GB/T 47470-2026 网络安全技术 软件安全开发能力评估准则
GB/T 47470-2026 Cybersecurity technology—Assessment criteria for secure software development capability
基本信息
本文件适用于第三方评估机构对组织的软件安全开发能力进行评估,也适用于组织保障软件自身安全的过程控制与改进。
发布历史
-
2026年04月
文前页预览
研制信息
- 起草单位:
- 中国信息安全测评中心、杭州海康威视数字技术股份有限公司、浪潮电子信息产业股份有限公司、深信服科技股份有限公司、华为技术有限公司、北京轩宇信息技术有限公司、北京天融信网络安全技术有限公司、沈阳东软系统集成工程有限公司、蚂蚁科技集团股份有限公司、中兴通讯股份有限公司、中国信息通信研究院、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、深圳开源互联网安全技术有限公司、京东科技信息技术有限公司、国家信息技术安全研究中心、普华基础软件股份有限公司、中国软件与技术服务股份有限公司、启明星辰信息技术集团股份有限公司、科来网络技术股份有限公司、奇安信科技集团股份有限公司、国家计算机网络应急技术处理协调中心、公安部第三研究所、麒麟软件有限公司、南方电网数字电网集团信息通信科技有限公司、北京数安行科技有限公司、浙江鹏信信息科技股份有限公司、华北计算技术研究所(中国电子科技集团公司第十五研究所)、新华三技术有限公司、天翼安全科技有限公司、江苏保旺达软件技术有限公司、北京明朝万达科技股份有限公司、浙江大华技术股份有限公司、中电信量子信息科技集团有限公司、中通服咨询设计研究院有限公司、航天信息股份有限公司、北京卓识网安技术股份有限公司
- 起草人:
- 温哲、焦蓉、张晓菲、王滨、刘雁鸣、李耀胜、杨光磊、曾霞、张静、刘洋、白晓媛、王颉、王智、刘海军、郑伟娜、武鑫、刘晨、高松、罗彤、赵相楠、李婧、宋桂香、张昕伟、蒋发群、汪星、林克章、林鹏、吴莉莉、王健、宋好好、杨诏钧、刘玉红、张伟、艾舒欣、万晓兰、周炜超、钟丹晔、袁朝、范佳文、刘勇、王小鹏、陈浩
- 出版信息:
- 页数:36页 | 字数:52 千字 | 开本: 大16开
内容描述
ICS35030
CCSL.80
中华人民共和国国家标准
GB/T47470—2026
网络安全技术软件安全开发
能力评估准则
Cybersecuritytechnology—Assessmentcriteriaforsecuresoftware
developmentcapability
2026-04-30发布2026-11-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T47470—2026
目次
前言
…………………………Ⅲ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
总则
4………………………2
软件安全开发能力
4.1…………………2
能力等级
4.2……………2
评估模型
4.3……………3
软件安全开发能力要素
5…………………4
安全需求分析
5.1………………………4
安全技术实现
5.2………………………5
安全测试
5.3……………8
安全发布
5.4……………9
安全维护
5.5……………10
安全治理
5.6……………12
开发支持
5.7……………13
安全度量与改进
5.8……………………14
评估方法
6…………………16
评估条件
6.1……………16
评估结果的形成方法
6.2………………16
分级评估
6.3……………16
附录资料性过程域工作产品示例
A()…………………19
附录资料性软件供应链安全的过程视图
B()…………23
概述
B.1…………………23
过程视图的概念
B.2……………………23
过程方法
B.3……………23
过程视图示例
B.4………………………23
附录资料性评估流程与评估活动
C()…………………26
评估流程
C.1……………26
评估活动
C.2……………26
参考文献
……………………28
Ⅰ
GB/T47470—2026
前言
本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定
GB/T1.1—2020《1:》
起草
。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任
。。
本文件由全国网络安全标准化技术委员会提出并归口
(SAC/TC260)。
本文件起草单位中国信息安全测评中心杭州海康威视数字技术股份有限公司浪潮电子信息产
:、、
业股份有限公司深信服科技股份有限公司华为技术有限公司北京轩宇信息技术有限公司北京天融
