中国信息安全测评中心授权培训机构管理办法

xxxxxx中华人民共和国国家标准信息系统安全服务资质评估准则Evaluation Criteria for Competence of Information SystemSecurity Service Provider（初稿）2000年4月，北京200X-XX-XX发布200X-XX-XX实施国家质量技术监督局发布本标准的目的是对提供信息安全服务的组织进行资质评估与认证，为国家有关主管部门的行政管理提供技术依据。

本标准的评估对象是提供信息安全服务的组织，包括信息安全工程的设计、施工及其相关的咨询和培训组织。

与本标准相关的其它评估标准、评估细则和评估方法包括：信息安全工程质量管理要求信息安全服务资质评估等级划分细则信息安全服务资质等级评估方法……本标准起草单位：中国国家信息安全测评认证中心，中国国家信息安全测评认证中心系统工程实验室，信息产业部电子第30研究所，四川大学信息安全研究所，中国国防科技信息中心，解放军总装备部，北京普方德信息技术有限公司，北京天融信公司。

本标准主要起草人：关义章、叶征、崔玉华、任卫红、唐海波、龙毅宏、刘炳华、满林松、周恩志等本标准于200X年X月X日起实施。

本标准委托中国国家信息安全测评认证中心负责解释。

1 适用范围 (1)2 定义 (1)2.1 信息安全服务 (1)2.2 信息安全服务提供者 (1)2.3 信息安全服务资质等级 (1)2.4 信息安全工程过程能力级别 (1)2.5 信息安全服务评估组织 (1)3 服务类型与资质评定原则 (1)3.1 信息安全服务的类型 (1)3.2 信息安全服务资质等级的评判原则 (1)4 提供信息安全服务的基本资格要求 (2)5 提供信息安全服务的基本能力要求 (2)5.1 组织与管理要求 (2)5.2 技术能力要求 (2)5.3 人员构成与素质要求 (3)5.4 设备、设施与环境要求 (3)5.5 规模与资产要求 (3)5.6 业绩要求 (3)5.7 质量保证要求 (4)5.8 培训要求 (4)6 信息安全工程过程及能力级别 (4)6.1 概述 (4)6.2 信息安全工程过程要求 (5)6.2.1 评估安全对系统的影响 (5)6.2.2 评估系统面临的安全威胁 (5)6.2.3 评估系统的安全弱点 (5)6.2.4 评估系统的安全风险 (5)6.2.5 确定系统的安全需求 (6)6.2.6 为系统提供必要的安全信息 (6)6.2.7 监测系统的安全状况 (6)6.2.8 管理系统的安全控制 (7)6.2.9 安全性协调 (7)6.2.10 检验并证实安全性 (7)6.2.11 建立并提供安全性保证证据 (7)6.3 信息安全工程过程能力级别 (8)6.3.1 基本执行级 (8)6.3.1.1 执行过程 (8)6.3.2 计划跟踪级 (8)6.3.2.1 制定过程执行计划 (8)6.3.2.2 规范化执行 (8)6.3.2.3 验证执行 (8)6.3.2.4 跟踪执行 (8)6.3.3 充分定义级 (8)6.3.3.1 定义标准过程 (8)6.3.3.2 执行已定义过程 (8)6.3.3.3 协调项目和组织活动 (9)6.3.4 定量控制级 (9)6.3.4.1 建立可测量的质量目标 (9)6.3.4.2 客观地管理执行 (9)6.3.5 连续改进级 (9)6.3.5.1 改进组织能力 (9)6.3.5.2 改进过程有效性 (9)7 信息安全服务资质等级划分 (9)7.1 概述 (9)7.2 信息安全服务资质等级划分 (9)7.3 不同资质等级可从事的安全服务 (11)8 引用标准与参考文献 (12)8.1 计算机信息系统安全保护等级划分准则 (12)8.2 系统工程能力成熟模型 (12)8.3 系统安全工程能力成熟模型 (12)8.4 系统安全工程能力成熟模型—评定方法 (12)8.5 信息系统安全工程手册 (12)8.6 软件工程能力成熟模型 (12)8.7 信息安全工程质量管理要求 (12)9 附录——系统安全工程主要术语 (13)9.1 组织 (13)9.2 项目 (13)9.3 系统 (13)9.4 安全工程 (13)9.5 安全工程生命期 (13)9.6 工作产品 (14)9.7 顾客 (14)9.8 过程 (14)9.9 过程能力 (14)9.10 制度化 (14)9.11 过程管理 (14)1适用范围本标准适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估；信息安全服务的需方对服务提供方的选择依据；作为国家主管部门对评估对象进行管理和检查的技术规范。

