信息系统安全技术方案-中国信息安全测评中心

xxxxxx中华人民共和国国家标准信息系统安全服务资质评估准则Evaluation Criteria for Competence of Information SystemSecurity Service Provider（初稿）2000年4月，北京200X-XX-XX发布200X-XX-XX实施国家质量技术监督局发布本标准的目的是对提供信息安全服务的组织进行资质评估与认证，为国家有关主管部门的行政管理提供技术依据。

本标准的评估对象是提供信息安全服务的组织，包括信息安全工程的设计、施工及其相关的咨询和培训组织。

与本标准相关的其它评估标准、评估细则和评估方法包括：信息安全工程质量管理要求信息安全服务资质评估等级划分细则信息安全服务资质等级评估方法……本标准起草单位：中国国家信息安全测评认证中心，中国国家信息安全测评认证中心系统工程实验室，信息产业部电子第30研究所，四川大学信息安全研究所，中国国防科技信息中心，解放军总装备部，北京普方德信息技术有限公司，北京天融信公司。

本标准主要起草人：关义章、叶征、崔玉华、任卫红、唐海波、龙毅宏、刘炳华、满林松、周恩志等本标准于200X年X月X日起实施。

本标准委托中国国家信息安全测评认证中心负责解释。

1 适用范围 (1)2 定义 (1)2.1 信息安全服务 (1)2.2 信息安全服务提供者 (1)2.3 信息安全服务资质等级 (1)2.4 信息安全工程过程能力级别 (1)2.5 信息安全服务评估组织 (1)3 服务类型与资质评定原则 (1)3.1 信息安全服务的类型 (1)3.2 信息安全服务资质等级的评判原则 (1)4 提供信息安全服务的基本资格要求 (2)5 提供信息安全服务的基本能力要求 (2)5.1 组织与管理要求 (2)5.2 技术能力要求 (2)5.3 人员构成与素质要求 (3)5.4 设备、设施与环境要求 (3)5.5 规模与资产要求 (3)5.6 业绩要求 (3)5.7 质量保证要求 (4)5.8 培训要求 (4)6 信息安全工程过程及能力级别 (4)6.1 概述 (4)6.2 信息安全工程过程要求 (5)6.2.1 评估安全对系统的影响 (5)6.2.2 评估系统面临的安全威胁 (5)6.2.3 评估系统的安全弱点 (5)6.2.4 评估系统的安全风险 (5)6.2.5 确定系统的安全需求 (6)6.2.6 为系统提供必要的安全信息 (6)6.2.7 监测系统的安全状况 (6)6.2.8 管理系统的安全控制 (7)6.2.9 安全性协调 (7)6.2.10 检验并证实安全性 (7)6.2.11 建立并提供安全性保证证据 (7)6.3 信息安全工程过程能力级别 (8)6.3.1 基本执行级 (8)6.3.1.1 执行过程 (8)6.3.2 计划跟踪级 (8)6.3.2.1 制定过程执行计划 (8)6.3.2.2 规范化执行 (8)6.3.2.3 验证执行 (8)6.3.2.4 跟踪执行 (8)6.3.3 充分定义级 (8)6.3.3.1 定义标准过程 (8)6.3.3.2 执行已定义过程 (8)6.3.3.3 协调项目和组织活动 (9)6.3.4 定量控制级 (9)6.3.4.1 建立可测量的质量目标 (9)6.3.4.2 客观地管理执行 (9)6.3.5 连续改进级 (9)6.3.5.1 改进组织能力 (9)6.3.5.2 改进过程有效性 (9)7 信息安全服务资质等级划分 (9)7.1 概述 (9)7.2 信息安全服务资质等级划分 (9)7.3 不同资质等级可从事的安全服务 (11)8 引用标准与参考文献 (12)8.1 计算机信息系统安全保护等级划分准则 (12)8.2 系统工程能力成熟模型 (12)8.3 系统安全工程能力成熟模型 (12)8.4 系统安全工程能力成熟模型—评定方法 (12)8.5 信息系统安全工程手册 (12)8.6 软件工程能力成熟模型 (12)8.7 信息安全工程质量管理要求 (12)9 附录——系统安全工程主要术语 (13)9.1 组织 (13)9.2 项目 (13)9.3 系统 (13)9.4 安全工程 (13)9.5 安全工程生命期 (13)9.6 工作产品 (14)9.7 顾客 (14)9.8 过程 (14)9.9 过程能力 (14)9.10 制度化 (14)9.11 过程管理 (14)1适用范围本标准适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估；信息安全服务的需方对服务提供方的选择依据；作为国家主管部门对评估对象进行管理和检查的技术规范。

