信息安全服务资质自表-风险类-中国信息安全认证中心
信息安全风险评估服务资质认证自评估表
自评估结论:
经自主评估,本单位的信息安全风险评估服务满足《信息安全服务规范》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
2017年中国信息安全行业发展现状及未来发展趋势分析
2017年中国信息安全行业发展现状及未来发展趋势分析 (一)行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制 信息安全行业主要受信息产业及安全主管部门的监管,具体如下: 数据来源:公开资料整理 2、行业主要法律法规及政策 (1)行业主要法律法规 信息安全行业,受到信息安全行业相关法律法规的管理。行业的主要法律法规如下:
数据来源:公开资料整理(2)行业主要发展政策
行业主要发展政策如下: 数据来源:公开资料整理(二)信息安全行业概况及未来发展趋势 1、信息安全的定义
信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护,使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁,保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性: 数据来源:公开资料整理 2、信息安全行业的技术、产品和服务 (1)信息安全技术 为了实现信息安全的七个核心属性,需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而,目前信息安全的主流技术包括信息系统自身的安全技术(物理安全和运行安全技术)、信息自身的安全技术(数据安全与内容安全技术)、信息利用的安全技术(信息对抗技术),具体如下:
数据来源:公开资料整理(2)信息安全产品 信息安全产品按照功能分类主要包括:防火墙产品、入侵检测与入侵防御产品、统一威胁管理产品、身份管理类产品、加密类产品、电子签名类产品、安全审计类产品以及终端安全管理产品等。主要产品的情况如下:
信息安全管理体系审核员注册准则-中国信息安全认证中心
中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会
信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.360docs.net/doc/1413939458.html, email:pcc@https://www.360docs.net/doc/1413939458.html, 版权 ?版权2012-中国认证认可协会
前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。
信息安全服务资质申请书(安全开发类一级)
编号: 国家信息安全测评 信息安全服务资质申请书 (安全开发类一级) 申请单位(公章): 填表日期: ?2011—中国信息安全测评中心 2011年1月1日
目录 填表须知 (3) 申请表 (4) 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位近三年资产运营情况 (7) 四、申请单位人员情况 (8) 五、申请单位技术能力基本情况 (8) 六、申请单位安全开发过程能力 (8) 6.1安全意识和安全教育 (8) 6.2启动安全开发过程 (8) 6.3产品风险评估和分析 (8) 6.4定义安全设计原则 (8) 6.5提供安全文档和安全配置工具 (8) 6.6进行安全编码 (8) 6.7进行安全测试 (8) 6.8安全最终评审与产品发布 (8) 6.9安全响应服务 (8) 七、申请单位的项目和组织过程能力 (8) 7.1实现质量保证的能力 (8) 7.2实现配置管理的能力 (8) 7.3管理项目风险的能力 (8) 7.4规划项目技术活动的能力 (8) 7.5监控技术活动的能力 (8) 7.6提供不断发展的知识和技能的能力 (8) 7.7与供应商协调的能力 (8) 八、申请单位安全服务项目汇总 (8) 九、申请单位获奖、资格授权情况 (8) 十、申请单位在安全开发服务方面的发展规划 (8) 十一、申请单位其他说明情况 (8) 十二、申请单位附加信息 (8) 申请单位声明 (8)
填表须知 用户在正式填写本申请书前,须认真阅读并理解以下容: 1.中国信息安全测评中心对下列对象进行测评: ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2.申请单位应仔细阅读《信息安全服务资质申请指南(安全开发类一级)》,并按照其要求如实、详细地填写本申请书所有项目。 3.申请单位应按照申请书原有格式进行填写。如填写容较多,可另加附页。 4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。 5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。 7.如有疑问,请与中国信息安全测评中心联系。 中国信息安全测评中心 地址:市海淀区上地西路8号院1号楼 邮编:100085 :(010)82341188或82341118 传真:82341100 网址:https://www.360docs.net/doc/1413939458.html, 电子:https://www.360docs.net/doc/1413939458.html,