信息安全等级保护测评机构管理办法第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定，制定本办法。

第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。

等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐,从事等级测评等信息安全服务的机构。

第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展.第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。

第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办"）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐的等级测评机构进行监督管理.省级信息安全等级保护工作协调（领导)小组办公室（以下简称“省级等保办"）负责受理本省(区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。

第六条申请成为等级测评机构的单位(以下简称“申请单位")应具备以下基本条件：(一）在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位；(二)产权关系明晰，注册资金100万元以上；(三）从事信息系统安全相关工作两年以上，无违法记录；（四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录;（五）具有信息系统安全相关工作经验的技术人员，不少于10人；（六)具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求；(七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度；（八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁；（九）不涉及信息安全产品开发、销售或信息系统安全集成等业务;（十）应具备的其他条件.第七条申请时，申请单位应向等保办提交以下材料：（一）《信息安全等级保护测评机构申请表》；(二)从事信息系统安全相关工作情况；(三）检测评估工作所需软硬件及其他服务保障设施配备情况;(四）有关管理制度建设情况；（五)申请单位及其测评人员基本情况；(六）应提交的其他材料。

国家信息安全人员注册授权培训机构（一级）申请指南（试用版）版本:2。

0中国信息安全产品测评认证中心二00七年九月适用范围本指南适用于向中国信息安全产品测评认证中心(CHINA INFORMATION SECURITY CERTIFICATION CENTER，以下简称：CNITSEC）提出授权培训机构(一级）申请的单位。

CNITSEC授权培训机构(一级)的授权培训范围为：注册信息安全员（CISM）的注册资质培训及双方签订的授权培训协议中所签订的其它相关定制培训（不包括注册信息安全专业人员（CISP）注册资质培训).第 1 条评估依据授权培训资质能力评估，是对授权培训机构基本资质、培训能力和培训服务能力等方面的具体衡量和评价.授权培训资质等级评估是根据CNITSEC《授权培训机构评估准则》,在申请授权培训机构的基本资质、组织与管理、培训场地、设备设施及环境、培训人员、培训经验、培训体系管理以及培训推广能力等方面进行单项评估评分的基础上，采用一定的权值综合考虑后确定，并由CNITSEC授予相应的培训级别。

第 2 条授权要求申请授权培训机构(一级）需要符合以下几项要求：一、申请单位基本资质1、独立的法人机构或法人单位；2、分支机构或全资子公司需有上级单位授权.二、组织与管理1、必须拥有健全的信息安全培训组织结构和管理体系,为持续的信息安全培训提供保证；2、具备完善的知识产权保护措施，并遵守有关法律法规。

三、规模与资产1、具有足够的授权资金和充足的流动资金：●注册资金不少于50万;●流动资金不会少于10万；●授权培训专用资金不少于5万.2、建立与所承担的培训规模相适应的培训体系；3、具有能够满足从事信息安全培训的相关人员。

四、场地、设备及环境要求1、具有固定的办公场地，良好的办公设备和环境：●办公场地不小于20m²（包括财务室）；●有培训专用计算机、电话、传真机、复印机、扫描仪和打印机等设备。

信息安全培训管理制度信息安全培训管理制度3篇在快速变化和不断变革的今天，越来越多人会去使用制度，制度是要求成员共同遵守的规章或准则。

相信很多朋友都对拟定制度感到非常苦恼吧，以下是小编精心整理的信息安全培训管理制度，希望对大家有所帮助。

信息安全培训管理制度1第一章信息平安政策一、计算机设备管理制度1.计算机的使用部门要保持清洁、平安、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备平安的物品。

