信息安全服务资质认证实施规则
文件编码:ISCCC-SV-001:2015
信息安全服务资质认证实施规则
(第2版)
2015-04-01发布2015-04-01实施
中国信息安全认证中心发布
目录
1.适用范围 (1)
2.规范性引用文件 (1)
3.术语与定义 (1)
3.1.信息安全服务 (1)
3.2.信息安全服务资质 (1)
3.3.信息安全风险评估 (1)
3.4.信息安全应急处理 (1)
3.5.信息系统安全集成 (2)
3.6.信息系统灾难备份与恢复 (2)
3.7.软件安全开发 (2)
3.8.信息系统安全运维 (2)
4.通用评价要求 (2)
4.1.三级评价要求 (2)
4.1.1.法律地位要求 (2)
4.1.2.财务资信要求 (2)
4.1.3.办公场所要求 (2)
4.1.4.人员素质与资质要求 (2)
4.1.5.业绩要求 (3)
4.1.6.服务管理要求 (3)
4.1.7.服务合同要求 (3)
4.1.8.服务安全要求 (3)
4.1.9.服务技术要求 (3)
4.2.二级评价要求 (3)
4.2.1.法律地位要求 (4)
4.2.2.财务资信要求 (4)
4.2.3.办公场所要求 (4)
4.2.4.人员素质与资质要求 (4)
4.2.5.技术工具要求 (4)
4.2.6.业绩要求 (4)
4.2.7.服务管理要求 (4)
4.2.8.服务合同要求 (5)
4.2.9.服务安全要求 (5)
4.2.10.服务技术要求 (5)
4.3.一级评价要求 (5)
4.3.1.申请条件 (5)
4.3.2.法律地位要求 (5)
4.3.3.财务资信要求 (5)
4.3.4.办公场所要求 (5)
4.3.5.人员素质与资质要求 (5)
4.3.6.技术工具要求 (6)
4.3.7.业绩要求 (6)
4.3.8.服务管理要求 (6)
4.3.9.服务合同要求 (6)
4.3.10.服务安全要求 (6)
4.3.11.服务技术要求 (7)
5.专业评价要求 (7)
5.1.风险评估服务资质专业评价要求 (7)
5.2.安全集成服务资质专业评价要求 (7)
5.3.应急处理服务资质专业评价要求 (7)
5.4.灾难备份与恢复服务资质专业评价要求 (7)
5.5.软件安全开发服务资质专业评价要求 (7)
5.6.安全运维服务资质专业评价要求 (7)
6.认证程序 (7)
6.1.自评估 (7)
6.2.认证申请 (7)
6.3.申请材料评审 (7)
6.4.现场评审 (8)
6.5.认证决定 (8)
6.6.证书颁发 (8)
6.7.证后监督 (8)
6.7.1.证后监督频次和方式 (8)
6.7.2.证后监督内容 (8)
6.7.3.证后监督结论 (8)
6.7.4.信息通报 (8)
6.8.认证证书管理 (8)
6.8.1.证书有效期 (8)
6.8.2.暂停认证证书 (8)
6.8.3.撤销认证证书 (9)
6.8.4.注销认证证书 (9)
6.8.5.证书变更 (9)
附录A(规范性附录):信息安全风险评估服务资质专业评价要求 (10)
附录B(规范性附录):信息系统安全集成服务资质专业评价要求 (14)
附录C(规范性附录):信息安全应急处理服务资质专业评价要求 (17)
附录D(规范性附录):信息系统灾难备份与恢复服务资质专业评价要求 (21)
附录E(规范性附录):软件安全开发服务资质专业评价要求 (25)
附录F(规范性附录):安全运维服务资质专业评价要求 (29)
参考文献 (33)
1.适用范围
信息安全服务资质认证是依据国家认证认可法律法规、相关技术标准和规范,对信息安全服务提供者的资质进行评价的合格评定活动。
本规则规定了信息安全服务提供者(以下简称服务提供者)应具备的通用评价要求、专业评价要求以及认证机构开展服务资质认证的程序。
本规则可用于第三方机构对服务提供者进行资信和能力评价,可作为服务提供者开展自我评价的依据,并可为政府及有关社会组织选择服务提供者提供依据。
2.规范性引用文件
下列文件中的条款通过本文件引用而成为本文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本文件,然而,鼓励根据本文件达成协议的各方研究可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本文件。
CNCA/CTS 0052-2007《信息安全服务资质认证技术规范》
YDT1799-2008《网络与信息安全应急处理服务资质评估方法》
ISCCC-SV-002:2010《信息安全风险评估服务资质认证实施规则》
ISCCC-SV-003:2014《信息系统安全集成服务资质认证实施规则》
ISCCC-SV-004:2012《信息系统灾难备份与恢复服务资质认证实施规则》
GB/T 5271.8-2001《信息技术词汇第8部分:安全》中的术语和定义适用于本标准。
3.术语与定义
3.1.信息安全服务
由供应商、组织机构或人员执行的一个安全过程或任务。(ISO/IEC TR 15443-1:2005《信息技术安全技术信息技术安全保障框架第一部分:总揽和框架》)
3.2.信息安全服务资质
信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。
3.3.信息安全风险评估
运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水平。
3.4.信息安全应急处理
制定应急处理计划,组织实施演练,并在出现网络与信息系统安全事故时,及时实施应急处理
计划的过程。
3.5.信息系统安全集成
在从事网络系统、应用系统、安防系统、建筑智能化系统的集成过程中,所进行的安全需求界定、安全设计、安全实施、安全保障等活动。
3.6.信息系统灾难备份与恢复
将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动,分为资源服务类(A类)、技术服务类(B类)两个类别。
3.7.软件安全开发
通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。
3.8.信息系统安全运维
通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。4.通用评价要求
通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维等类别的信息安全服务认证评价,均分为三个级别,其中一级最高。
4.1.三级评价要求
4.1.1.法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
4.1.2.财务资信要求
近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。
4.1.3.办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.1.4.人员素质与资质要求
a)组织负责人拥有2年以上信息技术领域管理经历。
b)技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信
息安全技术工作2年以上。
c)财务负责人具有财务系列初级以上职称。
d)从事信息安全服务人员10名以上。
e)拥有信息安全专业认证(与申报类别一致)人员2名以上。
f)拥有项目管理资格证书人员1名以上。
4.1.
