T/ISC 0042-2024 软件安全开发能力评估技术规范

标准编号：T/ISC 0042-2024

标准名称：软件安全开发能力评估技术规范

英文名称：Technical specification for evaluating software security development capability

发布日期：2024-01-29

实施日期：2024-02-28

团体名称：中国互联网协会

起草人

蒋阿芳、马英轩、樊可欣、汤志刚、于伟杰、郭治文、张志强、王颉、张磊、王晓龙、滕征岑、张嵩、孙忠伟、杨京煜、王宇、翟冬梅、马德斌、陈长胜、马丽娜、吴新丽、王勇、王一村、肖秀琴、冯明杨、张玉雪、缪思薇、周亮、左海峰、段柯欣、贾大伟、张文君、申小旦、马永炼、滕召智、梁尧、李力宏、张坤、王晓宇、郝旭、方建康、周琼、冯丽、袁丽、马欣、秦元、黄莎琳、吕士表、杨志伟、童兆丰、娄珽、吴孟晴、党杜均、邓恒、黄圣超

起草单位

中国信息通信研究院、北京国舜科技股份有限公司、北京风行网安科技有限公司、深圳开源互联网安全技术有限公司、扬州数安技术有限公司、中国石油昆仑数智科技有限责任公司、中国民航信息网络股份有限公司、中邮信息科技(北京)有限公司、中国经济信息社、中国移动通信集团设计院有限公司、中国电力科学研究院有限公司、中建数字科技有限公司、北京航天绘景、OpenSDV汽车软件开源联盟、杭州默安科技有限公司、北京智精灵科技有限公司、北京德安信华科技有限公司、四川赛闯检测股份有限公司、成都信息工程大学、北京龙盾数据有限公司、网宿科技股份有限公司、北京微步在线科技有限公司、阿里巴巴集团、仁寿智仁智慧科技有限公司、四川仁恒智合科技有限公司、江苏大道云隐科技有限公司

标准范围

本标准中广义的软件包含支持组织业务的软件和应用系统软件（可简称应用系统），其中狭义的软件是指由组织开发，通过出售等模式供第三方使用的软件，应用系统软件是组织为满足某项业务的开展而开发，供组织自身使用。如果软件与应用系统并列时，指狭义软件，其他时候指广义的软件。

本标准规定软件安全开发过程中需求、设计、编码、测试、部署/发布、运维等各个阶段的安全实现要求，对软件安全开发过程能力提供评估标准及依据。

本标准规定软件及应用安全开发体系在不同等级中的实践活动要求，适用于组织机构自身的安全开发能力评估和过程改进，适用于第三方开展软件安全开发体系能力评估认证。

标准文档截图