、、、、
信网络安全技术有限公司沈阳东软系统集成工程有限公司蚂蚁科技集团股份有限公司中兴通讯股
、、、
份有限公司中国信息通信研究院中国软件评测中心工业和信息化部软件与集成电路促进中心深
、、()、
圳开源互联网安全技术有限公司京东科技信息技术有限公司国家信息技术安全研究中心普华基础
、、、
软件股份有限公司中国软件与技术服务股份有限公司启明星辰信息技术集团股份有限公司科来网
、、、
络技术股份有限公司奇安信科技集团股份有限公司国家计算机网络应急技术处理协调中心公安部
、、、
第三研究所麒麟软件有限公司南方电网数字电网集团信息通信科技有限公司北京数安行科技有限
、、、
公司浙江鹏信信息科技股份有限公司华北计算技术研究所中国电子科技集团公司第十五研究所
、、()、
新华三技术有限公司天翼安全科技有限公司江苏保旺达软件技术有限公司北京明朝万达科技股份
、、、
有限公司浙江大华技术股份有限公司中电信量子信息科技集团有限公司中通服咨询设计研究院有
、、、
限公司航天信息股份有限公司北京卓识网安技术股份有限公司
、、。
本文件主要起草人温哲焦蓉张晓菲王滨刘雁鸣李耀胜杨光磊曾霞张静刘洋白晓媛
:、、、、、、、、、、、
王颉王智刘海军郑伟娜武鑫刘晨高松罗彤赵相楠李婧宋桂香张昕伟蒋发群汪星林克章
、、、、、、、、、、、、、、、
林鹏吴莉莉王健宋好好杨诏钧刘玉红张伟艾舒欣万晓兰周炜超钟丹晔袁朝范佳文刘勇
、、、、、、、、、、、、、、
王小鹏陈浩
、。
Ⅲ
GB/T47470—2026
网络安全技术软件安全开发
能力评估准则
1范围
本文件确立了软件安全开发能力评估准则包括总则软件安全开发能力要素评估方法
,、、。
本文件适用于第三方评估机构对组织的软件安全开发能力进行评估也适用于组织保障软件自身
,
安全的过程控制与改进
。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文
。,
件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于
,;,()
本文件
。
系统与软件工程软件生存周期过程
GB/T8566—2022
信息安全技术系统安全工程能力成熟度模型
GB/T20261—2020
信息安全技术术语
GB/T25069
3术语和定义
界定的以及下列术语和定义适用于本文件
GB/T8566—2022、GB/T20261—2020、GB/T25069。
31
.
软件安全开发securesoftwaredevelopment
在软件生存周期中识别潜在的安全威胁减少软件安全漏洞防止软件被故意破坏或强使失效的一
,,
组技术和管理活动
。
32
.
软件生存周期softwarelifecycle
当软件产品从构思开始至软件不再可用结束的时间周期
。
来源有修改
[:GB/T11457—2006,2.1506,]
33
.
评估assessment
对于某一产品系统或服务对照某一标准采用相应的评估方法以建立合规性并确定其所做是否
、,,,
得到确保的验证
。
来源
[:GB/T25069—2022,3.446]
34
.
过程process
利用输入实现预期安全目的的相互关联或相互作用的一组活动
。
来源有修改
[:GB/T19000—2016,3.4.1,]
35
.
过程域processareaPA
;
安全过程中的一组相关的活动
。
注当这些活动执行时就能实现过程能力的目的
:,。
1
定制服务
推荐标准
- GB/T 5729-2003 电子设备用固定电阻器 第1部分:总规范 2003-11-24
- GB/T 5993-2003 电子设备用固定电容器 第4部分:分规范 固体和非固体电解质铝电容器 2003-11-24
- GB/T 2423.52-2003 电工电子产品环境试验 第2部分:试验方法 试验77:结构强度与撞击 2003-11-24
- GB/T 5994-2003 电子设备用固定电容器 第4-1部分:空白详细规范 非固体电解质铝电容器 评定水平E 2003-11-24
- GB/T 19404-2003 微波铁氧体器件主要性能测量方法 2003-11-24
- GB/T 19247.3-2003 印制板组装 第3部分:分规范 通孔安装焊接组装的要求 2003-11-24
- GB/T 19405.2-2003 表面安装技术 第2部分:表面安装元器件的运输和贮存条件——应用指南 2003-11-24
- GB/T 19403.1-2003 半导体器件 集成电路 第11部分:第1篇:半导体集成电路 内部目检(不包括混合电路) 2003-11-24
- GB/T 4182-2003 钼丝 2003-11-24
- GB/T 19405.1-2003 表面安装技术 第1部分:表面安装元器件(SMDS)规范的标准方法 2003-11-24