ICS35.080 CCS L00/09 团 体 标 准 T/ISC00422024 软件安全开发能力评估技术规范 Technical specification for evaluating software security development capability 发布稿 2024年1月29日发布 2024年2月28日实施 中国互联网协会发布 T/1SC0042—2024 目次 1范围 2 2规范性引用文件 .2 3术语和定义 2 4 缩略语 5 5安全开发体系评估模型 5.1成熟度模型架构5 5.2 安全能力维度 ..6 5.3 能力成熟度等级维度 .7 5.4 安全开发过程维度 .8 石安全需求 .10 6.1 PA01安全开发分类分级 .10 6.2 PA02威胁分析. ..12 6.3 PA03安全需求管理. 13 7安全设计 7.1 PA04IT架构安全 ..14 7.2 PAO5安全设计管理 .15 7.3 PA06第三方组件安全管理 8安全编码 .18 8.1PA07安全编码管理 .18 9安全测试 20 9.1PA08代码审计 20 9.2 PA09渗透测试. 10 安全部署/发布 23 10.1PA10安全配置管理 .23 10.2 PA11软件/应用自我防御加固 ..24 11 安全运维 25 11.1PA12应急响应 .25 11.2 PA13安全持续保障 .27 12 基础安全 28 12.1 PA14安全培训 ...28 12.2 PA15组织和人员管理. ..30 12.3 PA16合规管理 .32 12.4 PA17开发测试环境安全管理..34 12.5 PA18软件资产管理 .35 I T/1SC0042—2024 .37 附录B. .38 B.1能力成熟度等级评估流程 38 B.2 能力成熟度模型使用方法..39 参考文献 41 Ⅱ T/ISC 0042—2024 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规 则》的规定起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任. 本标准由中国互联网协会归口. 本文件起草单位:中国信息通信研究院、北京国舜科技股份有限公司、北京风行网安科 技有限公司、深圳开源互联网安全技术有限公司、扬州数安技术有限公司、中国石油昆仑数 智科技有限责任公司、中国民航信息网络股份有限公司、中邮信息科技(北京)有限公司、中 国经济信息社、中国移动通信集团设计院有限公司、中国电力科学研究院有限公司、中建数 字科技有限公司、北京航天绘景、OpenSDV汽车软件开源联盟、杭州默安科技有限公司、北京 智精灵科技有限公司、北京德安信华科技有限公司、四川赛闯检测股份有限公司、成都信息 工程大学、北京龙盾数据有限公司、网宿科技股份有限公司、北京微步在线科技有限公司、 阿里巴巴集团、仁寿智仁智慧科技有限公司、四川仁恒智合科技有限公司、江苏大道云隐科 技有限公司. 本文件主要起草人:蒋阿芳、马英轩、樊可欣、汤志刚、于伟杰、郭治文、张志强、王 颉、张磊、王晓龙、滕征岑、张嵩、孙忠伟、杨京煜、王宇、翟冬梅、马德斌、陈长胜、马 丽娜、吴新丽、王勇、王一村、肖秀琴、冯明杨、张玉雪、缪思薇、周亮、左海峰、段柯欣、 贾大伟、张文君、申小旦、马永炼、滕召智、梁尧、李力宏、张坤、王晓宇、郝旭、方建康、 周琼、冯丽、袁丽、马欣、秦元、黄莎琳、吕士表、杨志伟、童兆丰、娄斑、吴孟晴、党杜 均、邓恒、黄圣超. 1 ...