软件安全开发服务资质认证自评价表
一般软件评分表
本次评标按百分制由评标小组独立进行评审打分,按照综合因素打分的结果,由高到低确定中标人。
(一)公司评价(共15分)1、公司注册资金(共1分)1.1注册资金在1000万元(包括1000万元)-5000万元(不包括5000万元);得0.5分;1.2注册资金在5000万元以上(包括5000万元);得 1分;2、公司的资质及技术(共7分)2.1 公司具有国家级以上(含二级)《计算机信息系统集成资质证书》得1分;2.2 公司具有省、部级以上主管部门颁发的《软件企业证书》得 1分2.3公司具有通过省、部级以上有关部门鉴定自主开发的成熟软件得1分2.4公司通过ISO9001软件质量体系认证或CMM体系认证(两个认证获得其中的一个即可)得1分2.5具有通过数据库认证(OCP或DBA)工程师得1分2.6参加本项目开发的软件工程师、程序分析员(提供资格证书和劳动合同)最多的得2分,其它每少1名扣0.2分;3、成功案例(共7分)3.1提供了同类软件开发及实施成功案例(须提供合同原件和需求单位出具的软件验收合格的验收报告或使用单位出具的软件运行正常的证明)得7分;注:3.1-3.3总得分不能超过7分。
(二)技术解决方案(共40分)1、应用软件的体系结构(共5分)整个软件系统的体系结构合理、实用、保证数据传输的实时性要求:最优者得5分,其他酌情递减,但每档至少相差0.5分;2、业务流程图及数据流程图(共8分)*提供清晰、明了、准确的业务流程图和数据流程图:8分;*提供基本准确的业务流程图和数据流程图:3-6分;*没有提供或错误的业务流程图和数据流程图:0分;3、技术开发及项目管理工具(共3分)a、是否提供合理的系统前合和后台开发工具:1分(最优者得1分,其他酌情递减,但每档至少相差0.2分);b、是否在软件工程中提供软件需求、数据建模、项目管理、系统测试等工具:2分(最优者得2分,其他酌情递减,但每档至少相差0.2分),4、技术规范(共3分)系统总体设计的可靠性、可维护性(包括日常维护、功能拓展维护两部分,具体表现为政策是否可动态调整、业务流程是否可动态调整、用户界面是否可动态调整、标准的系统安装程序、前后台开发语言是否一致等)以及可扩展性的综合评价,最优者得3分。
服务资质认证自评估表填写规范
编码:ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期:2017 年9 月 1 日生效日期:2017 年 9月 1日主责处室:体系与服务认证部批准:张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范,确保申请组织的自评价材料基本信息清晰明了。
2适用范围适用于所有服务资质申请企业。
3职责申请组织相关人员填写自评估表。
4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息:所提供的财务审计或者财务报告的年份,对于财务审核报告需填写所出具的会计事务所名称,需填写收入、净利润等信息。
4.1.2、办公场所填写内容包含以下信息:房屋产权证或房屋租赁合同;产权人/出租人、地址、面积、租期。
4.1.3、人员能力填写内容包含以下信息:1)填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
2)填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
3)填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
4)填写信息安全服务人员数量,养老保险证明出具单位及出具时间,劳动合同的签订时间及有效期。
5)信息安全专业保障人员认证证书,填写获证人员名称、证书编号、发证日期、有效期。
6)填写项目经理人员数量,人员的名称、证书名称、证书编号等。
4.1.4、业绩填写内容包含以下信息:1)填写首个信息安全服务(与申报类别一致)项目名称、合同签订时间、项目验收时间。
2)填写近三年信息安全服务项目(与申报类别一致)名称、合同金额、合同签订时间、验收时间、项目服务内容等。
4.1.5、服务管理填写内容包含以下信息:1)填写人员管理程序,内容应包含岗位职责,人员任前、中、后的监督、考核、评价、奖惩方式,信息安全服务相关技术岗位的能力指标。
软件企业认证要求 -回复
软件企业认证要求-回复软件企业认证是为了确保一家企业在软件开发和服务方面具备一定的能力和质量标准。
认证要求的具体内容可能有所不同,但通常包括以下几个方面:1. 资质要求:软件企业认证通常要求企业具备一定的法律注册资格,如公司注册证书、税务登记证明等。
此外,还需要提供企业的组织机构代码证和工商营业执照等相关证件。
2. 人员要求:要求企业具备一定数量和素质的专业技术人员。
