软件安全开发服务资质认证自表
CCRC-ISV-C01:2018信息安全服务规范
文件编码:CCRC-ISV-C01:2018信息安全服务规范2018-05-25发布 2018-06-01实施中国网络安全审查技术与认证中心发布目录1. 适用范围 (1)2. 规范性引用文件 (1)3. 术语与定义 (1)3.1. 信息安全服务 (1)3.2. 信息安全风险评估 (1)3.3. 信息安全应急处理 (1)3.4. 信息系统安全集成 (1)3.5. 信息系统灾难备份与恢复 (1)3.6. 软件安全开发 (2)3.7. 信息系统安全运维 (2)3.8. 网络安全审计 .................................................................................. 错误!未定义书签。
3.9. 工业控制系统安全 (2)4. 通用评价要求 (2)4.1. 三级评价要求 (2)4.1.1. 法律地位要求 (2)4.1.2. 财务资信要求 (2)4.1.3. 办公场所要求 (2)4.1.4. 人员能力要求 (3)4.1.5. 业绩要求 (3)4.1.6. 服务管理要求 (3)4.1.7. 服务技术要求 (3)4.2. 二级评价要求 (3)4.2.1. 法律地位要求 (4)4.2.2. 财务资信要求 (4)4.2.3. 办公场所要求 (4)4.2.4. 人员能力要求 (4)4.2.5. 业绩要求 (4)4.2.6. 服务管理要求 (4)4.2.7. 技术工具要求 (5)4.2.8. 服务技术要求 (5)4.3. 一级评价要求 (5)4.3.1. 法律地位要求 (5)4.3.2. 财务资信要求 (5)4.3.3. 办公场所要求 (5)4.3.4. 人员素质与资质要求 (6)4.3.5. 业绩要求 (6)4.3.6. 服务管理要求 (6)4.3.7. 技术工具要求 (7)4.3.8. 服务技术要求 (7)5. 专业评价要求 (7)5.1. 风险评估服务资质专业评价要求 (7)5.2. 安全集成服务资质专业评价要求 (7)5.3. 应急处理服务资质专业评价要求 (7)5.4. 灾难备份与恢复服务资质专业评价要求 (7)5.5. 软件安全开发服务资质专业评价要求 (7)5.6. 安全运维服务资质专业评价要求 (7)5.7. 网络安全审计服务资质专业评价要求 (7)5.8. 工业控制系统安全服务资质专业评价要求 (7)附录A(规范性附录):信息安全风险评估服务资质专业评价要求 (8)附录B(规范性附录):信息系统安全集成服务资质专业评价要求 (11)附录C(规范性附录):信息安全应急处理服务资质专业评价要求 (14)附录D(规范性附录):信息系统灾难备份与恢复服务资质专业评价要求 (18)附录E(规范性附录):软件安全开发服务资质专业评价要求 (22)附录F(规范性附录):安全运维服务资质专业评价要求 (26)附录G(规范性附录):网络安全审计服务资质专业评价要求 (29)附录H(规范性附录):工业控制系统安全服务资质专业评价要求 (35)附录I:信息安全服务人员能力要求 (41)附录J: 参考文献 (64)1.适用范围本规范规定了信息安全服务提供者(以下简称服务提供者)在提供服务时应具备的服务安全通用要求和专业服务能力要求。
服务资质认证自评估表填写规范
编码:ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期:2017 年9 月 1 日生效日期:2017 年 9月 1日主责处室:体系与服务认证部批准:张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范,确保申请组织的自评价材料基本信息清晰明了。
2适用范围适用于所有服务资质申请企业。
3职责申请组织相关人员填写自评估表。
4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息:所提供的财务审计或者财务报告的年份,对于财务审核报告需填写所出具的会计事务所名称,需填写收入、净利润等信息。
4.1.2、办公场所填写内容包含以下信息:房屋产权证或房屋租赁合同;产权人/出租人、地址、面积、租期。
4.1.3、人员能力填写内容包含以下信息:1)填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
