2018信息安全服务规范：三级至一级评价详细要求概述

本资源主要关注的是信息安全服务的管理和技术要求，特别是针对航空领域（可能通过SAEED FAROKHI的著作《航空推进》的背景）中的软件安全开发过程。它遵循中国网络安全审查技术与认证中心（CCRC）发布的CCRC-ISV-C01:2018信息安全服务规范，该规范于2018年5月25日发布并自同年6月1日起实施。 首先，资源强调了在测试阶段（E2级别）的几个关键环节： 1. **E2.1 准备阶段**：组织需建立软件安全开发项目的风险管理机制，对项目进行全面风险评估，并利用配置管理工具进行项目管理。此外，配备专职测试人员，且确保测试环境与开发环境隔离，以保证软件系统的安全稳定。 2. **E2.2 需求阶段**：在需求分析中，需准确识别和综合分析软件的安全需求，包括可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性。同时，要明确数据安全保护措施，并根据客户的需求编制安全需求分析报告，列出所使用的安全技术标准。 3. **E2.3 设计阶段**：概要设计阶段，要确保数据完整性和保密性、通信完整性和保密性、软件容错和资源控制等安全功能。详细设计则涉及数据处理的全面安全性，包括数据的产生、传输、存储、使用和归档。 4. **E2.5 测试阶段**：测试分为单元测试和集成测试，要求明确测试策略和计划，并依据设计文档进行设计和执行，形成详细的测试记录。这包括单元测试的策略和集成测试的计划，以及设计和测试的具体步骤。 此外，资源还涵盖了不同级别的信息安全服务评价要求，如三级、二级和一级，每个级别都包含法律地位、财务状况、办公设施、人员能力、业绩和服务管理、技术工具和技术要求等多个维度。这些要求不仅适用于航空行业的软件开发，也适用于其他需要严格安全控制的信息系统和服务提供商。例如，软件安全开发服务资质专业评价要求涉及风险评估、安全集成、应急处理、灾难备份恢复、网络安全审计等服务的专门技能和能力标准。整体来看，本资源是关于信息安全服务管理和服务提供者如何满足中国网络安全法规和行业标准的重要参考。