ISCCCQOT0440-软件安全开发服务资质认证审核记录表.docxVIP

ISCCCQOT0440-软件安全开发服务资质认证审核记录表.docx

  1. 1、本文档共11页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

软件安全开发服务资质认证审核记录表

组织名称

申请类别/级别

审核时间

受审核部门/人员

序号

要点

条款

需提供证明材料

审核结果

审核记录

不符

需观察

1.

服务技术要求

4.1.7/4.2.8/4.3.8a)建立软件安全开发服务流程。

按照相关标准建立软件安全开发服务流程,流程图中应包括每个阶段对应的职责、输入输出等。

2.

4.1.7/4.2.8/4.3.8b)制定软件安全开发服务规范并按照规范实施。

制定软件安全开发服务规范并按照规范实施。

3.

准备阶段

El.la)建立软件项目安全开发团队,明确各岗位、人员、职责。

查验项目人员管理文件,抽查项目,查验项目安全开发组织机构、人员配备、角色职责,是否明确安全管理人员及职责。

4.

El.lb)制定软件项目安全开发管理计划,明确开发过程管控措施。

抽查项目,查验安全开发计划,明确里程碑管理、进度、管控措施等,内容包括安全要素。

5.

El.lc)建立软件开发的配置管理计划,

抽查项目,查验配置管理计划,内容

序号

要点

条款

需提供证明材料

审核结果

审核记录

不符合

需观察

明确配置管理的安全要求。

包括但不限于CM人员构成、配置库结构、配置活动计划、等级、角色、权

限等。

6.

El.ld)建立变更控制制度,明确软件项目变更控制的安全要求。

查验变更控制制度,抽查项目,查验变更过程控制记录,内容应覆盖审核条款的要求,变更的记录单,记录单中的内容应包含变更申请,审批,执行,执行后的评价结果。

7.

El.le)制定软件项目安全培训计划,对相关人员进行安全培训。

查验培训管理制度,抽查项目,查验安全培训计划和记录。

8.

El.lf)建立独立的开发环境,确保开发环境与运行环境隔离。

查验软件开发规范,现场查看开发环境和运行环境。

9.

E2.1a)仅二级/一级要求:建立软件安全开发项目风险管理机制,对软件项目进行风险评估。

查验风险管理制度,抽查项目,查验风险分析报告,内容应覆盖审核条款的要求。

10.

E2.1b)仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。

抽查项目,现场查验配置管理工具使用情况。

11.

E2.1c)仅二级/一级要求:配备专职的测试人员。

抽查项目,查验人员管理文件,内容应覆盖审核条款的要求。

12.

E2.1d)仅二级/一级要求:建立独立的测试环境,确保测试环境与开发环境隔

抽查项目,现场查看开发环境和测试环境。

序号

要点

条款

需提供证明材料

审核结果

审核记录

不符合

需观察

离。

13.

E3.1a)仅一级要求:建立软硬件设备和工具等资源安全使用规范。

查验资源安全使用规范;抽查项目,查验资源配备计划,内容应覆盖审核条款的要求。

14.

E3.1b)仅一级要求:配备安全管理人员。

查验安全管理专职人员的任命文件,抽查项目相关的安全监控记录。

15.

E3.1c)仅一级要求:建立变更控制委员会。

查验变更控制委员会成员构成与职责规定文件。

16.

需求阶段

EL2a)调研项目背景信息,收集项目需求,明确软件功能、性能及安全方面的要求。

查验需求阶段控制程序文件;抽查项目,查验需求阶段项目文档,内容应覆盖审核条款的要求。

需求阶段项目文档包括可行性报告、招标文件、需求分析报告等。

17.

E1.2b)结合软件项目需求、安全需求,与客户充分沟通,达成共识并形成记录。

抽查项目,查验与客户沟通的记录。

18.

19.

E2.2a)仅二级/一级要求:准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。

E2.2b)仅二级/一级要求:对于数据采集、产生、使用,明确识别安全保护要

抽查项目,查验需求分析报告,内容应覆盖审核条款的要求。

序号

要点

条款

需提供证明材料

审核结果

审核记录

不符合

需观察

求。

20.

E2.2c)仅二级/一级要求:基于客户需求,开展需求分析,编制具有软件安全需求的分析报告。

21.

E2.2d)仅二级/一级要求:需求分析报告中明确项目开发中使用的安全技术标

准、规范。

22.

E3.2a)仅一级要求:应基于软件安全威胁开展需求分析。

23.

E3.2b)仅一级要求:基于软件项目需求分析建立软件安全开发模型。

24.

设计阶段

EL3a)根据软件项目需求,编制软件设计说明书。

查验设计阶段控制程序文件;抽查项目,查验软件设计说明书,内容应覆盖审核条款的要求。

25.

E1.3b)软件设计说明书明确系统/子

文档评论(0)

131****2653 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档