信息安全集成服务认证
信息安全集成服务资质认证实施规则
(2) 具备制定安全集成方案并能够按照该方案实施的能力;能够提供信息系统安全集成服务报
告、系统使用指南等文档;
(3) 具备对安全集成完成的系统进行检测和验证的能力;
(4) 熟悉国内外主流的信息技术产品、信息安全产品的功能及特性;
中国信息安全认证中心
第3页
ISCCC-SV-003:2011
信息安全集成服务资质认证实施规则
(4) 遵守国家现行法律、法规的规定;
4.2 基本管理能力要求
服务提供者应:
(1) 采取技术和管理措施确保客户信息的安全、可控,这些信息包括但不限于客户资料、集成
活动中产生的文档、最终安全集成报告等;
(2) 制定保密管理要求,明确保密岗位与职责,定期对服务人员进行保密教育与培训,并签订
《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责落实;
GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型 YD/T 1621-2007 网络与信息安全服务资质评价准则 YD/T 1799-2008 网络与信息安全应急处理服务资质评价方法 YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法 CNCA/CTS 0052-2007 信息安全服务资质认证技术规范 GB/T 5271.8-2001《信息技术词汇第8部分:安全》中的术语和定义适用于本标准。 3. 术语与定义
中国信息安全认证中心
第1页
ISCCC-SV-003:2011
信息安全集成服务资质认证实施规则
1. 适用范围 信息系统安全集成服务资质认证是依据国家认证认可法律法规及国际、国内相关技术标准和规
范,对信息系统安全集成服务提供者的资质进行评价的合格评定活动。 本规则提出了信息系统安全集成服务提供者(以下简称服务提供者)应具备的服务能力要求,
信息安全集成服务资质认证实施规则
信息安全集成服务资质认证实施规则1. 引言信息安全是现代社会的重要组成部分,对于企业和个人来说,信息安全的保护是至关重要的。
为了确保信息系统和网络的安全性,信息安全集成服务资质认证成为了企业以及服务提供商的重要选择。
本文将介绍信息安全集成服务资质认证的实施规则。
2. 定义和范围2.1 定义信息安全集成服务指的是基于企业或个人需求,以整合不同的信息安全产品和服务为主要目的,提供从方案设计、系统集成、方案实施、运维管理等一系列服务的综合性安全服务。
2.2 范围本文所述的信息安全集成服务资质认证实施规则适用于所有提供信息安全集成服务的服务提供商,并且适用于各类企事业单位在选择信息安全集成服务提供商时参考使用。
3. 认证要求3.1 企业资质要求为了提供高质量的信息安全集成服务,服务提供商需要满足一定的企业资质要求。
这些要求包括但不限于:企业注册资金、从业人员资质及证书、相关合规认证等。
3.2 信息安全产品和技术要求信息安全集成服务提供商需要具备一定的信息安全产品和技术实力。
他们需要熟悉并掌握各类信息安全产品的原理、功能和使用方法,并能够根据客户的需求提供合适的信息安全解决方案。
3.3 项目管理要求信息安全集成服务通常需要通过项目形式进行实施。
服务提供商需要具备一定的项目管理能力,能够合理规划项目进度、资源分配、风险管理等,以确保项目的顺利实施。
3.4 服务保障要求信息安全是一个持续性的工作,服务提供商应该具备一定的服务保障能力。
他们需要能够及时响应客户的需求,并提供及时有效的技术支持和维护服务。
4. 认证程序4.1 申请阶段服务提供商需要向认证机构提交认证申请,包括企业资质和相关文件。
4.2 初步评估认证机构会对申请材料进行初步评估,确认申请者是否满足认证要求。
4.3 现场审查认证机构将进行现场审查,对服务提供商的企业实际情况、技术实力、项目管理能力等进行评估。
4.4 文件审核认证机构将对服务提供商的相关文件和证书进行审核,以核实其真实性和有效性。
《信息系统安全集成服务资质认证评价要求》
《信息系统安全集成服务资质认证评价要求》编制说明一、工作简况《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。
该项目由中国信息安全认证中心承担。
截止到2011年底,国内外尚未形成安全集成服务相关标准。
ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的,其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容,以及安全工程的能力成熟度模型,未涉及认证评价的内容,所以该标准不能完全满足信息安全服务资质认证工作的需要。
