信息安全服务资质认证实施细则(2015版)
文件编码:ISCCC-SV-001:2015
信息安全服务资质认证实施规则
(第2版)
2015-04-01发布2015-04-01实施
中国信息安全认证中心发布
目录
1.适用范围 (1)
2.规范性引用文件 (1)
3.术语与定义 (1)
3.1.信息安全服务 (1)
3.2.信息安全服务资质 (1)
3.3.信息安全风险评估 (1)
3.4.信息安全应急处理 (1)
3.5.信息系统安全集成 (2)
3.6.信息系统灾难备份与恢复 (2)
3.7.软件安全开发 (2)
3.8.信息系统安全运维 (2)
4.通用评价要求 (2)
4.1.三级评价要求 (2)
4.1.1.法律地位要求 (2)
4.1.2.财务资信要求 (2)
4.1.3.办公场所要求 (2)
4.1.4.人员素质与资质要求 (2)
4.1.5.业绩要求 (3)
4.1.6.服务管理要求 (3)
4.1.7.服务合同要求 (3)
4.1.8.服务安全要求 (3)
4.1.9.服务技术要求 (3)
4.2.二级评价要求 (3)
4.2.1.法律地位要求 (4)
4.2.2.财务资信要求 (4)
4.2.3.办公场所要求 (4)
4.2.4.人员素质与资质要求 (4)
4.2.5.技术工具要求 (4)
4.2.6.业绩要求 (4)
4.2.7.服务管理要求 (4)
4.2.8.服务合同要求 (5)
4.2.9.服务安全要求 (5)
4.2.10.服务技术要求 (5)
4.3.一级评价要求 (5)
4.3.1.申请条件 (5)
4.3.2.法律地位要求 (5)
4.3.3.财务资信要求 (5)
4.3.4.办公场所要求 (5)
4.3.5.人员素质与资质要求 (5)
4.3.6.技术工具要求 (6)
4.3.7.业绩要求 (6)
4.3.8.服务管理要求 (6)
4.3.9.服务合同要求 (6)
4.3.10.服务安全要求 (6)
4.3.11.服务技术要求 (7)
5.专业评价要求 (7)
5.1.风险评估服务资质专业评价要求 (7)
5.2.安全集成服务资质专业评价要求 (7)
5.3.应急处理服务资质专业评价要求 (7)
5.4.灾难备份与恢复服务资质专业评价要求 (7)
5.5.软件安全开发服务资质专业评价要求 (7)
5.6.安全运维服务资质专业评价要求 (7)
6.认证程序 (7)
6.1.自评估 (7)
6.2.认证申请 (7)
6.3.申请材料评审 (7)
6.4.现场评审 (8)
6.5.认证决定 (8)
6.6.证书颁发 (8)
6.7.证后监督 (8)
6.7.1.证后监督频次和方式 (8)
6.7.2.证后监督内容 (8)
6.7.3.证后监督结论 (8)
6.7.4.信息通报 (8)
6.8.认证证书管理 (8)
6.8.1.证书有效期 (8)
6.8.2.暂停认证证书 (8)
6.8.3.撤销认证证书 (9)
6.8.4.注销认证证书 (9)
6.8.5.证书变更 (9)
附录A(规范性附录):信息安全风险评估服务资质专业评价要求 (10)
附录B(规范性附录):信息系统安全集成服务资质专业评价要求 (14)
附录C(规范性附录):信息安全应急处理服务资质专业评价要求 (17)
附录D(规范性附录):信息系统灾难备份与恢复服务资质专业评价要求 (21)
附录E(规范性附录):软件安全开发服务资质专业评价要求 (25)
附录F(规范性附录):安全运维服务资质专业评价要求 (29)
参考文献 (33)
1.适用范围
信息安全服务资质认证是依据国家认证认可法律法规、相关技术标准和规范,对信息安全服务提供者的资质进行评价的合格评定活动。
本规则规定了信息安全服务提供者(以下简称服务提供者)应具备的通用评价要求、专业评价要求以及认证机构开展服务资质认证的程序。
本规则可用于第三方机构对服务提供者进行资信和能力评价,可作为服务提供者开展自我评价的依据,并可为政府及有关社会组织选择服务提供者提供依据。
2.规范性引用文件
下列文件中的条款通过本文件引用而成为本文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本文件,然而,鼓励根据本文件达成协议的各方研究可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本文件。
CNCA/CTS 0052-2007《信息安全服务资质认证技术规范》
YDT1799-2008《网络与信息安全应急处理服务资质评估方法》
ISCCC-SV-002:2010《信息安全风险评估服务资质认证实施规则》
ISCCC-SV-003:2014《信息系统安全集成服务资质认证实施规则》
ISCCC-SV-004:2012《信息系统灾难备份与恢复服务资质认证实施规则》
GB/T 5271.8-2001《信息技术词汇第8部分:安全》中的术语和定义适用于本标准。
3.术语与定义
3.1.信息安全服务
由供应商、组织机构或人员执行的一个安全过程或任务。(ISO/IEC TR 15443-1:2005《信息技术安全技术信息技术安全保障框架第一部分:总揽和框架》)
3.2.信息安全服务资质
信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。
3.3.信息安全风险评估
运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水平。
3.4.信息安全应急处理
制定应急处理计划,组织实施演练,并在出现网络与信息系统安全事故时,及时实施应急处理
计划的过程。
3.5.信息系统安全集成
在从事网络系统、应用系统、安防系统、建筑智能化系统的集成过程中,所进行的安全需求界定、安全设计、安全实施、安全保障等活动。
3.6.信息系统灾难备份与恢复
将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动,分为资源服务类(A类)、技术服务类(B类)两个类别。
3.7.软件安全开发
通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。
3.8.信息系统安全运维
通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。4.通用评价要求
通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维等类别的信息安全服务认证评价,均分为三个级别,其中一级最高。
4.1.三级评价要求
4.1.1.法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
4.1.2.财务资信要求
近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。
4.1.3.办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.1.4.人员素质与资质要求
a)组织负责人拥有2年以上信息技术领域管理经历。
b)技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信
息安全技术工作2年以上。
c)财务负责人具有财务系列初级以上职称。
d)从事信息安全服务人员10名以上。
e)拥有信息安全专业认证(与申报类别一致)人员2名以上。
f)拥有项目管理资格证书人员1名以上。
4.1.
