1《網(wǎng)絡(luò)安全技術(shù)軟件安全開發(fā)能力評(píng)估準(zhǔn)則》（征求意見稿）編制說明根據(jù)國家標(biāo)準(zhǔn)化管理委員會(huì)2025年下達(dá)的國家全技術(shù)軟件安全開發(fā)能力評(píng)估準(zhǔn)則》由中國信息安全測評(píng)中心負(fù)責(zé)承辦，計(jì)劃號(hào)：20250923-T-469。本標(biāo)準(zhǔn)由全國息保護(hù)法》規(guī)定的重要數(shù)據(jù)、個(gè)人敏感信息保護(hù)合規(guī)要求落地,為互聯(lián)網(wǎng)、大數(shù)《網(wǎng)絡(luò)安全技術(shù)軟件安全開發(fā)能力評(píng)估準(zhǔn)則》由中國信息安全測評(píng)中心牽2(1)本標(biāo)準(zhǔn)研究項(xiàng)目名稱為《信息安全技術(shù)安全開發(fā)能力評(píng)估準(zhǔn)則》，是2021年網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)中的標(biāo)準(zhǔn)研究項(xiàng)目，由中國信息安全測評(píng)中心牽頭組板，在主責(zé)單位開展安全開發(fā)實(shí)踐經(jīng)驗(yàn)活動(dòng)調(diào)研，并3(10)2022年9月，編制組按照專家意見，修訂技術(shù)軟件安全開發(fā)能力評(píng)估準(zhǔn)則》，項(xiàng)目(2)2024年9月-10月，編制組以模型指(3)2024年9月-11月，開展問卷調(diào)查與訪方式提供標(biāo)準(zhǔn)正文對(duì)軟件供應(yīng)鏈安全要求的支撐，與GB/T43698-2024《網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求》形成標(biāo)準(zhǔn)呼應(yīng)4家意見。編制組進(jìn)行了專家意見處理，進(jìn)一步修訂草案文本,形成版本V3.4。家反饋，認(rèn)為本標(biāo)準(zhǔn)與GB/T42560-2023《系統(tǒng)與軟件工程開發(fā)運(yùn)維一體化能一步修訂標(biāo)準(zhǔn)草案，形成版本V3.6。5件安全開發(fā)能力評(píng)估準(zhǔn)則》，并重新提交標(biāo)準(zhǔn)草案V3.7和申報(bào)書。能力成熟度模型》草案意見，采納其中部分意見進(jìn)一步修訂草案V3.8。內(nèi)容，給出專家意見。編制組進(jìn)行了專家意見處理，進(jìn)一步修訂草案文本,形成全技術(shù)軟件安全開發(fā)能力評(píng)估準(zhǔn)則》標(biāo)準(zhǔn)進(jìn)行組內(nèi)研討答辯，聽取專家意見進(jìn)通過審查答辯，并根據(jù)與會(huì)專家意見，修訂完善草案，形成版本V4.3。6進(jìn)行試點(diǎn)方案匯報(bào)，聽取專家意見，完善試點(diǎn)方案，嚴(yán)格按照國家標(biāo)準(zhǔn)編制流程和國家標(biāo)準(zhǔn)規(guī)范GB/T1.1—2020《標(biāo)準(zhǔn)化工作①本標(biāo)準(zhǔn)參考微軟SDL的描述，以及GB/T8566-2022《信息技術(shù)軟件生存周期過程》中“信息安全性”術(shù)語和GB∕T30998-2014《信息技術(shù)軟71)描述：組織具備開展基本的軟件安全開發(fā)實(shí)踐活動(dòng)的能力，能夠提2)活動(dòng)特征：通過開展安全開發(fā)培訓(xùn)、提供工具資源、進(jìn)行配置管理1)描述：組織具備有計(jì)劃和有跟蹤地開展軟件安全開發(fā)活動(dòng)的能力，2)活動(dòng)特征：安全過程執(zhí)行的方法程序化，規(guī)范執(zhí)行軟件安全開發(fā)過程，逐步積累過程資產(chǎn)，開展針對(duì)業(yè)務(wù)安全目標(biāo)的測量分析活動(dòng)，1)描述：組織具備體系化和規(guī)范化開展軟件安全開發(fā)活動(dòng)的能力，能2)活動(dòng)特征：全面定義組織的軟件安全開發(fā)標(biāo)準(zhǔn)過程集，并根據(jù)獨(dú)特的項(xiàng)目或工作特征進(jìn)行裁剪執(zhí)行，建立并維護(hù)軟件安全開發(fā)過程資1)描述：組織具備使用數(shù)據(jù)分析進(jìn)行安全治理的能力，具備定量控制2)活動(dòng)特征：結(jié)合組織總體安全戰(zhàn)略、行業(yè)特定要求及策略優(yōu)先級(jí)，建立安全度量指標(biāo)體系并進(jìn)行測量、分析、預(yù)測，支撐安全目標(biāo)實(shí)現(xiàn)與業(yè)務(wù)風(fēng)險(xiǎn)管理；通過建立并推廣使用可復(fù)用的模塊化的安全的資產(chǎn)庫、自動(dòng)化測試工具鏈、以及定制化安全門禁規(guī)則，系統(tǒng)化提81)描述：組織具備