软件安全开发成熟度评估技术规范.pdfVIP

软件研发安全成熟度评估技术规范

1.范围

本标准定义了软件安全开发成熟度的评估模型和评估体系，从54个基本安全实践的执

行频率、覆盖度及执行质量进行量化评估，为软件研发安全成熟度评估及自主提升软件研发

安全成熟度水平提供标准和依据，适用于：

a.第三方对软件研发单位开展软件研发安全成熟度评估认证；

b.软件研发单位自主提升软件研发安全成熟度水平。

2.规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标注日

期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包

括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇

GB/T19000-2016质量管理体系基础和术语

GB/T20261-2020信息安全技术系统安全工程能力成熟度模型

GB/T28458-2020信息安全技术网络安全漏洞标识与描述规范

GB/T24363-2009信息安全技术信息安全应急响应计划规范

3.术语和定义

GB/T25069-2010、GB/T29246-2017、GB/T19000-2016、GB/T20261-2020、GB/T

28458-2020、GB/T24363-2009界定的以及下列术语和定义适用于本文件。

3.1.软件生命周期softwarelifecycle

软件产品从构思开始到软件停止使用为止的时间周期。软件生命周期在组织中典型地包

括：需求阶段、设计阶段、实现阶段、测试阶段、部署阶段或发布阶段、操作和维护阶段，

有时还包括销毁阶段。

1

3.2.软件研发安全softwaresecuritydevelopment

识别软件生命周期中潜在的安全威胁，对信息和数据进行保护的一组技术状态管理活动。

3.3.保密性confidentiality

使信息不泄漏给未授权的个人、实体、进程，或不被其利用的特性。

[来源：GB/T25069-2010，2.1.1]

3.4.完整性integrity

准确和完备的特性。

[来源：GB/T29246-2017，2.40]

3.5.可用性availability

已授权实体一旦需要就可访问和使用的数据和资源的特性。

[来源：GB/T25069-2010，2.1.20]

3.6.安全开发能力securitydevelopmentcapability

组织在组织建设、制度流程、技术工具以及人员能力等方面对安全开发的保障。

3.7.能力成熟度capabilitymaturity

对一个组织有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可

信度的水平。

3.8.能力成熟度模型capabilitymaturitymodel

对一个组织的能力成熟度进行度量的模型，包括一系列代表能力和进展的特征、属性、

指示或者模式。

3.9.安全过程securityprocess

用于实现某一安全目标的完整过程，该过程包含输入和输出。

2

3.10.基本实践basepractice

实现某一安全目标的安全开发相关活动。

3.11.安全域processarea

实现同一安全目标的相关安全开发基本实践的集合。

3.12.基础实践foundationpractice

在评估中用于不能清晰界定属于某一安全安全域而重要且基础的安全开发相关活动。

3.13.评估assessment

对于某一产品、系统或服务，对照某一标准，采用相应的评估方法，以建立合规性并确

定其所做是否得到确保的验证。

3.14.过程process

利用输入实现预期结果的相互关联或相互作用的一组活动。

[来源：GB/T19000-2016，3.4.1]

3.15.基线baseline

经过一个正式评审并通过的规约或产品，作为后续开发的基础。对其变