国家信息安全测评信息安全服务资质申请指南（云计算安全类一级）（试行）©版权2017—中国信息安全测评中心2017年9月1日目录目录2引言3一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 云计算安全服务过程能力要求 (7)3.4 项目和组织过程能力要求 (9)四、资质认定 (11)4.1认定流程图 (11)4.2申请阶段 (12)4.3资格审查阶段 (12)4.4能力测评阶段 (12)4.4.1静态评估 (12)4.4.2现场审核 (13)4.4.3综合评定 (13)4.4.4资质审定 (13)4.5证书发放阶段 (13)五、监督、维持和升级 (14)六、处置 (14)七、争议、投诉与申诉 (14)八、获证组织档案 (15)九、费用及周期 (15)十、联系方式 (16)引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作，对信息技术产品、信息系统和工程的安全性进行测试与评估。

对信息安全服务和人员的资质进行审核与评价。

中国信息安全测评中心的主要职能是：1.为信息技术安全性提供测评服务；2.信息安全漏洞分析；3.信息安全风险评估；4.信息技术产品、信息系统和工程安全测试与评估；5.信息安全服务和信息安全人员资质测评；6.信息安全技术咨询、工程监理与开发服务。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。

为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

信息安全测评中心信息安全测评中心是指对信息系统、网络设备、应用软件等进行安全性评估和测试的专业机构。

其主要任务是通过对系统漏洞、安全漏洞、风险隐患等进行评估，为企业和组织提供信息安全保障，保护其信息资产和业务运营安全。

信息安全测评中心的建立和运行对于保障国家安全、企业发展、个人隐私等具有重要意义。

首先，信息安全测评中心需要具备专业的技术团队和先进的技术设备。

专业的技术团队包括安全工程师、渗透测试工程师、安全分析师等，他们需要具备扎实的安全技术知识和丰富的实战经验，能够针对不同的系统和应用进行全面的安全评估和测试。

先进的技术设备包括安全测试工具、漏洞扫描器、安全监控设备等，这些设备能够帮助安全团队发现和分析系统中存在的安全隐患，为安全评估提供有力支持。

其次，信息安全测评中心需要建立完善的安全评估体系和标准规范。

安全评估体系包括安全评估流程、方法论、技术规范等，这些都是安全测评工作的指导和依据，能够确保评估工作的全面性和准确性。

标准规范包括安全标准、安全政策、安全控制要求等，这些标准规范是安全评估工作的基础，能够帮助企业和组织建立健全的信息安全管理体系，提高安全防护能力。

另外，信息安全测评中心需要与行业监管部门和权威机构保持密切合作。

行业监管部门和权威机构能够为信息安全测评中心提供政策法规、行业标准、最新安全威胁情报等信息，帮助信息安全测评中心及时了解安全领域的最新动态，指导安全评估工作。

同时，信息安全测评中心也需要积极参与行业安全论坛、安全会议等活动，与同行业安全专家进行交流和合作，共同推动信息安全事业的发展。

最后，信息安全测评中心需要不断提升自身的技术实力和服务水平。

安全技术是不断发展和演变的，信息安全测评中心需要及时跟进最新的安全技术和安全威胁，不断提升团队成员的技术能力和业务水平。

同时，信息安全测评中心还需要根据客户需求和市场变化不断优化和完善自身的服务体系，提供更加专业、高效的安全评估服务。

中国信息安全测评中心中国信息安全测评中心（China Information Security Evaluation Center，CISEC）是中国国家信息安全测评机构，负责对各类信息系统和产品进行安全测评和认证。

作为中国信息安全领域的权威机构，CISEC在信息安全技术、标准和管理方面发挥着重要作用。

本文将介绍CISEC的职能、作用以及其在信息安全领域的重要性。

CISEC的职能主要包括对信息系统和产品进行安全测评、认证和监督检查。

在信息系统方面，CISEC负责对政府部门、金融机构、电信运营商等重要单位的信息系统进行安全测评，评估其在保护重要信息资产、防范网络攻击、应对突发安全事件等方面的能力。

在产品方面，CISEC对各类信息安全产品进行认证，包括防火墙、入侵检测系统、安全管理软件等，以确保其符合国家和行业标准，具有良好的安全性能。

CISEC在信息安全领域的作用主要体现在以下几个方面，首先，CISEC对信息系统和产品进行安全测评和认证，有助于提高其安全性能和可信度，为用户和企业选择和使用安全可靠的信息系统和产品提供了参考依据。

