信息安全软件安全开发服务资质一级评价要求
信息安全软件安全开发服务资质一级评价要求针对准备、需求、设计、编码、测试、验收和维保七个阶
段进行,具体分级要求如下:
E3 信息安全软件安全开发服务资质一级评价要求
组织申报一级资质,除满足二级能力要求外,还应满足以下要求:
E3.1准备阶段
a) 建立软硬件设备和工具等资源安全使用规范。
b) 配备安全管理人员。
c) 建立变更控制委员会。
E3.2需求阶段
a) 应基于软件安全威胁开展需求分析。
b) 基于软件项目需求分析建立软件安全开发模型。
E3.3设计阶段
E3.3.1概要设计
a) 概要设计说明书中应明确基于软件安全威胁分析的安全要求。
b) 当开发场景适用时,概要设计说明书中应明确抗抵赖、安全标记、可信路径等安全功能要
求。
E3.3.2详细设计
依据安全要求和概要设计说明书,明确基于软件安全威胁分析进行详细设计。
E3.4编码阶段
采用自动化工具对代码安全漏洞进行审查,对于发现的漏洞能有效修复,并形成审查报告。
E3.5测试阶段
E3.5.1单元测试
对单元测试结果进行分析,形成分析报告。
E3.5.2集成测试
对集成测试结果进行分析,形成分析报告。
E3.5.3系统测试
基于软件项目的安全要求,制定系统渗透性测试方案,模拟攻击场景,对系统安全性进行测试,
并形成分析报告。
E3.6验收阶段
E3.6.1系统试运行
a) 提供三个月以上的试运行记录和报告。
b) 综合软件系统试运行状态,建立软件系统运行策略和安全指南。
E3.6.2验收交付
提交软件产品第三方安全测评报告或安全认证证书。
E3.7维保阶段
a) 制定软件健康检查计划、方案,定期实施,提交相应的系统健康检查报告、巡检报告。
b) 根据健康检查报告进行分析,持续优化系统。
安信达咨询可为您提供专业周到的信息安全服务资质、CCRC资质、信息安全软件安全开发服务资质一级申请咨询与代办服务,欢迎与我们联系。134-1861-1761 孙经理。