认证机构会要求企业提供员工的相关证明和资质证书,例如软件工程师的职称证书、项目经理的PMP证书等。
此外,还需要提供员工的教育背景和工作经历等相关信息。
3. 质量管理体系要求:软件企业认证通常要求企业具备一套完善的质量管理体系,以确保软件开发和服务的质量。
认证机构可能要求企业提供相关的质量管理文件,如质量手册、程序文件和操作规程等。
此外,还需要提供质量管理相关的培训证明和内审报告等。
4. 项目管理要求:软件企业认证通常要求企业具备一定的项目管理能力,以确保项目能够按时、按质量要求完成。
认证机构可能要求企业提供项目管理的相关文件,如项目计划、需求分析和设计文档等。
此外,还需要提供项目管理相关的培训证明和项目的实施过程等。
5. 安全要求:软件企业认证通常要求企业具备一定的信息安全管理能力,以确保软件开发和服务不受到恶意攻击和泄露。
认证机构可能要求企业提供信息安全管理的相关文件,如安全策略、安全体系文件和风险评估报告等。
此外,还需要提供信息安全管理相关的培训证明和安全事件的处理过程等。
6. 过程和结果评估要求:软件企业认证通常要求企业的软件开发过程和结果进行评估。
认证机构可能要求企业提供项目的评估报告、用户满意度调查和客户反馈等。
此外,还需要提供相关过程和结果的改进措施和实施情况。
总的来说,软件企业认证要求企业具备一定的法律资质、人员素质、质量管理体系、项目管理能力、信息安全管理能力,并通过过程和结果评估来确保企业的软件开发和服务质量。
认证过程通常由认证机构进行,他们会对企业的相关资料进行审查和评估,最终确定是否给予认证。
应用软件开发安全
不要以明文形式存储数据库连接字符串或密码等敏感信息,应该进行加密,并存储经过加密的字符串。
如果通过网络传输敏感数据,禁止明文传输,应对数据进行加密。同时确保通信通道的安全,通常的做法是使用SSL/TLS、HTTPS、SFTP 和 IPSec 等安全协议进行通信。
16
异常处理
不要向客户端泄漏应用程序内部信息:发生故障时,不要在出错消息中暴露应用系统内部的敏感信息。例如,不要暴露包括函数名以及调试信息(出问题的行数,堆栈信息等)。应向客户端返回一般性错误消息。
不在网络上以明文方式传输密码:以明文方式在网络上传输的密码容易被窃听,为了解决这一问题,应确保通信通道的安全,例如,使用 SSL 对数据流加密。
保护身份认证的凭据:身份认证的凭据(如 Cookie)被窃取意味着登录被窃取。可以通过加密和安全的通信通道来保护认证的凭据。此外,还应限制认证凭据的有效期,以减少攻击的威胁。
7
访问控制和授权
应用系统的认证、授权尽量使用统一的认证、授权平台来进行。如果因为某种原因需要建立应用系统自己的认证、授权体系,整个认证过程需要进行加密,密钥长度不能低于 128 位。
8
访问控制和授权
应用系统的设计应包含用户权限分配和管理功能:
系统读、写、执行权限设计
系统查看、配置、修改、删除、登录、运行等权限设计
6
应用系统上线投产的安全要求
规划应用系统上线所需要的资源需求和准备工作,包括但不限于以下内容:
应用系统上线对软件、硬件资源和网络的要求。
ISCCC-QOT-0408 信息安全服务资质认证现场审核计划表
现场审核计划表
项目编号
受审核方名称
受审核类别
级别
审核类型
安全集成
一级二级三级
□初次□年监审 □升级□其他
风险评估
一级二级三级
□初次□年监审 □升级□其他
应急处理
一级二级三级
□初次□年监审 □升级□其他
灾难备份与恢复
一级二级三级
□初次□年监审 □升级□其他
软件安全开发
一级二级三级
□初次□年监审 □升级□其他
1.确认本审核计划;
2.确定负责配合现场审核工作的人员;
3.提供现场审核活动需要的资源,并承担现场审核活动发生的交通费和食宿费用;
4.本审核计划提供的详细程度应反映审核范围及复杂程度,任何修改应征得各方同意后方可实施。
审核组长:
受审核方:
签字:
日期:
签字:
日期:
□ISCCC-ISV-C01:2017《信息安全服务 规范》对服务级资质要求和过程能力要求的全部要素。
□ISCCC-ISV-Cห้องสมุดไป่ตู้1:2017《信息安全服务 规范》对服务级资质要求和过程能力要求的全部要素。
审核依据
□ISCCC-ISV-C01:2017《信息安全服务 规范》;
□适用法律法规;
□其他信息安全服务相关管理制度、技术规范等。
安全运维
一级二级三级
□初次□年监审 □升级□其他
基本信息
受审核方地址
邮编
受审核方
联系人
电话
手机
邮箱
传真
项目管理人员
电话
手机
邮箱
传真
审核组成员
代号
组内职务
姓 名
2-VDA6.3检查表P1-P7 红皮
产品/过程开发 -Cax设备 -针对不同的任务,有资质的人员的到位 -所有资源的能力规划 产品开发 -检测/检验/实验室设备(内部和外部) 过程开发 -生产场所,工具,生产和检测设备
P4产品和过程开发的实现
4.1
*x
4.2
产品和过程开发计划中的 活动是否得到落实?