5.业绩要求
a)从事信息安全服务(与申报类别一致)1年以上。
b)近3年内签订并完成至少1个信息安全服务(与申报类别一致)项目。
4.1.6.服务管理要求
a)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
b)建立人员管理程序和能力考核指标;制定业务和技能培训计划,定期对相关人员开展培训
和考核。
c)建立文档控制程序,明确文档管理职责,任命管理人员,确保项目文档资料妥善保管。
d)建立项目管理制度,并按照制度执行。
e)提供资源,确保信息安全服务项目的实施。
4.1.7.服务合同要求
a)了解客户及所处的行业对信息安全服务的特定要求。
b)确定信息安全服务范围。
c)应签订信息安全服务合同或协议。
4.1.8.服务安全要求
a)满足法律法规对服务安全的要求。
b)满足与客户签订服务合同中的安全要求。
c)制定保密管理制度,明确岗位保密责任。
d)按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员
了解客户的相关要求。
e)与相关人员签订保密协议,并进行保密教育。
f)确保其供应商满足上述服务安全要求。
4.1.9.服务技术要求
a)建立信息安全服务(与申报类别一致)流程。
b)制定信息安全服务(与申报类别一致)规范并按照规范实施。
4.2.二级评价要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
4.2.2.财务资信要求
近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。
4.2.3.办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.2.4.人员素质与资质要求
a)组织负责人拥有3年以上信息技术领域管理经历。
b)技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称,且从事
信息安全技术工作5年以上。
c)财务负责人具有财务系列中级以上职称。
d)从事信息安全服务人员30名以上。
e)拥有信息安全专业认证(与申报类别一致)人员6名以上。
f)拥有项目管理资格证书人员2名以上。
4.2.
5.技术工具要求
a)具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b)具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版
本控制。
4.2.6.业绩要求
a)从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)
三级资质1年以上。
b)近三年内签订并完成至少6个信息安全服务项目(与申报类别一致)。
4.2.7.服务管理要求
a)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
b)建立项目管理制度,并按照制度执行。
c)参照国际或国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并有效运行。
d)参照国际或国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服
务管理体系,并有效运行。
e)提供资源,确保信息安全服务项目的实施。
a)了解客户及所处的行业对信息安全服务的特定要求。
b)确定信息安全服务范围。
c)应签订信息安全服务合同或协议。
d)合同应明确信息安全服务的行为规范。
4.2.9.服务安全要求
a)满足法律法规对服务安全的要求。
b)满足与客户签订服务合同中的安全要求。
c)制定保密管理制度,明确岗位保密责任。
d)按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员
了解客户的相关要求。
e)与相关人员签订保密协议,并进行保密教育。
f)确保其供应商满足上述服务安全要求。
4.2.10.服务技术要求
a)建立信息安全服务(与申报类别一致)流程。
b)制定信息安全服务(与申报类别一致)规范并按照规范实施。
4.3.一级评价要求
4.3.1.申请条件
取得信息安全服务(与申报类别一致)二级资质1年以上。(行业领头企业除外)
4.3.2.法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
4.3.3.财务资信要求
近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。
4.3.4.办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.3.
5.人员素质与资质要求
a)组织负责人拥有4年以上信息技术领域管理经历。
b)技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称,且从事
信息安全技术工作8年以上。
c)财务负责人拥有财务系列高级职称,或取得中级职称8年以上。
d)从事信息安全技术服务人员50名以上。
e)拥有信息安全专业认证人员(与申报类别一致)10名以上。
f)拥有项目管理资格证书人员5名以上。
4.3.6.技术工具要求
a)具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b)具备承担信息安全服务(与申报类别一致)项目所需的安全工具,如漏洞扫描工具、渗透
测试工具、协议分析仪等。
4.3.7.业绩要求
a)从事信息安全服务(与申报类别一致)5年以上。
b)近三年内至少签订并完成10个信息安全服务项目(与申报类别一致)。
4.3.8.服务管理要求
a)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
b)建立项目管理制度,并按照制度执行。
c)参照国际、国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并提供有效运行
的相关证明。
d)参照国际、国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服
务管理体系,并提供有效运行的相关证明。
e)提供足够资源,确保信息安全服务项目的实施。
4.3.9.服务合同要求
a)了解客户及所处的行业对信息安全服务的特定要求。
b)确定信息安全服务范围。
c)应签订信息安全服务合同或协议。
d)合同应明确信息安全服务的行为规范。
e)合同应明确信息安全服务的安全要求。
4.3.10.服务安全要求
a)满足法律法规对服务安全的要求。
b)满足与客户签订服务合同中的安全要求。
c)制定保密管理制度,明确岗位保密责任。
d)按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员
了解客户的相关要求。
e)与相关人员签订保密协议,并进行保密教育。
f)确保其供应商满足上述服务安全要求。
4.3.11.服务技术要求
a)建立信息安全服务(与申报类别一致)流程。
b)制定信息安全服务(与申报类别一致)规范,并按照规范实施。
5.专业评价要求
5.1.风险评估服务资质专业评价要求
风险评估服务资质专业评价要求参见附录A。
5.2.安全集成服务资质专业评价要求