美国八大金刚对中国信息安全的威胁
中国在美国“八大金刚”面前几乎赤身裸体 一位在信息安全领域沉浸了20多年的专家称:“作为全球第二大经济体,中国几乎是赤身裸体地站在已经武装到牙齿的美国…八大金刚?(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前。” 被西方国家及媒体频频指责是安全威胁源的中国,目前正处于一个无形的网络安全阴影之 下。 中国国家互联网应急中心抽样监测显示,2011年有近5万个境外IP地址作为木马或僵尸网络控制服务器,参与控制了我国境内近890万台主机,其中有超过99.4%的被控主机,源头在美国。而仿冒我国境内银行网站站点的IP也有将近四分之三来自美国。
这组触目惊心的数据,显示出中国网络安全的脆弱现状。中国的信息安全在以思科为代表的美国“八大金刚”(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前形同虚设。在绝大多数核心领域,这八家企业都占据了庞大的市场份额。一位在信息安全领域沉浸了20多年的专家称:“作为全球第二大经济体,中国几乎是赤身裸体地站在已经武装到牙齿的美国…八大金刚?面前。” 多位信息安全专家向《中国经济和信息化》杂志表示,在全球范围内,除美国在信息安全方面采用进攻型策略以外,其他国家都只能防守。而如何防范可能被插进体内的獠牙,国内相关部门应当拿出更多办法。 而本刊获得的数据显示,全球有超过九成的网络战发端于美国。而网络设备正是网络战必备的武器。 在此威胁下,已有中国大型央企觉醒。思科在中国的第二大客户中国联通,正在更换已经使用的思科网络设备。中国联通及江苏联通向本刊确认称,截至10月底,中国两大骨干网之一的China169骨干网江苏无锡节点核心集群路由器已搬迁完成,而被“扫地出门”的路由器正是思科的产品。江苏联通综合部部长向记者证实,此次搬迁是来自中国联通总部的统一安排,并不是江苏联通的决定。 中国联通还称,不排除有其他省级公司继续弃用思科产品。 这或许是这艘来自美国的通信领域航空母舰在中国第一次遭受挫折。在18年前,它驶入一片荒芜的中国通信海域大展拳脚,凭借强悍的技术实力与公关能力横行无阻。 也有专家呼吁,因为承担着振兴国家经济命脉的重任,以央企为代表的大型企业,应当率先警惕使用思科等产品带来的潜在安全威胁。 技术漏洞还是另有玄机? 美国与以色列曾经借助电脑蠕虫病毒令伊朗的核设施瘫痪——之所以该病毒具备如此威力,是因为几乎伊朗每台电脑都安装了微软的Windows 系统。 在传统的四大战争空间之外,越来越多的国家将目光投向网络空间。美国总统奥巴马已经任命微软的前安全总管霍华德·施密特作为网络安全总指挥。五角大楼甚至成立了一个新的网络司令部,担任领导的是国家安全局局长基思·亚历山大将军,他的任务是保卫美国的军事网络和攻击他国的系统。
国家信息安全服务资质
国家信息安全服务资质 灾难恢复服务资质(一级)认证指南 (试行) ?版权2008—中国信息全安全测评中心 2008年5月1日
目录 目录................................................................................................................... I 一、认证依据 (1) 二、级别划分 (2) 三、认证要求 (3) (一)基本资格要求 (3) (二)基本能力要求 (3) 1、组织与管理要求 (3) 2、技术能力要求 (3) 3、人员构成与素质要求 (4) 4、设备、设施与环境要求 (4) 5、规模与资产要求 (4) 6、业绩要求 (4) (三)灾难恢复服务过程能力 (4) 四、申请流程 (6) (一)申请流程图 (6) (二)申请阶段 (6) (三)资格审查阶段 (6) (四)能力测评阶段 (6) 1、静态评估 (6) 2、现场审核 (6) 3、综合评定 (7) 4、认证审核 (7) (五)证书发放阶段 (7) 五、监督、维持和升级 (8) 六、处置 (9) 七、争议、投诉与申诉 (10) 八、认证企业档案 (11) 九、认证费用及周期 (12)
一、认证依据 信息安全灾难恢复服务资质评估是对信息系统灾难恢复服务提供者的资格状况、技术实力和实施灾难恢复服务过程能力等方面的具体衡量和评价。 信息安全灾难恢复服务资质,是依据《信息安全服务资质评估准则》、《信息安全灾难恢复服务能力评估准则》等相关要求,在对申请组织的基本资格、技术实力、信息安全灾难恢复服务能力以及工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息全安全测评中心给予的资质认证。
浅谈中国国家信息安全战略