5.业绩要求
a)从事信息安全服务(与申报类别一致)1年以上。
b)近3年内签订并完成至少1个信息安全服务(与申报类别一致)项目。
4.1.6.服务管理要求
a)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
b)建立人员管理程序和能力考核指标;制定业务和技能培训计划,定期对相关人员开展培训
和考核。
c)建立文档控制程序,明确文档管理职责,任命管理人员,确保项目文档资料妥善保管。
d)建立项目管理制度,并按照制度执行。
e)提供资源,确保信息安全服务项目的实施。
4.1.7.服务合同要求
a)了解客户及所处的行业对信息安全服务的特定要求。
b)确定信息安全服务范围。
c)应签订信息安全服务合同或协议。
4.1.8.服务安全要求
a)满足法律法规对服务安全的要求。
b)满足与客户签订服务合同中的安全要求。
c)制定保密管理制度,明确岗位保密责任。
d)按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员
了解客户的相关要求。
e)与相关人员签订保密协议,并进行保密教育。
f)确保其供应商满足上述服务安全要求。
4.1.9.服务技术要求
a)建立信息安全服务(与申报类别一致)流程。
b)制定信息安全服务(与申报类别一致)规范并按照规范实施。
4.2.二级评价要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
4.2.2.财务资信要求
近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。
4.2.3.办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.2.4.人员素质与资质要求
a)组织负责人拥有3年以上信息技术领域管理经历。
b)技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事
信息安全技术工作5年以上。
c)财务负责人具有财务系列中级以上职称。
d)从事信息安全服务人员30名以上。
e)拥有信息安全专业认证(与申报类别一致)人员6名以上。
f)拥有项目管理资格证书人员2名以上。
4.2.
5.技术工具要求
a)具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b)具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版
本控制。
4.2.6.业绩要求
a)从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)
三级资质1年以上。
b)近三年内签订并完成至少6个信息安全服务项目(与申报类别一致)。
4.2.7.服务管理要求
a)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
b)建立项目管理制度,并按照制度执行。
c)参照国际或国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并有效运行。
d)参照国际或国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服
务管理体系,并有效运行。
e)提供资源,确保信息安全服务项目的实施。
a)了解客户及所处的行业对信息安全服务的特定要求。
b)确定信息安全服务范围。
c)应签订信息安全服务合同或协议。
d)合同应明确信息安全服务的行为规范。
4.2.9.服务安全要求
a)满足法律法规对服务安全的要求。
b)满足与客户签订服务合同中的安全要求。
c)制定保密管理制度,明确岗位保密责任。
d)按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员
了解客户的相关要求。
e)与相关人员签订保密协议,并进行保密教育。
f)确保其供应商满足上述服务安全要求。
4.2.10.服务技术要求
a)建立信息安全服务(与申报类别一致)流程。
b)制定信息安全服务(与申报类别一致)规范并按照规范实施。
4.3.一级评价要求
4.3.1.申请条件
取得信息安全服务(与申报类别一致)二级资质1年以上。(行业领头企业除外)
4.3.2.法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
4.3.3.财务资信要求
近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。
4.3.4.办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.3.
5.人员素质与资质要求
a)组织负责人拥有4年以上信息技术领域管理经历。
b)技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称,且从事
信息安全技术工作8年以上。
c)财务负责人拥有财务系列高级职称,或取得中级职称8年以上。
d)从事信息安全技术服务人员50名以上。
e)拥有信息安全专业认证人员(与申报类别一致)10名以上。
f)拥有项目管理资格证书人员5名以上。
4.3.6.技术工具要求
a)具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b)具备承担信息安全服务(与申报类别一致)项目所需的安全工具,如漏洞扫描工具、渗透
测试工具、协议分析仪等。
4.3.7.业绩要求
a)从事信息安全服务(与申报类别一致)5年以上。
b)近三年内至少签订并完成10个信息安全服务项目(与申报类别一致)。
4.3.8.服务管理要求
a)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
b)建立项目管理制度,并按照制度执行。
c)参照国际、国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并提供有效运行
的相关证明。
d)参照国际、国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服
务管理体系,并提供有效运行的相关证明。
e)提供足够资源,确保信息安全服务项目的实施。
4.3.9.服务合同要求
a)了解客户及所处的行业对信息安全服务的特定要求。
b)确定信息安全服务范围。
c)应签订信息安全服务合同或协议。
d)合同应明确信息安全服务的行为规范。
e)合同应明确信息安全服务的安全要求。
4.3.10.服务安全要求
a)满足法律法规对服务安全的要求。
b)满足与客户签订服务合同中的安全要求。
c)制定保密管理制度,明确岗位保密责任。
d)按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员
了解客户的相关要求。
e)与相关人员签订保密协议,并进行保密教育。
f)确保其供应商满足上述服务安全要求。
4.3.11.服务技术要求
a)建立信息安全服务(与申报类别一致)流程。
b)制定信息安全服务(与申报类别一致)规范,并按照规范实施。
5.专业评价要求
5.1.风险评估服务资质专业评价要求
风险评估服务资质专业评价要求参见附录A。
5.2.安全集成服务资质专业评价要求
安全集成服务资质专业评价要求参见附录B。
5.3.应急处理服务资质专业评价要求
应急处理服务资质专业评价要求参见附录C。
5.4.灾难备份与恢复服务资质专业评价要求
灾难备份与恢复服务资质专业评价要求参见附录D。
5.5.软件安全开发服务资质专业评价要求
软件安全开发服务资质专业评价要求参见附录E。
5.6.安全运维服务资质专业评价要求
安全运维服务资质专业评价要求参见附录F。
6.认证程序
6.1.自评估
组织在中国信息安全认证中心网站下载《信息安全服务自评估表》,并实施自主评估。
6.2.认证申请
组织依据信息安全服务资质认证程序、认证实施规则中相关要求,确定申请服务资质类别,并填写《信息安全服务资质认证申请书》。
组织向中国信息安全认证中心或其指定机构提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。
6.3.申请材料评审