安全集成服务资质专业评价要求参见附录B。
5.3.应急处理服务资质专业评价要求
应急处理服务资质专业评价要求参见附录C。
5.4.灾难备份与恢复服务资质专业评价要求
灾难备份与恢复服务资质专业评价要求参见附录D。
5.5.软件安全开发服务资质专业评价要求
软件安全开发服务资质专业评价要求参见附录E。
5.6.安全运维服务资质专业评价要求
安全运维服务资质专业评价要求参见附录F。
6.认证程序
6.1.自评估
组织在中国信息安全认证中心网站下载《信息安全服务自评估表》,并实施自主评估。
6.2.认证申请
组织依据信息安全服务资质认证程序、认证实施规则中相关要求,确定申请服务资质类别,并填写《信息安全服务资质认证申请书》。
组织向中国信息安全认证中心或其指定机构提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。
6.3.申请材料评审
中心依据认证程序和相关标准要求,对申请组织提交的认证相关材料进行评审,并确定申报级别和资质类别,签订认证合同。
6.4.现场评审
认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。特别,对申请一级资质认证的组织,必要时选择申请组织的客户进行项目实施现场见证。6.5.认证决定
认证决定委员会由3名以上(含3名)奇数认证决定人员组成,做出认证决定。
6.6.证书颁发
对于符合认证要求的申请组织,颁发认证证书,并予以公示。
6.7.证后监督
6.7.1.证后监督频次和方式
对获证组织实施监督,每年度(不超过12个月)进行一次监督评审。
当获证组织发生重大变更、事故或客户投诉时,可增加现场监督评审的频次。
6.7.2.证后监督内容
监督评审除包括初次评审的内容外,还应对上一次审核中提出的观察项所采取纠正/预防措施进行验证。还应包括获证企业变更情况、对其投诉处理情况,以及认证证书及认证标识的使用情况等。
6.7.3.证后监督结论
对于通过监督评审的获证组织,做出维持认证证书有效的决定;否则,暂停或撤销其认证证书。
6.7.4.信息通报
为确保获证组织的安全服务能力持续有效,获证组织应建立信息通报渠道,及时报告以下信息:
a)组织机构变更信息;
b)安全事故、客户投诉信息;
c)其他重要信息。
6.8.认证证书管理
6.8.1.证书有效期
获证组织如持续满足标准要求,且通过年度监督评审,可保持证书有效。
6.8.2.暂停认证证书
获证组织有下列情形之一,认证机构应暂停其认证证书:
a)未按规定接受监督评审;
b)违规使用认证证书,且未造成不良影响;
c)监督评审有严重不符合项;
d)其他需要暂停证书的情况。
证书暂停时间一般为三个月。在证书暂停期间,组织可提出恢复证书的申请,并经认证机构审核、批准后方可使用证书。
6.8.3.撤销认证证书
获证组织有下列情形之一,应撤销其认证证书:
a)证书暂停期间,未在规定时间内完成整改并通过验证;
b)违规使用认证证书,造成不良影响;
c)获证组织出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;
d)其他需要撤销证书的情况。
认证证书撤销后,获证组织应交回认证证书,中心予以公示。
6.8.4.注销认证证书
获证组织因自身原因不再维持证书,可提出注销认证证书的申请,中心应及时给予注销。
认证证书注销后,获证组织应交回认证证书,中心予以公示。
6.8.5.证书变更
证书变更如只涉及地址、资金或法定代表人的变更,获证组织需递交变更申请,经书面审核批准后,中心可更换其证书并收回原证书。
如获证组织发生除以上外的重大调整,应向中心提出变更申请,并提供相关材料。
中心需进行现场验证,并做出认证决定。
附录A(规范性附录):信息安全风险评估服务资质专业评价要求
信息安全风险评估服务资质专业评价要求针对评估准备、风险识别、风险分析、风险处置四个过程进行,项目实施过程应形成文件,具体分级要求如下:
A1 三级要求
申请三级资质认证的单位,至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。
A1.1准备阶段
A1.1.1服务方案制定
a)编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
b)应为风险评估实施活动提供总体计划或方案,方案应包含风险评价准则。
A1.1.2人员和工具准备
a)应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
b)应根据评估的需求准备必要的工具。
c)应对评估团队实施风险评估前进行安全教育和技术培训。
d)对项目采取文档化管理。
A1.2风险识别阶段
A1.2.1资产识别
a)参考国家或国际标准,对资产进行分类。
b)识别重要信息资产,形成资产清单。
c)对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。
d)对资产进行赋值。
A1.2.2脆弱性识别
a)应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技
术脆弱性列表。
b)应对脆弱性进行赋值。
A2.2.3威胁识别
a)应参考国家或国际标准,对威胁进行分类。
b)应识别对已识别的信息资产存在的潜在威胁;
c)应识别威胁利用脆弱性的可能性;
d)应分析威胁利用脆弱性对组织可能造成的影响。
A1.2.4已有安全措施确认
a)应识别组织已采取的安全措施;
b)应评价已采取的安全措施的有效性。
A1.3风险分析阶段
A1.3.1风险分析模型建立
a)应构建风险分析模型。
b)应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。
c)应根据分析模型确定的方法计算出风险值。
A1.3.2风险评价
应根据风险评价准则确定风险等级。
A1.3.3风险评估报告
a)应向客户提供风险评估报告。
b)报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。
A2 二级要求
组织申报二级资质,除满足三级资质的所有条件外,还需满足以下要求:
申请二级资质认证的单位,针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。
A2.1准备阶段
根据评估目标和范围,确定风险评估对象中包含的信息系统,以及对组织的资产进行分类。
A2.1.1服务方案制定
a)应进行充分的系统调研,形成调研报告。
b)宜根据风险评估目标以及调研结果,确定评估依据和评估方法。
c)应形成较为完整的风险评估实施方案。
A2.1.2 人员和工具管理
a)需采取相关措施,保障工具自身的安全性、适用性;
b)建立项目管理规程,对项目按规程进行管理。
A2.2风险识别阶段
A2.2.1威胁识别
a)依据相关标准中的威胁分类方法对威胁进行分类。
b)应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。
A2.3风险分析阶段
A2.3.1风险分析模型建立
a)构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。
b)资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。
A2.3.2风险计算方法确定
