信息安全软件安全开发服务资质二级评价要求

Date12 8月 2019

信息安全软件安全开发服务资质二级评价要求针对准备、需求、设计、编码、测试、验收和维保七个阶
段进行，具体分级要求如下：

E2 信息安全软件安全开发服务资质二级评价要求
组织申报二级资质，除满足三级能力要求外，还应满足以下要求：
E2.1准备阶段
a) 建立软件安全开发项目风险管理机制，对软件项目进行风险评估。
b) 使用配置管理工具对软件项目进行配置管理。
c) 配备专职的测试人员。
d) 建立独立的测试环境，确保测试环境与开发环境隔离。
E2.2需求阶段
a) 准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性
和可靠性等方面的安全需求。
b) 对于数据采集、产生、使用，明确识别安全保护要求。
c) 基于客户需求，开展需求分析，编制具有软件安全需求的分析报告。
d) 需求分析报告中明确项目开发中使用的安全技术标准、规范。
E2.3设计阶段
E2.3.1概要设计
概要设计说明书应明确数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等安
全功能要求。
E2.3.2详细设计
详细设计说明书中应包含对数据产生、传输、存储、使用、处理和归档安全方面的详细设计。
E2.4编码阶段
软件代码的安全检查、评审工作应形成记录。
E2.5测试阶段
E2.5.1单元测试
a) 明确单元测试策略，制定单元测试计划。
b) 依据详细设计说明书和测试计划进行单元测试设计，并执行单元测试，形成测试记录。
E2.5.2集成测试
a) 明确集成测试策略，制定集成测试计划。
b) 依据概要设计方案和测试计划进行集成测试设计，并执行集成测试，形成测试记录。
E2.5.3系统测试
a) 制定包括系统安全性测试在内的测试计划，并执行系统测试，形成测试记录。
b) 基于软件安全功能的安全要求，制定脆弱性测试方案，对安全漏洞进行测试，形成测试记
录。
c) 对系统测试结果进行分析，形成分析报告。
E2.6验收阶段
E2.6.1系统试运行
试运行结束后，制定系统试运行报告，并提交客户。
E2.6.2验收交付
提交软件安全测评报告。
E2.7维保阶段
a) 制定系统运行计划、安全事件响应计划、安全事件应急预案，建立应急响应服务保障团队。
b) 及时应对突发安全事件，并向用户提供安全事件解决报告。