中心依据认证程序和相关标准要求,对申请组织提交的认证相关材料进行评审,并确定申报级别和资质类别,签订认证合同。
6.4.现场评审
认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。特别,对申请一级资质认证的组织,必要时选择申请组织的客户进行项目实施现场见证。6.5.认证决定
认证决定委员会由3名以上(含3名)奇数认证决定人员组成,做出认证决定。
6.6.证书颁发
对于符合认证要求的申请组织,颁发认证证书,并予以公示。
6.7.证后监督
6.7.1.证后监督频次和方式
对获证组织实施监督,每年度(不超过12个月)进行一次监督评审。
当获证组织发生重大变更、事故或客户投诉时,可增加现场监督评审的频次。
6.7.2.证后监督内容
监督评审除包括初次评审的内容外,还应对上一次审核中提出的观察项所采取纠正/预防措施进行验证。还应包括获证企业变更情况、对其投诉处理情况,以及认证证书及认证标识的使用情况等。
6.7.3.证后监督结论
对于通过监督评审的获证组织,做出维持认证证书有效的决定;否则,暂停或撤销其认证证书。
6.7.4.信息通报
为确保获证组织的安全服务能力持续有效,获证组织应建立信息通报渠道,及时报告以下信息:
a)组织机构变更信息;
b)安全事故、客户投诉信息;
c)其他重要信息。
6.8.认证证书管理
6.8.1.证书有效期
获证组织如持续满足标准要求,且通过年度监督评审,可保持证书有效。
6.8.2.暂停认证证书
获证组织有下列情形之一,认证机构应暂停其认证证书:
a)未按规定接受监督评审;
b)违规使用认证证书,且未造成不良影响;
c)监督评审有严重不符合项;
d)其他需要暂停证书的情况。
证书暂停时间一般为三个月。在证书暂停期间,组织可提出恢复证书的申请,并经认证机构审核、批准后方可使用证书。
6.8.3.撤销认证证书
获证组织有下列情形之一,应撤销其认证证书:
a)证书暂停期间,未在规定时间内完成整改并通过验证;
b)违规使用认证证书,造成不良影响;
c)获证组织出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;
d)其他需要撤销证书的情况。
认证证书撤销后,获证组织应交回认证证书,中心予以公示。
6.8.4.注销认证证书
获证组织因自身原因不再维持证书,可提出注销认证证书的申请,中心应及时给予注销。
认证证书注销后,获证组织应交回认证证书,中心予以公示。
6.8.5.证书变更
证书变更如只涉及地址、资金或法定代表人的变更,获证组织需递交变更申请,经书面审核批准后,中心可更换其证书并收回原证书。
如获证组织发生除以上外的重大调整,应向中心提出变更申请,并提供相关材料。
中心需进行现场验证,并做出认证决定。
附录A(规范性附录):信息安全风险评估服务资质专业评价要求
信息安全风险评估服务资质专业评价要求针对评估准备、风险识别、风险分析、风险处置四个过程进行,项目实施过程应形成文件,具体分级要求如下:
A1 三级要求
申请三级资质认证的单位,至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。
A1.1准备阶段
A1.1.1服务方案制定
a)编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
b)应为风险评估实施活动提供总体计划或方案,方案应包含风险评价准则。
A1.1.2人员和工具准备
a)应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
b)应根据评估的需求准备必要的工具。
c)应对评估团队实施风险评估前进行安全教育和技术培训。
d)对项目采取文档化管理。
A1.2风险识别阶段
A1.2.1资产识别
a)参考国家或国际标准,对资产进行分类。
b)识别重要信息资产,形成资产清单。
c)对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。
d)对资产进行赋值。
A1.2.2脆弱性识别
a)应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技
术脆弱性列表。
b)应对脆弱性进行赋值。
A1.2.3威胁识别
a)应参考国家或国际标准,对威胁进行分类。
b)应识别对已识别的信息资产存在的潜在威胁;
c)应识别威胁利用脆弱性的可能性;
d)应分析威胁利用脆弱性对组织可能造成的影响。
A1.2.4已有安全措施确认
a)应识别组织已采取的安全措施;
b)应评价已采取的安全措施的有效性。
A1.3风险分析阶段
A1.3.1风险分析模型建立
a)应构建风险分析模型。
b)应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。
c)应根据分析模型确定的方法计算出风险值。
A1.3.2风险评价
应根据风险评价准则确定风险等级。
A1.3.3风险评估报告
a)应向客户提供风险评估报告。
b)报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。
A2 二级要求
组织申报二级资质,除满足三级资质的所有条件外,还需满足以下要求:
申请二级资质认证的单位,针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。
A2.1准备阶段
根据评估目标和范围,确定风险评估对象中包含的信息系统,以及对组织的资产进行分类。
A2.1.1服务方案制定
a)应进行充分的系统调研,形成调研报告。
b)宜根据风险评估目标以及调研结果,确定评估依据和评估方法。
c)应形成较为完整的风险评估实施方案。
A2.1.2 人员和工具管理
a)需采取相关措施,保障工具自身的安全性、适用性;
b)建立项目管理规程,对项目按规程进行管理。
A2.2风险识别阶段
A2.2.1威胁识别
a)依据相关标准中的威胁分类方法对威胁进行分类。
b)应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。
A2.3风险分析阶段
A2.3.1风险分析模型建立
a)构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。
b)资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。
A2.3.2风险计算方法确定
在风险计算时应根据实际情况选择定性计算方法或定量计算方法。
A2.3.3风险评价
a)应根据风险评价准则确定风险等级。
b)应对不同等级的安全风险进行统计、评价,形成最终的总体安全评价。
A2.3.4风险评估报告
a)风险评估报告中应对本次评估建立的风险分析模型进行说明,并应阐明本次评估采用的风
险计算方法及风险评价方法。
b)风险评估报告中应对计算分析出的风险给予比较详细的说明。
A2.4风险处置阶段
A2.4.1风险处置原则确定
应协助被评估组织确定风险处置原则,以及风险处置原则适用的范围和例外情况。
A2.4.2安全整改建议
对组织不可接受的风险提出风险处置措施。
A3一级要求
组织申报一级资质,除满足二级资质的所有条件外,还需满足以下要求:
申请一级资质认证的单位,能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。
具备跟踪、验证、挖掘信息安全漏洞的能力。
A3.1 准备阶段
A3.1.1人员和工具管理
a)需采取相关措施,保障工具管理的规范性以及工具自身的安全性、适用性;
b)建立项目管理规程,对项目按规程进行管理;必要时,采取项目群、项目组合管理。
A3.2风险识别阶段
A3.2.1资产识别
a)识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。
b)根据业务特点和业务流程应识别出关键数据和关键服务。
c)识别处理数据和提供服务所需的关键系统单元和关键系统组件。
A3.2.2威胁识别
采用多种方法进行威胁调查。
A3.3风险处置阶段
A3.3.1组织评审会
a)协助被评估组织召开评审会。
b)依据最终的评审意见进行相应的整改,形成最终的整改材料。
A3.3.2残余风险处置
a)对组织提出完整的风险处置方案。
b)必要时,对残余风险进行再评估。
附录B(规范性附录):信息系统安全集成服务资质专业评价要求