在风险计算时应根据实际情况选择定性计算方法或定量计算方法。
A2.3.3风险评价
a)应根据风险评价准则确定风险等级。
b)应对不同等级的安全风险进行统计、评价,形成最终的总体安全评价。
A2.3.4风险评估报告
a)风险评估报告中应对本次评估建立的风险分析模型进行说明,并应阐明本次评估采用的风
险计算方法及风险评价方法。
b)风险评估报告中应对计算分析出的风险给予比较详细的说明。
A2.4风险处置阶段
A2.4.1风险处置原则确定
应协助被评估组织确定风险处置原则,以及风险处置原则适用的范围和例外情况。
A2.4.2安全整改建议
对组织不可接受的风险提出风险处置措施。
A3一级要求
组织申报一级资质,除满足二级资质的所有条件外,还需满足以下要求:
申请一级资质认证的单位,能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。
具备跟踪、验证、挖掘信息安全漏洞的能力。
A3.1 准备阶段
A3.1.1人员和工具管理
a)需采取相关措施,保障工具管理的规范性以及工具自身的安全性、适用性;
b)建立项目管理规程,对项目按规程进行管理;必要时,采取项目群、项目组合管理。
A3.2风险识别阶段
A3.2.1资产识别
a)识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。
b)根据业务特点和业务流程应识别出关键数据和关键服务。
c)识别处理数据和提供服务所需的关键系统单元和关键系统组件。
A3.2.2威胁识别
采用多种方法进行威胁调查。
A3.3风险处置阶段
A3.3.1组织评审会
a)协助被评估组织召开评审会。
b)依据最终的评审意见进行相应的整改,形成最终的整改材料。
A3.3.2残余风险处置
a)对组织提出完整的风险处置方案。
b)必要时,对残余风险进行再评估。
附录B(规范性附录):信息系统安全集成服务资质专业评价要求
信息系统安全集成服务资质专业评价要求针对集成准备、方案设计、建设实施、安全保障四个过程进行,具体分级要求如下:
B1 三级要求
B1.1集成准备阶段
B1.1.1需求调研与分析
a)调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求。
b)基于系统建设需求,提出产品选型方案和建设预算。
c)结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录。
B1.1.2签订服务协议
a)与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
b)与客户、供应商等相关方签订保密协议,明确保密职责和违约责任。
B1.2方案设计阶段
a)根据系统建设安全需求,编制安全集成技术方案。
b)依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面
的要求。
c)结合技术方案和实施方案,与客户进行沟通,获得客户认可。
B1.3建设实施阶段
B1.3.1实施集成
a)依据已确认的安全集成项目技术方案和实施方案,按照时间和质量要求进行系统建设。
b)项目实施人员按时提交施工记录和工程日志,及时向项目经理汇报项目进度。
c)建立安全集成项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施
过程中能够有效充分的沟通。
B1.4安全保障阶段
B1.4.1系统测试
a)依据项目技术方案和测试计划,对系统进行联调和系统测试,完整记录测试过程相关信息。
b)对于新建系统重点测试系统的功能、性能和安全性等;对于系统改造或升级项目,还需进
行兼容性测试。
B1.4.2系统试运行
a)为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试
运行周期至少一个月。
b)基于系统运行相关记录,及时对系统设备进行调整和维护。
B1.4.3验收
a)根据合同约定,向客户提交完整的项目资料及交付物,并提出终验申请。
b)根据合同约定,配合组织项目验收,出具项目验收报告。
B2 二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
B2.1集成准备阶段
B2.1.1需求调研与分析
a)准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系
统安全保障策略和建议。
b)基于客户需求和投入能力,开展需求分析,编制需求分析报告。
B2.2方案设计阶段
a)结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明
确系统架构、产品选型、产品功能、性能及配置等参数。
b)组织客户及相关技术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能
和安全性要求。
c)结合技术方案,对项目组及第三方配合人员进行业务和技能培训。
d)依据技术方案具体指标要求,制定系统测试计划。
B2.3建设实施阶段
B2.3.1实施集成
a)产品、设备安装调试过程中,应完整妥善记录相关信息。
b)项目建设施工完成后,需向客户提交完工报告。
c)项目实施完成后,相关过程记录及时归档,并统一保管。
B2.3.2 监督管理
建立客户满意度调查机制,并对调查结果进行分析。
B2.4安全保障阶段
B2.4.1系统测试
a)系统测试完成后,制定系统测试报告,并提交客户。
b)结合项目需要提出初验申请,组织客户及相关方对项目进行初验,并提交初验报告。
B2.4.2系统试运行
试运行结束后,项目组制定系统试运行报告,并提交客户。
B3一级要求
组织申报一级资质,除满足二级要求外,还应满足以下要求:
B3.1集成准备阶段
B3.1.1需求调研与分析
协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
B3.1.2签订服务协议
建立安全集成服务级别管理程序,签订服务级别协议。
B3.2方案设计阶段
a)结合项目需要,编制安全集成项目施工手册和作业指导书。
b)对于新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求。对
于系统改造,还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需
要考虑新旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等。
c)基于安全集成项目需求和进度计划,编制信息安全产品和工具定制开发计划。
B3.3建设实施阶段
B3.3.1实施集成
a)建立项目变更管理程序,对项目实施过程中方案、资源变更进行有效控制,完整记录变更
过程。
b)制定项目应急处置方案和恢复策略,对项目过程中的应急事件及时进行响应。
B3.3.2监督管理
定期对项目实施情况进行评审,采取适当措施,控制项目风险。
B3.4安全保障阶段
B3.4.1系统测试
基于建设系统的安全要求,制定系统安全性测试方案,模拟攻击场景,对系统安全性进行测试。
B3.4.2系统试运行
a)制定系统试运行计划,建立应急响应服务保障团队,及时应对突发事件。
b)综合分析系统运行状态,建立系统运行策略和安全指南,并对相关产品和设备设施进行配
置管理。
c)提供三个月以上的试运行记录和报告。
信息安全管理制度..
