CSA EXP200:19评估软件开发和网络安全计划

前言

2019年由CSA认证出版，这是CSA EXP200，软件开发和网络安全程序评估的第一版。本快递文件不是共识产品;也就是说，它不是标准，也没有经过CSA技术委员会的正式审查或批准。

本快速文档的目的是为开发评估软件开发实践和相关网络安全实践的方法提供指导，该组织为物联网(IoT)产品空间生产产品。

政府、企业和消费者正在寻求快速采用物联网产品和服务，以在许多市场领域实现任务自动化并提高效率。虽然这些技术可以显着提高这些用户和企业的能力，但它们对最终用户构成了潜在的网络和隐私风险。最终用户通常假设这些产品已经过某种程度的安全测试和评估。这包括这些产品不会对他们或他们的业务构成直接风险。然而，鉴于物联网和相关产品的专用恶意软件显着增加，包括武器化设备的僵尸网络活动大幅增加，许多产品/服务表明，其中许多产品没有经过安全设计或测试。

范围

1.1

本文档描述了一种评估组织的产品软件和网络安全成熟度的方法。它为评估者和供应商提供了一种方法来确定组织的成熟度以及正在开发的产品/解决方案，而不管业务部门如何。它涵盖了从概念到全面调试再到生命周期结束的整个产品系统生命周期。其前提是有效的执行业务决策，以建立全面的网络安全成熟度模型方法

本文档适用于所有物联网和相关产品/解决方案。

1.2

在本文档中，应用于表示要求，即用户必须满足以遵守本文档的规定;应该用于表达建议或建议但不是必需的;和可能用于表示选项或在文件限制内允许的选项。

附注条款不包括要求或替代要求;伴随条款的注释的目的是将解释性或信息性材料与文本分开。

表和图的注释被认为是表或图的一部分，可以写成要求。

附件被指定为规范性(强制性)或信息性(非强制性)以定义其应用。