2)填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
3)填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
4)填写信息安全服务人员数量,养老保险证明出具单位及出具时间,劳动合同的签订时间及有效期。
5)信息安全专业保障人员认证证书,填写获证人员名称、证书编号、发证日期、有效期。
6)填写项目经理人员数量,人员的名称、证书名称、证书编号等。
4.1.4、业绩填写内容包含以下信息:1)填写首个信息安全服务(与申报类别一致)项目名称、合同签订时间、项目验收时间。
2)填写近三年信息安全服务项目(与申报类别一致)名称、合同金额、合同签订时间、验收时间、项目服务内容等。
4.1.5、服务管理填写内容包含以下信息:1)填写人员管理程序,内容应包含岗位职责,人员任前、中、后的监督、考核、评价、奖惩方式,信息安全服务相关技术岗位的能力指标。
软件企业认证要求 -回复
软件企业认证要求-回复软件企业认证是为了确保一家企业在软件开发和服务方面具备一定的能力和质量标准。
认证要求的具体内容可能有所不同,但通常包括以下几个方面:1. 资质要求:软件企业认证通常要求企业具备一定的法律注册资格,如公司注册证书、税务登记证明等。
此外,还需要提供企业的组织机构代码证和工商营业执照等相关证件。
2. 人员要求:要求企业具备一定数量和素质的专业技术人员。
认证机构会要求企业提供员工的相关证明和资质证书,例如软件工程师的职称证书、项目经理的PMP证书等。
此外,还需要提供员工的教育背景和工作经历等相关信息。
3. 质量管理体系要求:软件企业认证通常要求企业具备一套完善的质量管理体系,以确保软件开发和服务的质量。
认证机构可能要求企业提供相关的质量管理文件,如质量手册、程序文件和操作规程等。
此外,还需要提供质量管理相关的培训证明和内审报告等。
4. 项目管理要求:软件企业认证通常要求企业具备一定的项目管理能力,以确保项目能够按时、按质量要求完成。
认证机构可能要求企业提供项目管理的相关文件,如项目计划、需求分析和设计文档等。
此外,还需要提供项目管理相关的培训证明和项目的实施过程等。
5. 安全要求:软件企业认证通常要求企业具备一定的信息安全管理能力,以确保软件开发和服务不受到恶意攻击和泄露。
认证机构可能要求企业提供信息安全管理的相关文件,如安全策略、安全体系文件和风险评估报告等。
此外,还需要提供信息安全管理相关的培训证明和安全事件的处理过程等。
6. 过程和结果评估要求:软件企业认证通常要求企业的软件开发过程和结果进行评估。
认证机构可能要求企业提供项目的评估报告、用户满意度调查和客户反馈等。
此外,还需要提供相关过程和结果的改进措施和实施情况。
总的来说,软件企业认证要求企业具备一定的法律资质、人员素质、质量管理体系、项目管理能力、信息安全管理能力,并通过过程和结果评估来确保企业的软件开发和服务质量。
认证过程通常由认证机构进行,他们会对企业的相关资料进行审查和评估,最终确定是否给予认证。
CCRC资质认证的申请和办理条件
CCRC信息安全服务资质申请条件:
申请机构所从事的行业开展的项目类型和IT相关,有合适的办公场地,良好的财务状况和资信水平,具备一定的服务人员队伍,建立有基本的管理制度并有效运行,能够为组织的安全服务过程提供支撑和保障。
CCRC认证的办理条件
三级:
(1)独立法人,公司成立不少于6个月:
(2)社保不少于10人;其中本科毕业满6年左右(最好是计算机相关专业)的不少于1人:
(3)项目要求:申请公司需要提供至少1个对应方向近3年内签订并完工的项目合同,并提供该项目的验收报告、发票及银行回单:
(4)营业执照范围:与申请方向相对应的范围,如申请【软件安全开发】须有“软件开发”等字眼,【安全集成】须有“集成”等字眼,【安全运维】须有“运维服务或计算机技术服务”等字眼。
二级:
(1)独立法人,公司成立不少于3年或取得3级不少于1年;
(2)社保不少于25人:其中本科毕业6年左右(最好是计算机相关专业)的不少于1人:(3)项目要求:初次申请,申请公司需要提供至少6个对应方向近3年内签订并完工的项目合同,并需提供对应项目的验收报告、发票及银行回单:监督申请,申请公司需要至少2个对应近1年内签订并完工的项目合同,并需提供对应项目的验收报告、发票及银行回单:(4)有相关的技术工具。