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
信息安全服务资质申请书(安全开发类一级)
编号: 国家信息安全测评 信息安全服务资质申请书 (安全开发类一级) 申请单位(公章): 填表日期: ?2011—中国信息安全测评中心 2011年1月1日
目录 填表须知 (3) 申请表 (4) 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位近三年资产运营情况 (7) 四、申请单位人员情况 (8) 五、申请单位技术能力基本情况 (8) 六、申请单位安全开发过程能力 (8) 6.1安全意识和安全教育 (8) 6.2启动安全开发过程 (8) 6.3产品风险评估和分析 (8) 6.4定义安全设计原则 (8) 6.5提供安全文档和安全配置工具 (8) 6.6进行安全编码 (8) 6.7进行安全测试 (8) 6.8安全最终评审与产品发布 (8) 6.9安全响应服务 (8) 七、申请单位的项目和组织过程能力 (8) 7.1实现质量保证的能力 (8) 7.2实现配置管理的能力 (8) 7.3管理项目风险的能力 (8) 7.4规划项目技术活动的能力 (8) 7.5监控技术活动的能力 (8) 7.6提供不断发展的知识和技能的能力 (8) 7.7与供应商协调的能力 (8) 八、申请单位安全服务项目汇总 (8) 九、申请单位获奖、资格授权情况 (8) 十、申请单位在安全开发服务方面的发展规划 (8) 十一、申请单位其他说明情况 (8) 十二、申请单位附加信息 (8) 申请单位声明 (8)
填表须知 用户在正式填写本申请书前,须认真阅读并理解以下容: 1.中国信息安全测评中心对下列对象进行测评: ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2.申请单位应仔细阅读《信息安全服务资质申请指南(安全开发类一级)》,并按照其要求如实、详细地填写本申请书所有项目。 3.申请单位应按照申请书原有格式进行填写。如填写容较多,可另加附页。 4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。 5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。 7.如有疑问,请与中国信息安全测评中心联系。 中国信息安全测评中心 地址:市海淀区上地西路8号院1号楼 邮编:100085 :(010)82341188或82341118 传真:82341100 网址:https://www.360docs.net/doc/e21530732.html, 电子:https://www.360docs.net/doc/e21530732.html,
企业信息安全规范
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
国家信息安全服务资质
国家信息安全服务资质 灾难恢复服务资质(一级)认证指南 (试行) ?版权2008—中国信息全安全测评中心 2008年5月1日
目录 目录................................................................................................................... I 一、认证依据 (1) 二、级别划分 (2) 三、认证要求 (3) (一)基本资格要求 (3) (二)基本能力要求 (3) 1、组织与管理要求 (3) 2、技术能力要求 (3) 3、人员构成与素质要求 (4) 4、设备、设施与环境要求 (4) 5、规模与资产要求 (4) 6、业绩要求 (4) (三)灾难恢复服务过程能力 (4) 四、申请流程 (6) (一)申请流程图 (6) (二)申请阶段 (6) (三)资格审查阶段 (6) (四)能力测评阶段 (6) 1、静态评估 (6) 2、现场审核 (6) 3、综合评定 (7) 4、认证审核 (7) (五)证书发放阶段 (7) 五、监督、维持和升级 (8) 六、处置 (9) 七、争议、投诉与申诉 (10) 八、认证企业档案 (11) 九、认证费用及周期 (12)
一、认证依据 信息安全灾难恢复服务资质评估是对信息系统灾难恢复服务提供者的资格状况、技术实力和实施灾难恢复服务过程能力等方面的具体衡量和评价。 信息安全灾难恢复服务资质,是依据《信息安全服务资质评估准则》、《信息安全灾难恢复服务能力评估准则》等相关要求,在对申请组织的基本资格、技术实力、信息安全灾难恢复服务能力以及工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息全安全测评中心给予的资质认证。
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
关于信息安全服务资质认证
一体化认证审核/评价记录表 自评价及评审表-QMS 中国网络安全审查技术与认证中心第 1 页共 11 页
填表说明: 1、规范化方式为组织为规范条款相关活动而采取的具体行动的方式,如果通过制度文件提出要求规范化方式为“文件规定”,如果没有制度文件采用工具进行约束规范 化方式为“工具实现”,组织可以同时采用两种方式。如果组织未针对标准要求建立任务规范要求,则选无,但需注意没有进行规范并不意味组织未执行相关活动,组织可能采用约定俗成的方式开展活动,这可能与组织的文档化粗细程度有关。确定了规范化方式要记录原因、文件名称或工具名称。 2、“规范关键要求”为组织文件关键要求或工具的规范方式,“资源要求”是执行该活动需要的资源,包括人、财、技术和信息。 3、“规范执行证据”要填写活动执行的证据,如果为文档证据,需要填写抽样的文档的名称和或编号,如果是工具实现,可通过记录或图片的方式。本文件可以附证据 附件,需要在证据内容一栏填写附件名称。资源保障证据类似。 4、“执行绩效评价”为活动设定的绩效目标与实际执行结果。 5、如果相关条款即存在不符合也存在观察项,评价一栏可以多选。 6、请在“证据内容”中体现审核范围的相关信息,例如物理环境审核应体现地址,抽样记录应体现涉及的业务和部门。 中国网络安全审查技术与认证中心第 2 页共 11 页
中国网络安全审查技术与认证中心第 3 页共 11 页
中国网络安全审查技术与认证中心第 4 页共 11 页
中国网络安全审查技术与认证中心第 5 页共 11 页
中国网络安全审查技术与认证中心第 6 页共 11 页
信息安全事件管理规范
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;
CCRC-ISV-C01:2018信息安全服务规范
文件编码:CCRC-ISV-C01:2018 信息安全服务规范 2018-05-25发布 2018-06-01实施 中国网络安全审查技术与认证中心发布
