網絡安全技術 軟件安全開發能力評估準則 編制說明

1《網絡安全技術軟件安全開發能力評估準則》（征求意見稿）編制說明根據國家標準化管理委員會2025年下達的國家全技術軟件安全開發能力評估準則》由中國信息安全測評中心負責承辦，計劃號：20250923-T-469。本標準由全國息保護法》規定的重要數據、個人敏感信息保護合規要求落地,為互聯網、大數《網絡安全技術軟件安全開發能力評估準則》由中國信息安全測評中心牽2(1)本標準研究項目名稱為《信息安全技術安全開發能力評估準則》，是2021年網絡安全國家標準中的標準研究項目，由中國信息安全測評中心牽頭組板，在主責單位開展安全開發實踐經驗活動調研，并3(10)2022年9月，編制組按照專家意見，修訂技術軟件安全開發能力評估準則》，項目(2)2024年9月-10月，編制組以模型指(3)2024年9月-11月，開展問卷調查與訪方式提供標準正文對軟件供應鏈安全要求的支撐，與GB/T43698-2024《網絡安全技術軟件供應鏈安全要求》形成標準呼應4家意見。編制組進行了專家意見處理，進一步修訂草案文本,形成版本V3.4。家反饋，認為本標準與GB/T42560-2023《系統與軟件工程開發運維一體化能一步修訂標準草案，形成版本V3.6。5件安全開發能力評估準則》，并重新提交標準草案V3.7和申報書。能力成熟度模型》草案意見，采納其中部分意見進一步修訂草案V3.8。內容，給出專家意見。編制組進行了專家意見處理，進一步修訂草案文本,形成全技術軟件安全開發能力評估準則》標準進行組內研討答辯，聽取專家意見進通過審查答辯，并根據與會專家意見，修訂完善草案，形成版本V4.3。6進行試點方案匯報，聽取專家意見，完善試點方案，嚴格按照國家標準編制流程和國家標準規范GB/T1.1—2020《標準化工作①本標準參考微軟SDL的描述，以及GB/T8566-2022《信息技術軟件生存周期過程》中“信息安全性”術語和GB∕T30998-2014《信息技術軟71)描述：組織具備開展基本的軟件安全開發實踐活動的能力，能夠提2)活動特征：通過開展安全開發培訓、提供工具資源、進行配置管理1)描述：組織具備有計劃和有跟蹤地開展軟件安全開發活動的能力，2)活動特征：安全過程執行的方法程序化，規范執行軟件安全開發過程，逐步積累過程資產，開展針對業務安全目標的測量分析活動，1)描述：組織具備體系化和規范化開展軟件安全開發活動的能力，能2)活動特征：全面定義組織的軟件安全開發標準過程集，并根據獨特的項目或工作特征進行裁剪執行，建立并維護軟件安全開發過程資1)描述：組織具備使用數據分析進行安全治理的能力，具備定量控制2)活動特征：結合組織總體安全戰略、行業特定要求及策略優先級，建立安全度量指標體系并進行測量、分析、預測，支撐安全目標實現與業務風險管理；通過建立并推廣使用可復用的模塊化的安全的資產庫、自動化測試工具鏈、以及定制化安全門禁規則，系統化提81)描述：組織具備面對復雜態勢自我優化軟件安全開發活動和過程的能力，能夠以可預測的方式改變和調整組織層面的安全目標和實施2)活動特征：通過定量評估安全目標并分析績效數據，識別組織內部的關鍵問題和共性問題，主動并預測性地優化和改進組織過程，運用新思想和新技術，提高具體過程的性能，確保實現軟件安全開發為20個過程域，歸屬8個安全過程，通過設定五個不同等級的活動特征給出相能力。評估模型是開展軟件安全開發能力評估GB/T8566-2022《信息技術軟件生存周期過程》給出軟件生存周期過程框草修改采用ISO/IEC21287:2008《信息技術安全技術系統安全工程能力成熟度模型》)從系統工程安全的科學性和可指導性出發，給出了信息技術安全領域9GB/T43698-2024《網絡安全技術軟件供應鏈安全要求》規定了軟件供應鏈發環節的安全圖譜、安全需求基線、防護架構、開發/測試工具和設備白名單、GB/T43848-2024《網絡安全技術軟件產品開源代碼安全評價方法》規定了12》、《SoftwareAssuranceMaturityModelV熟度共性活動特征，并參考《CMMIforDevelopment,Version1.3》的過程域累進式模型設計和《CMMIModelV2.0》的實踐域漸進式模型設計，結合實際業美國NIST于2022年發布的SP800-218《SecureSoftwareDevelopment此外，軟件生產組織和第三方機構相繼推出“安全開發生命周期（SecureModel）”、“軟件保障成熟度模型（SoftwareAssuranceMaturityModel）”等多個軟件安全開發方法和模型，在全球范圍內得到了認可和三、試驗驗證的分析、綜述報告，技術經濟論證，預期的經濟效益、社會本標準以工程化的方法解決現代軟件開發面臨在復雜環境下群體開發活動目前，在軟件安全開發國際標準方面，暫沒有專門針對軟件安全開發能力微軟(Microsoft)于2004年正式提出SecurityDevelopmentLifecycle,以來，共發布12個版本，最新版本于2020年發布。最新版本更加重視微軟SDL模型建立,是以Windows操作系統在實際運行過程中引發的安布確認、安全事件應急響應等活動嵌入到軟件生命周期管理中。該框架的提出，項目研究，試圖從能力成熟度的角度出發，構建組織的安全開發能力建設方法，該框架前身為《MitigatingtheRiskofSoftwareVulnerabilitiesby開發框架降低軟件漏洞的風險(簡稱SSDF1.0)，由NIST在2020年發布，并于2021年轉為草案(簡稱SSDF1.1)。該草案采集較為豐富行業最佳實踐,從組洞響應機制,識別殘余漏洞,進行跟蹤分析,防止類似的漏洞再次該框架以高級安全軟件為適用對象，提出組織應該采取的開發活動。但是軟件安全具有伴生特性,框架設計視角沒有從軟件工程的一般規律出發，使得組），域（Domain）、實踐（Practice）、軟件安全架構（SSF:SecuritySoftwareFramework）、軟件安全小組（SSG:SecuritySoftwareGroup）、軟件安全計劃（SSI:SecuritySoftwareInitiative）等，幫助組織判定其整體軟件安全計劃的合理性。BSIMM模型強調組織團隊的作用，4、SoftwareAssuranceMaturitySAMM模型第一個