信息安全服务资质自表-风险类-中国信息安全认证中心

xxxxxx中华人民共和国国家标准信息系统安全服务资质评估准则Evaluation Criteria for Competence of Information SystemSecurity Service Provider（初稿）2000年4月，北京200X-XX-XX发布200X-XX-XX实施国家质量技术监督局发布本标准的目的是对提供信息安全服务的组织进行资质评估与认证，为国家有关主管部门的行政管理提供技术依据。

本标准的评估对象是提供信息安全服务的组织，包括信息安全工程的设计、施工及其相关的咨询和培训组织。

与本标准相关的其它评估标准、评估细则和评估方法包括：信息安全工程质量管理要求信息安全服务资质评估等级划分细则信息安全服务资质等级评估方法……本标准起草单位：中国国家信息安全测评认证中心，中国国家信息安全测评认证中心系统工程实验室，信息产业部电子第30研究所，四川大学信息安全研究所，中国国防科技信息中心，解放军总装备部，北京普方德信息技术有限公司，北京天融信公司。

本标准主要起草人：关义章、叶征、崔玉华、任卫红、唐海波、龙毅宏、刘炳华、满林松、周恩志等本标准于200X年X月X日起实施。

本标准委托中国国家信息安全测评认证中心负责解释。

1 适用范围 (1)2 定义 (1)2.1 信息安全服务 (1)2.2 信息安全服务提供者 (1)2.3 信息安全服务资质等级 (1)2.4 信息安全工程过程能力级别 (1)2.5 信息安全服务评估组织 (1)3 服务类型与资质评定原则 (1)3.1 信息安全服务的类型 (1)3.2 信息安全服务资质等级的评判原则 (1)4 提供信息安全服务的基本资格要求 (2)5 提供信息安全服务的基本能力要求 (2)5.1 组织与管理要求 (2)5.2 技术能力要求 (2)5.3 人员构成与素质要求 (3)5.4 设备、设施与环境要求 (3)5.5 规模与资产要求 (3)5.6 业绩要求 (3)5.7 质量保证要求 (4)5.8 培训要求 (4)6 信息安全工程过程及能力级别 (4)6.1 概述 (4)6.2 信息安全工程过程要求 (5)6.2.1 评估安全对系统的影响 (5)6.2.2 评估系统面临的安全威胁 (5)6.2.3 评估系统的安全弱点 (5)6.2.4 评估系统的安全风险 (5)6.2.5 确定系统的安全需求 (6)6.2.6 为系统提供必要的安全信息 (6)6.2.7 监测系统的安全状况 (6)6.2.8 管理系统的安全控制 (7)6.2.9 安全性协调 (7)6.2.10 检验并证实安全性 (7)6.2.11 建立并提供安全性保证证据 (7)6.3 信息安全工程过程能力级别 (8)6.3.1 基本执行级 (8)6.3.1.1 执行过程 (8)6.3.2 计划跟踪级 (8)6.3.2.1 制定过程执行计划 (8)6.3.2.2 规范化执行 (8)6.3.2.3 验证执行 (8)6.3.2.4 跟踪执行 (8)6.3.3 充分定义级 (8)6.3.3.1 定义标准过程 (8)6.3.3.2 执行已定义过程 (8)6.3.3.3 协调项目和组织活动 (9)6.3.4 定量控制级 (9)6.3.4.1 建立可测量的质量目标 (9)6.3.4.2 客观地管理执行 (9)6.3.5 连续改进级 (9)6.3.5.1 改进组织能力 (9)6.3.5.2 改进过程有效性 (9)7 信息安全服务资质等级划分 (9)7.1 概述 (9)7.2 信息安全服务资质等级划分 (9)7.3 不同资质等级可从事的安全服务 (11)8 引用标准与参考文献 (12)8.1 计算机信息系统安全保护等级划分准则 (12)8.2 系统工程能力成熟模型 (12)8.3 系统安全工程能力成熟模型 (12)8.4 系统安全工程能力成熟模型—评定方法 (12)8.5 信息系统安全工程手册 (12)8.6 软件工程能力成熟模型 (12)8.7 信息安全工程质量管理要求 (12)9 附录——系统安全工程主要术语 (13)9.1 组织 (13)9.2 项目 (13)9.3 系统 (13)9.4 安全工程 (13)9.5 安全工程生命期 (13)9.6 工作产品 (14)9.7 顾客 (14)9.8 过程 (14)9.9 过程能力 (14)9.10 制度化 (14)9.11 过程管理 (14)1适用范围本标准适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估；信息安全服务的需方对服务提供方的选择依据；作为国家主管部门对评估对象进行管理和检查的技术规范。

