CCRC信息安全服务资质认证 软件安全开发服务资质专业评价要求
- 供应商
- 天津盛唐技术服务有限公司
- 认证
- 联系电话
- 15502204143
- 手机号
- 15502204143
- 联系人
- 胡老师
- 所在地
- 天津市南开区长江道23号院内二楼
- 更新时间
- 2026-04-04 07:08
软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。本文将详细介绍软件安全开发服务资质专业评价要求。
01、三级要求
01
准备阶段
a)建立软件项目安全开发团队,明确各岗位、人员、职责。
b)制定软件项目安全开发管理计划,明确开发过程管控措施。
c)建立软件开发的配置管理计划,明确配置管理的安全要求。
d)建立变更控制制度,明确软件项目变更控制的安全要求。
e)制定软件项目安全培训计划,对相关人员进行安全培训。
f)建立独立的开发环境,确保开发环境与运行环境隔离。
02
需求阶段
a)调研项目背景信息,收集项目需求,明确软件功能、性能及安全方面的要求。
b)结合软件项目需求、安全需求,与用户充分沟通,达成共识并形成记录。
03
设计阶段
a)根据软件项目需求,编制软件设计说明书。
b)软件设计说明书明确系统/子系统的功能和非功能设计要求。
c)软件设计说明书明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管理等。
04
编码阶段
a)制定统一的代码安全编码规范,确保开发人员参照规范安全编码。
b)依据详细设计说明书,对软件进行安全编码。
c)软件代码要经过安全检查、评审,对于发现的漏洞能有效修复。
05
测试阶段
a)依据软件设计说明书对软件功能、安全功能进行测试。
b)对测试发现的漏洞进行分析并有效修复。
06
验收阶段
系统试运行
a)测试系统运行的可靠性、稳定性和安全性,进行试运行,并记录系统运行状况,试运行周期至少一个月。
b)基于系统试运行相关记录,及时对软件进行调整、维护。
验收交付
a)根据合同约定,向客户提交完整的项目资料及交付物,并提出验收申请。
b)根据合同约定,进行项目验收,形成项目验收报告。
07
维保阶段
a)对于影响软件系统安全、稳定运行的缺陷,及时有效采取打补丁、版本升级等方式予以消除,并提供远程技术支持服务。
02、二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
01
准备阶段
a)建立软件安全开发项目风险管理机制,对软件项目进行风险评估。
b)使用配置管理工具对软件项目进行配置管理。
c)配备专职的测试人员。
d)建立独立的测试环境,确保测试环境与开发环境隔离。
02
需求阶段
a)准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。
b)对于数据采集、产生、使用,明确识别安全保护要求。
c)基于客户需求,开展需求分析,编制具有软件安全需求的分析报告。
d)需求分析报告中明确项目开发中使用的安全技术标准、规范。
03
设计阶段
a)概要设计说明书应明确数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等安全功能要求。
b)详细设计说明书中应包含对数据产生、传输、存储、使用、处理和归档安全方面的详细设计。
04
编码阶段
a)软件代码的安全检查、评审工作应形成记录。
05
测试阶段
单元测试
a)明确单元测试策略,制定单元测试计划。
b)依据详细设计说明书和测试计划进行单元测试设计,并执行单元测试,形成测试记录。
集成测试
a)明确集成测试策略,制定集成测试计划。
b)依据概要设计方案和测试计划进行集成测试设计,并执行集成测试,形成测试记录。
系统测试
a)制定包括系统安全性测试在内的测试计划,并执行系统测试,形成测试记录。
b)基于软件安全功能的安全要求,制定脆弱性测试方案,对安全漏洞进行测试,形成测试记录。
c)对系统测试结果进行分析,形成分析报告。
06
验收阶段
a)试运行结束后,制定系统试运行报告,并提交客户。
b)提交软件安全测评报告。
07
维保阶段
a)制定系统运行计划、安全事件响应计划、安全事件应急预案,建立应急响应服务保障团队。
b)及时应对突发安全事件,并向用户提供安全事件解决报告。
03、一级要求
组织申报一级资质,除满足二级能力要求外,还应满足以下要求:
01
准备阶段
a)建立软硬件设备和工具等资源安全使用规范。
b)配备安全管理人员。
c)建立变更控制委员会。
02
需求阶段
a)应基于软件安全威胁开展需求分析。
b)基于软件项目需求分析建立软件安全开发模型。
03
设计阶段
a)概要设计说明书中应明确基于软件安全威胁分析的安全要求。
b)当开发场景适用时,概要设计说明书中应明确抗抵赖、安全标记、可信路径等安全功能要求。
c)依据安全要求和概要设计说明书,明确基于软件安全威胁分析进行详细设计。
04
编码阶段
a)采用自动化工具对代码安全漏洞进行审查,对于发现的漏洞能有效修复,并形成审查报告。
05
测试阶段
a)对单元测试结果进行分析,形成分析报告。
b)对集成测试结果进行分析,形成分析报告。
c)基于软件项目的安全要求,制定系统渗透性测试方案,模拟攻击场景,对系统安全性进行测试,并形成分析报告。
06
验收阶段
a)提供三个月以上的试运行记录和报告。
b)综合软件系统试运行状态,建立软件系统运行策略和安全指南。
c)提交软件产品第三方安全测评报告或安全认证证书。
07
维保阶段
a)制定软件健康检查计划、方案,定期实施,提交相应的系统健康检查报告、巡检报告。
b)根据健康检查报告进行分析,持续优化系统。
天津盛唐技术服务有限公司是军通集团旗下的技术服务机构。机构的核心业务有两大板块:一、认证咨询服务;二、智能制造咨询服务。专业从事各类管理体系认证、产品认证、生产许可证、高新企业、建工资质认定及管理培训。公司秉承“、诚信、优质”的经营方针,为客户提供高效、个性化的认证咨询服务。
