序

要点

条款

证明材料

服务技术要求

建立软件安全开发服务流程。

软件安全开发服务流程，流程图中应包括每个阶段对应的职责、输入输出等。

1.        

制定软件安全开发服务规范并按照规范实施。

软件安全开发服务规范并按照规范实施。

2.        

准备阶段

制定软件项目安全开发管理计划，明确开发过程管控措施。

项目开发计划，计划中应包含安全开发的内容。

3.        

建立软件开发的配置管理计划，明确配置管理的安全要求。

项目配置管理计划，包含安全相关活动。提供配置管理相关记录。

4.        

建立变更控制制度，明确软件项目变更控制的安全要求。

变更控制管理制度，提供项目变更控制记录，变更的记录单，记录单中的内容应包含变更申请，审批，执行，执行后的评价结果。

5.        

仅二级/一级要求：建立软件安全开发项目风险管理机制，对软件项目进行风险评估。

风险管理制度、风险管理计划、风险分析报告。

6.        

需求阶段

调研项目背景信息，收集项目需求，明确软件功能、性能及安全方面的要求。

需求阶段控制程序文件；需求阶段项目文档，包括可行性报告、招标文件、需求分析报告等，需求文档的内容应涉及软件功能、性能及安全性要求。

7.        

仅二级/一级要求：基于客户需求，开展需求分析，编制具有软件安全需求的分析报告。

需求分析报告

8.        

仅二级/一级要求：需求分析报告中明确项目开发中使用的安全技术标准、规范。

9.        

仅一级要求：应基于软件安全威胁开展需求分析。

10.     

仅一级要求：基于软件项目需求分析建立软件安全开发模型。

11.     

设计阶段

根据软件项目需求，编制软件设计说明书。

设计阶段控制程序文件；提供软件设计说明书，内容应覆盖条款的要求。

12.     

软件设计说明书明确系统/子系统的功能和非功能设计要求。

13.     

软件设计说明书明确包含安全功能要求，包括标识与鉴别、访问控制、安全审计和安全管理等。

14.     

仅二级/一级要求：概要设计说明书应明确数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等安全功能要求。

设计阶段控制程序文件；提供概要设计说明书，内容应覆盖条款的要求。

15.     

仅一级要求：概要设计说明书中应明确基于软件安全威胁分析的安全要求。

16.     

仅一级要求：当开发场景适用时，概要设计说明书中应明确抗抵赖、安全标记、可信路径等安全功能要求。

17.     

仅二级/一级要求：详细设计说明书中应包含对数据产生、传输、存储、使用、处理和归档安全方面的详细设计。

详细设计说明书，内容应覆盖条款的要求。

18.     

仅一级要求：依据安全要求和概要设计说明书，明确基于软件安全威胁分析进行详细设计。