目录 1. 适用范围 (1) 2. 规范性引用文件 (1) 3. 术语与定义 (1) 3.1. 信息安全服务 (1) 3.2. 信息安全风险评估 (1) 3.3. 信息安全应急处理 (1) 3.4. 信息系统安全集成 (1) 3.5. 信息系统灾难备份与恢复 (1) 3.6. 软件安全开发 (2) 3.7. 信息系统安全运维 (2) 3.8. 网络安全审计 .................................................................................. 错误!未定义书签。 3.9. 工业控制系统安全 (2) 4. 通用评价要求 (2) 4.1. 三级评价要求 (2) 4.1.1. 法律地位要求 (2) 4.1.2. 财务资信要求 (2) 4.1.3. 办公场所要求 (2) 4.1.4. 人员能力要求 (3) 4.1.5. 业绩要求 (3) 4.1.6. 服务管理要求 (3) 4.1.7. 服务技术要求 (3) 4.2. 二级评价要求 (3) 4.2.1. 法律地位要求 (4) 4.2.2. 财务资信要求 (4) 4.2.3. 办公场所要求 (4) 4.2.4. 人员能力要求 (4) 4.2.5. 业绩要求 (4) 4.2.6. 服务管理要求 (4) 4.2.7. 技术工具要求 (5) 4.2.8. 服务技术要求 (5) 4.3. 一级评价要求 (5) 4.3.1. 法律地位要求 (5) 4.3.2. 财务资信要求 (5)
信息安全管理规范 通用版
信息安全管理规范及保密制度(通用版) ****年**月**日*****部制定 第一章总则 第1条为明确岗位职责,规范操作流程,确保公司信息资产的安全,特制订本制度。 第2条本制度适用于公司所有员工。 第二章电子邮件管理制度 第3条行政人力部必须在员工入职三天内,向员工分配企业邮箱的个人用户名和密码。 第4条公司邮箱账户限本人使用,禁止将本人账户转借或借用他人账户。员工必须及时修改初始密码,并且在使用中定期(最多3个月)修改邮箱的密码,以防他人利用。密码至少为8位,且需是字母、数字、特殊符号等至少两个的组合。因邮箱密码泄露造成的损失,由用户自行承担责任。 第5条员工的对外往来的公务邮件,原则上必须使用公司统一后缀的邮箱;对外往来的私人邮件则不允许使用公司统一后缀的邮箱。禁止非工作用途将邮箱账户公布在外部INTERNET网上。公务用邮件时,必须使用含有以下字样的个人签名: 声明:您有义务对本邮件内容进行保密,未经书面允许不可私自复制、转发、散布。 第6条收到危害社会安定的邮件,应及时删除,严禁转发或点击相应链接,若因此造成不良影响或损失的,由用户个人承担责任,管理员发现类似现象的有权封锁相
关邮件账户。发现邮件感染病毒,立刻将计算机断开公司网络,并使用相应软件进行杀毒。 第7条发送带有公司涉密信息的邮件,发件人必须先经部门领导同意, (若是绝密级别,需经公司领导同意),并将涉密信息加密处理后方可发送;否则视情节严重程度予以处理。 第8条员工离职时,根据需要交由部门专人监管一个月,后由行政人 力部注销。 第9条违反以上电子邮件管理规定,视情节轻重,最低经济处罚50元,并交行政人力部处理;情节特别严重的将移交国家司法机关,追究法律责任。 第三章数据安全管理制度 第10条为保证存储商业机密的计算机、文件、光盘等不会轻易泄露,公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的制度;同时储存涉及技术及商业机密的计算机均应进行CMOS加密及屏幕保护加密。此两项密码除使用者本人拥有外,应向本部门经理备份,不得泄密给其它部门或个人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。如有因密码泄露而导致严重后果者,其行为等同于故意泄密,公司将按照人力资源奖惩制度予以严肃查处。 第11条计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘以外的的硬盘分区。计算机系统发生故障时,应及时与管理员联系并采取保护数据安全的措施。 第12条计算机终端用户未做好备份前不得删除任何硬盘数据,对重要的数据应保存双份,存放在不同位置,并进行定期检查,防止数据丢失。
信息安全服务资质认证要求
信息安全服务资质 认证要求 ISCCC XXX XXX-2007 信息安全服务资质 认证要求 Certification Requirements for Qualification of Information Security Service Provider (备案送审稿) 中国信息安全认证中心 发布 ××××-××-××实施 ××××-××-××发布 备案号:××××—××××
目录 前言............................................................ 错误!未定义书签。 1 适用范围...................................................... 错误!未定义书签。 2 定义.......................................................... 错误!未定义书签。 信息安全服务............................................ 错误!未定义书签。 信息安全服务提供者 ...................................... 错误!未定义书签。 信息安全服务资质等级 .................................... 错误!未定义书签。 信息安全工程过程能力级别 ................................ 错误!未定义书签。 3 服务类型与资质评定原则 ........................................ 错误!未定义书签。 信息安全服务的类型 ...................................... 错误!未定义书签。 信息安全服务资质等级的评判原则 .......................... 错误!未定义书签。 4 认证具体要求.................................................. 错误!未定义书签。 基本资格................................................ 错误!未定义书签。 独立法人 .......................................... 错误!未定义书签。 法律要求 .......................................... 错误!未定义书签。 基本能力................................................ 错误!未定义书签。 资产与规模 ........................................ 错误!未定义书签。 人员素质与构成 .................................... 错误!未定义书签。 设备、设施与环境 .................................. 错误!未定义书签。 业绩 .............................................. 错误!未定义书签。 质量管理能力............................................ 错误!未定义书签。 体系和管理职责 .................................... 错误!未定义书签。 资源管理 .......................................... 错误!未定义书签。 项目过程管理 ...................................... 