浅谈中国国家信息安全战略 关键词:信息安全国际信息安全威胁中国信息安全战略 摘要:当今世界,和平与发展是时代的主题。国家的发展需要和平稳定的建设环境,需要国家安全保障。随着现代技术的发展,信息技术已经成为隐形的国际斗争的工具,某种程度上来说,鼠标、键盘和子弹、炸弹一样危险。信息安全是国家安全的独立的基本要素,也影响着政治、军事、经济等其他要素。对于中国而言,必须广泛吸收借鉴发达国家的经验,完善信息安全战略,健全信息安全体制,保障国家信息安全。 一、信息安全简述 (一)、什么是信息安全 从一个主权国家的角度来讲,信息安全属于非传统安全范畴。非传统安全是指除军事、政治和外交冲突以外的其他对主权国家及人类整体生存和发展构成威胁的因素。1信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。2 (二)、信息安全的重要性 随着现代科学技术的发展,尤其是互联网的诞生为信息战提供的巨大技术支持,信息技术已经成为隐形的国际斗争的工具。某种程度上来说,轻轻敲击一下键盘和发射一枚炸弹危险程度不相上下。信息安全是国家安全的基本要素,举足轻重地影响着政治、军事、经济等其他要素。 二、国际信息安全现状分析 (一)、信息安全威胁事件回顾 1.1991年的海湾战争中,美国偷偷把一套带有病毒的同类芯片换装到伊拉克从法国购买了一种用于防空系统的新型电脑打印机里。当美国领导的多国部队发动“沙漠风暴”行动,空袭伊拉克时,美军用无线遥控装置激活了隐藏的病毒,致使伊拉克的防空系统陷入了瘫痪。 1夏超然,2008年非传统安全问题的新挑战与国家安全战略的应对之策,《理论观察》2009年第1期 2资料来源:“信息安全”维基百科https://www.360docs.net/doc/1413939458.html,/wiki
关于信息安全服务资质认证
一体化认证审核/评价记录表 自评价及评审表-QMS 中国网络安全审查技术与认证中心第 1 页共 11 页
填表说明: 1、规范化方式为组织为规范条款相关活动而采取的具体行动的方式,如果通过制度文件提出要求规范化方式为“文件规定”,如果没有制度文件采用工具进行约束规范 化方式为“工具实现”,组织可以同时采用两种方式。如果组织未针对标准要求建立任务规范要求,则选无,但需注意没有进行规范并不意味组织未执行相关活动,组织可能采用约定俗成的方式开展活动,这可能与组织的文档化粗细程度有关。确定了规范化方式要记录原因、文件名称或工具名称。 2、“规范关键要求”为组织文件关键要求或工具的规范方式,“资源要求”是执行该活动需要的资源,包括人、财、技术和信息。 3、“规范执行证据”要填写活动执行的证据,如果为文档证据,需要填写抽样的文档的名称和或编号,如果是工具实现,可通过记录或图片的方式。本文件可以附证据 附件,需要在证据内容一栏填写附件名称。资源保障证据类似。 4、“执行绩效评价”为活动设定的绩效目标与实际执行结果。 5、如果相关条款即存在不符合也存在观察项,评价一栏可以多选。 6、请在“证据内容”中体现审核范围的相关信息,例如物理环境审核应体现地址,抽样记录应体现涉及的业务和部门。 中国网络安全审查技术与认证中心第 2 页共 11 页
中国网络安全审查技术与认证中心第 3 页共 11 页
中国网络安全审查技术与认证中心第 4 页共 11 页
中国网络安全审查技术与认证中心第 5 页共 11 页
中国网络安全审查技术与认证中心第 6 页共 11 页
盘点2017年国内移动信息安全十大事件
盘点2017国内移动信息安全十大事件2017年刚刚结束,回头反思过去一年的发生的各类网络安全事件,除了WannaCry勒索病毒横扫全球、2亿选民资料泄漏的“邮件门”及新型IoT僵尸网络等轰动全球的网络安全大事件外,与我们生活密切相关的一众移动安全事件也是让人应接不暇,下面就跟我们一起来整理回顾下,2017年都发生了哪些移动安全事件吧。 1、勒索病毒瞄准“王者荣耀”袭击手机 火到一发不可收拾的《王者荣耀》不光吸粉能力、吸金能力超强,这吸引病毒的能力也非同一般。6月2日,360手机卫士发现了一款冒充时下热门手游《王者荣耀》辅助工具的手机勒索病毒,该勒索病毒被安装进手机后,会对手机中照片、下载、云盘等目录下的个人文件进行加密,并索要赎金。这种病毒一旦爆发,会威胁几乎所有安卓平台的手机,用户一旦中招,可能丢失所有个人信息。
从该病毒的形态来看,与PC端大规模肆虐的“永恒之蓝”界面极为相似,用户中招后,桌面壁纸、软件名称、图标形态都会被恶意修改,用户三天不支付,赎金便会加倍,一周不支付,文件就会被全部删除!除此之外,该勒索病毒可能使用的软件命名包括“王者荣耀辅助”或“王者荣耀前瞻版安装包”等。 2、个人隐私泄漏引发重视10款APP上安全“灰名单” 2017年7月20日,腾讯社会研究中心与DCCI互联网数据中心联合发布《网络隐私安全及网络欺诈行为研究分析报告显示,手机APP越界获取个人信息已经成为网络诈骗的主要源头之一,由此引发了社会各界对于手机应用越权获取用户隐私权限现状的声讨。 报告显示,高达96.6%的Android应用会获取用户手机隐私权,而iOS应用的这一数据也高达69.3%。用户更需警惕的是,25.3%的Android应用存在越界获取用户手机隐私权限的情况。越界获取隐私权限,是指手机应用在自身功能不必要的情况下获取用户隐私权限的行为。 手机应用越界获取用户隐私权限会带来巨大的安全风险隐患,如隐私信息被窃取、用户信息被用于网络诈骗、造成经济损失、手机卡顿现象严重等。例如,手机APP随意访问联系人、短信、记事本等应用,可以查看到用户的银行卡账号密码等信息,容易造成用户手机话费被暗扣和银行支付账号被盗。用户存在手机里的隐私资料、照片被