其次，CISEC通过对信息系统的安全测评，有助于发现系统存在的安全隐患和漏洞，提出改进建议和技术要求，促进信息系统的安全加固和提升。

再次，CISEC通过对信息安全产品的认证，推动了信息安全产品的研发和创新，促进了信息安全产业的健康发展。

最后，CISEC作为国家信息安全测评机构，还参与了国家信息安全标准的制定和推广，提高了信息安全管理水平和标准化程度。

CISEC在信息安全领域的重要性不言而喻。

随着网络技术的飞速发展和信息化进程的加快，信息安全问题日益突出，网络攻击、数据泄露等安全事件频发，给国家安全和社会稳定带来了严重威胁。

而CISEC作为国家信息安全测评机构，承担着信息安全保障的重要责任，其职能和作用对于加强信息安全防护、保护国家重要信息基础设施、维护国家网络安全具有重要意义。

国家信息安全测评中心国家信息安全测评中心（National Information Security Evaluation Center，简称NISEC）是中国的一个重要机构，负责评估和提升国家信息系统的安全性和可信度。

成立于2002年，NISEC的目标是为了确保国家信息安全，维护网络与信息系统的良好运行和稳定。

NISEC的职责和作用1. 评估信息系统的安全性：NISEC负责对国家重要信息系统进行安全性评估和渗透测试，发现潜在的安全隐患和漏洞，并提供相关技术建议和安全改进措施。

2. 指导安全技术标准：NISEC致力于研究与制定信息安全评估和测试的标准规范，以及加强信息安全技术的研究与发展，提高国家信息安全水平。

3. 信息安全事件响应：NISEC负责协助国家相关部门应对信息安全事件，提供合理的解决方案和技术支持，确保信息系统和网络的安全运行。

4. 促进信息安全人才培养：NISEC为相关单位提供信息安全培训和教育，提高从业人员的工作能力和技术水平，推动信息安全人才的培养和发展。

NISEC的工作内容1. 安全评估与测试：NISEC通过制定方法和规范，对国家重要信息系统进行源代码审计、渗透测试、密码分析等手段，评估其安全性和可信度，发现潜在漏洞和隐患。

2. 安全技术标准研究：NISEC参与制定信息安全评估和测试的标准和规范，推动信息安全技术的发展和应用，提高信息系统的安全性。

3. 安全事件响应：NISEC成立了专业的安全事件响应小组，负责响应和处理重要信息系统和网络的安全事件，迅速采取措施修复漏洞，确保信息系统的正常运行。

4. 信息安全培训与教育：NISEC组织和承办信息安全培训和教育活动，提供相关课程和资料，培养和培训信息安全从业人员，不断提高他们的专业水平和技能。

NISEC的重要意义和影响1. 提升国家信息安全水平：NISEC通过评估和测试信息系统的安全性，为政府和企业提供有效的安全保障措施，提高了国家信息安全的整体水平。

中国信息安全测评中心注册的信息安全专业人员证书中国信息安全测评中心（CISP）是中国国家信息安全领域的权威机构，负责信息安全测评和认证工作。

其中，注册的信息安全专业人员证书是CISP颁发的一项重要资质，在信息安全行业具有很高的认可度和价值。

本文将对这一证书进行全面评估，并探讨其深度和广度。

一、信息安全专业人员证书的背景和意义1.1 什么是信息安全专业人员证书？信息安全专业人员证书是经过CISP认证的个人资质证书，表明持有人在信息安全领域具备相应的专业技能和知识。

这一证书分为不同级别，包括高级信息安全专业人员（CISP-SEC）、高级信息安全渗透测试工程师（CISP-PENTEST）等，每个级别都要求通过相应的考试和实践经验。

1.2 证书的意义和价值获得CISP注册的信息安全专业人员证书，具有以下重要意义和价值：（1）认可度高：CISP是由中国国家信息安全测评认证委员会颁发证书，具有权威性和广泛认可度，是信息安全从业人员的重要身份标识。

（2）市场竞争力强：在信息安全行业，拥有CISP证书可以为个人增加竞争力，提升职业发展能力，有助于求职、晋升和薪资增长等方面的优势。

（3）行业认可和信任：持有CISP证书的信息安全专业人员，被认为具备了较高水平的专业知识和技能，可以受到更多行业内同行的认可和信任。

二、深度探讨信息安全专业人员证书2.1 考试内容和难度CISP注册的信息安全专业人员证书考试内容广泛涵盖了信息安全领域的知识点，包括网络安全、系统安全、应用安全等多个方面。

考试难度适中，主要测试考生的理论知识和实践经验，要求掌握实际案例分析和问题解决能力。

2.2 培训和实践要求获得CISP证书需要一定的培训和实践经验。

CISP提供针对不同级别证书的培训课程，帮助考生系统学习和掌握知识点。

对于高级证书，还要求参与一定的实践项目，以证明实际操作能力。

2.3 持证人员的职业发展拥有CISP注册的信息安全专业人员证书，可以在职业发展方面获得更多选择和机会。