信息系统安全服务资质评估准则文档格式.doc
- 文档编号:13164496
- 上传时间:2022-10-07
- 格式:DOC
- 页数:18
- 大小:159.50KB
信息系统安全服务资质评估准则文档格式.doc
《信息系统安全服务资质评估准则文档格式.doc》由会员分享,可在线阅读,更多相关《信息系统安全服务资质评估准则文档格式.doc(18页珍藏版)》请在冰豆网上搜索。
信息安全服务资质评估等级划分细则
信息安全服务资质等级评估方法
……
本标准起草单位:
中国国家信息安全测评认证中心,中国国家信息安全测评认证中心系统工程实验室,信息产业部电子第30研究所,四川大学信息安全研究所,中国国防科技信息中心,解放军总装备部,北京普方德信息技术有限公司,北京天融信公司。
本标准主要起草人:
关义章、叶征、崔玉华、任卫红、唐海波、龙毅宏、刘炳华、满林松、周恩志等
本标准于200X年X月X日起实施。
本标准委托中国国家信息安全测评认证中心负责解释。
目录
1 适用范围 1
2 定义 1
2.1 信息安全服务 1
2.2 信息安全服务提供者 1
2.3 信息安全服务资质等级 1
2.4 信息安全工程过程能力级别 1
2.5 信息安全服务评估组织 1
3 服务类型与资质评定原则 1
3.1 信息安全服务的类型 1
3.2 信息安全服务资质等级的评判原则 1
4 提供信息安全服务的基本资格要求 2
5 提供信息安全服务的基本能力要求 2
5.1 组织与管理要求 2
5.2 技术能力要求 2
5.3 人员构成与素质要求 3
5.4 设备、设施与环境要求 3
5.5 规模与资产要求 3
5.6 业绩要求 3
5.7 质量保证要求 4
5.8 培训要求 4
6 信息安全工程过程及能力级别 4
6.1 概述 4
6.2 信息安全工程过程要求 5
6.2.1 评估安全对系统的影响 5
6.2.2 评估系统面临的安全威胁 5
6.2.3 评估系统的安全弱点 5
6.2.4 评估系统的安全风险 5
6.2.5 确定系统的安全需求 6
6.2.6 为系统提供必要的安全信息 6
6.2.7 监测系统的安全状况 6
6.2.8 管理系统的安全控制 7
6.2.9 安全性协调 7
6.2.10 检验并证实安全性 7
6.2.11 建立并提供安全性保证证据 7
6.3 信息安全工程过程能力级别 8
6.3.1 基本执行级 8
6.3.1.1 执行过程 8
6.3.2 计划跟踪级 8
6.3.2.1 制定过程执行计划 8
6.3.2.2 规范化执行 8
6.3.2.3 验证执行 8
6.3.2.4 跟踪执行 8
6.3.3 充分定义级 8
6.3.3.1 定义标准过程 8
6.3.3.2 执行已定义过程 8
6.3.3.3 协调项目和组织活动 9
6.3.4 定量控制级 9
6.3.4.1 建立可测量的质量目标 9
6.3.4.2 客观地管理执行 9
6.3.5 连续改进级 9
6.3.5.1 改进组织能力 9
6.3.5.2 改进过程有效性 9
7 信息安全服务资质等级划分 9
7.1 概述 9
7.2 信息安全服务资质等级划分 9
7.3 不同资质等级可从事的安全服务 11
8 引用标准与参考文献 12
8.1 计算机信息系统安全保护等级划分准则 12
8.2 系统工程能力成熟模型 12
8.3 系统安全工程能力成熟模型 12
8.4 系统安全工程能力成熟模型—评定方法 12
8.5 信息系统安全工程手册 12
8.6 软件工程能力成熟模型 12
8.7 信息安全工程质量管理要求 12
9 附录——系统安全工程主要术语 13
9.1 组织 13
9.2 项目 13
9.3 系统 13
9.4 安全工程 13
9.5 安全工程生命期 13
9.6 工作产品 14
9.7 顾客 14
9.8 过程 14
9.9 过程能力 14
9.10 制度化 14
9.11 过程管理 14
-IV-
1适用范围
本标准适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估;
信息安全服务的需方对服务提供方的选择依据;
作为国家主管部门对评估对象进行管理和检查的技术规范。
另外,也可为信息安全服务提供组织改进自身能力提供指导。
2定义
2.1信息安全服务
信息安全服务是指信息安全工程的设计、实施、测试、运行和维护,以及相关的咨询和培训活动。
2.2信息安全服务提供者
信息安全服务提供者是指信息安全工程方案设计组织、承建信息安全工程的组织以及提供有关信息安全咨询和培训的组织。
2.3信息安全服务资质等级
信息安全服务资质等级是指一个组织提供信息安全服务的综合能力。
包括技术能力、组织结构与管理、资源配置、安全工程过程能力、业绩和质量保证等多个方面。
2.4信息安全工程过程能力级别
信息安全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目时,执行组织已定义过程的能力成熟程度。
2.5信息安全服务评估组织
信息安全服务评估组织,是指对提供信息安全服务的组织的资质等级进行评估认证的第三方机构。
在我国是指中国国家信息安全测评认证中心及其授权分支机构。
3服务类型与资质评定原则
3.1信息安全服务的类型
信息安全服务的类型主要指一个组织按照一定的合同或协议,为另一个组织所履行的安全服务的具体形式,包括:
1)安全工程:
为信息系统进行安全方案设计(开发)、施工(安全集成)、验证(测试)、运行(监控)和维护;
