簡介：軟件安全開發資質認證是對軟件開發方的基本資格、管理能力、技術能力和軟件安全過程能力等方面進行評價。安全軟件開發服務資質級別是衡量服務提供方的軟件安全開發服務資格和能力的尺度。
級別：三級最低，一級最高。

級別	三級	二級	一級
基本要求	三級基本要求 1.1. 法律地位要求 在中華人民共和國境內注冊的獨立法人組織，發展歷程清晰，產權關系明確。 1.2. 財務資信要求 近 3 年經營狀況良好，財務數據真實可信，應提供在中華人民共和國境內登記注冊的會計師事 務所出具的近 3 年財務審計報告。 1.3. 辦公場所要求 擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構設置及其業務需要。 1.4. 人員素質與資質要求 a) 組織負責人擁有2年以上信息技術領域管理經歷。 b) 技術負責人獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱，且從事信 息安全技術工作2年以上。 c) 財務負責人具有財務系列初級以上職稱。 d) 從事信息安全服務人員10名以上。 e) 擁有信息安全專業認證（與申報類別一致）人員2名以上。 f) 擁有項目管理資格證書人員1名以上。 1.5. 業績要求 a) 從事信息安全服務（與申報類別一致）1年以上。 b) 近3年內簽訂并完成至少1個信息安全服務（與申報類別一致）項目。 1.6. 服務管理要求 a) 遵循國家相關法律法規、標準要求，無違法違規記錄，資信狀況良好。 b) 建立人員管理程序和能力考核指標；制定業務和技能培訓計劃，定期對相關人員開展培訓 和考核。 c) 建立文檔控制程序，明確文檔管理職責，任命管理人員，確保項目文檔資料妥善保管。 d) 建立項目管理制度，并按照制度執行。 e) 提供資源，確保信息安全服務項目的實施。 1.7. 服務合同要求 a) 了解客戶及所處的行業對信息安全服務的特定要求。 b) 確定信息安全服務范圍。 c) 應簽訂信息安全服務合同或協議。 1.8. 服務安全要求 a) 滿足法律法規對服務安全的要求。 b) 滿足與客戶簽訂服務合同中的安全要求。 c) 制定保密管理制度，明確崗位保密責任。 d) 按照客戶要求，對于接觸到的客戶敏感信息和知識產權信息予以保護，并確保服務方人員 了解客戶的相關要求。 e) 與相關人員簽訂保密協議，并進行保密教育。 f) 確保其供應商滿足上述服務安全要求。 1.9. 服務技術要求 a) 建立信息安全服務（與申報類別一致）流程。 b) 制定信息安全服務（與申報類別一致）規范并按照規范實施。	二級基本要求 2.1. 法律地位要求 在中華人民共和國境內注冊的獨立法人組織，發展歷程清晰，產權關系明確。 2.2. 財務資信要求 近 3 年經營狀況良好，財務數據真實可信，應提供在中華人民共和國境內登記注冊的會計師事務所出具的近 3 年財務審計報告。 2.3. 辦公場所要求 擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構設置及其業務需要。 2.4. 人員素質與資質要求 a) 組織負責人擁有3年以上信息技術領域管理經歷。 b) 技術負責人應獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱，且從事信息安全技術工作5年以上。 c) 財務負責人具有財務系列中級以上職稱。 d) 從事信息安全服務人員30名以上。 e) 擁有信息安全專業認證（與申報類別一致）人員6名以上。 f) 擁有項目管理資格證書人員2名以上。 2.5. 技術工具要求 a) 具備獨立的測試環境及必要的軟、硬件設備，用于技術培訓和模擬測試。 b) 具備承擔信息安全服務（與申報類別一致）項目所需的安全工具，并對工具進行管理和版 本控制。 2.6. 業績要求 a) 從事信息安全服務（與申報類別一致）3年以上，或取得信息安全服務（與申報類別一致）三級資質1年以上。 b) 近三年內簽訂并完成至少6個信息安全服務項目（與申報類別一致）。 2.7. 服務管理要求 a) 遵循國家相關法律法規、標準要求，無違法違規記錄，資信狀況良好。 b) 建立項目管理制度，并按照制度執行。 c) 參照國際或國內標準，建立業務范圍覆蓋信息安全服務的質量管理體系，并有效運行。 d) 參照國際或國家標準，建立業務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系，并有效運行。 e) 提供資源，確保信息安全服務項目的實施。 2.8. 服務合同要求 a) 了解客戶及所處的行業對信息安全服務的特定要求。 b) 確定信息安全服務范圍。 c) 應簽訂信息安全服務合同或協議。 d) 合同應明確信息安全服務的行為規范。 2.9. 