信息系统安全集成服务资质专业评价要求针对集成准备、方案设计、建设实施、安全保障四个过程进行,具体分级要求如下:
B1 三级要求
B1.1集成准备阶段
B1.1.1需求调研与分析
a)调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求。
b)基于系统建设需求,提出产品选型方案和建设预算。
c)结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录。B1.1.2签订服务协议
a)与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
b)与客户、供应商等相关方签订保密协议,明确保密职责和违约责任。
B1.2方案设计阶段
a)根据系统建设安全需求,编制安全集成技术方案。
b)依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面
的要求。
c)结合技术方案和实施方案,与客户进行沟通,获得客户认可。
B1.3建设实施阶段
B1.3.1实施集成
a)依据已确认的安全集成项目技术方案和实施方案,按照时间和质量要求进行系统建设。
b)项目实施人员按时提交施工记录和工程日志,及时向项目经理汇报项目进度。
c)建立安全集成项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施
过程中能够有效充分的沟通。
B1.4安全保障阶段
B1.4.1系统测试
a)依据项目技术方案和测试计划,对系统进行联调和系统测试,完整记录测试过程相关信息。
b)对于新建系统重点测试系统的功能、性能和安全性等;对于系统改造或升级项目,还需进
行兼容性测试。
B1.4.2系统试运行
a)为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试
运行周期至少一个月。
b)基于系统运行相关记录,及时对系统设备进行调整和维护。
B1.4.3验收
a)根据合同约定,向客户提交完整的项目资料及交付物,并提出终验申请。
b)根据合同约定,配合组织项目验收,出具项目验收报告。
B2 二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
B2.1集成准备阶段
B2.1.1需求调研与分析
a)准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系
统安全保障策略和建议。
b)基于客户需求和投入能力,开展需求分析,编制需求分析报告。
B2.2方案设计阶段
a)结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明
确系统架构、产品选型、产品功能、性能及配置等参数。
b)组织客户及相关技术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能
和安全性要求。
c)结合技术方案,对项目组及第三方配合人员进行业务和技能培训。
d)依据技术方案具体指标要求,制定系统测试计划。
B2.3建设实施阶段
B2.3.1实施集成
a)产品、设备安装调试过程中,应完整妥善记录相关信息。
b)项目建设施工完成后,需向客户提交完工报告。
c)项目实施完成后,相关过程记录及时归档,并统一保管。
B2.3.2 监督管理
建立客户满意度调查机制,并对调查结果进行分析。
B2.4安全保障阶段
B2.4.1系统测试
a)系统测试完成后,制定系统测试报告,并提交客户。
b)结合项目需要提出初验申请,组织客户及相关方对项目进行初验,并提交初验报告。
B2.4.2系统试运行
试运行结束后,项目组制定系统试运行报告,并提交客户。
B3一级要求
组织申报一级资质,除满足二级要求外,还应满足以下要求:
B3.1集成准备阶段
B3.1.1需求调研与分析
协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
B3.1.2签订服务协议
建立安全集成服务级别管理程序,签订服务级别协议。
B3.2方案设计阶段
a)结合项目需要,编制安全集成项目施工手册和作业指导书。
b)对于新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求。对
于系统改造,还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需
要考虑新旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等。
c)基于安全集成项目需求和进度计划,编制信息安全产品和工具定制开发计划。
B3.3建设实施阶段
B3.3.1实施集成
a)建立项目变更管理程序,对项目实施过程中方案、资源变更进行有效控制,完整记录变更
过程。
b)制定项目应急处置方案和恢复策略,对项目过程中的应急事件及时进行响应。
B3.3.2监督管理
定期对项目实施情况进行评审,采取适当措施,控制项目风险。
B3.4安全保障阶段
B3.4.1系统测试
基于建设系统的安全要求,制定系统安全性测试方案,模拟攻击场景,对系统安全性进行测试。
B3.4.2系统试运行
a)制定系统试运行计划,建立应急响应服务保障团队,及时应对突发事件。
b)综合分析系统运行状态,建立系统运行策略和安全指南,并对相关产品和设备设施进行配
置管理。
c)提供三个月以上的试运行记录和报告。
信息安全服务资质申请书(安全开发类一级)
编号: 国家信息安全测评 信息安全服务资质申请书 (安全开发类一级) 申请单位(公章): 填表日期: ?2011—中国信息安全测评中心 2011年1月1日
目录 填表须知 (3) 申请表 (4) 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位近三年资产运营情况 (7) 四、申请单位人员情况 (8) 五、申请单位技术能力基本情况 (8) 六、申请单位安全开发过程能力 (8) 6.1安全意识和安全教育 (8) 6.2启动安全开发过程 (8) 6.3产品风险评估和分析 (8) 6.4定义安全设计原则 (8) 6.5提供安全文档和安全配置工具 (8) 6.6进行安全编码 (8) 6.7进行安全测试 (8) 6.8安全最终评审与产品发布 (8) 6.9安全响应服务 (8) 七、申请单位的项目和组织过程能力 (8) 7.1实现质量保证的能力 (8) 7.2实现配置管理的能力 (8) 7.3管理项目风险的能力 (8) 7.4规划项目技术活动的能力 (8) 7.5监控技术活动的能力 (8) 7.6提供不断发展的知识和技能的能力 (8) 7.7与供应商协调的能力 (8) 八、申请单位安全服务项目汇总 (8) 九、申请单位获奖、资格授权情况 (8) 十、申请单位在安全开发服务方面的发展规划 (8) 十一、申请单位其他说明情况 (8) 十二、申请单位附加信息 (8) 申请单位声明 (8)
填表须知 用户在正式填写本申请书前,须认真阅读并理解以下容: 1.中国信息安全测评中心对下列对象进行测评: ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2.申请单位应仔细阅读《信息安全服务资质申请指南(安全开发类一级)》,并按照其要求如实、详细地填写本申请书所有项目。 3.申请单位应按照申请书原有格式进行填写。如填写容较多,可另加附页。 4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。 5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。 7.如有疑问,请与中国信息安全测评中心联系。 中国信息安全测评中心 地址:市海淀区上地西路8号院1号楼 邮编:100085 :(010)82341188或82341118 传真:82341100 网址:https://www.360docs.net/doc/ab7206657.html, 电子:https://www.360docs.net/doc/ab7206657.html,
国家信息安全服务资质
国家信息安全服务资质 灾难恢复服务资质(一级)认证指南 (试行) ?版权2008—中国信息全安全测评中心 2008年5月1日
