GB/T 47470-2026网络安全技术软件安全开发能力评估准则

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T47470—2026

网络安全技术软件安全开发

能力评估准则

Cybersecuritytechnology—Assessmentcriteriaforsecuresoftware

developmentcapability

2026-04-30发布2026-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T47470—2026

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

总则

4………………………2

软件安全开发能力

4.1…………………2

能力等级

4.2……………2

评估模型

4.3……………3

软件安全开发能力要素

5…………………4

安全需求分析

5.1………………………4

安全技术实现

5.2………………………5

安全测试

5.3……………8

安全发布

5.4……………9

安全维护

5.5……………10

安全治理

5.6……………12

开发支持

5.7……………13

安全度量与改进

5.8……………………14

评估方法

6…………………16

评估条件

6.1……………16

评估结果的形成方法

6.2………………16

分级评估

6.3……………16

附录资料性过程域工作产品示例

A()…………………19

附录资料性软件供应链安全的过程视图

B()…………23

概述

B.1…………………23

过程视图的概念

B.2……………………23

过程方法

B.3……………23

过程视图示例

B.4………………………23

附录资料性评估流程与评估活动

C()…………………26

评估流程

C.1……………26

评估活动

C.2……………26

参考文献

……………………28

Ⅰ

GB/T47470—2026

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国信息安全测评中心杭州海康威视数字技术股份有限公司浪潮电子信息产

:、、

业股份有限公司深信服科技股份有限公司华为技术有限公司北京轩宇信息技术有限公司北京天融

、、、、

信网络安全技术有限公司沈阳东软系统集成工程有限公司蚂蚁科技集团股份有限公司中兴通讯股

、、、

份有限公司中国信息通信研究院中国软件评测中心工业和信息化部软件与集成电路促进中心深

、、()、

圳开源互联网安全技术有限公司京东科技信息技术有限公司国家信息技术安全研究中心普华基础

、、、

软件股份有限公司中国软件与技术服务股份有限公司启明星辰信息技术集团股份有限公司科来网

、、、

络技术股份有限公司奇安信科技集团股份有限公司国家计算机网络应急技术处理协调中心公安部

、、、

第三研究所麒麟软件有限公司南方电网数字电网集团信息通信科技有限公司北京数安行科技有限

、、、

公司浙江鹏信信息科技股份有限公司华北计算技术研究所中国电子科技集团公司第十五研究所

、、()、

新华三技术有限公司天翼安全科技有限公司江苏保旺达软件技术有限公司北京明朝万达科技股份

、、、

有限公司浙江大华技术股份有限公司中电信量子信息科技集团有限公司中通服咨询设计研究院有

、、、

限公司航天信息股份有限公司北京卓识网安技术股份有限公司

、、。

本文件主要起草人温哲焦蓉张晓菲王滨刘雁鸣李耀胜杨光磊曾霞张静刘洋白晓媛

:、、、、、、、、、、、

王颉王智刘海军郑伟娜武鑫刘晨高松罗彤赵相楠李婧宋桂香张昕伟蒋发群汪星林克章

、、、、、、、、、、、、、、、

林鹏吴莉莉王健宋好好杨诏钧刘玉红张伟艾舒欣万晓兰周炜超钟丹晔袁朝范佳文刘勇

、、、、、、、、、、、、、、

王小鹏陈浩

、。

Ⅲ

GB/T47470—2026

网络安全技术软件安全开发

能力评估准则

1范围

本文件确立了软件安全开发能力评估准则包括总则软件安全开发能力要素评估方法

,、、。

本文件适用于第三方评估机构对组织的软件安全开发能力进行评估也适用于组织保障软件自身

,

安全的过程控制与改进

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

系统与软件工程软件生存周期过程

GB/T8566—2022

信息安全技术系统安全工程能力成熟度模型

GB/T20261—2020

信息安全技术术语

GB/T25069

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T8566—2022、GB/T20261—2020、GB/T25069。

31

.

软件安全开发securesoftwaredevelopment

在软件生存周期中识别潜在的安全威胁减少软件安全漏洞防止软件被故意破坏或强使失效的一

,,

组技术和管