2.非我司技术人员对我司的设备、系统等进行修理、维护时，必需由我司相关技术人员现场全程监督。

计算机设备送外修理，须经有关部门负责人批准。

3.严格遵守计算机设备使用、开机、关机等平安操作规程和正确的使用方法。

任何人不允许带电插拨计算机外部设备接口，计算机消失故障时应准时向电脑负责部门报告,不允许私自处理或找非我司技术人员进行修理及操作。

二、操作员平安管理制度1.操作代码是进入各类应用系统进行业务操作、分级对数据存取进行掌握的代码。

操作代码分为系统管理代码和一般操作代码。

代码的设置依据不同应用系统的要求及岗位职责而设置.2.系统管理操作代码的设置与管理:(1)、系统管理操作代码必需经过经营管理者授权取得；(2)、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护；(3)、系统管理员对业务系统进行数据整理、故障恢复等操作，必需有其上级授权；(4)、系统管理员不得使用他人操作代码进行业务操作；(5)、系统管理员调离岗位，上级管理员(或相关负责人)应准时注销其代码并生成新的系统管理员代码；3.一般操作代码的设置与管理(1)、一般操作码由系统管理员依据各类应用系统操作要求生成，应按每操作用户一码设置。

(2)、操作员不得使用他人代码进行业务操作。

(3)、操作员调离岗位，系统管理员应准时注销其代码并生成新的操作员代码。

三、密码与权限管理制度1.密码设置应具有平安性、保密性，不能使用简洁的代码和标记。

中国信息安全测评中心授权培训机构管理办法中国信息安全测评中心二〇二〇年一月第一条中国信息安全测评中心（CNITSEC）为授权委托方，授权培训机构或临时授权培训机构为CNITSEC授权的培训机构或临时培训机构。

第二条 CNITSEC、授权或临时授权培训机构关系如下：1、CNITSEC对授权培训机构具有监督管理的权利；2、CNITSEC对授权培训机构进行监督、指导和管理。

CNITSEC统一受理对授权培训机构的投诉，根据调查结果出具处理意见；3、授权或临时授权培训机构应严格遵守相关管理规定，开展双方协议规定的培训业务，按时向CNITSEC缴纳管理费。

第三条授权或临时授权培训机构应与CNITSEC签订授权协议书，明确双方的责任与义务，开展培训业务。

第四条授权或临时授权培训机构可以以“中国信息安全测评中心授权培训机构” 或“中国信息安全测评中心临时授权培训机构”的名义，根据授权内容从事培训业务。

第五条授权或临时授权培训机构必须遵守如下管理规定：1、按CNITSEC统一规定的教材、教学大纲开展培训业务，并执行CNITSEC制定的统一培训要求；2、培训业务主要负责人的变更应报CNITSEC备案；3、定期组织自有讲师培训和教学研讨活动，不断提升讲师队伍水平；4、执行授权运营方统一规定的培训收费标准；5、举办市场活动和会员活动，并将活动记录、新闻稿发送至CNITSEC；6、不得以CNITSEC的名义开展任何超越授权的业务；7、不得以授权或临时授权培训机构的名义开展任何与授权培训相冲突的业务。

第六条CNITSEC有权依据本办法及《授权培训机构评估准则》的具体要求对授权或临时授权培训机构进行监督、检查。

第七条授权或临时授权培训机构如违反相关规定，CNITSEC将对其进行处罚，包括并不限于以下条款：1、警告通报有下列行为，CNITSEC将责成其进行警告通报并限期整改：（1）不按规定向受培训对象说明授权范围；（2）不按规定提交有关文档；（3）不按统一规定的教材、教学大纲及学时安排授课；（4）对培训业务进行误导宣传。

中国信息安全测评中心中国信息安全测评中心（China Information Security Evaluation Center，CISEC）是中国国家信息安全测评机构，负责对各类信息系统和产品进行安全测评和认证。

作为中国信息安全领域的权威机构，CISEC在信息安全技术、标准和管理方面发挥着重要作用。

本文将介绍CISEC的职能、作用以及其在信息安全领域的重要性。

CISEC的职能主要包括对信息系统和产品进行安全测评、认证和监督检查。

在信息系统方面，CISEC负责对政府部门、金融机构、电信运营商等重要单位的信息系统进行安全测评，评估其在保护重要信息资产、防范网络攻击、应对突发安全事件等方面的能力。

