中国信息安全测评中心授权培训机构管理办法

xxxxxx中华人民共和国国家标准信息系统安全服务资质评估准则Evaluation Criteria for Competence of Information SystemSecurity Service Provider（初稿）2000年4月，北京200X-XX-XX发布200X-XX-XX实施国家质量技术监督局发布本标准的目的是对提供信息安全服务的组织进行资质评估与认证，为国家有关主管部门的行政管理提供技术依据。

本标准的评估对象是提供信息安全服务的组织，包括信息安全工程的设计、施工及其相关的咨询和培训组织。

与本标准相关的其它评估标准、评估细则和评估方法包括：信息安全工程质量管理要求信息安全服务资质评估等级划分细则信息安全服务资质等级评估方法……本标准起草单位：中国国家信息安全测评认证中心，中国国家信息安全测评认证中心系统工程实验室，信息产业部电子第30研究所，四川大学信息安全研究所，中国国防科技信息中心，解放军总装备部，北京普方德信息技术有限公司，北京天融信公司。

本标准主要起草人：关义章、叶征、崔玉华、任卫红、唐海波、龙毅宏、刘炳华、满林松、周恩志等本标准于200X年X月X日起实施。

本标准委托中国国家信息安全测评认证中心负责解释。

1 适用范围 (1)2 定义 (1)2.1 信息安全服务 (1)2.2 信息安全服务提供者 (1)2.3 信息安全服务资质等级 (1)2.4 信息安全工程过程能力级别 (1)2.5 信息安全服务评估组织 (1)3 服务类型与资质评定原则 (1)3.1 信息安全服务的类型 (1)3.2 信息安全服务资质等级的评判原则 (1)4 提供信息安全服务的基本资格要求 (2)5 提供信息安全服务的基本能力要求 (2)5.1 组织与管理要求 (2)5.2 技术能力要求 (2)5.3 人员构成与素质要求 (3)5.4 设备、设施与环境要求 (3)5.5 规模与资产要求 (3)5.6 业绩要求 (3)5.7 质量保证要求 (4)5.8 培训要求 (4)6 信息安全工程过程及能力级别 (4)6.1 概述 (4)6.2 信息安全工程过程要求 (5)6.2.1 评估安全对系统的影响 (5)6.2.2 评估系统面临的安全威胁 (5)6.2.3 评估系统的安全弱点 (5)6.2.4 评估系统的安全风险 (5)6.2.5 确定系统的安全需求 (6)6.2.6 为系统提供必要的安全信息 (6)6.2.7 监测系统的安全状况 (6)6.2.8 管理系统的安全控制 (7)6.2.9 安全性协调 (7)6.2.10 检验并证实安全性 (7)6.2.11 建立并提供安全性保证证据 (7)6.3 信息安全工程过程能力级别 (8)6.3.1 基本执行级 (8)6.3.1.1 执行过程 (8)6.3.2 计划跟踪级 (8)6.3.2.1 制定过程执行计划 (8)6.3.2.2 规范化执行 (8)6.3.2.3 验证执行 (8)6.3.2.4 跟踪执行 (8)6.3.3 充分定义级 (8)6.3.3.1 定义标准过程 (8)6.3.3.2 执行已定义过程 (8)6.3.3.3 协调项目和组织活动 (9)6.3.4 定量控制级 (9)6.3.4.1 建立可测量的质量目标 (9)6.3.4.2 客观地管理执行 (9)6.3.5 连续改进级 (9)6.3.5.1 改进组织能力 (9)6.3.5.2 改进过程有效性 (9)7 信息安全服务资质等级划分 (9)7.1 概述 (9)7.2 信息安全服务资质等级划分 (9)7.3 不同资质等级可从事的安全服务 (11)8 引用标准与参考文献 (12)8.1 计算机信息系统安全保护等级划分准则 (12)8.2 系统工程能力成熟模型 (12)8.3 系统安全工程能力成熟模型 (12)8.4 系统安全工程能力成熟模型—评定方法 (12)8.5 信息系统安全工程手册 (12)8.6 软件工程能力成熟模型 (12)8.7 信息安全工程质量管理要求 (12)9 附录——系统安全工程主要术语 (13)9.1 组织 (13)9.2 项目 (13)9.3 系统 (13)9.4 安全工程 (13)9.5 安全工程生命期 (13)9.6 工作产品 (14)9.7 顾客 (14)9.8 过程 (14)9.9 过程能力 (14)9.10 制度化 (14)9.11 过程管理 (14)1适用范围本标准适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估；信息安全服务的需方对服务提供方的选择依据；作为国家主管部门对评估对象进行管理和检查的技术规范。