(如运维工具、漏洞扫描工具、配置管理工具等);
(5)取得ISO9001、ISO27001或ISO20000证书;(或提供9001、27001或20000的整套管理体系文件):
(6)营业执照范围:与申请方向相对应的范围,如申请【软件安全开发】须有“软件开发”等字眼,【安全集成】须有“集成”等字眼,【安全运维】须有“运维服务或计算机技术服务”等字眼。
应用软件开发安全
不要以明文形式存储数据库连接字符串或密码等敏感信息,应该进行加密,并存储经过加密的字符串。
如果通过网络传输敏感数据,禁止明文传输,应对数据进行加密。同时确保通信通道的安全,通常的做法是使用SSL/TLS、HTTPS、SFTP 和 IPSec 等安全协议进行通信。
16
异常处理
不要向客户端泄漏应用程序内部信息:发生故障时,不要在出错消息中暴露应用系统内部的敏感信息。例如,不要暴露包括函数名以及调试信息(出问题的行数,堆栈信息等)。应向客户端返回一般性错误消息。
不在网络上以明文方式传输密码:以明文方式在网络上传输的密码容易被窃听,为了解决这一问题,应确保通信通道的安全,例如,使用 SSL 对数据流加密。
保护身份认证的凭据:身份认证的凭据(如 Cookie)被窃取意味着登录被窃取。可以通过加密和安全的通信通道来保护认证的凭据。此外,还应限制认证凭据的有效期,以减少攻击的威胁。
7
访问控制和授权
应用系统的认证、授权尽量使用统一的认证、授权平台来进行。如果因为某种原因需要建立应用系统自己的认证、授权体系,整个认证过程需要进行加密,密钥长度不能低于 128 位。
8
访问控制和授权
应用系统的设计应包含用户权限分配和管理功能:
系统读、写、执行权限设计
系统查看、配置、修改、删除、登录、运行等权限设计
6
应用系统上线投产的安全要求
规划应用系统上线所需要的资源需求和准备工作,包括但不限于以下内容:
应用系统上线对软件、硬件资源和网络的要求。
IT认证种类
IT服务企业资质1. 双软认证(即“软件产品认证”和“软件企业认定”)2. 高新技术企业认定3. ISO9000族质量体系4. 集成能力成熟度模型CMMI5. 信息安全管理体系标准ISO/IEC270016.计算机信息系统集成资质7.ISO /IEC20000 IT服务管理体系标准8.信息系统工程监理资质9.人力资源能力成熟度模型People CMM信息安全服务资质认证包括如下:10-1510.应急处理服务资质认证11.风险评估服务资质认证12.信息系统安全集成服务资质认证13.信息系统灾难备份与恢复服务资质认证14.软件安全开发服务资质认证15.安全运维服务资质认证//16.涉及国家秘密的计算机信息系统集成资质17.涉密信息系统集成资质18.AAA级信用企业19.CISCO认证(网络安全:CCNA认证CCSP认证CCIE认证/ 网络设计:CCNA认证CCDA 认证CCDP认证)IT证书:1.全国计算机等级考试2.微软认证考试(包括系统管理方向MCSE,数据库方向MCDBA和开发方向MCAD/MCSD的证书。
3.中国计算机软件专业技术资格和水平考试(高级工程师、工程师、助理工程师和技术员)4.CIT剑桥信息技术考试5.全国信息应用技术证书考试(NIT)pTIA A+7.(ISC)2 CISSPpTIA Project+ / PMP9.ITILpTIA Security+ / CASP11.Six SigmapTIA Linux+ / RHCE13.Oracle Java14.IBM Cognos15.Adobe认证16.HP认证(惠普认证)17.Cisco认证:CCNA(思科认证网络工程师)CCNP(思科认证资深认证工程师)CCIE(思科认证互联网络专家)CCSP(思科认证安全工程师)18.Linux认证LinuxProfessionalInstitute(简称为LPI)SairLinuxGNU、Linux+RedHatCertifiedEngineer19.CIW (认证互联网管理员)。
ccrc信息系统安全证书
CCRC信息系统安全证书是信息安全服务资质的简称,是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。
