E3 信息安全軟件安全開(kāi)發(fā)服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求
組織申報(bào)一級(jí)資質(zhì)，除滿足二級(jí)能力要求外，還應(yīng)滿足以下要求：
E3.1準(zhǔn)備階段
a) 建立軟硬件設(shè)備和工具等資源安全使用規(guī)范。
b) 配備安全管理人員。
c) 建立變更控制委員會(huì)。
E3.2需求階段
a) 應(yīng)基于軟件安全威脅開(kāi)展需求分析。
b) 基于軟件項(xiàng)目需求分析建立軟件安全開(kāi)發(fā)模型。
E3.3設(shè)計(jì)階段
E3.3.1概要設(shè)計(jì)
a) 概要設(shè)計(jì)說(shuō)明書(shū)中應(yīng)明確基于軟件安全威脅分析的安全要求。
b) 當(dāng)開(kāi)發(fā)場(chǎng)景適用時(shí)，概要設(shè)計(jì)說(shuō)明書(shū)中應(yīng)明確抗抵賴、安全標(biāo)記、可信路徑等安全功能要
求。
E3.3.2詳細(xì)設(shè)計(jì)
依據(jù)安全要求和概要設(shè)計(jì)說(shuō)明書(shū)，明確基于軟件安全威脅分析進(jìn)行詳細(xì)設(shè)計(jì)。
E3.4編碼階段
采用自動(dòng)化工具對(duì)代碼安全漏洞進(jìn)行審查，對(duì)于發(fā)現(xiàn)的漏洞能有效修復(fù)，并形成審查報(bào)告。
E3.5測(cè)試階段
E3.5.1單元測(cè)試
對(duì)單元測(cè)試結(jié)果進(jìn)行分析，形成分析報(bào)告。
E3.5.2集成測(cè)試
對(duì)集成測(cè)試結(jié)果進(jìn)行分析，形成分析報(bào)告。
E3.5.3系統(tǒng)測(cè)試
基于軟件項(xiàng)目的安全要求，制定系統(tǒng)滲透性測(cè)試方案，模擬攻擊場(chǎng)景，對(duì)系統(tǒng)安全性進(jìn)行測(cè)試，
并形成分析報(bào)告。
E3.6驗(yàn)收階段
E3.6.1系統(tǒng)試運(yùn)行
a) 提供三個(gè)月以上的試運(yùn)行記錄和報(bào)告。
b) 綜合軟件系統(tǒng)試運(yùn)行狀態(tài)，建立軟件系統(tǒng)運(yùn)行策略和安全指南。
E3.6.2驗(yàn)收交付
提交軟件產(chǎn)品第三方安全測(cè)評(píng)報(bào)告或安全認(rèn)證證書(shū)。
E3.7維保階段
a) 制定軟件健康檢查計(jì)劃、方案，定期實(shí)施，提交相應(yīng)的系統(tǒng)健康檢查報(bào)告、巡檢報(bào)告。
b) 根據(jù)健康檢查報(bào)告進(jìn)行分析，持續(xù)優(yōu)化系統(tǒng)。

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全軟件安全開(kāi)發(fā)服務(wù)資質(zhì)一級(jí)申請(qǐng)咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 信息安全軟件安全開(kāi)發(fā)服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.