国家信息安全人员注册授权培训机构（一级）申请指南（试用版）版本:2。

0中国信息安全产品测评认证中心二00七年九月适用范围本指南适用于向中国信息安全产品测评认证中心(CHINA INFORMATION SECURITY CERTIFICATION CENTER，以下简称：CNITSEC）提出授权培训机构(一级）申请的单位。

CNITSEC授权培训机构(一级)的授权培训范围为：注册信息安全员（CISM）的注册资质培训及双方签订的授权培训协议中所签订的其它相关定制培训（不包括注册信息安全专业人员（CISP）注册资质培训).第 1 条评估依据授权培训资质能力评估，是对授权培训机构基本资质、培训能力和培训服务能力等方面的具体衡量和评价.授权培训资质等级评估是根据CNITSEC《授权培训机构评估准则》,在申请授权培训机构的基本资质、组织与管理、培训场地、设备设施及环境、培训人员、培训经验、培训体系管理以及培训推广能力等方面进行单项评估评分的基础上，采用一定的权值综合考虑后确定，并由CNITSEC授予相应的培训级别。

第 2 条授权要求申请授权培训机构(一级）需要符合以下几项要求：一、申请单位基本资质1、独立的法人机构或法人单位；2、分支机构或全资子公司需有上级单位授权.二、组织与管理1、必须拥有健全的信息安全培训组织结构和管理体系,为持续的信息安全培训提供保证；2、具备完善的知识产权保护措施，并遵守有关法律法规。

三、规模与资产1、具有足够的授权资金和充足的流动资金：●注册资金不少于50万;●流动资金不会少于10万；●授权培训专用资金不少于5万.2、建立与所承担的培训规模相适应的培训体系；3、具有能够满足从事信息安全培训的相关人员。

四、场地、设备及环境要求1、具有固定的办公场地，良好的办公设备和环境：●办公场地不小于20m²（包括财务室）；●有培训专用计算机、电话、传真机、复印机、扫描仪和打印机等设备。

中国信息安全测评中心授权培训机构管理办法中国信息安全测评中心二〇二〇年一月第一条中国信息安全测评中心（CNITSEC）为授权委托方，授权培训机构或临时授权培训机构为CNITSEC授权的培训机构或临时培训机构。

第二条 CNITSEC、授权或临时授权培训机构关系如下：1、CNITSEC对授权培训机构具有监督管理的权利；2、CNITSEC对授权培训机构进行监督、指导和管理。

CNITSEC统一受理对授权培训机构的投诉，根据调查结果出具处理意见；3、授权或临时授权培训机构应严格遵守相关管理规定，开展双方协议规定的培训业务，按时向CNITSEC缴纳管理费。

第三条授权或临时授权培训机构应与CNITSEC签订授权协议书，明确双方的责任与义务，开展培训业务。

第四条授权或临时授权培训机构可以以“中国信息安全测评中心授权培训机构” 或“中国信息安全测评中心临时授权培训机构”的名义，根据授权内容从事培训业务。

第五条授权或临时授权培训机构必须遵守如下管理规定：1、按CNITSEC统一规定的教材、教学大纲开展培训业务，并执行CNITSEC制定的统一培训要求；2、培训业务主要负责人的变更应报CNITSEC备案；3、定期组织自有讲师培训和教学研讨活动，不断提升讲师队伍水平；4、执行授权运营方统一规定的培训收费标准；5、举办市场活动和会员活动，并将活动记录、新闻稿发送至CNITSEC；6、不得以CNITSEC的名义开展任何超越授权的业务；7、不得以授权或临时授权培训机构的名义开展任何与授权培训相冲突的业务。

第六条CNITSEC有权依据本办法及《授权培训机构评估准则》的具体要求对授权或临时授权培训机构进行监督、检查。

第七条授权或临时授权培训机构如违反相关规定，CNITSEC将对其进行处罚，包括并不限于以下条款：1、警告通报有下列行为，CNITSEC将责成其进行警告通报并限期整改：（1）不按规定向受培训对象说明授权范围；（2）不按规定提交有关文档；（3）不按统一规定的教材、教学大纲及学时安排授课；（4）对培训业务进行误导宣传。

中国信息安全测评中心中国信息安全测评中心（China Information Security Evaluation Center，CISEC）是中国国家信息安全测评机构，负责对各类信息系统和产品进行安全测评和认证。

