序號

要點(diǎn)

條款

證明材料

服務(wù)技術(shù)要求

建立軟件安全開發(fā)服務(wù)流程。

軟件安全開發(fā)服務(wù)流程，流程圖中應(yīng)包括每個(gè)階段對應(yīng)的職責(zé)、輸入輸出等。

1.        

制定軟件安全開發(fā)服務(wù)規(guī)范并按照規(guī)范實(shí)施。

軟件安全開發(fā)服務(wù)規(guī)范并按照規(guī)范實(shí)施。

2.        

準(zhǔn)備階段

制定軟件項(xiàng)目安全開發(fā)管理計(jì)劃，明確開發(fā)過程管控措施。

項(xiàng)目開發(fā)計(jì)劃，計(jì)劃中應(yīng)包含安全開發(fā)的內(nèi)容。

3.        

建立軟件開發(fā)的配置管理計(jì)劃，明確配置管理的安全要求。

項(xiàng)目配置管理計(jì)劃，包含安全相關(guān)活動。提供配置管理相關(guān)記錄。

4.        

建立變更控制制度，明確軟件項(xiàng)目變更控制的安全要求。

變更控制管理制度，提供項(xiàng)目變更控制記錄，變更的記錄單，記錄單中的內(nèi)容應(yīng)包含變更申請，審批，執(zhí)行，執(zhí)行后的評價(jià)結(jié)果。

5.        

僅二級/一級要求：建立軟件安全開發(fā)項(xiàng)目風(fēng)險(xiǎn)管理機(jī)制，對軟件項(xiàng)目進(jìn)行風(fēng)險(xiǎn)評估。

風(fēng)險(xiǎn)管理制度、風(fēng)險(xiǎn)管理計(jì)劃、風(fēng)險(xiǎn)分析報(bào)告。

6.        

需求階段

調(diào)研項(xiàng)目背景信息，收集項(xiàng)目需求，明確軟件功能、性能及安全方面的要求。

需求階段控制程序文件；需求階段項(xiàng)目文檔，包括可行性報(bào)告、招標(biāo)文件、需求分析報(bào)告等，需求文檔的內(nèi)容應(yīng)涉及軟件功能、性能及安全性要求。

7.        

僅二級/一級要求：基于客戶需求，開展需求分析，編制具有軟件安全需求的分析報(bào)告。

需求分析報(bào)告

8.        

僅二級/一級要求：需求分析報(bào)告中明確項(xiàng)目開發(fā)中使用的安全技術(shù)標(biāo)準(zhǔn)、規(guī)范。

9.        

僅一級要求：應(yīng)基于軟件安全威脅開展需求分析。

10.     

僅一級要求：基于軟件項(xiàng)目需求分析建立軟件安全開發(fā)模型。

11.     

設(shè)計(jì)階段

根據(jù)軟件項(xiàng)目需求，編制軟件設(shè)計(jì)說明書。

設(shè)計(jì)階段控制程序文件；提供軟件設(shè)計(jì)說明書，內(nèi)容應(yīng)覆蓋條款的要求。

12.     

軟件設(shè)計(jì)說明書明確系統(tǒng)/子系統(tǒng)的功能和非功能設(shè)計(jì)要求。

13.     

軟件設(shè)計(jì)說明書明確包含安全功能要求，包括標(biāo)識與鑒別、訪問控制、安全審計(jì)和安全管理等。

14.     

僅二級/一級要求：概要設(shè)計(jì)說明書應(yīng)明確數(shù)據(jù)完整性和保密性、通信完整性和保密性、軟件容錯(cuò)、資源控制等安全功能要求。

設(shè)計(jì)階段控制程序文件；提供概要設(shè)計(jì)說明書，內(nèi)容應(yīng)覆蓋條款的要求。

15.     

僅一級要求：概要設(shè)計(jì)說明書中應(yīng)明確基于軟件安全威脅分析的安全要求。

16.     

僅一級要求：當(dāng)開發(fā)場景適用時(shí)，概要設(shè)計(jì)說明書中應(yīng)明確抗抵賴、安全標(biāo)記、可信路徑等安全功能要求。

17.     

僅二級/一級要求：詳細(xì)設(shè)計(jì)說明書中應(yīng)包含對數(shù)據(jù)產(chǎn)生、傳輸、存儲、使用、處理和歸檔安全方面的詳細(xì)設(shè)計(jì)。

詳細(xì)設(shè)計(jì)說明書，內(nèi)容應(yīng)覆蓋條款的要求。

18.     

僅一級要求：依據(jù)安全要求