认证中心软件开发安全系统自评估表
信息安全服务资质认证自评估表-公共管理
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
服务资质认证自评估表填写规范
编码:ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期:2017 年9 月 1 日生效日期:2017 年 9月 1日主责处室:体系与服务认证部批准:张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范,确保申请组织的自评价材料基本信息清晰明了。
2适用范围适用于所有服务资质申请企业。
3职责申请组织相关人员填写自评估表。
4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息:所提供的财务审计或者财务报告的年份,对于财务审核报告需填写所出具的会计事务所名称,需填写收入、净利润等信息。
4.1.2、办公场所填写内容包含以下信息:房屋产权证或房屋租赁合同;产权人/出租人、地址、面积、租期。
4.1.3、人员能力填写内容包含以下信息:1)填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
2)填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
3)填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
4)填写信息安全服务人员数量,养老保险证明出具单位及出具时间,劳动合同的签订时间及有效期。
5)信息安全专业保障人员认证证书,填写获证人员名称、证书编号、发证日期、有效期。
6)填写项目经理人员数量,人员的名称、证书名称、证书编号等。
4.1.4、业绩填写内容包含以下信息:1)填写首个信息安全服务(与申报类别一致)项目名称、合同签订时间、项目验收时间。
2)填写近三年信息安全服务项目(与申报类别一致)名称、合同金额、合同签订时间、验收时间、项目服务内容等。
4.1.5、服务管理填写内容包含以下信息:1)填写人员管理程序,内容应包含岗位职责,人员任前、中、后的监督、考核、评价、奖惩方式,信息安全服务相关技术岗位的能力指标。
信息系统安全集成服务资质认证自评估表.doc
25.
安全保障-系统试运行
为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试运行周期至少一个月。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统试运行记录。
26.
仅二级/一级要求:试运行结束后,项目组制定系统试运行报告,并提交客户。
仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制需求分析报告。
6.
仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
7.
集成准备-签订服务协议
与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
2.
基于系统建设需求,提出产品选型方案和建设预算。
3.
结合系统建设和安全需求,与客户、设计、开发等充分沟通,达成共识并形成记录。
4.
仅二级/一级要求:准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系统安全保障策略和建议。
系统安全需求分析报告,内容应覆盖审核条款要求。
5.
29.
仅一级要求:提供三个月以上的试运行记录和报告。
30.
安全保障-验收
根据合同约定,配合组织项目验收,出具项目验收报告。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。项目终验报告。
自评估结论:
经自主评估,本单位的信息系统安全集成服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方评审。
仅二级/一级要求:产品、设备安装调试过程中,应完整妥善记录相关信息,并提交完工报告。
信息系统安全集成服务资质认证自评估表
3・
4.
5.
6.
集成准备・ 需求调研 与分析
调研客户背景信息,采集系统建设需求 和建设目标,明确系统功能、性能及安 全性要求。
准备阶段控制程序文件,包括明确工 作内容、流程、方法、文档模板,内 容至少包括需求调研、分析、评审, 产品选型,财务预算。提供投标文件、 项目文档等证明。
仅一级要求:对于新建系统,建设实施 过程应重点关注信息系统的功能、性能 和安全性等方而要求。对于系统改造, 还应考虑改造前技术测试验证及在实 施失败后的回退措施。技术测试验证需 要考虑新旧系统的兼容问题,包括网络 兼容、系统兼容、应用兼容等。
序 号
17.
要点
条款
需提供证明材料
自评估 结论
证明材料清单
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门从员
序 号
要点
条款
需提供证明材料
自评估
结论
证明材料清单
符 合
不 符 合
1・
2.
技术服务 要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图 中应包括每个阶段对应的职责、输入 输岀等。
制左信息系统安全集成服务规范并按 照规范实施。
审核条款要求。
仅二级/一级要求:基于客户需求和投 入能力,开展需求分析,编制需求分析 报告。
仅一级要求:协助客户有效识别系统建 设过程中的政策、法律和约束条件,有 效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险 评估报告。
9.
10.
11.
12.
