GB/T 47470-2026 网络安全技术 软件安全开发能力评估准则

GB/T 47470-2026 Cybersecurity technology—Assessment criteria for secure software development capability

国家标准 中文简体 即将实施 页数:36页 | 格式:PDF

基本信息

标准号
GB/T 47470-2026
标准类型
国家标准
标准状态
即将实施
中国标准分类号(CCS)
国际标准分类号(ICS)
-
发布日期
2026-04-30
实施日期
2026-11-01
发布单位/组织
国家市场监督管理总局、国家标准化管理委员会
归口单位
全国网络安全标准化技术委员会(SAC/TC 260)
适用范围
本文件确立了软件安全开发能力评估准则,包括总则、软件安全开发能力要素、评估方法。
本文件适用于第三方评估机构对组织的软件安全开发能力进行评估,也适用于组织保障软件自身安全的过程控制与改进。

发布历史

文前页预览

研制信息

起草单位:
中国信息安全测评中心、杭州海康威视数字技术股份有限公司、浪潮电子信息产业股份有限公司、深信服科技股份有限公司、华为技术有限公司、北京轩宇信息技术有限公司、北京天融信网络安全技术有限公司、沈阳东软系统集成工程有限公司、蚂蚁科技集团股份有限公司、中兴通讯股份有限公司、中国信息通信研究院、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、深圳开源互联网安全技术有限公司、京东科技信息技术有限公司、国家信息技术安全研究中心、普华基础软件股份有限公司、中国软件与技术服务股份有限公司、启明星辰信息技术集团股份有限公司、科来网络技术股份有限公司、奇安信科技集团股份有限公司、国家计算机网络应急技术处理协调中心、公安部第三研究所、麒麟软件有限公司、南方电网数字电网集团信息通信科技有限公司、北京数安行科技有限公司、浙江鹏信信息科技股份有限公司、华北计算技术研究所(中国电子科技集团公司第十五研究所)、新华三技术有限公司、天翼安全科技有限公司、江苏保旺达软件技术有限公司、北京明朝万达科技股份有限公司、浙江大华技术股份有限公司、中电信量子信息科技集团有限公司、中通服咨询设计研究院有限公司、航天信息股份有限公司、北京卓识网安技术股份有限公司
起草人:
温哲、焦蓉、张晓菲、王滨、刘雁鸣、李耀胜、杨光磊、曾霞、张静、刘洋、白晓媛、王颉、王智、刘海军、郑伟娜、武鑫、刘晨、高松、罗彤、赵相楠、李婧、宋桂香、张昕伟、蒋发群、汪星、林克章、林鹏、吴莉莉、王健、宋好好、杨诏钧、刘玉红、张伟、艾舒欣、万晓兰、周炜超、钟丹晔、袁朝、范佳文、刘勇、王小鹏、陈浩
出版信息:
页数:36页 | 字数:52 千字 | 开本: 大16开

内容描述

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T47470—2026

网络安全技术软件安全开发

能力评估准则

Cybersecuritytechnology—Assessmentcriteriaforsecuresoftware

developmentcapability

2026-04-30发布2026-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T47470—2026

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

总则

4………………………2

软件安全开发能力

4.1…………………2

能力等级

4.2……………2

评估模型

4.3……………3

软件安全开发能力要素

5…………………4

安全需求分析

5.1………………………4

安全技术实现

5.2………………………5

安全测试

5.3……………8

安全发布

5.4……………9

安全维护

5.5……………10

安全治理

5.6……………12

开发支持

5.7……………13

安全度量与改进

5.8……………………14

评估方法

6…………………16

评估条件

6.1……………16

评估结果的形成方法

6.2………………16

分级评估

6.3……………16

附录资料性过程域工作产品示例

A()…………………19

附录资料性软件供应链安全的过程视图

B()…………23

概述

B.1…………………23

过程视图的概念

B.2……………………23

过程方法

B.3……………23

过程视图示例

B.4………………………23

附录资料性评估流程与评估活动

C()…………………26

评估流程

C.1……………26

评估活动

C.2……………26

参考文献

……………………28

GB/T47470—2026

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国信息安全测评中心杭州海康威视数字技术股份有限公司浪潮电子信息产

:、、

业股份有限公司深信服科技股份有限公司华为技术有限公司北京轩宇信息技术有限公司北京天融

、、、、

信网络安全技术有限公司沈阳东软系统集成工程有限公司蚂蚁科技集团股份有限公司中兴通讯股

、、、

份有限公司中国信息通信研究院中国软件评测中心工业和信息化部软件与集成电路促进中心深

、、()、

圳开源互联网安全技术有限公司京东科技信息技术有限公司国家信息技术安全研究中心普华基础

、、、

软件股份有限公司中国软件与技术服务股份有限公司启明星辰信息技术集团股份有限公司科来网

、、、

络技术股份有限公司奇安信科技集团股份有限公司国家计算机网络应急技术处理协调中心公安部

、、、

第三研究所麒麟软件有限公司南方电网数字电网集团信息通信科技有限公司北京数安行科技有限

、、、

公司浙江鹏信信息科技股份有限公司华北计算技术研究所中国电子科技集团公司第十五研究所

、、()、

新华三技术有限公司天翼安全科技有限公司江苏保旺达软件技术有限公司北京明朝万达科技股份

、、、

有限公司浙江大华技术股份有限公司中电信量子信息科技集团有限公司中通服咨询设计研究院有

、、、

限公司航天信息股份有限公司北京卓识网安技术股份有限公司

、、。

本文件主要起草人温哲焦蓉张晓菲王滨刘雁鸣李耀胜杨光磊曾霞张静刘洋白晓媛

:、、、、、、、、、、、

王颉王智刘海军郑伟娜武鑫刘晨高松罗彤赵相楠李婧宋桂香张昕伟蒋发群汪星林克章

、、、、、、、、、、、、、、、

林鹏吴莉莉王健宋好好杨诏钧刘玉红张伟艾舒欣万晓兰周炜超钟丹晔袁朝范佳文刘勇

、、、、、、、、、、、、、、

王小鹏陈浩

、。

GB/T47470—2026

网络安全技术软件安全开发

能力评估准则

1范围

本文件确立了软件安全开发能力评估准则包括总则软件安全开发能力要素评估方法

,、、。

本文件适用于第三方评估机构对组织的软件安全开发能力进行评估也适用于组织保障软件自身

,

安全的过程控制与改进

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

系统与软件工程软件生存周期过程

GB/T8566—2022

信息安全技术系统安全工程能力成熟度模型

GB/T20261—2020

信息安全技术术语

GB/T25069

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T8566—2022、GB/T20261—2020、GB/T25069。

31

.

软件安全开发securesoftwaredevelopment

在软件生存周期中识别潜在的安全威胁减少软件安全漏洞防止软件被故意破坏或强使失效的一

,,

组技术和管理活动

32

.

软件生存周期softwarelifecycle

当软件产品从构思开始至软件不再可用结束的时间周期

来源有修改

[:GB/T11457—2006,2.1506,]

33

.

评估assessment

对于某一产品系统或服务对照某一标准采用相应的评估方法以建立合规性并确定其所做是否

、,,,

得到确保的验证

来源

[:GB/T25069—2022,3.446]

34

.

过程process

利用输入实现预期安全目的的相互关联或相互作用的一组活动

来源有修改

[:GB/T19000—2016,3.4.1,]

35

.

过程域processareaPA

;

安全过程中的一组相关的活动

注当这些活动执行时就能实现过程能力的目的

:,。

1

定制服务