目录 目录................................................................................................................... I 一、认证依据 (1) 二、级别划分 (2) 三、认证要求 (3) (一)基本资格要求 (3) (二)基本能力要求 (3) 1、组织与管理要求 (3) 2、技术能力要求 (3) 3、人员构成与素质要求 (4) 4、设备、设施与环境要求 (4) 5、规模与资产要求 (4) 6、业绩要求 (4) (三)灾难恢复服务过程能力 (4) 四、申请流程 (6) (一)申请流程图 (6) (二)申请阶段 (6) (三)资格审查阶段 (6) (四)能力测评阶段 (6) 1、静态评估 (6) 2、现场审核 (6) 3、综合评定 (7) 4、认证审核 (7) (五)证书发放阶段 (7) 五、监督、维持和升级 (8) 六、处置 (9) 七、争议、投诉与申诉 (10) 八、认证企业档案 (11) 九、认证费用及周期 (12)
一、认证依据 信息安全灾难恢复服务资质评估是对信息系统灾难恢复服务提供者的资格状况、技术实力和实施灾难恢复服务过程能力等方面的具体衡量和评价。 信息安全灾难恢复服务资质,是依据《信息安全服务资质评估准则》、《信息安全灾难恢复服务能力评估准则》等相关要求,在对申请组织的基本资格、技术实力、信息安全灾难恢复服务能力以及工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息全安全测评中心给予的资质认证。
关于信息安全服务资质认证
一体化认证审核/评价记录表 自评价及评审表-QMS 中国网络安全审查技术与认证中心第 1 页共 11 页
填表说明: 1、规范化方式为组织为规范条款相关活动而采取的具体行动的方式,如果通过制度文件提出要求规范化方式为“文件规定”,如果没有制度文件采用工具进行约束规范 化方式为“工具实现”,组织可以同时采用两种方式。如果组织未针对标准要求建立任务规范要求,则选无,但需注意没有进行规范并不意味组织未执行相关活动,组织可能采用约定俗成的方式开展活动,这可能与组织的文档化粗细程度有关。确定了规范化方式要记录原因、文件名称或工具名称。 2、“规范关键要求”为组织文件关键要求或工具的规范方式,“资源要求”是执行该活动需要的资源,包括人、财、技术和信息。 3、“规范执行证据”要填写活动执行的证据,如果为文档证据,需要填写抽样的文档的名称和或编号,如果是工具实现,可通过记录或图片的方式。本文件可以附证据 附件,需要在证据内容一栏填写附件名称。资源保障证据类似。 4、“执行绩效评价”为活动设定的绩效目标与实际执行结果。 5、如果相关条款即存在不符合也存在观察项,评价一栏可以多选。 6、请在“证据内容”中体现审核范围的相关信息,例如物理环境审核应体现地址,抽样记录应体现涉及的业务和部门。 中国网络安全审查技术与认证中心第 2 页共 11 页
中国网络安全审查技术与认证中心第 3 页共 11 页
中国网络安全审查技术与认证中心第 4 页共 11 页
中国网络安全审查技术与认证中心第 5 页共 11 页
中国网络安全审查技术与认证中心第 6 页共 11 页
服务认证自评估填写规范
编码:ISCCC-QOG-0406-B/0 服务资质认证自评估表填写规范 发布/修订日期:2017 年9 月 1 日 生效日期:2017 年 9月 1日 主责处室:体系与服务认证部 批准:张剑 中国信息安全认证中心
ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范 程序文件修改记录 序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑
服务资质认证自评估表填写规范 1目的 对自评估表填写进行规范,确保申请组织的自评价材料基本信息清晰明了。 2适用范围 适用于所有服务资质申请企业。 3职责 申请组织相关人员填写自评估表。 4服务资质认证自评估表填写过程 4.1公共管理自评估表填写规范 4.1.1、财务资信填写内容包含以下信息: 所提供的财务审计或者财务报告的年份,对于财务审核报告需填写所出具的会计事务所名称,需填写收入、净利润等信息。 4.1.2、办公场所填写内容包含以下信息: 房屋产权证或房屋租赁合同;产权人/出租人、地址、面积、租期。 4.1.3、人员能力填写内容包含以下信息: 1)填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。 2)填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。 3)填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。 4)填写信息安全服务人员数量,养老保险证明出具单位及出具时间,劳动合同的签订时间及有效期。 5)信息安全专业保障人员认证证书,填写获证人员名称、证书编号、发证日期、有效期。 6)填写项目经理人员数量,人员的名称、证书名称、证书编号等。 4.1.4、业绩填写内容包含以下信息: 1)填写首个信息安全服务(与申报类别一致)项目名称、合同签订时间、项目验收时间。 2)填写近三年信息安全服务项目(与申报类别一致)名称、合同金额、合同签订时间、验收时间、项目服务内容等。 4.1.5、服务管理填写内容包含以下信息: 1)填写人员管理程序,内容应包含岗位职责,人员任前、中、后的监督、考核、评价、奖惩方式,信息安全服务相关技术岗位的能力指标。提供人员培训制度(可并入人员管理制度),
信息安全服务资质认证要求
信息安全服务资质 认证要求 ISCCC XXX XXX-2007 信息安全服务资质 认证要求 Certification Requirements for Qualification of Information Security Service Provider (备案送审稿) 中国信息安全认证中心 发布 ××××-××-××实施 ××××-××-××发布 备案号:××××—××××
目录 前言............................................................ 错误!未定义书签。 1 适用范围...................................................... 错误!未定义书签。 2 定义.......................................................... 错误!未定义书签。 信息安全服务............................................ 错误!未定义书签。 信息安全服务提供者 ...................................... 错误!未定义书签。 信息安全服务资质等级 .................................... 错误!未定义书签。 信息安全工程过程能力级别 ................................ 错误!未定义书签。 3 服务类型与资质评定原则 ........................................ 错误!未定义书签。 信息安全服务的类型 ...................................... 错误!未定义书签。 信息安全服务资质等级的评判原则 .......................... 错误!未定义书签。 4 认证具体要求.................................................. 错误!未定义书签。 基本资格................................................ 错误!未定义书签。 独立法人 .......................................... 错误!未定义书签。 法律要求 .......................................... 错误!未定义书签。 基本能力................................................ 错误!未定义书签。 资产与规模 ........................................ 