鉴于现状,我们征集了信息安全业界专家的意见,专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。
结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准,将安全集成服务资质分为三级,其中一级最高,三级最低,最终制定一套符合我国信息安全服务现状的认证实施规则,依据该规则指导安全集成服务资质认证工作。
为了规范信息系统安全集成(以下简称安全集成)服务市场,提升安全集成服务质量,我中心于2012年初,依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。
该实施规则得到了申请方的一致认可。
该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上,经编写小组多次讨论和征求意见后制定,形成了目前的标准草案稿。
信息安全集成服务资质认证实施规则
信息安全集成服务资质认证实施规则信息安全是现代社会不可缺少的一个重要组成部分,随着网络技术的发展和普及,信息安全问题越来越引起人们的关注。
在这种背景下,信息安全集成服务逐渐成为了企业保障信息安全的一种重要手段。
为了保证这些服务的质量和可靠性,国家对信息安全集成服务进行了资质认证。
本文将从信息安全集成服务资质认证的意义、实施规则以及具体步骤等方面进行探讨。
一、信息安全集成服务资质认证的意义信息安全集成服务资质认证是指对从事信息安全集成服务的单位或者个人的从业能力、行为规范、德行等方面进行的检验和评估,以确定其能否为客户提供高质量的信息安全集成服务。
这种认证具有以下几个方面的意义:1.对信息安全服务的提供者进行规范化和统一管理信息安全集成服务资质认证可以对从事这类服务的单位或个人进行规范化和统一管理,促进信息安全服务产业的健康发展。
通过认证,能够实现对从业者的行为规范、德行、从业能力等方面的监督,并建立信息安全服务市场的信誉度。
2.提高信息安全服务的质量和可靠性信息安全集成服务资质认证可以提高信息安全服务的质量和可靠性,保障客户的信息安全。
认证过程中,会对服务提供商的技术能力、专业知识、服务质量等方面进行严格检查和评估,证明其在信息安全领域拥有一定的专业知识和实践能力。
3.对客户提供有力的保障通过对信息安全集成服务提供商的资质认证,客户可以更加可信地选择服务提供商。
认证过程能够全面评估服务提供商的实力和能力,为客户提供有力的保障,减少客户信息泄漏、网络攻击等安全隐患。
二、信息安全集成服务资质认证实施规则信息安全集成服务资质认证实施规则主要分为以下五个方面:1.认证适用范围认证的适用范围主要包括单位或者个人从事的信息安全集成服务内容,具体包括:安全策划、安全设计、安全项目管理、安全实施、安全运维等几个方面。
2.认证对象认证对象应为单位或个人,包括咨询公司、技术服务公司、安全技术公司、系统集成商等。
3.资质认证程序资质认证程序包括资格审查、资料提交、现场评审、审核、颁发证书等环节,其中现场评审包括认证初审和认证复审两个阶段。
信息系统安全集成服务舞质认证简介
}
前沿 rn F t o
编 徐 辑/ 航
●●■■■■■
系统安全集成服务 信资 耆驽~ 口 认证简介 息质一
◎ 文 /翟 亚 红
一
、
信息 系统 安全集成 服
需 要 ,也 是 计 算 机 信 息 系 统 集 成 服 体 可 参 见 附 图 。 务 向保 障信 息 安 全 方 向 的 进 一 步 发 展 , 是 计 算 机 信 息 系 统 集 成 服 务 新
厂— 蕊
否
— —
Байду номын сангаас
的要 求 ,即 基 本 条 件 、 管 理 能 力 、
技 术 能 力 、规 范 及 标 准 化 的 安 全 集
●
= 三 、要 兰 =三 墨! =
制定并实拖纠正措施
成 服 务 过 程 要 求 等 。标 准 还 明确 了 服 务 资 质 级 别 分 为 三 级 , 一 级 最
安 全 集 成 服 务 的 出 现 , 是 国 家 和 社 会 信 息 化 发 展 的 产 物 ,是 信 息 安 全 服 务 行 业 向 规 范 化 、 专 业 化 方 向 进 一 步 发 展 的 必 然 结 果 。安 全 集成 服 务 已经 成 为 服务 提 供 商 普 遍 提 供 的 重 要 服 务 项
统 安 全 工 程 的 方 法 和 理 论 , 将 安
全 单 元 、产 品部 件 进 行 集成 的行 为 或 活 动 。 安 全 集 成 包 括 在 新 建
险 评 估 、应 急 处 理 、安 全 集 成 等 多
种 服 务 ,联 合 国 家 工 信 部 、 国 家 认
2 完备性审查 .
