《信息系统安全集成服务资质认证评价要求》
《信息系统安全集成服务资质认证评价要求》
编制说明
一、工作简况
《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。该项目由中国信息安全认证中心承担。
截止到2011年底,国内外尚未形成安全集成服务相关标准。ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model? (SSE-CMM?)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的,其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容,以及安全工程的能力成熟度模型,未涉及认证评价的内容,所以该标准不能完全满足信息安全服务资质认证工作的需要。鉴于现状,我们征集了信息安全业界专家的意见,专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准,将安全集成服务资质分为三级,其中一级最高,三级最低,最终制定一套符合我国信息安全服务现状的认证实施规则,依据该规则指导安全集成服务资质认证工作。
为了规范信息系统安全集成(以下简称安全集成)服务市场,提升安全集成服务质量,我中心于2012年初,依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。该实施规则得到了申请方的一致认可。
该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上,经编写小组多次讨论和征求意见后制定,形成了目前的标准草案稿。
二、编制原则
为使该评价准则能够科学、规范地开展认证工作,客观反映我国信息安全集成服务产业的现状,评价信息安全集成服务提供方的资质,并通过指导、规范服务过程,实现服务良好的可操作性、可用性、安全性,在评价准则制定过程中,采用科学合理、结构严谨、计划周全的方法来进编制《信息系统安全集成服务资质认证评价要求》。本标准在将参考国际通用的标准ISO/IEC 21827:2008《Information technology — Security techniques —Systems Security Engineering —Capability Maturity Model? (SSE-CMM?)》与国家标准GB/T 20262-2006《信息技术系统安全工程能力成熟度模型》以及相关技术发展和实践
经验,本着下列原则开展工作,并遵循了以下几个原则:
(1)合规性,符合国家相关政策法规要求;
(2)协调性,与已颁布实施的相关标准相协调;
(3)可操作性,充分结合国情,考虑我国信息安全技术发展和应用的实际情况,实现可
操作性;
(4)先进性,适度考虑目前处于发展成熟过程中的技术,保持一定的先进性。
三、标准主要内容及确定内容的依据
本标准提出了信息系统安全集成服务提供者(以下简称服务提供者)应具备的服务能力要求,及实施信息系统安全集成服务资质认证的程序与管理要求。
本标准主要框架如下:
前言
1 范围
2 规范性引用文件
3 术语和定义
4 安全集成服务提供者基本的资质要求
4.1 基本条件
4.2 基本管理能力要求
4.3 基本技术能力要求
5 信息系统安全集成服务过程要求
5.1 信息系统安全集成服务过程概述
5.2 集成准备
5.3 方案设计
5.4 建设实施
5.5 安全保证
6 信息系统安全集成服务资质分级评价要求
6.1 三级信息系统安全集成服务资质要求
6.2 二级信息系统安全集成服务资质要求
6.3 一级信息系统安全集成服务资质要求
7 信息系统安全集成服务资质认证模式与流程
7.1 信息系统安全集成服务资质认证模式
7.2 信息系统安全集成服务资质认证流程
8 认证证书管理
附录A 信息安全工程过程能力级别参考(ISO/IEC 21827:2008)
附录B 各级资质要求对照表
本标准在确定主要内容时主要基于如下几个方面:
1)在分析和调研国内外信息系统安全集成服务提供方所需的信息安全技术与管理能
力要求的基础上,提出了我国信息系统安全集成服务提供方应具备的能力要求。
2)通过组织专家讨会,对标准的科学性、可行性等进行了多次论证、研讨,并根据专
家意见进行了多次修订、完善。同时,结合1年的审核实践,证明其适用于我国信
息系统安全集成服务提供方的评价工作,具备较强地可行性。
四、与相关法律法规及国家有关规定、国内相关标准的关系
本标准主要参考了国际通用的标准ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model? (SSE-CMM?)》与国家标准GB/T 20262-2006《信息技术系统安全工程能力成熟度模型》。
五、主要工作过程
1)2010年6月成立评价准则起草小组;
2)2011年1月至2011年8月,多次讨论标准修订意见及建议;
3)2011年7月至2011年11月,邀请了多名信息安全专家及多家厂商代表进行两次
评审;
4)2011年12月-2012年11月,经过一年的试用;
5)2012年12月,再次邀请专家对标准进行评审。
六、有关问题的说明
无。
《》标准编制组
二〇一二年十二月