信息安全应急处理服务资质认证申请书-中国信息安全认证中心
申请编号: 信息安全服务资质认证 申请书 申请组织(盖章): 申请日期: 中国网络安全审查技术与认证中心
填写说明 1、本申请书适用于向中国网络安全审查技术与认证中心申报信息安全服务资质认证。 2、三级申请组织需提交申请书和自评价表(自评价表应包括公共管理自评价表一份)。 3、一、二级申请组织需提交申请书和自评价表(自评价表应包括公共管理、对应服务类别的自评价表各一份)。 4、申请书应使用A4型纸打印装订,首页及申请组织声明处加盖组织公章,并使用黑色钢笔或签字笔在相应位置签名(法人)。 5、申请书中所要求提交的证明材料,自评价表及自评价证据以电子版方式提供,不接受纸版材料。
信息安全服务资质认证申请书 1.申请信息 1.1申请类型 初次认证 级别变更1.2 资本类型 A类(不具有外资背景)B类(具有外资背景) 1.2申请类别与级别 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复(资源服务类)一级二级三级 灾难备份与恢复(技术服务类)一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 (工业控制所属行业:能源交通通信水利城建其他)1.3保持的类别和级别(级别变更或增加类别时填写) 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复(资源服务类)一级二级三级 灾难备份与恢复(技术服务类)一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 (工业控制所属行业:能源交通通信水利城建其他)2.组织基本信息(所有申请类型和级别都需填写) 申请组织全称(中文):。 申请组织全称(英文):。
信息安全服务资质认证要求
信息安全服务资质 认证要求 ISCCC XXX XXX-2007 信息安全服务资质 认证要求 Certification Requirements for Qualification of Information Security Service Provider (备案送审稿) 中国信息安全认证中心 发布 ××××-××-××实施 ××××-××-××发布 备案号:××××—××××
目录 前言............................................................ 错误!未定义书签。 1 适用范围...................................................... 错误!未定义书签。 2 定义.......................................................... 错误!未定义书签。 信息安全服务............................................ 错误!未定义书签。 信息安全服务提供者 ...................................... 错误!未定义书签。 信息安全服务资质等级 .................................... 错误!未定义书签。 信息安全工程过程能力级别 ................................ 错误!未定义书签。 3 服务类型与资质评定原则 ........................................ 错误!未定义书签。 信息安全服务的类型 ...................................... 错误!未定义书签。 信息安全服务资质等级的评判原则 .......................... 错误!未定义书签。 4 认证具体要求.................................................. 错误!未定义书签。 基本资格................................................ 错误!未定义书签。 独立法人 .......................................... 错误!未定义书签。 法律要求 .......................................... 错误!未定义书签。 基本能力................................................ 错误!未定义书签。 资产与规模 ........................................ 错误!未定义书签。 人员素质与构成 .................................... 错误!未定义书签。 设备、设施与环境 .................................. 错误!未定义书签。 业绩 .............................................. 