中 国信 息 安 全 认 证 中 心 对 申请
安全集成服务资质认证申请条件
安全集成服务资质认证申请条件尊敬的评审委员会:您们好!感谢您在百忙之中审阅我们的申请书。
我们怀着无比激动的心情,诚挚地向贵单位提出申请,申请获得“安全集成服务资质认证”。
以下是我们公司的一些基本信息,供您参考:申请人信息:公司名称:_______________ 。
法人代表:_______________ 。
公司地址:_______________ 。
联系电话:_______________ 。
传真号码:_______________ 。
电子邮箱:_______________ 。
成立时间:_______________ 。
注册资本:_______________ 。
经营范围:_______________ 。
主要产品或服务:_______________ 。
企业规模:_______________ 。
营业执照注册号:_______________ 。
税务登记号:_______________ 。
组织机构代码:_______________ 。
公司官网:_______________ 。
法定代表人身份证号:_______________。
好啦,先给大家“交代”了我们公司的基本情况。
正式进入正题——我们为什么要申请这个资质认证,以及我们的优势是什么。
一、为什么申请安全集成服务资质认证?现在,社会上信息安全和系统集成的要求越来越高,作为一家致力于技术服务的公司,我们深知安全集成服务在整个行业中的重要性。
我们公司一直秉持着“安全第一”的原则,致力于为客户提供高效、稳定、可靠的集成服务。
随着市场需求的逐渐增大,我们公司为了进一步提升服务水平,拓展市场,增强竞争力,也为了能更好地服务于广大客户,我们决定申请“安全集成服务资质认证”。
听起来是不是有点“官方”?其实我们最初的想法很简单——就是想让客户更放心!毕竟,在如今这个信息化、数字化飞速发展的时代,大家都希望自己的信息能够得到最大的保护,而这个认证,正是一个可以证明我们技术实力和服务能力的“金字招牌”。
cisaw安全集成证书考试内容
CISAW安全集成证书考试是由中国信息安全测评中心主办的一项认证考试,旨在评估考生在信息安全集成领域的专业知识和技能水平。
考试内容主要包括以下几个方面:
1. 信息安全基础知识:包括信息安全的基本概念、原则、威胁和风险等。
2. 信息安全技术:包括网络安全、系统安全、数据安全、应用安全等方面的技术。
3. 信息安全管理:包括信息安全策略、安全组织、安全培训、安全评估等方面的管理。
4. 信息安全法规和标准:包括《中华人民共和国网络安全法》、《信息安全技术个人信息安全规范》等相关法规和标准。
5. 信息安全案例分析:考察考生对实际信息安全事件的分析和解决问题的能力。
考试分为两个阶段,分别是笔试和面试。
笔试主要考察考生的专业知识和技能,面试则主要考察考生的综合素质和实践经验。
考试合格后,考生可以获得CISA安全集成证书,并有资格从事信息安全集成相关工作。
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序 号
要点
条款
需提供证明材料
自评估 结论
证明材料清单
符
合
不 符 合
1.
技术服务 要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图 中应包括每个阶段对应的职责、 输入 输出等。
2.
制定信息系统安全集成服务规范并按 照规范实施。
14.
仅二级/一级要求:结合技术方案,对 项目组及第三方配合人员进行业务和 技能培训。
项目方案设计阶段控制程序文件, 内 容应覆盖审核条款要求。提供业务和 技能的相关培训记录。
15.