作为中国信息安全领域的权威机构，CISEC在信息安全技术、标准和管理方面发挥着重要作用。

本文将介绍CISEC的职能、作用以及其在信息安全领域的重要性。

CISEC的职能主要包括对信息系统和产品进行安全测评、认证和监督检查。

在信息系统方面，CISEC负责对政府部门、金融机构、电信运营商等重要单位的信息系统进行安全测评，评估其在保护重要信息资产、防范网络攻击、应对突发安全事件等方面的能力。

在产品方面，CISEC对各类信息安全产品进行认证，包括防火墙、入侵检测系统、安全管理软件等，以确保其符合国家和行业标准，具有良好的安全性能。

CISEC在信息安全领域的作用主要体现在以下几个方面，首先，CISEC对信息系统和产品进行安全测评和认证，有助于提高其安全性能和可信度，为用户和企业选择和使用安全可靠的信息系统和产品提供了参考依据。

其次，CISEC通过对信息系统的安全测评，有助于发现系统存在的安全隐患和漏洞，提出改进建议和技术要求，促进信息系统的安全加固和提升。

再次，CISEC通过对信息安全产品的认证，推动了信息安全产品的研发和创新，促进了信息安全产业的健康发展。

最后，CISEC作为国家信息安全测评机构，还参与了国家信息安全标准的制定和推广，提高了信息安全管理水平和标准化程度。

CISEC在信息安全领域的重要性不言而喻。

随着网络技术的飞速发展和信息化进程的加快，信息安全问题日益突出，网络攻击、数据泄露等安全事件频发，给国家安全和社会稳定带来了严重威胁。

而CISEC作为国家信息安全测评机构，承担着信息安全保障的重要责任，其职能和作用对于加强信息安全防护、保护国家重要信息基础设施、维护国家网络安全具有重要意义。

国家信息安全测评中心国家信息安全测评中心（National Information Security Evaluation Center，简称NISEC）是中国的一个重要机构，负责评估和提升国家信息系统的安全性和可信度。

成立于2002年，NISEC的目标是为了确保国家信息安全，维护网络与信息系统的良好运行和稳定。

NISEC的职责和作用1. 评估信息系统的安全性：NISEC负责对国家重要信息系统进行安全性评估和渗透测试，发现潜在的安全隐患和漏洞，并提供相关技术建议和安全改进措施。

2. 指导安全技术标准：NISEC致力于研究与制定信息安全评估和测试的标准规范，以及加强信息安全技术的研究与发展，提高国家信息安全水平。

3. 信息安全事件响应：NISEC负责协助国家相关部门应对信息安全事件，提供合理的解决方案和技术支持，确保信息系统和网络的安全运行。

4. 促进信息安全人才培养：NISEC为相关单位提供信息安全培训和教育，提高从业人员的工作能力和技术水平，推动信息安全人才的培养和发展。

NISEC的工作内容1. 安全评估与测试：NISEC通过制定方法和规范，对国家重要信息系统进行源代码审计、渗透测试、密码分析等手段，评估其安全性和可信度，发现潜在漏洞和隐患。

2. 安全技术标准研究：NISEC参与制定信息安全评估和测试的标准和规范，推动信息安全技术的发展和应用，提高信息系统的安全性。

3. 安全事件响应：NISEC成立了专业的安全事件响应小组，负责响应和处理重要信息系统和网络的安全事件，迅速采取措施修复漏洞，确保信息系统的正常运行。

4. 信息安全培训与教育：NISEC组织和承办信息安全培训和教育活动，提供相关课程和资料，培养和培训信息安全从业人员，不断提高他们的专业水平和技能。

NISEC的重要意义和影响1. 提升国家信息安全水平：NISEC通过评估和测试信息系统的安全性，为政府和企业提供有效的安全保障措施，提高了国家信息安全的整体水平。

中国信息安全测评中心授权培训机构申请书申请单位（公章）：填表日期：©版权2020—中国信息安全测评中心2020年2月中国信息安全测评中心(CNITSEC)授权培训机构资质申请书目录一、申请单位基本情况 (5)二、申请单位概况 (6)三、申请单位资产运营情况 (7)四、申请单位人员情况 (9)五、培训场所及设备设施情况 (14)六、质量保证 (16)七、信息安全及相关培训情况 (18)八、信息安全培训宣传推广 (19)填表须知用户在正式填写本申请书前，须认真阅读并理解以下内容：授权培训机构申请单位（以下简称：申请单位）在正式填写本申请书前，须认真阅读以下内容：1.申请单位应仔细阅读《授权培训机构申请指南》及《授权培训机构管理办法》，并按要求认真、如实、详细地填写本申请书。