针对产品和过程开发,已落实开发策划中规定的方法,确保满足要求 (功能、可靠性、安全性)。 在开发阶段,通过风险分析(例如:FMEA)确保产品和过程符合顾客对 功能、可靠性等方面的要求。在实施风险分析(例如:产品FMEA)时, 应将落实生产任务的生产场所纳入进来。 在相关文件(FMEA等)中定义和识别的特殊特性,并采取措施保障确保 符合性。 总体计划必须包含针对组件、总成、分总成、零部件、软件、和材料的 检测计划,还需考虑原型件和试生产阶段的制造过程。所有采购的产品 和过程应考虑在内。确保在供应链中落实产品和过程开发。 对从原型件和试生产阶段所获得的经验教训进行了记录,以便在量产阶 段参考。 确定并落实对检测设备的要求。
⁻包含里程碑的项目计划 -有关技术和/或产品组的顾客特殊要求 -顾客的项目计划 -顾客的时间期限 -顾客的里程碑 -顾客的目标要求(里程碑的衡量) -里程碑评价(评审) -质量计划(例如,来自于VDA MLA或APQP) -具体国家或地区的特殊认证要求(ECE、SAE、 DOT、CCC…) -关键系统的的法律法规批准流程(电镀、喷漆 …)
⁻项目计划 -顾客里程碑 -与质量计划相关的顾客要求 -顾客规范
VDA6.3过程审核-2016版P部分
P2-P7 *
P1
运输&零部 件处置
过程要素
最低要求
2.5
*x
通过这些活动,确保生产中仅使用经过批准和具备质量能力的供方。
全国信息化工程师管理信息化应用资格认证(ncie)简介版word版本
全国信息化工程师管理信息化应用资格认证(NCIE)1、简介:全国信息化工程师项目(NCIE)是在工业和信息化部领导下组织实施的国家级IT专业政府认证体系,由网络、信息安全、数据库、信息资源管理、电子商务、信息工程监理等一系列认证考试构成。
自从2002年初NCIE体系的建立以来,在国家政策的指引下,政府各部门的通力支持和配合下,通过与国内外著名IT厂商的交流与合作,联合国际知名认证考试机构美国国家通信系统工程师协会(NACSE),将我国信息化建设的实际需要与国际最新的技术水平相结合,经过缜密、细致的职业分析,把每个专业考试都设立成系统的、有较高专业水准的认证等级,旨在建立一种符合我国国情的信息化专业人才培养和技能评测的国家标准,不断推进我国信息化建设进程。
“全国信息化工程师——ERP应用资格”认证,是工业和信息化部电子人才交流中心与用友软件股份有限公司联合推出的认证考试。
该认证是人才交流中心和用友公司汇集管理软件专家,根据未来市场对人才的需求,结合国家对管理软件人才的要求和用友多年行业应用经验,精心开发出的一整套具有前瞻性、实用性、科学性的认证体系,它理论与实践并重,能够准确的检测和考量管理软件人才的专业水平。
“全国信息化工程师——ERP应用资格”认证,通过建立完善的分层次有梯度的职业水平评价体系,提供客观公正、科学规范的职业技能凭证,可以准确地衡量管理软件人员的从业水平,同时也能促进职业资格制度与就业制度、职业培训制度和劳动工资制度的相互衔接,可以帮助管理软件人才理清职业发展的方向,引导他们不断提高自身综合素质,加强职业操守,推进我国信息化的进程。
通过建立完善的分层次有梯度的“全国信息化工程师管理信息化资格”认证体系,提供客观公正、科学规范的职业技能凭证,可以准确地衡量ERP人员的从业水平,同时也能促进职业资格制度与就业制度、职业培训制度和劳动工资制度的相互衔接,可以帮助ERP人才理清职业发展的方向,引导他们不断提高自身综合素质,加强职业操守,推进我国信息化的进程。
cmmi资质使用说明
软件能力成熟度模型集成(CMMI)资质使用说明(1)软件能力成熟度模型集成(CMMI)(ITSS)介绍CMMI(Capability Maturity Model Integration For Software,软件能力成熟度模型集成)是在CMM(Capability Maturity Model For Software,软件能力成熟度模型)的基础上发展而来的。