仅一级要求:结合项目需要,编制安全 集成项目施工手册和作业指导书。
项目方案设计阶段控制程序文件, 内 容应覆盖审核条款的要求。提供安全 集成项目施工手册和作业指导书。
项目安全保障阶段控制程序文件, 内 容应覆盖审核条款的要求。提供项目 终验申请、项目终验报告。
40.
根据合同约定,配合组织项目验收,出 具项目验收报告
41.
安全保障-运行维护
根据合同约定,向客户提供维保服务, 并形成维保记录。
项目安全保障阶段控制程序文件, 内 容应覆盖审核条款的要求。提供系统 维护记录。
项目方案设计阶段控制程序文件,包
括明确工作内容、流程、文档模板, 内容应覆盖审核条款的要求。项目技
11.
结合技术方案和实施方案,与客户进行 沟通,获得客户认可。
丿术丿J案、实施丿J案、/沟通t记录。
12.
仅二级/一级要求:结合需求分析和客 户在保障系统安全方面的投入能力,提 出系统建设安全设计说明书,明确系统 架构、产品选型、产品功能、性能及配 置等参数。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全集成服务资质专业评价要求
信息系统安全集成服务资质专业评价要求针对集成准备、方案设计、建设实施、安全保障四个
过程进行,具体分级要求如下:
B1 三级要求
B1.1 集成准备阶段
B1.1.1 需求调研与分析 a) 调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求。
b) 基于系统建设需求,提出产品选型方案和建设预算。
c) 结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录。
B1.1.2 签订服务协议 a) 与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
b) 与客户、供应商等相关方签订保密协议,明确保密职责和违约责任。
B1.2 方案设计阶段 a) 根据系统建设安全需求,编制安全集成技术方案。
b) 依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面
的要求。
c) 结合技术方案和实施方案,与客户进行沟通,获得客户认可。
B1.3 建设实施阶段
B1.3.1 实施集成 a) 依据已确认的安全集成项目技术方案和实施方
案,按照时间和质量要求进行系统建设。
b) 项目实施人员按时提交施工记录和工程日志,及时向项目经理汇
报项目进度。
c) 建立安全集成项目协调机制,明确责任人,畅通信息沟通渠道,
保障各相关方在项目实施
过程中能够有效充分的沟通。
B1.4 安全保障阶段
B1.4.1 系统测试 a) 依据项目技术方案和测试计划,对系统进行联
调和系统测试,完整记录测试过程相关信息。
b) 对于新建系统重点测试系统的功能、性能和安全性等;对于系统
改造或升级项目,还需进
行兼容性测试。
B1.4.2 系统试运行 a) 为测试系统运行的可靠性和稳定性,系统初
验后需进行试运行,并记录系统运行状况,试
运行周期至少一个月。
b) 基于系统运行相关记录,及时对系统设备进行调整和维护。
ISCCC-SV-001:2015
B1.4.3 验收 a) 根据合同约定,向客户提交完整的项目资料及交付
物,并提出终验申请。
b) 根据合同约定,配合组织项目验收,出具项目验收报告。
B2 二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
B2.1 集成准备阶段
B2.1.1 需求调研与分析 a) 准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系
统安全保障策略和建议。
b) 基于客户需求和投入能力,开展需求分析,编制需求分析报告。
B2.2 方案设计阶段 a) 结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明
确系统架构、产品选型、产品功能、性能及配置等参数。
b) 组织客户及相关技术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能
和安全性要求。
c) 结合技术方案,对项目组及第三方配合人员进行业务和技能培训。
d) 依据技术方案具体指标要求,制定系统测试计划。
B2.3 建设实施阶段
B2.3.1 实施集成 a) 产品、设备安装调试过程中,应完整妥善记录相关信息。
b) 项目建设施工完成后,需向客户提交完工报告。
c) 项目实施完成后,相关过程记录及时归档,并统一保管。
B2.3.2 监督管理建立客户满意度调查机制,并对调查结果进行分析。
B2.4 安全保障阶段
B2.4.1 系统测试 a) 系统测试完成后,制定系统测试报告,并提交客户。
b) 结合项目需要提出初验申请,组织客户及相关方对项目进行初验,并提交初验报告。
B2.4.2 系统试运行试运行结束后,项目组制定系统试运行报告,并提交客户。
4.1. 三级评价要求
4.1.1. 法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
4.1.2. 财务资信要求
近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事
务所出具的近 3 年财务审计报告。
4.1.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.1.4. 人员素质与资质要求
a) 组织负责人拥有2年以上信息技术领域管理经历。
b) 技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信
息安全技术工作2年以上。
ISCCC-SV-001:2015
c) 财务负责人具有财务系列初级以上职称。
d) 从事信息安全服务人员10名以上。
e) 拥有信息安全专业认证(与申报类别一致)人员2名以上。
f) 拥有项目管理资格证书人员1名以上。
4.1.