服務安全要求 a) 滿足法律法規對服務安全的要求。 b) 滿足與客戶簽訂服務合同中的安全要求。 c) 制定保密管理制度，明確崗位保密責任。 d) 按照客戶要求，對于接觸到的客戶敏感信息和知識產權信息予以保護，并確保服務方人員了解客戶的相關要求。 e) 與相關人員簽訂保密協議，并進行保密教育。 f) 確保其供應商滿足上述服務安全要求。 2.10. 服務技術要求 a) 建立信息安全服務（與申報類別一致）流程。 b) 制定信息安全服務（與申報類別一致）規范并按照規范實施。	一級基本要求 1.1. 申請條件 取得信息安全服務（與申報類別一致）二級資質 1 年以上。（行業領頭企業除外） 1.2. 法律地位要求 在中華人民共和國境內注冊的獨立法人組織，發展歷程清晰，產權關系明確。 1.3. 財務資信要求 近 3 年經營狀況良好，財務數據真實可信，應提供在中華人民共和國境內登記注冊的會計師事 務所出具的近 3 年財務審計報告。 1.4. 辦公場所要求 擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構設置及其業務需要。 1.5. 人員素質與資質要求 a) 組織負責人擁有4年以上信息技術領域管理經歷。 b) 技術負責人應獲得信息安全相關專業碩士及以上學位或電子信息技術類高級職稱，且從事信息安全技術工作8年以上。 c) 財務負責人擁有財務系列高級職稱，或取得中級職稱8年以上。 d) 從事信息安全技術服務人員50名以上。 e) 擁有信息安全專業認證人員（與申報類別一致）10名以上。 f) 擁有項目管理資格證書人員5名以上。 1.6. 技術工具要求 a) 具備獨立的測試環境及必要的軟、硬件設備，用于技術培訓和模擬測試。 b) 具備承擔信息安全服務（與申報類別一致）項目所需的安全工具，如漏洞掃描工具、滲透測試工具、協議分析儀等。 1.7. 業績要求 a) 從事信息安全服務（與申報類別一致）5年以上。 b) 近三年內至少簽訂并完成10個信息安全服務項目（與申報類別一致）。 1.8. 服務管理要求 a) 遵循國家相關法律法規、標準要求，無違法違規記錄，資信狀況良好。 b) 建立項目管理制度，并按照制度執行。 c) 參照國際、國內標準，建立業務范圍覆蓋信息安全服務的質量管理體系，并提供有效運行的相關證明。 d) 參照國際、國家標準，建立業務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系，并提供有效運行的相關證明。 e) 提供足夠資源，確保信息安全服務項目的實施。 1.9. 服務合同要求 a) 了解客戶及所處的行業對信息安全服務的特定要求。 b) 確定信息安全服務范圍。 c) 應簽訂信息安全服務合同或協議。 d) 合同應明確信息安全服務的行為規范。 e) 合同應明確信息安全服務的安全要求。 1.10. 服務安全要求 a) 滿足法律法規對服務安全的要求。 b) 滿足與客戶簽訂服務合同中的安全要求。 c) 制定保密管理制度，明確崗位保密責任。 d) 按照客戶要求，對于接觸到的客戶敏感信息和知識產權信息予以保護，并確保服務方人員了解客戶的相關要求。 e) 與相關人員簽訂保密協議，并進行保密教育。 f) 確保其供應商滿足上述服務安全要求。 1.11. 服務技術要求 a) 建立信息安全服務（與申報類別一致）流程。 b) 制定信息安全服務（與申報類別一致）規范，并按照規范實施
類別要求	軟件安全開發服務資質專業評價要求針對準備、需求、設計、編碼、測試、驗收和維保七個階段進行，具體分級要求如下： E1 三級要求 E1.1準備階段 a) 建立軟件項目安全開發團隊，明確各崗位、人員、職責。 b) 制定軟件項目安全開發管理計劃，明確開發過程管控措施。 c) 建立軟件開發的配置管理計劃，明確配置管理的安全要求。 d) 建立變更控制制度，明確軟件項目變更控制的安全要求。 e) 制定軟件項目安全培訓計劃，對相關人員進行安全培訓。 f) 建立獨立的開發環境，確保開發環境與運行環境隔離。 E1.2需求階段 a) 調研項目背景信息，收集項目需求，明確軟件功能、性能及安全性要求。 b) 結合軟件項目需求、安全需求，與用戶充分溝通，達成共識并形成記錄。 E1.3設計階段 a) 根據軟件項目需求，編制軟件設計方案、設計說明書。 b) 軟件設計方案明確系統/子系統的功能和非功能設計要求。 c) 軟件設計方案明確包含安全功能要求，包括標識與鑒別、訪問控制、安全審計和安全管理等。 E1.4編碼階段 a) 制定統一的代碼安全編碼規范,確保開發人員參照規范安全編碼。 b) 依據詳細設計說明書，對軟件進行安全編碼。 c) 軟件代碼要經過安全檢查、評審，對于發現的漏洞能有效修復。 E1.5測試階段 a) 依據軟件設計方案、設計說明書對軟件功能、安全功能進行測試。 b) 對測試過程中發現的漏洞進行分析并有效修復。 