方案设计
根据系统建设安全需求,编制安全集成 技术方案。
安全系统评估表
安全系统评估表
安全系统评估表是用于评估安全系统的性能和安全性的文件。
该表格通常包含以下内容:
1. 评估范围:明确评估的系统、组件或应用程序的范围。
2. 安全目标:列出安全系统需要达到的目标,例如保密性、完整性和可用性。
3. 评估方法:说明用于评估安全系统的方法和技术。
4. 安全风险分析:分析可能的威胁和风险,并对其进行评估。
5. 安全控制措施:列出已经实施的安全控制措施,用于降低安全风险。
6. 安全策略和程序:描述组织中的安全策略和流程,以及员工和用户应遵守的安全规定。
7. 安全测试结果:列出对安全系统进行的测试,并记录测试结果。
8. 漏洞和安全隐患:记录发现的漏洞和安全隐患,并提出相应的修复建议。
9. 安全性能评估:评估系统在满足安全目标方面的性能表现,并记录评估结果。
10. 安全改进计划:基于评估结果提出改进建议,并列出计划的实施时间和责任人。
通过填写安全系统评估表,能够系统地评估和改进安全系统,提高系统的安全性和可靠性。
安全性评估表格
安全性评估表格
安全性评估表格通常包含以下几个方面的内容:
1. 安全风险评估:对系统、应用程序或设备中可能存在的安全风险进行评估,包括物理风险、网络风险、数据安全风险等。
2. 安全威胁分析:对系统、应用程序或设备可能面临的各种安全威胁进行分析,包括黑客攻击、恶意软件、社会工程等。
3. 安全控制措施:列出已经实施或将要实施的各种安全控制措施,包括访问控制、加密、防火墙、入侵检测系统等。
4. 安全漏洞和风险评估:对系统、应用程序或设备中可能存在的安全漏洞和风险进行评估,包括弱密码、未更新的软件、不安全的配置等。
5. 安全事件响应计划:制定一份安全事件响应计划,明确安全事件发生时的应对措施和责任分工。
6. 安全培训与意识:列出为员工提供的安全培训计划,包括安全意识培训、网络安全培训等。
7. 安全政策与合规性:列出组织的安全政策和合规性要求,并评估其与实际情况的符合程度。
8. 安全审计与监测:制定一套安全审计和监测机制,确保对系统、应用程序或设备的安全管理和监控。
以上是一个安全性评估表格的基本内容,可以根据具体的需求和情况进行适当的调整和补充。
系统安全性评估表
系统安全性评估表1. 引言系统安全性评估是评估一个系统在安全方面的强弱和风险的过程。
本文档将对系统进行全面的安全性评估,以便确保系统的隐私和数据的保密性。
评估过程将包括系统的架构、身份验证、访问控制、数据加密和漏洞扫描等方面的考虑。
2. 系统架构评估2.1 网络拓扑系统的网络拓扑结构是确保安全性的关键。
需要评估网络的边界设置、内部网络的隔离、网络设备的安全配置等方面。
2.2 系统组件对系统的各个组件进行评估,包括服务器、数据库和客户端等。
需要确保每个组件都有足够的安全保护措施。
3. 身份验证评估身份验证是系统安全的一项基础措施。
评估系统的身份验证机制,包括密码策略、双因素认证和访问控制等。
需要确保身份验证过程安全可靠。
4. 访问控制评估评估系统的访问控制策略,包括用户权限的分配、角色管理和访问审计等。
需要确保只有授权用户能够访问系统的相关资源。
5. 数据加密评估对系统的数据加密方案进行评估。
包括传输过程中的数据加密、存储数据的加密、以及密钥管理等方面。
需要确保系统中的敏感数据得到足够的保护。
6. 漏洞扫描评估对系统进行漏洞扫描,评估系统是否存在已知的安全漏洞,以及采取了哪些补救措施。
需要及时修复潜在的漏洞,以避免被黑客利用。
7. 结论通过对系统的安全性评估,我们可以得到系统存在的潜在风险和安全性弱点。
针对这些问题,我们需要采取相应的安全措施和控制策略,以确保系统的安全性和可靠性。
同时,建议定期进行安全性评估,以保持系统的稳定和安全。
8. 参考文献在编写本文档的过程中参考了以下文献:。
软件安全开发服务资质认证自评价表
编码。
措施文档。
软件代码要经过安全检查、评审,对于 提供代码检查、评审、漏洞修复过程的相
发现的漏洞能有效修复。
关文档。
仅二级/一级要求:软件代码要经过安全
检查、评审,对于发现的漏洞能有效修 代码检查、评审相关记录。
复,且形成记录。
仅一级要求:采用代码检查工具实施安 代码检查工具的使用情况说明文档。 全审查。
理、归档安全性的详细设计。
详细设计说明书,内容应覆盖审核条款的
要求。
仅一级要求:依据安全要求和设计方案,
明确基于软件安全威胁的详细设计。
制定统一的代码安全编码规范,确保开 安全编码规范文件,内容应覆盖审核条款
发人员参照规范安全编码。
的要求。
依据详细设计说明书,对软件进行安全 提供编码过程中采取的安全编码方法与
急响应服务保障团队。
预案;应急保障团队人员组织构成和职责
仅二级/一级要求:及时应对突发事件, 规定文件;应急事件记录。
并向用户提供故障事件解决报告。
仅一级要求:建立软件健康检查计划、 方案,定期实施,提交相应的系统健康 检查报告、巡检报告。 仅一级要求:根据健康检查报告进行分 析,持续优化系统。
健康检查计划、方案、系统健康检查报告、 巡检报告,内容应覆盖审核条款的要求。
安全要求,制定脆弱性测试方案,对安
全漏洞进行测试,形成测试记录。
仅二级/一级要求:提供系统测试报告和 系统测试报告和安全方面分析报告。
安全方面分析报告。
仅一级要求:基于软件项目的安全要求, 渗透性测试方案、测试记录和测试报告,
制定系统渗透性测试方案,模拟攻击场 内容应覆盖审核条款的要求。 景,对系统安全性进行测试。
开发过程管控措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
14.