错误!未定义书签。 测量、分析和改进 .................................. 错误!未定义书签。 客户服务 .......................................... 错误!未定义书签。 技术能力更新 ...................................... 错误!未定义书签。 安全工程过程能力 ........................................ 错误!未定义书签。 风险过程 .......................................... 错误!未定义书签。 工程过程 .......................................... 错误!未定义书签。 保证过程 .......................................... 错误!未定义书签。 5 引用标准与参考文献 ............................................ 错误!未定义书签。 计算机信息系统安全保护等级划分准则 ...................... 错误!未定义书签。 系统安全工程能力成熟模型 ................................ 错误!未定义书签。 系统安全工程能力成熟模型—评定方法 ...................... 错误!未定义书签。 信息系统安全工程手册 .................................... 错误!未定义书签。 软件工程能力成熟模型 .................................... 错误!未定义书签。 6 附录——系统安全工程主要术语 .................................. 错误!未定义书签。 组织.................................................... 错误!未定义书签。 项目.................................................... 错误!未定义书签。 系统.................................................... 错误!未定义书签。 安全工程................................................ 错误!未定义书签。 安全工程生命期 .......................................... 错误!未定义书签。 工作产品................................................ 错误!未定义书签。 顾客.................................................... 错误!未定义书签。 过程.................................................... 错误!未定义书签。 过程能力................................................ 错误!未定义书签。 制度化................................................ 错误!未定义书签。 过程管理................................................ 错误!未定义书签。
信息安全管理规定建议
信息安全管理规定建议文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
信息安全管理制度 1.总则:为了切实有效的保证公司信息系统安全,提高信息系统为公司生产经营的服务能力,特制定信息系统相关管理制度,设定管理部门及专业管理人员对公司整体信息系统进行管理,以保证公司信息系统的正常运行。 2.范围 计算机网络系统由基础线路、计算机硬件设备、软件及各种终端设备的网络系统配置组成。 软件包括:PC操作系统、数据库及应用软件、有关专业的网络应用软件等。 终端机的网络系统配置包括终端机在网络上的名称,IP地址分配,用户登录名称、用户密码、U8设置、OA地址设置及Internet的配置等。 系统软件是指: 操作系统(如 WINDOWS XP等)软件。 平台软件是指:设计平台工具(如AUTOCAD等)、办公用软件(如OFFICE)等平台软件。 管理软件是指:生产和财务管理用软件(如用友U8软件)。 基础线路是指:联系整个信息系统的所有基础线路,包括公司内部的局域网线路及相关管路。 3.职责
公司设立信息管理部门,直接隶属于分管生产副总经理,设部门经理一名。信息管理部门为网络安全运行的归口部门,负责计算机网络系统的日常维护和管理。 负责系统软件的调研、采购、安装、升级、保管工作。 负责软件有效版本的管理。 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。信息管理人员负责计算机网络、办公自动化、生产经营各类应用软件的安全运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能科室进行数据备份和数据归档(如财务、生产、设计、采购、销售等)。 信息管理人员执行企业保密制度,严守企业商业机密。 员工执行计算机安全管理制度,遵守企业保密制度。 系统管理员的密码必须由信息管理部门相关人员掌握。 负责公司网络系统基础线路的实施及维护。 4.管理 网络系统维护 4.1.1 系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视,并填写《网络运行日志》〔附录A〕记录各类设备的运行状况及相关事件。 4.1.2 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在
网络数据和信息安全管理规范
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
国家信息安全测评 .doc
国家信息安全测评 信息安全服务资质申请指南(安全开发类二级) ?版权2017—中国信息安全测评中心 2017年10月
一、认定依据4 二、级别划分4 三、二级资质要求5 3.1 基本资格要求5 3.2 基本能力要求5 3.3质量管理能力要求 6 3.4安全开发过程能力要求 6 四、资质认定7 4.1认定流程图7 4.2申请阶段 8 4.3资格审查阶段 8 4.4能力测评阶段 8 4.4.1静态评估8 4.4.2现场审核9 4.4.3综合评定9 4.4.4资质审定9 4.5证书发放阶段 9 五、监督、维持和升级10 六、处置10 七、争议、投诉与申诉10 八、获证组织档案11 九、费用及周期11 十、联系方式12
中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。 中国信息安全测评中心的主要职能是: 1.对国内外信息安全产品和信息技术进行测评; 2.对国内信息系统和工程进行安全性评估; 3.对提供信息系统安全服务的组织和单位进行评估; 4.对信息安全专业人员的资质进行评估。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。 本指南适用于所有向CNITSEC申请信息安全服务资质(安全开发类二级)的境内外组织。