5. 业绩要求
a) 从事信息安全服务(与申报类别一致)1年以上。
b) 近3年内签订并完成至少1个信息安全服务(与申报类别一致)
项目。
4.1.6. 服务管理要求
a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况
良好。
b) 建立人员管理程序和能力考核指标;制定业务和技能培训计划,
定期对相关人员开展培训
和考核。
c) 建立文档控制程序,明确文档管理职责,任命管理人员,确保项
目文档资料妥善保管。
d) 建立项目管理制度,并按照制度执行。
e) 提供资源,确保信息安全服务项目的实施。
4.1.7. 服务合同要求
a) 了解客户及所处的行业对信息安全服务的特定要求。
b) 确定信息安全服务范围。
c) 应签订信息安全服务合同或协议。
4.1.8. 服务安全要求
a) 满足法律法规对服务安全的要求。
b) 满足与客户签订服务合同中的安全要求。
c) 制定保密管理制度,明确岗位保密责任。
d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以
保护,并确保服务方人员
了解客户的相关要求。
e) 与相关人员签订保密协议,并进行保密教育。
f) 确保其供应商满足上述服务安全要求。
4.1.9. 服务技术要求
a) 建立信息安全服务(与申报类别一致)流程。
b) 制定信息安全服务(与申报类别一致)规范并按照规范实施。
4.2. 二级评价要求
ISCCC-SV-001:2015 4.2.1. 法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关
系明确。
4.2.2. 财务资信要求
近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和
国境内登记注册的会计师事
务所出具的近 3 年财务审计报告。
4.2.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.2.4. 人员素质与资质要求
a) 组织负责人拥有3年以上信息技术领域管理经历。
b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事
信息安全技术工作5年以上。
c) 财务负责人具有财务系列中级以上职称。
d) 从事信息安全服务人员30名以上。
e) 拥有信息安全专业认证(与申报类别一致)人员6名以上。
f) 拥有项目管理资格证书人员2名以上。
4.2.
5. 技术工具要求
a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版
本控制。
4.2.6. 业绩要求
a) 从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)
三级资质1年以上。
b) 近三年内签订并完成至少6个信息安全服务项目(与申报类别一
致)。
4.2.7. 服务管理要求
a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况
良好。
b) 建立项目管理制度,并按照制度执行。
c) 参照国际或国内标准,建立业务范围覆盖信息安全服务的质量管
理体系,并有效运行。
d) 参照国际或国家标准,建立业务范围覆盖信息安全服务的信息安
全管理体系或信息技术服
务管理体系,并有效运行。
e) 提供资源,确保信息安全服务项目的实施。
ISCCC-SV-001:2015
4.2.8. 服务合同要求
a) 了解客户及所处的行业对信息安全服务的特定要求。
b) 确定信息安全服务范围。
c) 应签订信息安全服务合同或协议。
d) 合同应明确信息安全服务的行为规范。
4.2.9. 服务安全要求
a) 满足法律法规对服务安全的要求。
b) 满足与客户签订服务合同中的安全要求。
c) 制定保密管理制度,明确岗位保密责任。
d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员
了解客户的相关要求。
e) 与相关人员签订保密协议,并进行保密教育。
f) 确保其供应商满足上述服务安全要求。
4.2.10. 服务技术要求
a) 建立信息安全服务(与申报类别一致)流程。
b) 制定信息安全服务(与申报类别一致)规范并按照规范实施。