施性。四、知识产权情况说明本标准不涉及专利。五、预期达到的效果本标准的发布，将促进行业内优秀的软件安全实践的传播与借鉴，加快软件开发安全技术的发展和普及，提升企业竞争力及珠海市软件行业的整体安全水平，助力珠海市软件产业实现更高质量发展。六、采用国际标准和国外先进标准情况本标准未采用国际标准和国外标准。七、与现行相关法律、法规、规章及相关标准的协调性暂无相应的国家标准和行业标准。八、重大分歧意见的处理经过和依据无。九、标准性质的建议建议该标准为推荐性标准。十、贯彻标准的要求和措施建议建议第三方对软件研发开发企