错误!未定义书签。 质量管理能力............................................ 错误!未定义书签。 体系和管理职责 .................................... 错误!未定义书签。 资源管理 .......................................... 错误!未定义书签。 项目过程管理 ...................................... 错误!未定义书签。 测量、分析和改进 .................................. 错误!未定义书签。 客户服务 .......................................... 错误!未定义书签。 技术能力更新 ...................................... 错误!未定义书签。 安全工程过程能力 ........................................ 错误!未定义书签。 风险过程 .......................................... 错误!未定义书签。 工程过程 .......................................... 错误!未定义书签。 保证过程 .......................................... 错误!未定义书签。 5 引用标准与参考文献 ............................................ 错误!未定义书签。 计算机信息系统安全保护等级划分准则 ...................... 错误!未定义书签。 系统安全工程能力成熟模型 ................................ 错误!未定义书签。 系统安全工程能力成熟模型—评定方法 ...................... 错误!未定义书签。 信息系统安全工程手册 .................................... 错误!未定义书签。 软件工程能力成熟模型 .................................... 错误!未定义书签。 6 附录——系统安全工程主要术语 .................................. 错误!未定义书签。 组织.................................................... 错误!未定义书签。 项目.................................................... 错误!未定义书签。 系统.................................................... 错误!未定义书签。 安全工程................................................ 错误!未定义书签。 安全工程生命期 .......................................... 错误!未定义书签。 工作产品................................................ 错误!未定义书签。 顾客.................................................... 错误!未定义书签。 过程.................................................... 错误!未定义书签。 过程能力................................................ 错误!未定义书签。 制度化................................................ 错误!未定义书签。 过程管理................................................ 错误!未定义书签。
中国信息安全行业发展现状及未来发展趋势分析
年中国信息安全行业发展现状及未来发展趋势分析
————————————————————————————————作者:————————————————————————————————日期:
2017年中国信息安全行业发展现状及未来发展趋势分析 (一)行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制 信息安全行业主要受信息产业及安全主管部门的监管,具体如下: 数据来源:公开资料整理 2、行业主要法律法规及政策 (1)行业主要法律法规 信息安全行业,受到信息安全行业相关法律法规的管理。行业的主要法律法规如下:
数据来源:公开资料整理
(2)行业主要发展政策 行业主要发展政策如下: 数据来源:公开资料整理(二)信息安全行业概况及未来发展趋势 1、信息安全的定义