终端信息安全管理规定
XXXX信息中心 终端信息安全管理规定 信息中心 年月
XXXX信息中心 终端信息安全管理规定 注:XXXX代表单位名称,XX代表单位简称,xxxx代表系统名称,**代表部门名称。 第一章总则 第一条为规范XXXX信息中心(以下简称“中心”)员工在使用计算机终端过程中的行为,提高计算机终端的安全性,确保员工安全使用计算机终端,特制定本规定。 第二条本规定适用于在XX使用计算机终端的所有员工,包括内部终端和外部终端,信息中心及其他部门员工。 第三条本规定所指的计算机终端包括员工在XX网络中用于办公用途的台式计算机、便携式计算机。 第二章台式计算机安全管理 第一节硬件使用相关规定 第四条台式计算机由XX(单位简称)**(部门名称)部门统一配发,员工领到台式计算机后,应妥善保管台式计算机的主机、显示器以及附带的所有附件(包括各种线缆、 光盘、说明书等)。 第五条质保期内员工不得自行拆卸台式计算机,以免影响台式计算机厂商的售后服务。第六条未经许可,严禁将非XX配发的台式计算机接入XX局域网。 第七条未经员工所在部门批准,员工不得自行变更台式计算机的硬件配置。 第八条因工作岗位变动不再需要使用台式计算机时,应及时办理资产转移或清退手续。台式计算机做资产转移或清退时,应删除机内的敏感和重要数据。 第二节系统使用相关规定 第九条台式计算机的IP地址由XX统一分配,员工不得自行变更,否则会造成台式计算机无法正常连接网络。 第十条各部门应记录和管理IP地址相关的设备使用情况,对打印机、复印机等设备应及
时记录设备使用情况。 第十一条接收来自外部的软件或资料时,应首先进行防病毒处理。 第十二条禁止在没有采用安全保护机制的台式计算机上存储重要数据,在存储重要数据的台式计算机至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护 措施。 第十三条员工应设置台式计算机的开机密码,有关密码设置按照《帐号口令权限安全管理规定》执行。 第十四条员工离开自己台式计算机时,应将台式计算机屏幕锁定;员工完成应用系统的操作或离开工位时,应及时退出系统。 第十五条所有的台式计算机系统设备必须有一个台式计算机可读的设备属性标签,以便于查询和统计。 第十六条存放台式计算机系统设备的区域必须保持适当的工作温度和湿度,相关要求参见产品说明。 第十七条必须明确所有台式计算机的使用者,台式计算机上不得放盛有饮料等液体的容器。 第十八条根据信息安全管理员的通知进行所使用台式计算机的病毒防治产品的升级版本检查,是否升级完成。 第十九条定期对所使用台式计算机进行病毒的检测和清除。如果发现病毒,将检测和清除的结果报安全管理员进行备案。 第二十条对于外来的(例如从网络上下载)程序和文档,在运行或打开前必须进行计算机病毒的检测和清除。 第二十一条对于电子邮件附件所带的程序和文档在确认来自可信的发件人之前不得运行或打开,并且在运行或打开前必须进行计算机病毒的检测和清除。 第二十二条不得进行计算机病毒的制作和传播。 第三章便携式计算机安全管理 第二十三条便携式计算机的硬件使用、系统使用安全管理规定参照台式计算机相关条款执行。
信息安全服务资质认证实施规则
信息安全服务资质认证实施规则 CCRC-ISV-R01:2018 2018-05-25发布 2018-06-01实施 中国网络安全审查技术与认证中心
ISCCC-ISV-R01:2017 信息安全服务资质认证实施规则 目录 1 适用范围 (2) 2 认证依据 (2) 3 术语与定义 (2) 3.1 信息安全服务 (2) 3.2 自评估 ...................................................................................................... 错误!未定义书签。 3.3 现场审核 (2) 3.4 非现场审核 (2) 3.5 现场见证 .................................................................................................. 错误!未定义书签。 3.6 特殊审核 (2) 4 审核人员及审核组要求 (2) 5 认证信息公开 (3) 6 认证程序 (3) 6.1 初次认证 (3) 6.1.1 认证申请 (3) 6.1.2 申请评审 (3) 6.1.3 建立审核方案 (4) 6.1.4 确定审核组 (5) 6.1.5 非现场审核 (5) 6.1.6 现场审核 (6) 6.1.7 现场见证(必要时) (7) 6.1.8 认证决定 (8) 6.1.9 证书颁发 (8) 6.2 监督审核 (8) 6.2.1 频次和方式 (8) 6.2.2 信息收集 (8) 6.2.3 信息评审与审核方案维护 (9) 6.2.4 制定审核计划 (9) 6.2.5 审核实施 (10) 6.2.6 监督审核结论 (10) 6.2.7 认证决定 (10) 6.2.8 审核方案记录与变更 (10) 6.3 特殊审核 (10) 6.3.1 变更或扩大认证范围 (10) 6.3.2 审核方案记录与变更 (11) 7 信息通报 (11) 8 认证证书管理 (11) 8.1 证书有效期 (11) 8.2 暂停认证证书 (12) 8.3 撤销认证证书 (12) 8.4 证书变更 (12)
信息安全管理制度
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
中国信息安全认证中心-信息安全服务资质认证流程图
信息安全服务资质认证流程图
流程说明: 1、自评估 组织在中国信息安全认证中心网站下载《信息安全服务资质认证自评估表-管理》+对应的技术自评估表,并实施自评估。 2、认证申请 组织依据信息安全服务资质认证程序、认证实施规则中相关要求,确定申请服务资质类别,并填写《信息安全服务资质认证申请书》。 组织向中国信息安全认证中心提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。 3、申请材料评审 中心依据认证程序和相关标准要求,对申请组织提交的认证相关材料进行评审,并确定申报资质类别和级别,签订认证合同。 4、现场评审 认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。特别,对申请一级资质认证的组织,必要时选择申请组织的客户进行项目实施现场见证。 现场验证符合要求后,认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。 5、认证决定 认证决定委员会由3名以上(含3名)奇数认证决定人员组成,作出认证决定。 6、证书颁发 对于符合认证要求的申请组织,颁发认证证书,并予以公示。 7、证后监督 (1)证后监督频次和方式 对获证组织实施监督,每年度(不超过12个月)进行一次监督评审。 当获证组织发生重大变更、事故或客户投诉时,可增加现场监督评审的频次。 (2)证后监督内容 监督评审除包括初次评审的内容外,还应对上一次审核中提出的观察项所采取纠正/预防措施进行验证。 (3)证后监督结论
对于通过监督评审的获证组织,做出维持认证证书有效的决定;否则,暂停或撤销其认证证书。 (4)信息通报 为确保获证组织的安全服务能力持续有效,获证组织应建立信息通报渠道,及时报告以下信息: a)组织机构变更信息; b)安全事故、客户投诉信息; c)其他重要信息。