国家信息安全测评信息安全服务资质申请指南（云计算安全类一级）（试行）©版权2017—中国信息安全测评中心2017年9月1日目录目录2引言3一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 云计算安全服务过程能力要求 (7)3.4 项目和组织过程能力要求 (9)四、资质认定 (11)4.1认定流程图 (11)4.2申请阶段 (12)4.3资格审查阶段 (12)4.4能力测评阶段 (12)4.4.1静态评估 (12)4.4.2现场审核 (13)4.4.3综合评定 (13)4.4.4资质审定 (13)4.5证书发放阶段 (13)五、监督、维持和升级 (14)六、处置 (14)七、争议、投诉与申诉 (14)八、获证组织档案 (15)九、费用及周期 (15)十、联系方式 (16)引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作，对信息技术产品、信息系统和工程的安全性进行测试与评估。

对信息安全服务和人员的资质进行审核与评价。

中国信息安全测评中心的主要职能是：1.为信息技术安全性提供测评服务；2.信息安全漏洞分析；3.信息安全风险评估；4.信息技术产品、信息系统和工程安全测试与评估；5.信息安全服务和信息安全人员资质测评；6.信息安全技术咨询、工程监理与开发服务。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。

为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

编码：ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期：2017 年9 月 1 日生效日期：2017 年 9月 1日主责处室：体系与服务认证部批准：张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范，确保申请组织的自评价材料基本信息清晰明了。

2适用范围适用于所有服务资质申请企业。

3职责申请组织相关人员填写自评估表。

4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息：所提供的财务审计或者财务报告的年份，对于财务审核报告需填写所出具的会计事务所名称，需填写收入、净利润等信息。

4.1.2、办公场所填写内容包含以下信息：房屋产权证或房屋租赁合同；产权人/出租人、地址、面积、租期。

4.1.3、人员能力填写内容包含以下信息：1）填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

2）填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

3）填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

4）填写信息安全服务人员数量，养老保险证明出具单位及出具时间，劳动合同的签订时间及有效期。

5）信息安全专业保障人员认证证书，填写获证人员名称、证书编号、发证日期、有效期。

6）填写项目经理人员数量，人员的名称、证书名称、证书编号等。

4.1.4、业绩填写内容包含以下信息：1）填写首个信息安全服务（与申报类别一致）项目名称、合同签订时间、项目验收时间。

2）填写近三年信息安全服务项目（与申报类别一致）名称、合同金额、合同签订时间、验收时间、项目服务内容等。

4.1.5、服务管理填写内容包含以下信息：1）填写人员管理程序，内容应包含岗位职责，人员任前、中、后的监督、考核、评价、奖惩方式，信息安全服务相关技术岗位的能力指标。

《信息系统安全集成服务资质认证评价要求》编制说明一、工作简况《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。

该项目由中国信息安全认证中心承担。

截止到2011年底，国内外尚未形成安全集成服务相关标准。

ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的，其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容，以及安全工程的能力成熟度模型，未涉及认证评价的内容，所以该标准不能完全满足信息安全服务资质认证工作的需要。

鉴于现状，我们征集了信息安全业界专家的意见，专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。

结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准，将安全集成服务资质分为三级，其中一级最高，三级最低，最终制定一套符合我国信息安全服务现状的认证实施规则，依据该规则指导安全集成服务资质认证工作。

为了规范信息系统安全集成（以下简称安全集成）服务市场，提升安全集成服务质量，我中心于2012年初，依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。

该实施规则得到了申请方的一致认可。

该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上，经编写小组多次讨论和征求意见后制定，形成了目前的标准草案稿。

信息安全技术课后答案-2Ch011. 对于信息的功能特征，它的____基本功能_____在于维持和强化世界的有序性动态性。

2. 对于信息的功能特征，它的____社会功能____表现为维系社会的生存、促进人类文明的进步和自身的发展。

3. 信息技术主要分为感测与识别技术、__信息传递技术__、信息处理与再生技术、信息的施用技术等四大类。

4. 信息系统是指基于计算机技术和网络通信技术的系统，是人、_____规程_________、数据库、硬件和软件等各种设备、工具的有机集合。

5. 在信息安全领域，重点关注的是与____信息处理生活周期________相关的各个环节。

6. 信息化社会发展三要素是物质、能源和____信息________。

7. 信息安全的基本目标应该是保护信息的机密性、____完整性________、可用性、可控性和不可抵赖性。

8. ____机密性________指保证信息不被非授权访问，即使非授权用户得到信息也无法知晓信息的内容，因而不能使用。

9. ____完整性________指维护信息的一致性，即在信息生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。

10._____可用性_______指授权用户在需要时能不受其他因素的影响，方便地使用所需信息。

这一目标是对信息系统的总体可靠性要求。

11.____可控性________指信息在整个生命周期内都可由合法拥有者加以安全的控制。

12.____不可抵赖性________指保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为。

13.PDRR模型，即“信息保障”模型，作为信息安全的目标，是由信息的____保护____、信息使用中的___检测____、信息受影响或攻击时的____响应____和受损后的___恢复____组成的。

14.当前信息安全的整体解决方案是PDRR模型和___安全管理_________的整合应用。

15.DoS破坏了信息的（C ）。