信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护,使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁,保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性: 数据来源:公开资料整理 2、信息安全行业的技术、产品和服务 (1)信息安全技术 为了实现信息安全的七个核心属性,需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而,目前信息安全的主流技术包括信息系统自身的安全技术(物理安全和运行安全技术)、信息自身的安全技术(数据安全与内容安全技术)、信息利用的安全技术(信息对抗技术),具体如下:
中国信息安全认证中心信息安全基准实验室
机构名称:中国信息安全认证中心信息安全基准实验室注册号:L6398 地址: A:北京市朝阳区朝外大街甲10号中认大厦 获准认可能力索引 序号地址能力范围评审类型更新时间 1 A 初评2013年09月10日 2 初评2013年09月10日 3 A 初评2013年09月10日 4 初评2013年09月10日
Name:China Information Security Certification Center Benchmark Laboratory Registration No.:L6398 ADDRESS: A: Zhongren Building, 10, Chaowai Street, Chaoyang District, Beijing, China INDEX OF ACCREDITED SIGNATORIES No. Address Range Type Update date 1 A Initial assessment 2013-09-10 2 Initial assessment 2013-09-10 3 A Initial assessment 2013-09-10 4 Initial assessment 2013-09-10
中国合格评定国家认可委员会 认可证书附件 (注册号:CNAS L6398) 名称: 中国信息安全认证中心信息安全基准实验室 地址:北京市朝阳区朝外大街甲10号中认大厦 签发日期:2013年09月10日有效期至:2016年09月09日 更新日期:2013年09月10日 序号姓名授权签字领域备注 1 魏昊全部检测项目 2 布宁全部检测项目
2020年全球及中国信息安全市场规模分析及预测
2020年全球及中国信息安全市场规模分析 及预测 网络安全相关法规、政策逐渐落地,推动整体行业的发展。1)合规性政策陆续出台提升网络安全产品服务空间。2017年,《网络安全法》出台,从顶层设计上将网络安全法制化。2019 年 5 月 13 日,《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于 2019 年12 月 1 日开始实施,标志着国家对信息安全技术与网络安全保护迈入 2.0时代。等保 2.0 为中国网络安全市场注入又一强力催化剂,进一步保障和提升中国在未来几年引领全球网络安全市场增速。 2)促进性法规进一步推动行业加速发展。2019 年 6 月,《国家网络安全产业发展规划》正式发布,根据规划,到2020 年,依托产业园带动北京市网络安全产业规模超过 1000 亿元,拉动 GDP 增长超过 3300 亿元,打造不少 3 家年收入超过 100 亿元的骨干企业。此外,地方政府网络安全产业规划陆续出台,为网络安全行业提供场地、资金、人才等实质性发展支持。 护网行动力度加大,凸显国家对网络安全的重视。自 2016 年以来,公安部每年开展针对关键信息基础设施的实战攻防演习,被称为“护网行动”。伴随着等保 2.0 时代的到来,同时为加强新中国成立 70 周年大庆的安全保卫,2019年“护网行动”涉及范围扩大至工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等单位,充分彰显国家对网络安全的重视。护网行动力度的加大,也极大促进了政企对网络安全的投入,推动安全市场的发展。
信息安全服务资质现场监督审核流程 - 中国信息安全认证中心
信息安全服务资质现场监督审核流程 流程说明: 1、准备阶段 项目管理人员在持证组织证书到期前3个月,将《监督审核通知单》发送给持证组织,通知本年度现场监督审核工作启动;
持证组织登录中国信息安全认证中心网站,下载《信息安全服务资质认证自评估表-公共管理》、对应的技术自评估表,实施自评估后(具体自评估表的填写方法可参考中心网站上的《信息安全服务资质认证自评估表填写指南》),将上述文档、自评估证明材料、《监督审核通知单》回执提交中心。 2、非现场审核及商务阶段(此阶段工作应在三周内完成,如需要持证组织补 充材料,应在五周内完成) 项目管理人员指派审查员对持证组织提交的材料进行非现场审核; 审查员依据《信息安全服务规范》及相关技术标准,对持证组织所提供的材料是否满足要求进行判定,并填写《审核记录表》。如满足要求,审查员通知项目管理人员向持证组织出具《受理通知单》(如持证组织有需求,也可签订《服务资质认证合同》),收取认证费用。如不满足要求,审查员开具《材料问题清单》,通知持证组织补充材料重新提交,并对补充材料进行审核。 