2.申请单位应按照申请书的原有格式进行填写，所有填报项目(含表格)页面不足时，可另加附页。

3.填写本表时要求字迹清晰，请用签字笔正楷填写或计算机输入。

4.提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。

5.申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档（电子文档刻盘与纸板申请书一起邮寄）。

6.本申请书要求提供的附件及证明材料须单独装订成册并编目。

7.如有疑问，请与中国信息安全测评中心联系。

中国信息安全测评中心地址：北京市海淀区上地西路8号院1号楼邮编：100085电话：（010）82341571或82341576传真：82341100网址：电子邮箱：zhangxy@申请表中国信息安全测评中心：我单位正式提出授权培训资质申请，并保证将按照授权培训资质的要求，提供所需的所有真实信息，并配合运营中心活动。

1．申请服务类型□ A类（不具有外资背景）□ B类（具有外资背景）2．申请类型□初次申请□再次申请，第次申请注：以上各项均为单选。

申请单位（盖章）：申请日期：年月日一、申请单位基本情况申请单位全称（中文）：申请单位全称（英文）：注册地址：办公地址：邮政编码：法定代表人姓名：职务：联系人姓名：职务：电子邮箱：联系方式：电话（）传真（）手机（）工商登记注册号或统一社会信用代码（附申请单位法人营业执照副本或上级主管部门批准成立文件复印件）：法人机构代码（附法人机构代码证副本复印件）：其他重要的法律文件：二、申请单位概况本项包括以下要求：1.描述单位基本情况（包括单位规模大小、隶属关系、发展历史、业务结构、培训经历、业绩等）；2.给出总体的组织结构图（明确从事培训业务部门与其它各部门的关系）；三、申请单位资产运营情况本项包括以下要求：1.单位近三年资产运营情况（加盖公章）（表3）；2.近三年审计报告与信用等级证明材料（审计报告、审计机构提供的资产状况良好的证明材料、加盖公章的资产负债表和损益表）；3.财务亏损或其它异常状况发生说明情况，并提供相应的证明材料；4.银行出具的资信证明。

108/ 2018.06能信安推出移动应用安全解决方案5月24日，能信安科技2018网络安全合作伙伴峰会在北京市中关村软件园国际会议中心成功举行。

峰会旨在进一步推动移动应用安全技术、产品与服务在各行业领域的落地，加强能信安科技与广大客户、渠道的交流与合作。

会上，能信安科技推出全新移动应用安全产品和解决方案，从应用层面解决移动互联网的诸多安全问题。

会上还发布了新一代智能动态WEB应用防火墙（NI-WAF），可为WEB应用系统在复杂安全环境下提供高强度安全保障，有效保护核心资产安全。

科达将国密技术引入视频会议领域5月10日，科达公司正式发布国密视频会议产品。

据悉，该产品采用国密算法，用S M1、S M2、SM3、SM4替换RSA、AES，对视频通信内容进行端到端加密，摆脱了加密算法受制于人的局面，可有效应对网络监听。

目前，科达国密视频会议已通过国家密码管理局认证，可提供多款终端和平台产品，为涉及信息安全的政府机构和重点企事业用户提供自主可控的视频通信内容加密手段。

此外，科达量子加密视频会议还可提供更高等级的安全防范能力。

中国信息安全测评中心等4家机构成为国家首批工控安全防护能力评估机构5月9日，全国工控安全防护能力评估工作组组织专家对申报首批工业控制系统信息安全防护能力评估机构进行评审。

经专家组从机构背景、人员技术实力、技术工具、业绩项目、质量管理体系等方面进行审核评估，推荐中国信息安全测评中心、国家工业信息安全发展研究中心、工业和信息化部电子第五研究所、中国电子技术标准化研究院4家机构成为首批工业控制系统信息安全防护能力评估机构。

20余家单位签署“自主可控安全共测倡议书”5月21日，在中国电子信息产业发展研究院和永信至诚承办的“网络安全军民融合发展系列论坛——网络安全自主可控发展与推进研讨会”上，中国工程院倪光南院士宣读了《自主可控安全共测倡议书》，20余家自主可控厂商、技术企业和团队响应并共同签署了该倡议书。