序 |
要点 |
条款 |
证明材料 |
|
服务技术要求 |
建立软件安全开发服务流程。 |
软件安全开发服务流程,流程图中应包括每个阶段对应的职责、输入输出等。 |
1. |
制定软件安全开发服务规范并按照规范实施。 |
软件安全开发服务规范并按照规范实施。 |
2. |
准备阶段 |
制定软件项目安全开发管理计划,明确开发过程管控措施。 |
项目开发计划,计划中应包含安全开发的内容。 |
3. |
建立软件开发的配置管理计划,明确配置管理的安全要求。 |
项目配置管理计划,包含安全相关活动。提供配置管理相关记录。 |
4. |
建立变更控制制度,明确软件项目变更控制的安全要求。 |
变更控制管理制度,提供项目变更控制记录,变更的记录单,记录单中的内容应包含变更申请,审批,执行,执行后的评价结果。 |
5. |
仅二级/一级要求:建立软件安全开发项目风险管理机制,对软件项目进行风险评估。 |
风险管理制度、风险管理计划、风险分析报告。 |
6. |
需求阶段 |
调研项目背景信息,收集项目需求,明确软件功能、性能及安全方面的要求。 |
需求阶段控制程序文件;需求阶段项目文档,包括可行性报告、招标文件、需求分析报告等,需求文档的内容应涉及软件功能、性能及安全性要求。 |
7. |
仅二级/一级要求:基于客户需求,开展需求分析,编制具有软件安全需求的分析报告。 |
需求分析报告 |
8. |
仅二级/一级要求:需求分析报告中明确项目开发中使用的安全技术标准、规范。 |
9. |
仅一级要求:应基于软件安全威胁开展需求分析。 |
10. |
仅一级要求:基于软件项目需求分析建立软件安全开发模型。 |
11. |
设计阶段
|
根据软件项目需求,编制软件设计说明书。 |
设计阶段控制程序文件;提供软件设计说明书,内容应覆盖条款的要求。 |
12. |
软件设计说明书明确系统/子系统的功能和非功能设计要求。 |
13. |
软件设计说明书明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管理等。 |
14. |
仅二级/一级要求:概要设计说明书应明确数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等安全功能要求。 |
设计阶段控制程序文件;提供概要设计说明书,内容应覆盖条款的要求。 |
15. |
仅一级要求:概要设计说明书中应明确基于软件安全威胁分析的安全要求。 |
16. |
仅一级要求:当开发场景适用时,概要设计说明书中应明确抗抵赖、安全标记、可信路径等安全功能要求。 |
17. |
仅二级/一级要求:详细设计说明书中应包含对数据产生、传输、存储、使用、处理和归档安全方面的详细设计。 |
详细设计说明书,内容应覆盖条款的要求。 |
18. |
仅一级要求:依据安全要求和概要设计说明书,明确基于软件安全威胁分析进行详细设计。 |
19. |