CMMI是由美国卡耐基梅隆大学软件工程研究所(Software Engineering Institute,SEI)组织全世界的软件过程改进和软件开发管理方面的专家历时四年而开发出来的,并在全世界推广实施的一种软件能力成熟度评估标准,主要用于指导软件开发过程的改进和进行软件开发能力的评估。
CMM模型自20世纪80年代末推出,并于20世纪90年代广泛应用于软件过程的改进以来,极大地促进了软件生产率的提高和软件质量的提高,为软件产业的发展和壮大做出了巨大的贡献。
CMMI共有5个级别,代表软件团队能力成熟度的5个等级,数字越大,成熟度越高,高成熟度等级表示有比较强的软件综合开发能力。
CMMI一级,执行级。
在执行级水平上,软件组织对项目的目标与要做的努力很清晰,项目的目标可以实现。
但是由于任务的完成带有很大的偶然性,软件组织无法保证在实施同类项目时仍然能够完成任务。
项目实施能否成功主要取决于实施人员。
CMMI二级,管理级。
在管理级水平上,所有第一级的要求都已经达到,另外,软件组织在项目实施上能够遵守既定的计划与流程,有资源准备,权责到人,对项目相关的实施人员进行了相应的培训,对整个流程进行监测与控制,并联合上级单位对项目与流程进行审查。
二级水平的软件组织对项目有一系列管理程序,避免了软件组织完成任务的随机性,保证了软件组织实施项目的成功率。
CMMl三级,明确级。
在明确级水平上,所有第二级的要求都已经达到,另外,软件组织能够根据自身的特殊情况及自己的标准流程,将这套管理体系与流程予以制度化。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
29.
仅一级要求:依据安全要求和设计方案,明确基于软件安全威胁的详细设计。
30.
编码阶段
制定统一的代码安全编码规范,确保开发人员参照规范安全编码。
安全编码规范文件,内容应覆盖审核条款的要求。
31.
依据详细设计说明书,对软件进行安全编码。
提供编码过程中采取的安全编码方法与措施文档。
测试计划和测试设计文档、测试记录,内容应覆盖审核条款的要求。
45.
仅二级/一级要求:基于软件安全功能的安全要求,制定脆弱性测试方案,对安全漏洞进行测试,形成测试记录。
46.
仅二级/一级要求:提供系统测试报告和安全方面分析报告。
系统测试报告和安全方面分析报告。
47.
仅一级要求:基于软件项目的安全要求,制定系统渗透性测试方案,模拟攻击场景,对系统安全性进行测试。
软件安全开发
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
准备阶段
建立软件项目安全开发团队,明确各岗位、人员、职责。
项目人员管理文件,项目安全开发组织机构,人员配备、角色职责,明确安全管理人员及职责。
2.
制定软件项目安全开发管理计划,明确开发过程管控措施。
21.
仅一级要求:基于软件项目需求分析,结合安全开发要素建立软件开发模型。
22.
设计阶段-概要设计
根据软件项目需求,编制软件设计方案、设计说明书。
设计阶段控制程序文件;项目概要设计说明书/详细设计说明书,内容应覆盖审核条款的要求。
23.
软件设计方案明确系统/子系统的功能和非功能设计要求。
24.
软件设计方案明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管理等。
需求阶段项目文档包括可行性报告、招标文件、需求分析报告等。
15.
结合软件项目需求、安全需求,与客户充分沟通,达成共识并形成记录。
与客户沟通的记录。
16.
仅二级/一级要求:准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。
需求分析报告,内容应覆盖审核条款的要求。
17.