E1.6驗收階段 E1.6.1系統試運行 a) 測試系統運行的可靠性、穩定性和安全性，進行試運行，并記錄系統運行狀況，試運行周期至少一個月。 b) 基于系統試運行相關記錄，及時對軟件進行調整、維護。 E1.6.2驗收交付 a) 根據合同約定，向客戶提交完整的項目資料及交付物，并提出驗收申請。 b) 根據合同約定，進行項目驗收，形成項目驗收報告。 E1.7維保階段 對于影響軟件系統安全、穩定運行的缺陷，及時有效采取打補丁、版本升級等方式予以消除，并提供遠程技術支持服務。	E2 二級要求 組織申報二級資質，除滿足三級能力要求外，還應滿足以下要求： E2.1準備階段 a) 建立軟件安全開發項目風險管理機制，對軟件項目進行風險評估。 b) 使用配置管理工具對軟件項目進行配置管理。 c) 配備專職的測試人員。 d) 建立獨立的測試環境，確保測試環境與開發環境隔離。 E2.2需求階段 a) 準確識別和綜合分析軟件項目在可用性、完整性、真實性、機密性、不可否認性、可控性 和可靠性等方面的安全需求。 b) 對于數據采集、產生、使用，明確識別安全保護要求。 c) 基于客戶需求和投入能力，開展需求分析，編制具有軟件安全需求的分析報告。 d) 需求分析報告中明確項目開發中使用的安全技術標準、規范。 E2.3設計階段 E2.3.1概要設計 概要設計方案明確安全功能要求，還應包括數據完整性和保密性、通信完整性和保密性、軟件 容錯、資源控制等。 E2.3.2詳細設計 詳細設計說明書中包含對數據產生、傳輸、存儲、使用、處理和歸檔安全性的詳細設計。 E2.4編碼階段 軟件代碼要經過安全檢查、評審，對于發現的漏洞能有效修復，且形成記錄。 E2.5測試階段 E2.5.1單元測試 a) 明確單元測試策略，制定單元測試計劃。 b) 依據詳細設計說明書和測試計劃進行單元測試設計，并執行單元測試，形成測試記錄。 E2.5.2集成測試 a) 明確集成測試策略，制定集成測試計劃。 b) 依據概要設計方案和測試計劃進行集成測試設計，并執行集成測試，形成測試記錄。 c) 對安全子系統進行兼容性和安全性測試，完整記錄測試過程相關信息。 E2.5.3系統測試 a) 制定針對系統安全性測試在內的測試計劃和測試設計，并執行系統測試，形成測試記錄。 b) 基于軟件安全功能的安全要求，制定脆弱性測試方案，對安全漏洞進行測試，形成測試記錄。 c) 提供系統測試報告和安全方面分析報告。 E2.6驗收階段 E2.6.1系統試運行 試運行結束后，制定系統試運行報告，并提交客戶。 E2.6.2驗收交付 提交軟件安全評析報告。 E2.7維保階段 a) 制定系統運行計劃、事件響應計劃、事件應急預案，建立應急響應服務保障團隊。 b) 及時應對突發事件，并向用戶提供故障事件解決報告。	E3 一級要求 組織申報一級資質，除滿足二級能力要求外，還應滿足以下要求： E3.1準備階段 a) 建立軟硬件設備和工具等資源安全使用規范。 b) 配備安全管理人員。 c) 建立變更控制委員會。 E3.2需求階段 a) 基于軟件安全威脅，開展需求分析，編制具有軟件安全需求的分析報告。 b) 基于軟件項目需求分析，結合安全開發要素建立軟件開發模型。 E3.3設計階段 E3.3.1概要設計 a) 設計方案中明確基于軟件安全威脅分析的安全要求。 b) 設計方案中明確安全功能要求，還應包括抗抵賴、安全標記、可信路徑等。 E3.3.2詳細設計 依據安全要求和設計方案，明確基于軟件安全威脅分析的詳細設計。 E3.4編碼階段 采用代碼檢查工具實施安全審查。 E3.5測試階段 E3.5.1單元測試 對單元測試結果進行分析，形成分析報告。 E3.5.2集成測試 對集成測試結果進行分析，形成分析報告。 E3.5.3系統測試 基于軟件項目的安全要求，制定系統滲透性測試方案，模擬攻擊場景，對系統安全性進行測試。 E3.6驗收階段 E3.6.1系統試運行 a) 提供三個月以上的試運行記錄和報告。 b) 綜合軟件系統試運行狀態，建立軟件系統運行策略和安全指南。 E3.6.2驗收交付 提交軟件產品最終安全評析報告。 E3.7維保階段 a) 制定軟件健康檢查計劃、方案，定期實施，提交相應的系統健康檢查報告、巡檢報告。 b) 根據健康檢查報告進行分析，持續優化系統。
頒證機構	中國信息安全認證中心	中國信息安全認證中心	中國信息安全認證中心
客戶案例	成都思瑞奇信息產業有限公司	河南騰龍信息工程有限公司

資質說明
通過對軟件開發過程的控制，將開發的軟件存在的風險控制在可接受的水平。
軟件安全開發資質認證是對軟件開發方的基本資格、管理能力、技術能力和軟件安全過程能力等方面進行評價。安全軟件開發服務資質級別是衡量服務提供方的軟件安全開發服務資格和能力的尺度。
資質級別分為一級、二級、三級共三個級別，其中一級最高，三級最低。