错误!未定义书签。 人员素质与构成 .................................... 错误!未定义书签。 设备、设施与环境 .................................. 错误!未定义书签。 业绩 .............................................. 错误!未定义书签。 质量管理能力............................................ 错误!未定义书签。 体系和管理职责 .................................... 错误!未定义书签。 资源管理 .......................................... 错误!未定义书签。 项目过程管理 ...................................... 错误!未定义书签。 测量、分析和改进 .................................. 错误!未定义书签。 客户服务 .......................................... 错误!未定义书签。 技术能力更新 ...................................... 错误!未定义书签。 安全工程过程能力 ........................................ 错误!未定义书签。 风险过程 .......................................... 错误!未定义书签。 工程过程 .......................................... 错误!未定义书签。 保证过程 .......................................... 错误!未定义书签。 5 引用标准与参考文献 ............................................ 错误!未定义书签。 计算机信息系统安全保护等级划分准则 ...................... 错误!未定义书签。 系统安全工程能力成熟模型 ................................ 错误!未定义书签。 系统安全工程能力成熟模型—评定方法 ...................... 错误!未定义书签。 信息系统安全工程手册 .................................... 错误!未定义书签。 软件工程能力成熟模型 .................................... 错误!未定义书签。 6 附录——系统安全工程主要术语 .................................. 错误!未定义书签。 组织.................................................... 错误!未定义书签。 项目.................................................... 错误!未定义书签。 系统.................................................... 错误!未定义书签。 安全工程................................................ 错误!未定义书签。 安全工程生命期 .......................................... 错误!未定义书签。 工作产品................................................ 错误!未定义书签。 顾客.................................................... 错误!未定义书签。 过程.................................................... 错误!未定义书签。 过程能力................................................ 错误!未定义书签。 制度化................................................ 错误!未定义书签。 过程管理................................................ 错误!未定义书签。
国家信息安全测评 .doc
国家信息安全测评 信息安全服务资质申请指南(安全开发类二级) ?版权2017—中国信息安全测评中心 2017年10月
一、认定依据4 二、级别划分4 三、二级资质要求5 3.1 基本资格要求5 3.2 基本能力要求5 3.3质量管理能力要求 6 3.4安全开发过程能力要求 6 四、资质认定7 4.1认定流程图7 4.2申请阶段 8 4.3资格审查阶段 8 4.4能力测评阶段 8 4.4.1静态评估8 4.4.2现场审核9 4.4.3综合评定9 4.4.4资质审定9 4.5证书发放阶段 9 五、监督、维持和升级10 六、处置10 七、争议、投诉与申诉10 八、获证组织档案11 九、费用及周期11 十、联系方式12
中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。 中国信息安全测评中心的主要职能是: 1.对国内外信息安全产品和信息技术进行测评; 2.对国内信息系统和工程进行安全性评估; 3.对提供信息系统安全服务的组织和单位进行评估; 4.对信息安全专业人员的资质进行评估。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。 本指南适用于所有向CNITSEC申请信息安全服务资质(安全开发类二级)的境内外组织。
信息安全服务资质认证实施规则
信息安全服务资质认证实施规则 CCRC-ISV-R01:2018 2018-05-25发布 2018-06-01实施 中国网络安全审查技术与认证中心
ISCCC-ISV-R01:2017 信息安全服务资质认证实施规则 目录 1 适用范围 (2) 2 认证依据 (2) 3 术语与定义 (2) 3.1 信息安全服务 (2) 3.2 自评估 ...................................................................................................... 错误!未定义书签。 3.3 现场审核 (2) 3.4 非现场审核 (2) 3.5 现场见证 .................................................................................................. 错误!未定义书签。 3.6 特殊审核 (2) 4 审核人员及审核组要求 (2) 5 认证信息公开 (3) 6 认证程序 (3) 6.1 初次认证 (3) 6.1.1 认证申请 (3) 6.1.2 申请评审 (3) 6.1.3 建立审核方案 (4) 6.1.4 确定审核组 (5) 6.1.5 非现场审核 (5) 6.1.6 现场审核 (6) 6.1.7 现场见证(必要时) (7) 6.1.8 认证决定 (8) 6.1.9 证书颁发 (8) 6.2 监督审核 (8) 6.2.1 频次和方式 (8) 6.2.2 信息收集 (8) 6.2.3 信息评审与审核方案维护 (9) 6.2.4 制定审核计划 (9) 6.2.5 审核实施 (10) 6.2.6 监督审核结论 (10) 6.2.7 认证决定 (10) 6.2.8 审核方案记录与变更 (10) 6.3 特殊审核 (10) 6.3.1 变更或扩大认证范围 (10) 6.3.2 审核方案记录与变更 (11) 7 信息通报 (11) 8 认证证书管理 (11) 8.1 证书有效期 (11) 8.2 暂停认证证书 (12) 8.3 撤销认证证书 (12) 8.4 证书变更 (12)
信息安全服务资质CRCー二级初次认证流程【最新】
信息安全服务资质CRCー二级初次认证流程 随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。 关于认证申请: 认证的基本环节; 认证申请与受理; 文档审核; 现场审核; 认证决定;