3、现场审核阶段(此阶段工作应在四周内完成,如开具不符合项,应在八周 内完成) 项目管理人员指派审核组长(一般情况下指派对该组织材料进行非现场审核的审查员为组长),协调审查员组建审核组; 审核组长编制《审核计划》,准备现场审核的相关表格等材料,通过项目管理人员将《审核计划》发送给持证组织; 审核组前往对持证组织开展现场审核工作,判断该组织目前对外提供的信息安全服务管理及技术能力是否符合《信息安全服务规范》的要求,并依据现场审核中的实际情况对非现场审核时已填写的《审核记录表》进行补充、完善和验证。如满足要求,审核组长编制《审核报告》,并汇总《审核记录表》、《首末次会议记录》、《公正性、保密性承诺》等审核材料提交中心进行认证决定(如开具不符合项,审核组长则通知持证组织在一个月内提交整改材料);如不满足要求(例如在现场审核时发现持证组织存在材料造假等严重不符合时),审核组长现场通知持证组织不推荐其继续持有证书,同时编制《审核报告》,在报告中注明不满足资质要求的具体情况,并提交中心进行认证决定。 4、认证决定阶段(此阶段工作应在两周内完成) 中心认证决定人员对审核组长提交的审核材料进行认证决定; 如认证决定通过,则通知项目管理人员进行制证;如认证决定不通过,则通知持证组织不通过的原因,撤销并寄回证书。
国家信息安全测评 .doc
国家信息安全测评 信息安全服务资质申请指南(安全开发类二级) ?版权2017—中国信息安全测评中心 2017年10月
一、认定依据4 二、级别划分4 三、二级资质要求5 3.1 基本资格要求5 3.2 基本能力要求5 3.3质量管理能力要求 6 3.4安全开发过程能力要求 6 四、资质认定7 4.1认定流程图7 4.2申请阶段 8 4.3资格审查阶段 8 4.4能力测评阶段 8 4.4.1静态评估8 4.4.2现场审核9 4.4.3综合评定9 4.4.4资质审定9 4.5证书发放阶段 9 五、监督、维持和升级10 六、处置10 七、争议、投诉与申诉10 八、获证组织档案11 九、费用及周期11 十、联系方式12
中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。 中国信息安全测评中心的主要职能是: 1.对国内外信息安全产品和信息技术进行测评; 2.对国内信息系统和工程进行安全性评估; 3.对提供信息系统安全服务的组织和单位进行评估; 4.对信息安全专业人员的资质进行评估。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。 本指南适用于所有向CNITSEC申请信息安全服务资质(安全开发类二级)的境内外组织。
2019年整理重要信息系统定级工作实施方案及说明-中国信息安全等级保护网资料
附件2: 信息系统安全等级保护 备案表 备案单位: _____________ (盖章) __________ 备案日期: ________________________________ 受理备案单位: ________ (盖章) __________ 受理日期: ________________________________ 中华人民共和国公安部监制 填表说明 制表依据。根据《信息安全等级保护管理办法》 (公通字[2007]43号)之规定,制作 本表; 备案表编号:
二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”填写;本表由四张表单 构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张; 表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一~_____________ 张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用; 三、保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档; 四、本表中有选择的地方请在选项左侧“”划“V”,如选择“其他”,请在其后的横线 中注明详细内容; 五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部 分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位, 为受理备案的公安机关给出的备案单位的顺序编号; 六、封面中备案单位:是指负责运营使用信息系统的法人单位全称; 七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此 项由受理备案的公安机关负责填写并盖章; 八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码; 九、表一05单位负责人:是指主管本单位信息安全工作的领导; 十、表一06责任部门:是指单位内负责信息系统安全工作的部门; 十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404-1997 )填写; 十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号; 