面對(duì)復(fù)雜態(tài)勢自我優(yōu)化軟件安全開發(fā)活動(dòng)和過程的能力，能夠以可預(yù)測的方式改變和調(diào)整組織層面的安全目標(biāo)和實(shí)施2)活動(dòng)特征：通過定量評(píng)估安全目標(biāo)并分析績效數(shù)據(jù)，識(shí)別組織內(nèi)部的關(guān)鍵問題和共性問題，主動(dòng)并預(yù)測性地優(yōu)化和改進(jìn)組織過程，運(yùn)用新思想和新技術(shù)，提高具體過程的性能，確保實(shí)現(xiàn)軟件安全開發(fā)為20個(gè)過程域，歸屬8個(gè)安全過程，通過設(shè)定五個(gè)不同等級(jí)的活動(dòng)特征給出相能力。評(píng)估模型是開展軟件安全開發(fā)能力評(píng)估GB/T8566-2022《信息技術(shù)軟件生存周期過程》給出軟件生存周期過程框草修改采用ISO/IEC21287:2008《信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型》)從系統(tǒng)工程安全的科學(xué)性和可指導(dǎo)性出發(fā)，給出了信息技術(shù)安全領(lǐng)域9GB/T43698-2024《網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求》規(guī)定了軟件供應(yīng)鏈發(fā)環(huán)節(jié)的安全圖譜、安全需求基線、防護(hù)架構(gòu)、開發(fā)/測試工具和設(shè)備白名單、GB/T43848-2024《網(wǎng)絡(luò)安全技術(shù)軟件產(chǎn)品開源代碼安全評(píng)價(jià)方法》規(guī)定了12》、《SoftwareAssuranceMaturityModelV熟度共性活動(dòng)特征，并參考《CMMIforDevelopment,Version1.3》的過程域累進(jìn)式模型設(shè)計(jì)和《CMMIModelV2.0》的實(shí)踐域漸進(jìn)式模型設(shè)計(jì)，結(jié)合實(shí)際業(yè)美國NIST于2022年發(fā)布的SP800-218《SecureSoftwareDevelopment此外，軟件生產(chǎn)組織和第三方機(jī)構(gòu)相繼推出“安全開發(fā)生命周期（SecureModel）”、“軟件保障成熟度模型（SoftwareAssuranceMaturityModel）”等多個(gè)軟件安全開發(fā)方法和模型，在全球范圍內(nèi)得到了認(rèn)可和三、試驗(yàn)驗(yàn)證的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效益、社會(huì)本標(biāo)準(zhǔn)以工程化的方法解決現(xiàn)代軟件開發(fā)面臨在復(fù)雜環(huán)境下群體開發(fā)活動(dòng)目前，在軟件安全開發(fā)國際標(biāo)準(zhǔn)方面，暫沒有專門針對(duì)軟件安全開發(fā)能力微軟(Microsoft)于2004年正式提出SecurityDevelopmentLifecycle,以來，共發(fā)布12個(gè)版本，最新版本于2020年發(fā)布。最新版本更加重視微軟SDL模型建立,是以Windows操作系統(tǒng)在實(shí)際運(yùn)行過程中引發(fā)的安布確認(rèn)、安全事件應(yīng)急響應(yīng)等活動(dòng)嵌入到軟件生命周期管理中。該框架的提出，項(xiàng)目研究，試圖從能力成熟度的角度出發(fā)，構(gòu)建組織的安全開發(fā)能力建設(shè)方法，該框架前身為《MitigatingtheRiskofSoftwareVulnerabilitiesby開發(fā)框架降低軟件漏洞的風(fēng)險(xiǎn)(簡稱SSDF1.0)，由NIST在2020年發(fā)布，并于2021年轉(zhuǎn)為草案(簡稱SSDF1.1)。該草案采集較為豐富行業(yè)最佳實(shí)踐,從組洞響應(yīng)機(jī)制,識(shí)別殘余漏洞,進(jìn)行跟蹤分析,防止類似的漏洞再次該框架以高級(jí)安全軟件為適用對(duì)象，提出組織應(yīng)該采取的開發(fā)活動(dòng)。但是軟件安全具有伴生特性,框架設(shè)計(jì)視角沒有從軟件工程的一般規(guī)律出發(fā)，使得組），域（Domain）、實(shí)踐（Practice）、軟件安全架構(gòu)（SSF:SecuritySoftwareFramework）、軟件安全小組（SSG:SecuritySoftwareGroup）、軟件安全計(jì)劃（SSI:SecuritySoftwareInitiative）等，幫助組織判定其整體軟件安全計(jì)劃的合理性。BSIMM模型強(qiáng)調(diào)組織團(tuán)隊(duì)的作用，4、SoftwareAssuranceMaturitySAMM模型第一個(gè)