年度监督审核。 初次申请服务资质认证时,申请单位应填写认证申请书,并提交资格、能力方面的证明材料。申请材料通常包括: 服务资质认证申请书; 独立法人资格证明材料; 从事信息安全服务的相关资质证明; 工作保密制度及相应组织监管体系的证明材料; 与信息安全风险评估服务人员签订的保密协议复印件;人员构成与素质证明材料; 公司组织结构证明材料; 具备固定办公场所的证明材料; 项目管理制度文档;
信息安全服务质量管理文件; 项目案例及业绩证明材料; 信息安全服务能力证明材料等。 信息安全服务资质CRC(原i SCCC)ー、二级初次认证流程 1、准备阶段 申请组织根据自身实际情况确定需要申请的服务资质类型,登录中国网络安全审查技术与认证中心CCRC网站,下载《信息安全服务资质认证自评估表公共管理》、对应的技术自评估表、《信息安全服务资质认证申请 2.非现场审核及商务阶段 (此阶段工作在三周内完成,如需要申请组织补充材料,在五周内完成) 项目管理人员指派审查员对申请组织提交的材料进行非现场审核;审查员依据《信息安全服务规范》及相关技术标准,对申请组织所
提供的材料是否满足要求进行判定, 并填写《审核记录表》。如满足要求,审查员通知项目管理人员向申请组织出具《受理通知单》, 收取认证费用。如不满足要求,审查员开具《材料问题清单》,通知申请组织补充材料重新提交,并对补充材料进行审核(如申请组织所补充的材料仍无法满足要求,审查员应将此情况告知项目管理人员,项目管理人员通知申请组织目前尚不具备申请资质的条件)。 3、现场审核阶段 (此阶段工作在四周内完成,如开具不符合项,在八周内完成) 项目管理人员指派审核组长( -般情况下指派对该组织材料进行非现场审核的审查员为组长) ,协调审查员组建审核组;审核组长编制《审核计划》, 准备现场审核的相关表格等材料,通过项目管理人员将《审核计划》发送给申请组织;审核组前往对申请组织开展现场审核工作,判断该组织目前对外提供的信息安全服务管理及技术能力是否符合《信息安全服务规范》的要求,并依据现场审核中的实际情况对非现场审核时已填写的《审核记录表》进行补充、完善和验证。如满足要求,审核组长编制《审核报告》, 并汇总《审核记录表》、《首末次会议记录》、《公正性、保密性承诺》等审核材料提交中心进行认证决定(如开具不符合项,审核组长则通知申请组织在一个月内提交整改材料) ; 如不满足要求(如在现场审核时发现申请组织存在材料造假
中国信息安全认证中心-信息安全服务资质认证流程图
信息安全服务资质认证流程图
流程说明: 1、自评估 组织在中国信息安全认证中心网站下载《信息安全服务资质认证自评估表-管理》+对应的技术自评估表,并实施自评估。 2、认证申请 组织依据信息安全服务资质认证程序、认证实施规则中相关要求,确定申请服务资质类别,并填写《信息安全服务资质认证申请书》。 组织向中国信息安全认证中心提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。 3、申请材料评审 中心依据认证程序和相关标准要求,对申请组织提交的认证相关材料进行评审,并确定申报资质类别和级别,签订认证合同。 4、现场评审 认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。特别,对申请一级资质认证的组织,必要时选择申请组织的客户进行项目实施现场见证。 现场验证符合要求后,认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。 5、认证决定 认证决定委员会由3名以上(含3名)奇数认证决定人员组成,作出认证决定。 6、证书颁发 对于符合认证要求的申请组织,颁发认证证书,并予以公示。 7、证后监督 (1)证后监督频次和方式 对获证组织实施监督,每年度(不超过12个月)进行一次监督评审。 当获证组织发生重大变更、事故或客户投诉时,可增加现场监督评审的频次。 (2)证后监督内容 监督评审除包括初次评审的内容外,还应对上一次审核中提出的观察项所采取纠正/预防措施进行验证。 (3)证后监督结论
对于通过监督评审的获证组织,做出维持认证证书有效的决定;否则,暂停或撤销其认证证书。 (4)信息通报 为确保获证组织的安全服务能力持续有效,获证组织应建立信息通报渠道,及时报告以下信息: a)组织机构变更信息; b)安全事故、客户投诉信息; c)其他重要信息。
信息安全服务资质认证实施细则(2015版)
文件编码:ISCCC-SV-001:2015 信息安全服务资质认证实施规则 (第2版) 2015-04-01发布2015-04-01实施 中国信息安全认证中心发布
目录 1.适用范围 (1) 2.规范性引用文件 (1) 3.术语与定义 (1) 3.1.信息安全服务 (1) 3.2.信息安全服务资质 (1) 3.3.信息安全风险评估 (1) 3.4.信息安全应急处理 (1) 3.5.信息系统安全集成 (2) 3.6.信息系统灾难备份与恢复 (2) 3.7.软件安全开发 (2) 3.8.信息系统安全运维 (2) 4.通用评价要求 (2) 4.1.三级评价要求 (2) 4.1.1.法律地位要求 (2) 4.1.2.财务资信要求 (2) 4.1.3.办公场所要求 (2) 4.1.4.人员素质与资质要求 (2) 4.1.5.业绩要求 (3) 4.1.6.服务管理要求 (3) 4.1.7.服务合同要求 (3) 4.1.8.服务安全要求 (3) 4.1.9.服务技术要求 (3) 4.2.二级评价要求 (3) 4.2.1.法律地位要求 (4) 4.2.2.财务资信要求 (4) 4.2.3.办公场所要求 (4) 4.2.4.人员素质与资质要求 (4) 4.2.5.技术工具要求 (4) 4.2.6.业绩要求 (4) 4.2.7.服务管理要求 (4) 4.2.8.服务合同要求 (5) 4.2.9.服务安全要求 (5) 4.2.10.服务技术要求 (5) 4.3.一级评价要求 (5)
4.3.1.申请条件 (5) 4.3.2.法律地位要求 (5) 4.3.3.财务资信要求 (5) 4.3.4.办公场所要求 (5) 4.3.5.人员素质与资质要求 (5) 4.3.6.技术工具要求 (6) 4.3.7.业绩要求 (6) 4.3.8.服务管理要求 (6) 4.3.9.服务合同要求 (6) 4.3.10.服务安全要求 (6) 4.3.11.服务技术要求 (7) 5.专业评价要求 (7) 5.1.风险评估服务资质专业评价要求 (7) 5.2.安全集成服务资质专业评价要求 (7) 5.3.应急处理服务资质专业评价要求 (7) 5.4.灾难备份与恢复服务资质专业评价要求 (7) 5.5.软件安全开发服务资质专业评价要求 (7) 5.6.安全运维服务资质专业评价要求 (7) 6.认证程序 (7) 6.1.自评估 (7) 6.2.认证申请 (7) 6.3.申请材料评审 (7) 6.4.现场评审 (8) 6.5.认证决定 (8) 6.6.证书颁发 (8) 6.7.证后监督 (8) 6.7.1.证后监督频次和方式 (8) 6.7.2.证后监督内容 (8) 6.7.3.证后监督结论 (8) 6.7.4.信息通报 (8) 6.8.认证证书管理 (8) 6.8.1.证书有效期 (8) 6.8.2.暂停认证证书 (8) 6.8.3.撤销认证证书 (9) 6.8.4.注销认证证书 (9) 6.8.5.证书变更 (9) 附录A(规范性附录):信息安全风险评估服务资质专业评价要求 (10)
信息安全认证申请书
申请编号: 信息安全服务资质认证 申请书 申请组织(盖章): 申请日期: 中国网络安全审查技术与认证中心
填写说明 1、本申请书适用于向中国网络安全审查技术与认证中心申报信息安全服务资质认证。 2、三级申请组织需提交申请书和自评价表(自评价表应包括公共管理自评价表一份)。 3、一、二级申请组织需提交申请书和自评价表(自评价表应包括公共管理、对应服务类别的自评价表各一份)。 4、申请书应使用A4型纸打印装订,首页及申请组织声明处加盖组织公章,并使用黑色钢笔或签字笔在相应位置签名(法人)。 5、申请书中所要求提交的证明材料,自评价表及自评价证据以电子版方式提供,不接受纸版材料。