十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况; 十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格, 产品的核心技术、关键部件具有我国自主知识产权; 十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立 (港澳台地区除外),由中国公民、法人或国家投资的企事业单位; 十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选; 十七、表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部 门。部级单位此项可不填; 十八、解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位 和个人不得对本表进行改动。
信息安全服务资质认证实施规则
信息安全服务资质认证实施规则 CCRC-ISV-R01:2018 2018-05-25发布 2018-06-01实施 中国网络安全审查技术与认证中心
ISCCC-ISV-R01:2017 信息安全服务资质认证实施规则 目录 1 适用范围 (2) 2 认证依据 (2) 3 术语与定义 (2) 3.1 信息安全服务 (2) 3.2 自评估 ...................................................................................................... 错误!未定义书签。 3.3 现场审核 (2) 3.4 非现场审核 (2) 3.5 现场见证 .................................................................................................. 错误!未定义书签。 3.6 特殊审核 (2) 4 审核人员及审核组要求 (2) 5 认证信息公开 (3) 6 认证程序 (3) 6.1 初次认证 (3) 6.1.1 认证申请 (3) 6.1.2 申请评审 (3) 6.1.3 建立审核方案 (4) 6.1.4 确定审核组 (5) 6.1.5 非现场审核 (5) 6.1.6 现场审核 (6) 6.1.7 现场见证(必要时) (7) 6.1.8 认证决定 (8) 6.1.9 证书颁发 (8) 6.2 监督审核 (8) 6.2.1 频次和方式 (8) 6.2.2 信息收集 (8) 6.2.3 信息评审与审核方案维护 (9) 6.2.4 制定审核计划 (9) 6.2.5 审核实施 (10) 6.2.6 监督审核结论 (10) 6.2.7 认证决定 (10) 6.2.8 审核方案记录与变更 (10) 6.3 特殊审核 (10) 6.3.1 变更或扩大认证范围 (10) 6.3.2 审核方案记录与变更 (11) 7 信息通报 (11) 8 认证证书管理 (11) 8.1 证书有效期 (11) 8.2 暂停认证证书 (12) 8.3 撤销认证证书 (12) 8.4 证书变更 (12)
中国信息安全认证中心-信息安全服务资质认证流程图
信息安全服务资质认证流程图
流程说明: 1、自评估 组织在中国信息安全认证中心网站下载《信息安全服务资质认证自评估表-管理》+对应的技术自评估表,并实施自评估。 2、认证申请 组织依据信息安全服务资质认证程序、认证实施规则中相关要求,确定申请服务资质类别,并填写《信息安全服务资质认证申请书》。 组织向中国信息安全认证中心提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。 3、申请材料评审 中心依据认证程序和相关标准要求,对申请组织提交的认证相关材料进行评审,并确定申报资质类别和级别,签订认证合同。 4、现场评审 认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。特别,对申请一级资质认证的组织,必要时选择申请组织的客户进行项目实施现场见证。 现场验证符合要求后,认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。 5、认证决定 认证决定委员会由3名以上(含3名)奇数认证决定人员组成,作出认证决定。 6、证书颁发 对于符合认证要求的申请组织,颁发认证证书,并予以公示。 7、证后监督 (1)证后监督频次和方式 对获证组织实施监督,每年度(不超过12个月)进行一次监督评审。 当获证组织发生重大变更、事故或客户投诉时,可增加现场监督评审的频次。 (2)证后监督内容 监督评审除包括初次评审的内容外,还应对上一次审核中提出的观察项所采取纠正/预防措施进行验证。 (3)证后监督结论
对于通过监督评审的获证组织,做出维持认证证书有效的决定;否则,暂停或撤销其认证证书。 (4)信息通报 为确保获证组织的安全服务能力持续有效,获证组织应建立信息通报渠道,及时报告以下信息: a)组织机构变更信息; b)安全事故、客户投诉信息; c)其他重要信息。