E2 信息安全軟件安全開(kāi)發(fā)服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求
組織申報(bào)二級(jí)資質(zhì)，除滿足三級(jí)能力要求外，還應(yīng)滿足以下要求：
E2.1準(zhǔn)備階段
a) 建立軟件安全開(kāi)發(fā)項(xiàng)目風(fēng)險(xiǎn)管理機(jī)制，對(duì)軟件項(xiàng)目進(jìn)行風(fēng)險(xiǎn)評(píng)估。
b) 使用配置管理工具對(duì)軟件項(xiàng)目進(jìn)行配置管理。
c) 配備專職的測(cè)試人員。
d) 建立獨(dú)立的測(cè)試環(huán)境，確保測(cè)試環(huán)境與開(kāi)發(fā)環(huán)境隔離。
E2.2需求階段
a) 準(zhǔn)確識(shí)別和綜合分析軟件項(xiàng)目在可用性、完整性、真實(shí)性、機(jī)密性、不可否認(rèn)性、可控性
和可靠性等方面的安全需求。
b) 對(duì)于數(shù)據(jù)采集、產(chǎn)生、使用，明確識(shí)別安全保護(hù)要求。
c) 基于客戶需求，開(kāi)展需求分析，編制具有軟件安全需求的分析報(bào)告。
d) 需求分析報(bào)告中明確項(xiàng)目開(kāi)發(fā)中使用的安全技術(shù)標(biāo)準(zhǔn)、規(guī)范。
E2.3設(shè)計(jì)階段
E2.3.1概要設(shè)計(jì)
概要設(shè)計(jì)說(shuō)明書(shū)應(yīng)明確數(shù)據(jù)完整性和保密性、通信完整性和保密性、軟件容錯(cuò)、資源控制等安
全功能要求。
E2.3.2詳細(xì)設(shè)計(jì)
詳細(xì)設(shè)計(jì)說(shuō)明書(shū)中應(yīng)包含對(duì)數(shù)據(jù)產(chǎn)生、傳輸、存儲(chǔ)、使用、處理和歸檔安全方面的詳細(xì)設(shè)計(jì)。
E2.4編碼階段
軟件代碼的安全檢查、評(píng)審工作應(yīng)形成記錄。
E2.5測(cè)試階段
E2.5.1單元測(cè)試
a) 明確單元測(cè)試策略，制定單元測(cè)試計(jì)劃。
b) 依據(jù)詳細(xì)設(shè)計(jì)說(shuō)明書(shū)和測(cè)試計(jì)劃進(jìn)行單元測(cè)試設(shè)計(jì)，并執(zhí)行單元測(cè)試，形成測(cè)試記錄。
E2.5.2集成測(cè)試
a) 明確集成測(cè)試策略，制定集成測(cè)試計(jì)劃。
b) 依據(jù)概要設(shè)計(jì)方案和測(cè)試計(jì)劃進(jìn)行集成測(cè)試設(shè)計(jì)，并執(zhí)行集成測(cè)試，形成測(cè)試記錄。
E2.5.3系統(tǒng)測(cè)試
a) 制定包括系統(tǒng)安全性測(cè)試在內(nèi)的測(cè)試計(jì)劃，并執(zhí)行系統(tǒng)測(cè)試，形成測(cè)試記錄。
b) 基于軟件安全功能的安全要求，制定脆弱性測(cè)試方案，對(duì)安全漏洞進(jìn)行測(cè)試，形成測(cè)試記
錄。
c) 對(duì)系統(tǒng)測(cè)試結(jié)果進(jìn)行分析，形成分析報(bào)告。
E2.6驗(yàn)收階段
E2.6.1系統(tǒng)試運(yùn)行
試運(yùn)行結(jié)束后，制定系統(tǒng)試運(yùn)行報(bào)告，并提交客戶。
E2.6.2驗(yàn)收交付
提交軟件安全測(cè)評(píng)報(bào)告。
E2.7維保階段
a) 制定系統(tǒng)運(yùn)行計(jì)劃、安全事件響應(yīng)計(jì)劃、安全事件應(yīng)急預(yù)案，建立應(yīng)急響應(yīng)服務(wù)保障團(tuán)隊(duì)。
b) 及時(shí)應(yīng)對(duì)突發(fā)安全事件，并向用戶提供安全事件解決報(bào)告。

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全軟件安全開(kāi)發(fā)服務(wù)資質(zhì)二級(jí)申請(qǐng)咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 信息安全軟件安全開(kāi)發(fā)服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.