仅一级要求:配备安全管理人员。
安全管理专职人员的任命文件,项目相关的安全监控记录。
15.
仅一级要求:建立变更控制委员会。
变更控制委员会成员构成与职责规定文件。
16.
需求阶段
调研项目背景信息,收集项目需求,明确软件功能、性能及安全方面的要求。
需求阶段控制程序文件;需求阶段项目文档,包括可行性报告、招标文件、需求分析报告等,需求文档的内容应涉及软件功能、性能及安全性要求。
17.
结合软件项目需求、安全需求,与客户充分沟通,达成共识并形成记录。
与客户沟通的记录。
18.
仅二级/一级要求:准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。
35.
仅二级/一级要求:软件代码的安全检查、评审工作应形成记录。
代码检查、审核相关记录。
36.
仅一级要求:采用自动化工具对代码安全漏洞进行审查,对于发现的漏洞能有效修复,并形成审查报告。
代码检查工具的检查结果记录/报告。
37.
测试阶段
依据软件设计说明书对软件功能、安全功能进行测试。
测试方案、测试计划,提供软件功能测试、安全性测试记录与报告。
软件开发所使用语言的安全编码规范,规范内容包括但不限于代码安全编写的原则、方式、方法等。
33.
依据详细设计说明书,对软件进行安全编码。
在编码过程中,对规避高危风险的漏洞采取的方法或措施的文档或记录。
34.
软件代码要经过安全检查、评审,对于发现的漏洞能有效修复。
代码安全检查、评审记录,对发现的漏洞,提供漏洞修复与验证记录。
需求分析报告,内容应覆盖条款的要求。
19.
仅二级/一级要求:对于数据采集、产生、使用,明确识别安全保护要求。
20.
仅二级/一级要求:基于客户需求,开展需求分析,编制具有软件安全需求的分析报告。
21.
仅二级/一级要求:需求分析报告中明确项目开发中使用的安全技术标准、规范。
22.
仅一级要求:应基于软件安全威胁开展需求分析。
44.
仅一级要求:对集成测试结果进行分析,形成分析报告。
集成测试分析报告。
45.
测试阶段-系统测试
仅二级/一级要求:制定包括系统安全性测试在内的测试计划,并执行系统测试,形成测试记录。
安全性测试计划和测试用例设计文档、测试记录。
46.
47.
仅二级/一级要求:基于软件安全功能的安全要求,制定脆弱性测试方案,对安全漏洞进行测试,形成测试记录。
11.
仅二级/一级要求:配备专职的测试人员。
项目人员构成表或其他能体现项目组成员构成的文档,设立专职的软件安全管理人员、测试人员,并明确描述其职责。
12.
仅二级/一级要求:建立独立的测试环境,确保测试环境与开发环境隔离。
开发环境与测试环境配置的说明文档。
13.
仅一级要求:建立软硬件设备和工具等资源安全使用规范。
项目配置管理计划,包含安全相关活动。提供配置管理相关记录。
6.
建立变更控制制度,明确软件项目变更控制的安全要求。
变更控制管理制度,提供项目变更控制记录,变更的记录单,记录单中的内容应包含变更申请,审批,执行,执行后的评价结果。
7.
制定软件项目安全培训计划,对相关人员进行安全培训。
培训管理制度,项目培训计划和培训记录。
仅一级要求:提供三个月以上的试运行记录和报告。
系统试运行记录和报告。
55.
仅一级要求:综合软件系统试运行状态,建立软件系统运行策略和安全指南。
系统运行策略、安全指南。
56.
验收阶段-验收交付
根据合同约定,向客户提交完整的项目资料及交付物,并提出验收申请。
验收申请、验收资料、验收报告。
57.
根据合同约定,进行项目验收,形成项目验收报告。
巡查记录、故障记录、升级记录等。
61.
仅二级/一级要求:制定系统运行计划、安全事件响应计划、安全事件应急预案,建立应急响应服务保障团队。
系统运行计划、安全事件响应计划、安全事件应急预案;应急保障团队人员组织构成和职责规定文件;应急事件记录。
62.