信息安全服务资质认证申请书 1.申请信息 1.1申请类型 初次认证 级别变更1.2 资本类型 A类(不具有外资背景)B类(具有外资背景) 1.2申请类别与级别 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复(资源服务类)一级二级三级 灾难备份与恢复(技术服务类)一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 (工业控制所属行业:能源交通通信水利城建其他)1.3保持的类别和级别(级别变更或增加类别时填写) 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复(资源服务类)一级二级三级 灾难备份与恢复(技术服务类)一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 (工业控制所属行业:能源交通通信水利城建其他)2.组织基本信息(所有申请类型和级别都需填写) 申请组织全称(中文):。 申请组织全称(英文):。
信息安全服务资质公共管理自评估表填写规范
信息安全服务资质认证自评估表-公共管理填写指南填写要求: 1.当条款对应的需提供证明材料为营业证照、财务审计报告、房屋产权证明、租赁合同、人员简历、业绩等内容时,在“证明材料清单栏目”中直接按照本文档中的格式,填写关键内容即可。 2.当条款对应的需提供证明材料为制度或项目文档时,在“证明材料清单栏目”填写文档的完整名称。例如《XX公司培训管理制度》、《XX公司项目管理制度》、《XX公司测评工具管理制度》等,并概括地介绍制度或项目文档各章节的主要内容。 3.当条款对应的需提供证明材料为记录文档时,在“证明材料清单栏目”填写记录的完整名称。例如《2016年XX公司培训计划》、《XX 项目人员培训记录》、《XX公司供应商名录》等,并概括地介绍记录文档的主要内容。 4.当条款对应的需提供证明材料为某制度或文档的某章节内容时,在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。例如《XX项目调研报告》第X章安全服务需求分析、《XX项目合同》第X条保密要求等,并对相关内容进行总结概括。 5.所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档,建立文件夹的格式为“序号-条款的考核内容”,例如“1-营业执照”、“2-审计报告”、“5-技术负责人简历”、“9-人员管理及培训”等。 以下给出了一份填写样例,供填报组织进行参考。填报组织应按照填写样例的细粒度,进行相关信息的填报。
组织名称XX公司(全称)服务类别/级别所申请或维持的资质类别/级别,例如“风险评估/二级”评估时间XX年X月X日-X月X日评估部门/人员XX部/XX
信息安全服务三级资质初次认证流程
信息安全服务三级资质初次认证流程 开始 确定申请的服务资质类型,登录中心网站,下载并填写《信息安全服务资质认证自评 估表-公共管理》 、《信息安全服务资质认证申请书》,将上述文档及自评估 证明材料提交中心 指派审核组长,并协调审查员组建审核组,对材料 进行非现场审核 审核组按照《非现场审核计划》开展非现场审核工作,判定申请组织提供的材料是否符 合要求 编写《非现场审核报告》,并将审核材料提交中心进行认证决定 进行认证决定 制作证书,并邮寄给申请 组织 通过 结束 补充材料,并重新提交不符合要求 受理申请,收取认证费用 《信息安全服务资质认证自评估表-公共管理》、《信息安全服务资质认证申请书》、自评估证明材 料 《非现场审核任务 委托书》 符合要求 《受理通知单》或 《合同》 《非现场审核报 告》 《认证决定表》 《证书》 通知申请组织不通 过的原因 不通过结束 编制《非现场审核计划》,通过项目管理人员发送给审核组 全体成员 《非现场审核计 划》 《信息安全服务资质认证公共管理审核记录表》 流程说明: 1、 准备阶段 申请组织根据自身实际情况确定需要申请的服务资质类型,登录中国信息安全认证中心网站,下载《信息安全服务资质认证自评估表-公共管理》、《信息安全服务资质认证申请书》,实施自评估后(具体自评估表的填写方法可参考中心网站上的《信息安全服务资质认证自评估表填写指南》),将上述文档及自评估证明材料提交中心。
(注:申请三级信息安全服务资质的组织,需要在《信息安全服务资质认证自评估表-公共管理》的24-服务技术、25-服务过程文档模板这两个条目中,提供相应的证明材料。 申请三级信息安全服务资质的组织,原则上无需填写技术部分的自评估表,但如申请组织已经具备了实施完成并通过验收的信息安全服务项目案例,也可下载并填写相应的技术方向的自评估表,准备技术部分的自评估证明材料,提交中心作为参考。) 2、非现场审核及商务阶段(此阶段工作应在三周内完成,如需要申请组织补 充材料,应在五周内完成) 项目管理人员指派审核组长,协调审查员组建审核组; 审核组长编制《非现场审核计划》,通过项目管理人员发送给审核组全体成员; 审核组对申请组织提交的材料进行非现场审核工作,判断该组织目前对外提供的信息安全服务管理及技术能力是否符合《信息安全服务 规范》的要求。如满足要求,审核组长在通知项目管理人员向申请组织出具《受理通知单》(如申请组织有需求,也可签订《服务资质认证合同》)、收取认证费用后,编写《非现场审核报告》,并汇总《信息安全服务资质认证公共管理审核记录表》等审核材料提交中心进行认证决定;如不满足要求,审核组长通知申请组织补充材料重新提交,并对补充材料进行审核(如申请组织所补充的材料仍无法满足要求,审核组长应将此情况告知项目管理人员,项目管理人员通知申请组织目前尚不能满足申请资质的条件)。 3、认证决定阶段(此阶段工作应在两周内完成) 中心认证决定人员对审核组长提交的审核材料进行认证决定; 如认证决定通过,则通知项目管理人员进行制证;如认证决定不通过,则通知申请组织不通过原因。 4、制证阶段(此阶段工作应在一周内完成) 项目管理人员制作证书,并邮寄给申请组织。 (注:申请三级信息安全服务资质的组织,无论是否提交已实施完成并通过验收的信息安全服务项目案例,只要通过认证决定,所颁发的证书有效期均为一年。在第一次现场监督审核时,必须提供在该年度实施完成并通过验收的信息安全服务项目案例。)
信息系统安全服务资质认证指南(一级资质)
国家信息安全测评认证 信息系统安全服务资质认证指南 (试行) \ 福建省网络与信息安全测评中心
目录 引言 (4) 1 认证依据 (5) 2 等级划分 (5) 3 认证要求 (6) 3.1 基本资格要求 (6) 3.2 基本能力要求 (6) 3.2.1 组织与管理要求 (6) 3.2.2 技术能力要求 (6) 3.2.3 人员构成与素质要求 (7) 3.2.4 设备、设施与环境要求 (8) 3.2.5 规模与资产要求 (8) 3.2.6 业绩要求 (8) 3.3 安全工程过程及能力级别 (9) 4 认证流程 (11) 5 受理过程 (12) 6 申请书 (12) 7 评审 (12) 8 认证与公布 (13) 9 保持认证 (14)
10 认证发展 (15) 11 处置 (15) 12 争议、投诉与申诉 (15) 13 认证企业档案 (16) 14 费用及认证周期 (16) 15 相关文件与表格 (17)
引言 福建省网络与信息安全测评中心(原中国国家信息安全测评认证中心,简称FJTEC)是经中央批准成立、代表国家开展信息安全测评认证的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评认证体系。 福建省网络与信息安全测评中心的主要职能是: 1.对国内外信息安全产品和信息技术进行测评和认证 2.对国内信息系统和工程进行安全性评估和认证 3.对提供信息系统安全服务的组织和单位进行评估和认证 4.对信息安全专业人员的资质进行评估和认证 “中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息系统安全质量以及信息安全服务资质、人员资质的最高认可。国家信息安全产品测评认证活动的技术依据是由中国国家信息安全测评认证管理委员会确认的有关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技术要求与技术规范。 “信息系统安全服务资质认证”是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行认证。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。在我国,信息系统安全服务资质由福建省网络与信息安全测评中心及其授权