2)安全咨询和培训:
从事信息系统安全咨询、培训、宣传和其它安全工程之外服务的业务。
包括书面提出并制订信息系统安全方案,提供安全管理与操作规定的服务,提供安全性测试和监控,方案(安全方案、信息系统和安全产品等)试验,在公开场合或媒体宣讲传播安全知识的活动,信息系统安全的专家活动和政策制订工作,从事信息系统安全教育工作,其它可能影响信息系统安全性能的有偿或无偿服务或技术活动。
3.2信息安全服务资质等级的评判原则
信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。
资质等级的评定,是在其基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上,针对不同的服务种类,采用一定的权值综合考虑后确定,并由国家认证机构授予相应的资质级别。
信息安全服务的资质等级的划分遵循以下原则:
1.综合考虑原则:
信息安全服务资质等级的划分必须对组织的综合能力进行考察,它主要与组织的资格状况、技术实力、信息安全工程过程能力等级以及其他要求有关。
2.与现行国家有关主管部门颁布的法律、法规、规章、制度相一致的原则:
安全策略要保持与现行的法律、法规、规章、制度相一致,不能相抵触。
3.与我国已发布或即将发布的有关信息安全的标准相一致的原则:
我国已发布许多与安全服务有关的的标准,本评估准则的资质等级划分必须与这些标准相一致。
4.与组织的基本能力水平紧密结合的原则:
一个组织的基本能力是评估其资质等级的基本要求,有些基本能力要求可能决定一个组织是否具备参与资质评定的资格。
5.与信息安全服务工程过程能力等级紧密结合的原则:
工程过程能力等级是反映组织实施工程的成熟程度,是评定资质的重要依据。
6.可裁剪原则:
安全服务有多种类型,对不同类型的安全服务可进行适当的裁剪。
7.可操作性原则
具有实际操作的可行性。
4 提供信息安全服务的基本资格要求
4.1提供信息安全服务的组织必须是一个独立的实体,具有工商行政管理部门发给的合法的营业执照。
4.2必须获得国家有关信息安全主管部门发给的从事信息安全服务的资格证书。
4.3从事涉密(国家秘密)网络信息系统安全服务的组织必须获得国家安全主管部门的批准。
4.4采用商密信息产品进行安全系统集成的组织必须获得国家安全主管部门的批准。
4.5必须遵守国家现行法律、法规的规定。
5 提供信息安全服务的基本能力要求
5.1组织与管理要求
从事信息安全服务的组织:
5.1.1必须拥有健全的组织结构和管理体系,为持续的信息安全服务提供保证。
5.1.2应制定符合国家保密机关要求的工作保密制度和相关的组织监管体系。
5.1.3所有成员要签定保密合同,并遵守有关法律法规。
5.2技术能力要求
从事信息安全服务的组织,应:
5.2.1了解信息安全技术的最新动向,有能力掌握信息安全的最新技术。
5.2.2具有不断的技术更新能力。
5.2.3具有对信息系统所面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力。
5.2.4须能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度。
5.2.5具有对发生的突发性安全事件进行分析和解决的能力。
5.2.6从事安全系统集成和相关咨询的组织应具有足够的技术力量,对市场的信息安全产品进行功能分析、提出安全策略和安全解决方案、及安全产品的系统集成的能力。
5.2.7应具有足够的技术力量,根据服务业务的需求开发信息安全应用、产品或支持性工具的能力。
5.2.8系统集成商应有对集成的系统进行检测和验证的能力。
5.2.9有能力对信息安全系统进行有效的维护。
5.2.10有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
5.3人员构成与素质要求
5.3.1从事信息安全服务的组织应具有充足的人力资源和合理的人员结构。
5.3.2所有与信息安全服务有关的管理和销售人员等应具有基本的信息安全知识。
5.3.3应有一批相对稳定的技术队伍。
5.3.4技术骨干人员应系统地掌握信息安全基础理论和核心技术,并有足够的专业工作经验。
5.4设备、设施与环境要求
从事信息安全的组织,应:
5.4.1具有固定的工作场所,良好的工作环境。
5.4.2具有先进的开发、测试或模拟环境。
5.4.3具有先进的开发、生产和测试设备。
5.4.4具有实施相关服务的必需的开发、生产和测试工具。
5.5规模与资产要求
5.5.1有足够的注册资金和充足的流动资金。
5.5.2建立与所承担的业务范围和工程规模相适应的服务体系。
5.5.3有足够的人员从事直接与信息安全服务相关的活动。
5.6业绩要求
从事信息安全的组织,应具有与申请资质相符的从业经历,主要考查:
5.6.1从业时间
5.6.2工程或项目规模
5.6.3工程或项目数量
5.6.4工程或项目质量
5.6.5合作项目参与程度
5.6.6完成结果评价
5.7质量保证要求
5.7.1提供信息系统安全工程服务的组织要求通过“信息系统安全工程质量管理要求”;
5.7.2提供信息系统安全咨询培训服务的组织要求通过经裁剪的“信息系统安全工程质
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 服务 资质 评估 准则