仅二级/一级要求:及时应对突发安全事件,并向用户提供安全事件解决报告。
23.
仅一级要求:基于软件项目需求分析建立软件安全开发模型。
24.
设计阶段
根据软件项目需求,编制软件设计说明书。
设计阶段控制程序文件;提供软件设计说明书,内容应覆盖条款的要求。
25.
软件设计说明书明确系统/子系统的功能和非功能设计要求。
26.
软件设计说明书明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管理等。
41.
仅一级要求:对单元测试结果进行分析,形成分析报告。
单元测试分析报告。
42.
测试阶段-集成测试
仅二级/一级要求:明确集成测试策略,制定集成测试计划。
集成测试的测试策略、测试计划。
43.
仅二级/一级要求:依据概要设计方案和测试计划进行集成测试设计,并执行集成测试,形成测试记录。
集成测试用例设计、测试记录。
3.
准备阶段
建立软件项目安全开发团队,明确各岗位、人员、职责。
项目人员构成表或其他能体现项目组成员构成的文档,其中明确项目组成员构成情况以及安全开发人员的角,明确开发过程管控措施。
项目开发计划,计划中应包含安全开发的内容。
5.
建立软件开发的配置管理计划,明确配置管理的安全要求。
30.
设计阶段-详细设计
仅二级/一级要求:详细设计说明书中应包含对数据产生、传输、存储、使用、处理和归档安全方面的详细设计。
详细设计说明书,内容应覆盖条款的要求。
31.
仅一级要求:依据安全要求和概要设计说明书,明确基于软件安全威胁分析进行详细设计。
32.
编码阶段
制定统一的代码安全编码规范,确保开发人员参照规范安全编码。
63.
仅一级要求:制定软件健康检查计划、方案,定期实施,提交相应的系统健康检查报告、巡检报告。
健康检查计划、方案、系统健康检查报告、巡检报告、系统优化改进记录。
64.
仅一级要求:根据健康检查报告进行分析,持续优化系统。
65.
上一年度提出的观察项整改情况(如有)
66.
67.
68.
上一年度提出的不符合项整改情况(如有)
58.
仅二级/一级要求:提交软件安全测评报告。
软件安全测评报告。
59.
仅一级要求:提交软件产品第三方安全测评报告或安全认证证书。
专家/第三方权威机构出具的软件产品安全测评报告或安全认证证书。
60.
维保阶段
对于影响软件系统安全、稳定运行的缺陷,及时有效采取打补丁、版本升级等方式予以消除,并提供远程技术支持服务。
69.
70.
自评估结论:
经自主评估,本单位的软件安全开发服务满足《信息安全服务规范》____级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
38.
对测试发现的漏洞进行分析并有效修复。
漏洞发现、分析与修复的记录。
39.
测试阶段-单元测试
仅二级/一级要求:明确单元测试策略,制定单元测试计划。
单元测试的测试策略、测试计划。
40.
仅二级/一级要求:依据详细设计说明书和测试计划进行单元测试设计,并执行单元测试,形成测试记录。
单元测试用例设计、测试记录。
27.
设计阶段-概要设计
仅二级/一级要求:概要设计说明书应明确数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等安全功能要求。
设计阶段控制程序文件;提供概要设计说明书,内容应覆盖条款的要求。
28.
仅一级要求:概要设计说明书中应明确基于软件安全威胁分析的安全要求。
29.
仅一级要求:当开发场景适用时,概要设计说明书中应明确抗抵赖、安全标记、可信路径等安全功能要求。
8.
建立独立的开发环境,确保开发环境与运行环境隔离。
开发环境与运行环境配置的说明文档。
9.
仅二级/一级要求:建立软件安全开发项目风险管理机制,对软件项目进行风险评估。
风险管理制度、风险管理计划、风险分析报告。
10.
仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。
配置管理计划,其中描述采用的配置管理工具;配置管理工具的使用情况介绍。
脆弱性测试方案、测试记录。
49.
仅二级/一级要求:对系统测试结果进行分析,形成分析报告。
测试分析报告,其中包括软件安全测试的结果分析。
50.
仅一级要求:基于软件项目的安全要求,制定系统渗透性测试方案,模拟攻击场景,对系统安全性进行测试,并形成分析报告。
渗透性测试方案、渗透测试记录和渗透测试报告。
51.
软件安全开发服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
服务技术要求
建立软件安全开发服务流程。
软件安全开发服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定软件安全开发服务规范并按照规范实施。
软件安全开发服务规范并按照规范实施。
验收阶段-系统试运行
测试系统运行的可靠性、稳定性和安全性,进行试运行,并记录系统运行状况,试运行周期至少一个月。
系统试运行相关记录。