ICS35080

L77.

中華人民共和國國家標準

GB/T30998—2014

信息技術軟件安全保障規范

Informationtechnology—Softwaresafetyassurancespecification

2014-09-03發布2015-02-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T30998—2014

目次

前言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語定義和縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………4

安全關鍵軟件的確定

4……………………5

確定過程

4.1……………5

軟件安全分析

4.2………………………6

軟件安全保障一般分析

5…………………7

人員組織及職責

5.1、……………………7

軟件安全計劃

5.2………………………9

人員認證及培訓

5.3……………………10

資源

5.4…………………10

軟件生存周期

5.5………………………10

文檔要求

5.6……………11

可追蹤性

5.7……………11

差異和問題的報告追蹤

5.8、…………12

軟件配置管理活動

5.9…………………12

軟件保障活動

5.10……………………12

工具支持及批準

5.11…………………13

現貨軟件

5.12…………………………13

外包管理

5.13…………………………13

認證過程

5.14…………………………13

偏離及豁免

5.15………………………14

安全保密性

5.16………………………14

軟件開發的安全保障分析

6………………14

概述

6.1…………………14

軟件安全需求分析

6.2…………………15

軟件設計的安全保障分析

6.3…………16

軟件實現的安全保障分析

6.4…………16

軟件測試的安全保障分析

6.5…………17

軟件運行使用的安全保障分析

7…………18

參考文獻

……………………20

Ⅰ

GB/T30998—2014

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準由全國信息技術標準化技術委員會提出歸口

(SAC/TC28)。

本標準起草單位中國電子技術標準化研究院復旦大學總裝備部武器裝備論證研究中心北京東

:、、、

方通科技股份有限公司上海計算機軟件技術開發中心萬達信息股份有限公司裝備學院

、、、。

本標準的主要起草人王衛國李海波叢培勇馮惠陳志峰楊麗蘊李春青張魯峰錢樂秋李光亞

:、、、、、、、、、、

龔波

。

Ⅲ

GB/T30998—2014

信息技術軟件安全保障規范

1范圍

本標準規定了獲取或開發安全關鍵軟件所必需的軟件安全活動數據和文檔

、。

本標準適用于定制重用和現貨的安全關鍵軟件的開發和獲取過程也適用于固件

、,。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術軟件工程術語

GB/T11457

3術語定義和縮略語

、

31術語和定義

.

中界定的以及下列術語和定義適用于本文件

GB/T11457。

311

..

事故accident

造成人員傷亡職業疾病設備財產損壞或損失環境破壞等的一個或一系列非預期事件

,,、,。

312

..

組件component

一個系統或子系統的組成元素

。

313

..

客戶customer

獲取其他組織所開發的軟件的實體包括工程項目設施

,、、。

314

..

分解decomposition

將一個系統或組