仅二级/一级要求:对于数据采集、产生、使用,明确识别安全保护要求。
18.
仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制具有软件安全需求的分析报告。
19.
仅二级/一级要求:需求分析报告中明确项目开发中使用的安全技术标准、规范。
20.
仅一级要求:基于软件安全威胁、开展需求分析,编制具有软件安全需求的分析报告。
32.
软件代码要经过安全检查、评审,对于发现的漏洞能有效修复。
提供代码检查、评审、漏洞修复过程的相关文档。
33.
仅二级/一级要求:软件代码要经过安全检查、评审,对于发现的漏洞能有效修复,且形成记录。
代码检查、评审相关记录。
34.
仅一级要求:采用代码检查工具实施安全审查。
代码检查工具的使用情况说明文档。
41.
仅一级要求:对集成测试结果进行分析,形成分析报告。
测试分析报告。
42.
测试阶段-系统测试
依据软件设计方案、设计说明书对软件功能、安全功能进行测试。
系统测试相关文档,内容应覆盖审核条款的要求。
43.
对测试过程中发现的漏洞进行分析并有效修复。
漏洞发现、分析与修复的情况说明文档。
44.
仅二级/一级要求:制定针对系统安全性测试在内的测试计划和测试设计,并执行系统测试,形成测试记录。
35.
测试阶段-单元测试
仅二级/一级要求:明确单元测试策略,制定单元测试计划。
单元测试的测试策略、测试计划。
36.
仅二级/一级要求:依据详细设计说明书和测试计划进行单元测试设计,并执行单元测试,形成测试记录。
单元测试设计、测试记录。
37.
仅一级要求:对单元测试结果进行分析,ห้องสมุดไป่ตู้成分析报告。
单元测试分析报告。
培训管理制度,安全培训计划和记录。
6.
建立独立的开发环境,确保开发环境与运行环境隔离。
软件开发规范,开发环境和运行环境说明文档。
7.
仅二级/一级要求:建立软件安全开发项目风险管理机制,对软件项目进行风险评估。
风险管理制度,风险分析报告,内容应覆盖审核条款的要求。
8.
仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。
安全开发计划,明确里程碑管理、进度、管控措施等,内容包括安全要素。
3.
建立软件开发的配置管理计划,明确配置管理的安全要求。
配置管理计划,内容应覆盖审核条款的要求。
4.
建立变更控制制度,明确软件项目变更控制的安全要求。
变更控制制度,变更过程控制记录,内容应覆盖审核条款的要求。
5.
制定软件项目安全培训计划,对相关人员进行安全培训。
38.
测试阶段-集成测试
仅二级/一级要求:明确集成测试策略,制定集成测试计划。
集成测试的测试策略、测试计划。
39.
仅二级/一级要求:依据概要设计方案和测试计划进行集成测试设计,并执行集成测试,形成测试记录。
集成测试设计、测试记录。
40.
仅二级/一级要求:对安全子系统进行兼容性和安全性测试,完整记录测试过程相关信息。
现场查看配置管理工具使用情况。
9.
仅二级/一级要求:配备专职的测试人员。
人员管理文件,内容应覆盖审核条款的要求。
10.
仅二级/一级要求:建立独立的测试环境,确保测试环境与开发环境隔离。
软件开发规范,开发环境和测试环境说明文档。
11.
仅一级要求:建立软硬件设备和工具等资源安全使用规范。
资源安全使用规范;项目资源配备计划,内容应覆盖审核条款的要求。
12.
仅一级要求:配备安全管理人员。
安全方面专职人员的任命文件,项目相关的安全监控记录。
13.
仅一级要求:建立变更控制委员会。
变更控制委员会成员构成与职责规定文件,变更管理控制相关记录。
14.
需求阶段
调研项目背景信息,收集项目需求,明确软件功能、性能及安全性要求。
需求阶段控制程序文件;需求阶段项目文档,内容应覆盖审核条款的要求。
25.
仅二级/一级要求:概要设计方案明确安全功能要求,还应包括数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等。
26.
仅一级要求:设计方案中明确基于软件安全威胁分析的安全要求。
27.
仅一级要求:设计方案中明确安全功能要求,还应包括抗抵赖、安全标记、可信路径等。
28.
设计阶段-详细设计
仅二级/一级要求:详细设计说明书中包含对数据产生、传输、存储、使用、处理、归档安全性的详细设计。