软件安全开发服务资质专业评价要求针对准备、需求、设计、编码、测试、验收和维保七个阶 段进行,具体分级要求如下:
一、准备阶段
1、建立软件项目安全开发团队,明确各岗位、人员、职责;
2、制定软件项目安全开发管理计划,明确开发过程管控措施;
3、建立软件开发的配置管理计划,明确配置管理的安全要求;
4、建立变更控制制度,明确软件项目变更控制的安全要求;
5、制定软件项目安全培训计划,对相关人员进行安全培训;
6、建立独立的开发环境,确保开发环境与运行环境隔离;
二、需求阶段
1、调研项目背景信息,收集项目需求,明确软件功能、性能及安全性要求;
2、结合软件项目需求、安全需求,与用户充分沟通,达成共识并形成记录;
三、设计阶段
1、根据软件项目需求,编制软件设计方案、设计说明书;
2、软件设计方案明确系统/子系统的功能和非功能设计要求;
3、软件设计方案明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管理等;
四、编码阶段
1、制定统一的代码安全编码规范,确保开发人员参照规范安全编码;
2、依据详细设计说明书,对软件进行安全编码;
3、软件代码要经过安全检查、评审,对于发现的漏洞能有效修复;
五、测试阶段
1、依据软件设计方案、设计说明书对软件功能、安全功能进行测试;
2、对测试过程中发现的漏洞进行分析并有效修复;
六、验收阶段
1、系统试运行
①、测试系统运行的可靠性、稳定性和安全性,进行试运行,并记录系统运行状况,试运行周期至少一个月;
②、基于系统试运行相关记录,及时对软件进行调整、维护。
2、验收交付
①、根据合同约定,向客户提交完整的项目资料及交付物,并提出验收申请;
②、根据合同约定,进行项目验收,形成项目验收报告;
七、维保阶段
对于影响软件系统安全、稳定运行的缺陷,及时有效采取打补丁、版本升级等方式予以消除,并提供远程技术支持服务