CCRC信息安全服务资质有多个分项,包括信息安全风险评估、信息安全应急处理、信息系统安全集成、信息系统灾难备份与恢复、软件安全开发、信息系统安全运维、网络安全审计、工业控制系统安全等,各分项都有三个级别,三级最低,一级最高。
其中如果是做三级单个分项,其申报基础要求为:社保人数10人以上;近三年完成的信息安全项目1个以上;持证信息安全保障人员2名以上。
ISCCC-QOT-0408 信息安全服务资质认证现场审核计划表
现场审核计划表
项目编号
受审核方名称
受审核类别
级别
审核类型
安全集成
一级二级三级
□初次□年监审 □升级□其他
风险评估
一级二级三级
□初次□年监审 □升级□其他
应急处理
一级二级三级
□初次□年监审 □升级□其他
灾难备份与恢复
一级二级三级
□初次□年监审 □升级□其他
软件安全开发
一级二级三级
□初次□年监审 □升级□其他
1.确认本审核计划;
2.确定负责配合现场审核工作的人员;
3.提供现场审核活动需要的资源,并承担现场审核活动发生的交通费和食宿费用;
4.本审核计划提供的详细程度应反映审核范围及复杂程度,任何修改应征得各方同意后方可实施。
审核组长:
受审核方:
签字:
日期:
签字:
日期:
□ISCCC-ISV-C01:2017《信息安全服务 规范》对服务级资质要求和过程能力要求的全部要素。
□ISCCC-ISV-Cห้องสมุดไป่ตู้1:2017《信息安全服务 规范》对服务级资质要求和过程能力要求的全部要素。
审核依据
□ISCCC-ISV-C01:2017《信息安全服务 规范》;
□适用法律法规;
□其他信息安全服务相关管理制度、技术规范等。
安全运维
一级二级三级
□初次□年监审 □升级□其他
基本信息
受审核方地址
邮编
受审核方
联系人
电话
手机
邮箱
传真
项目管理人员
电话
手机
邮箱
传真
审核组成员
代号
组内职务
姓 名
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
仅二级/一级要求:配备专职的测试人员。
项目人员构成表或其他能体现项目组成员构成的文档,设立专职的软件安全管理人员、测试人员,并明确描述其职责。
12.
仅二级/一级要求:建立独立的测试环境,确保测试环境与开发环境隔离。
开发环境与测试环境配置的说明文档。
13.
仅一级要求:建立软硬件设备和工具等资源安全使用规范。
软件安全开发
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
服务技术要求
建立软件安全开发服务流程。
软件安全开发服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定软件安全开发服务规范并按照规范实施。
软件安全开发服务规范并按照规范实施。
3.
30.
设计阶段-详细设计
仅二级/一级要求:详细设计说明书中应包含对数据产生、传输、存储、使用、处理和归档安全方面的详细设计。
详细设计说明书,内容应覆盖条款的要求。
31.
仅一级要求:依据安全要求和概要设计说明书,明确基于软件安全威胁分析进行详细设计。
保开发人员参照规范安全编码。
8.
建立独立的开发环境,确保开发环境与运行环境隔离。
开发环境与运行环境配置的说明文档。
9.
仅二级/一级要求:建立软件安全开发项目风险管理机制,对软件项目进行风险评估。
风险管理制度、风险管理计划、风险分析报告。
10.
仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。
配置管理计划,其中描述采用的配置管理工具;配置管理工具的使用情况介绍。
需求阶段控制程序文件;需求阶段项目文档,包括可行性报告、招标文件、需求分析报告等,需求文档的内容应涉及软件功能、性能及安全性要求。
17.
结合软件项目需求、安全需求,与客户充分沟通,达成共识并形成记录。
与客户沟通的记录。
18.
仅二级/一级要求:准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。
41.
仅一级要求:对单元测试结果进行分析,形成分析报告。
单元测试分析报告。
42.
测试阶段-集成测试
仅二级/一级要求:明确集成测试策略,制定集成测试计划。
集成测试的测试策略、测试计划。
43.
