CCRC信息安全服务资质--软件开发

随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。    

中国网络安全审查技术与认证中心是经国家认证认可监督管理委员会批准，可以从事信息安全服务资质认证的机构（《认证机构批准CNCA-R-2007-138），并获得了中国合格评定国家认可委会的认可（证书编号：No. CNAS CO66-V）。服务资质认证工作是中心的核心业务之一

下面根据相关认证规则，简单介绍下CCRC信息安全服务资质中--软件安全开发

1、什么是软件安全按开发服务资质

通过对软件开发过程的控制，将开发的软件存在的风险控制在可接受的水平。

软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。

资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

2、软件开发要有哪些内容

安全需求分析

安全设计落实安全需求

安全编码过程实现安全设计 

安全测试检验安全功能 

试运行，监测安全功能正常发挥作用 

持续为所开发的系统提供版本升级、打补丁等维保服务

3、软件安全开发各个阶段 

准备阶段-开发管理计划、风险管理、配置管理，变更管理， 

需求阶段--需求分析 调研项目背景信息，收集项目需求，明确软件功能、性能及安全方面的要求 

设计阶段--软件设计说明书 

编码阶段--安全编码，代码审查， 

测试阶段一级二级要求

验收阶段--系统试运行

4、申报流程

申请前的准备：

1、理解《信息安全服务 规范》 

2、梳理/建立组织的服务管理体系 

3、寻找/开展服务项目实现技术要求 

4、对安全服务管理体系进行持续改进 

申请中的工作：

1、登录业务系统，注册账号； 

2、填写认证申请书，保障信息真实； 

3、下载对应类别的自评价表进行自评价，并整理证明材料； 

4、在业务系统提交自评价表及证明材料。 

申请中的配合工作： 

1、非现场审核阶段 

联系人保持电话畅通、关注项目进展； 

解答审核组长提出与审核相关的问题，必要时提供证据； 

对于不符合项或影响现场审核的问题，及时采取纠正措施（时限不超过20个工作日）。 

2、现场审核阶段 

关注业务系统中的项目进度； 

协助安排审核组现场审核时间、地点；

协调公司高层、相关人员配合审核，并准备相关佐证材料； 

安排审核组的交通、食宿（参照财政部的要求）；

协调公司的模拟测试环境（一二级）；

协调安全运维见证项目（ 一二级 ）。 

审核后的配合工作： 

不符合项整改（不超过20个工作日）； 

认证决定过程中需要补充的材料（不超过3个工作日）； 

及时缴纳认证费用（收到通知单后10个工作日）； 

上传汇款信息及汇款证明（保障及时、准确无误）；

关注认证决定（3个工作日完成）；

证书批准后在客户端可查看证书样板（2个工作日完成）

获取证书