|
序號
|
要點(diǎn) |
條款 |
證明材料 |
|
|
服務(wù)技術(shù)要求 |
建立軟件安全開(kāi)發(fā)服務(wù)流程�����。 |
軟件安全開(kāi)發(fā)服務(wù)流程����,流程圖中應包括每個(gè)階段對應的職責���、輸入輸出等���。 |
|
1. |
制定軟件安全開(kāi)發(fā)服務(wù)規范并按照規范實(shí)施��。 |
軟件安全開(kāi)發(fā)服務(wù)規范并按照規范實(shí)施���。 |
|
2. |
準備階段 |
制定軟件項目安全開(kāi)發(fā)管理計劃����,明確開(kāi)發(fā)過(guò)程管控措施���。 |
項目開(kāi)發(fā)計劃�����,計劃中應包含安全開(kāi)發(fā)的內容�����。 |
|
3. |
建立軟件開(kāi)發(fā)的配置管理計劃���,明確配置管理的安全要求�����。 |
項目配置管理計劃���,包含安全相關(guān)活動(dòng)����。提供配置管理相關(guān)記錄�����。 |
|
4. |
建立變更控制制度�,明確軟件項目變更控制的安全要求��。 |
變更控制管理制度�,提供項目變更控制記錄���,變更的記錄單���,記錄單中的內容應包含變更申請��,審批���,執行�,執行后的評價(jià)結果�。 |
|
5. |
僅二級/一級要求:建立軟件安全開(kāi)發(fā)項目風(fēng)險管理機制��,對軟件項目進(jìn)行風(fēng)險評估�����。 |
風(fēng)險管理制度����、風(fēng)險管理計劃�、風(fēng)險分析報告����。 |
|
6. |
需求階段 |
調研項目背景信息���,收集項目需求���,明確軟件功能�����、性能及安全方面的要求���。 |
需求階段控制程序文件���;需求階段項目文檔�����,包括可行性報告����、招標文件����、需求分析報告等��,需求文檔的內容應涉及軟件功能���、性能及安全性要求�。 |
|
7. |
僅二級/一級要求:基于客戶(hù)需求���,開(kāi)展需求分析���,編制具有軟件安全需求的分析報告���。 |
需求分析報告 |
|
8. |
僅二級/一級要求:需求分析報告中明確項目開(kāi)發(fā)中使用的安全技術(shù)標準����、規范�。 |
|
9. |
僅一級要求:應基于軟件安全威脅開(kāi)展需求分析��。 |
|
10. |
僅一級要求:基于軟件項目需求分析建立軟件安全開(kāi)發(fā)模型�����。 |
|
11. |
設計階段
|
根據軟件項目需求�,編制軟件設計說(shuō)明書(shū)�。 |
設計階段控制程序文件�;提供軟件設計說(shuō)明書(shū)����,內容應覆蓋條款的要求�����。 |
|
12. |
軟件設計說(shuō)明書(shū)明確系統/子系統的功能和非功能設計要求����。 |
|
13. |
軟件設計說(shuō)明書(shū)明確包含安全功能要求����,包括標識與鑒別��、訪(fǎng)問(wèn)控制��、安全審計和安全管理等�。 |
|
14. |
僅二級/一級要求:概要設計說(shuō)明書(shū)應明確數據完整性和保密性����、通信完整性和保密性��、軟件容錯�����、資源控制等安全功能要求��。 |
設計階段控制程序文件����;提供概要設計說(shuō)明書(shū)���,內容應覆蓋條款的要求�����。 |
|
15. |
僅一級要求:概要設計說(shuō)明書(shū)中應明確基于軟件安全威脅分析的安全要求�。 |
|
16. |
僅一級要求:當開(kāi)發(fā)場(chǎng)景適用時(shí)�����,概要設計說(shuō)明書(shū)中應明確抗抵賴(lài)�、安全標記�、可信路徑等安全功能要求���。 |
|
17. |
僅二級/一級要求:詳細設計說(shuō)明書(shū)中應包含對數據產(chǎn)生����、傳輸�����、存儲�、使用�、處理和歸檔安全方面的詳細設計���。 |
詳細設計說(shuō)明書(shū)����,內容應覆蓋條款的要求��。 |
|
18. |
僅一級要求:依據安全要求
|