仅二级/一级要求:依据概要设计方案和测试计划进行集成测试设计,并执行集成测试,形成测试记录。
集成测试用例设计、测试记录。
35.
仅二级/一级要求:软件代码的安全检查、评审工作应形成记录。
代码检查、审核相关记录。
36.
仅一级要求:采用自动化工具对代码安全漏洞进行审查,对于发现的漏洞能有效修复,并形成审查报告。
代码检查工具的检查结果记录/报告。
37.
测试阶段
依据软件设计说明书对软件功能、安全功能进行测试。
测试方案、测试计划,提供软件功能测试、安全性测试记录与报告。
44.
仅一级要求:对集成测试结果进行分析,形成分析报告。
集成测试分析报告。
45.
测试阶段-系统测试
仅二级/一级要求:制定包括系统安全性测试在内的测试计划,并执行系统测试,形成测试记录。
需求分析报告,内容应覆盖条款的要求。
19.
仅二级/一级要求:对于数据采集、产生、使用,明确识别安全保护要求。
20.
仅二级/一级要求:基于客户需求,开展需求分析,编制具有软件安全需求的分析报告。
21.
仅二级/一级要求:需求分析报告中明确项目开发中使用的安全技术标准、规范。
22.
仅一级要求:应基于软件安全威胁开展需求分析。
软件开发所使用语言的安全编码规范,规范内容包括但不限于代码安全编写的原则、方式、方法等。
33.
依据详细设计说明书,对软件进行安全编码。
在编码过程中,对规避高危风险的漏洞采取的方法或措施的文档或记录。
34.
软件代码要经过安全检查、评审,对于发现的漏洞能有效修复。
代码安全检查、评审记录,对发现的漏洞,提供漏洞修复与验证记录。
准备阶段
建立软件项目安全开发团队,明确各岗位、人员、职责。
项目人员构成表或其他能体现项目组成员构成的文档,其中明确项目组成员构成情况以及安全开发人员的角色及职责。
4.
制定软件项目安全开发管理计划,明确开发过程管控措施。
项目开发计划,计划中应包含安全开发的内容。
5.
建立软件开发的配置管理计划,明确配置管理的安全要求。
23.
仅一级要求:基于软件项目需求分析建立软件安全开发模型。
24.
设计阶段
根据软件项目需求,编制软件设计说明书。
设计阶段控制程序文件;提供软件设计说明书,内容应覆盖条款的要求。
25.
软件设计说明书明确系统/子系统的功能和非功能设计要求。
26.
软件设计说明书明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管理等。
软硬件设备及工具安全使用规范;软硬件设备及工具资源配备计划。
14.
仅一级要求:配备安全管理人员。
安全管理专职人员的任命文件,项目相关的安全监控记录。
15.
仅一级要求:建立变更控制委员会。
变更控制委员会成员构成与职责规定文件。
16.
需求阶段
调研项目背景信息,收集项目需求,明确软件功能、性能及安全方面的要求。
27.
设计阶段-概要设计
仅二级/一级要求:概要设计说明书应明确数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等安全功能要求。
设计阶段控制程序文件;提供概要设计说明书,内容应覆盖条款的要求。
28.
仅一级要求:概要设计说明书中应明确基于软件安全威胁分析的安全要求。
29.
仅一级要求:当开发场景适用时,概要设计说明书中应明确抗抵赖、安全标记、可信路径等安全功能要求。
38.
对测试发现的漏洞进行分析并有效修复。
漏洞发现、分析与修复的记录。
39.
测试阶段-单元测试
仅二级/一级要求:明确单元测试策略,制定单元测试计划。
单元测试的测试策略、测试计划。
40.
仅二级/一级要求:依据详细设计说明书和测试计划进行单元测试设计,并执行单元测试,形成测试记录。
单元测试用例设计、测试记录。
项目配置管理计划,包含安全相关活动。提供配置管理相关记录。
6.
建立变更控制制度,明确软件项目变更控制的安全要求。
变更控制管理制度,提供项目变更控制记录,变更的记录单,记录单中的内容应包含变更申请,审批,执行,执行后的评价结果。
7.
制定软件项目安全培训计划,对相关人员进行安全培训。
培训管理制度,项目培训计划和培训记录。