在产品方面，CISEC对各类信息安全产品进行认证，包括防火墙、入侵检测系统、安全管理软件等，以确保其符合国家和行业标准，具有良好的安全性能。

CISEC在信息安全领域的作用主要体现在以下几个方面，首先，CISEC对信息系统和产品进行安全测评和认证，有助于提高其安全性能和可信度，为用户和企业选择和使用安全可靠的信息系统和产品提供了参考依据。

其次，CISEC通过对信息系统的安全测评，有助于发现系统存在的安全隐患和漏洞，提出改进建议和技术要求，促进信息系统的安全加固和提升。

再次，CISEC通过对信息安全产品的认证，推动了信息安全产品的研发和创新，促进了信息安全产业的健康发展。

最后，CISEC作为国家信息安全测评机构，还参与了国家信息安全标准的制定和推广，提高了信息安全管理水平和标准化程度。

CISEC在信息安全领域的重要性不言而喻。

随着网络技术的飞速发展和信息化进程的加快，信息安全问题日益突出，网络攻击、数据泄露等安全事件频发，给国家安全和社会稳定带来了严重威胁。

而CISEC作为国家信息安全测评机构，承担着信息安全保障的重要责任，其职能和作用对于加强信息安全防护、保护国家重要信息基础设施、维护国家网络安全具有重要意义。

国家信息安全测评中心国家信息安全测评中心（National Information Security Evaluation Center，简称NISEC）是中国的一个重要机构，负责评估和提升国家信息系统的安全性和可信度。

成立于2002年，NISEC的目标是为了确保国家信息安全，维护网络与信息系统的良好运行和稳定。

NISEC的职责和作用1. 评估信息系统的安全性：NISEC负责对国家重要信息系统进行安全性评估和渗透测试，发现潜在的安全隐患和漏洞，并提供相关技术建议和安全改进措施。

2. 指导安全技术标准：NISEC致力于研究与制定信息安全评估和测试的标准规范，以及加强信息安全技术的研究与发展，提高国家信息安全水平。

3. 信息安全事件响应：NISEC负责协助国家相关部门应对信息安全事件，提供合理的解决方案和技术支持，确保信息系统和网络的安全运行。

4. 促进信息安全人才培养：NISEC为相关单位提供信息安全培训和教育，提高从业人员的工作能力和技术水平，推动信息安全人才的培养和发展。

NISEC的工作内容1. 安全评估与测试：NISEC通过制定方法和规范，对国家重要信息系统进行源代码审计、渗透测试、密码分析等手段，评估其安全性和可信度，发现潜在漏洞和隐患。

2. 安全技术标准研究：NISEC参与制定信息安全评估和测试的标准和规范，推动信息安全技术的发展和应用，提高信息系统的安全性。

3. 安全事件响应：NISEC成立了专业的安全事件响应小组，负责响应和处理重要信息系统和网络的安全事件，迅速采取措施修复漏洞，确保信息系统的正常运行。

4. 信息安全培训与教育：NISEC组织和承办信息安全培训和教育活动，提供相关课程和资料，培养和培训信息安全从业人员，不断提高他们的专业水平和技能。

NISEC的重要意义和影响1. 提升国家信息安全水平：NISEC通过评估和测试信息系统的安全性，为政府和企业提供有效的安全保障措施，提高了国家信息安全的整体水平。

中国信息安全测评中心授权培训机构申请书申请单位（公章）：填表日期：©版权2020—中国信息安全测评中心2020年2月中国信息安全测评中心(CNITSEC)授权培训机构资质申请书目录一、申请单位基本情况 (5)二、申请单位概况 (6)三、申请单位资产运营情况 (7)四、申请单位人员情况 (9)五、培训场所及设备设施情况 (14)六、质量保证 (16)七、信息安全及相关培训情况 (18)八、信息安全培训宣传推广 (19)填表须知用户在正式填写本申请书前，须认真阅读并理解以下内容：授权培训机构申请单位（以下简称：申请单位）在正式填写本申请书前，须认真阅读以下内容：1.申请单位应仔细阅读《授权培训机构申请指南》及《授权培训机构管理办法》，并按要求认真、如实、详细地填写本申请书。

2.申请单位应按照申请书的原有格式进行填写，所有填报项目(含表格)页面不足时，可另加附页。

3.填写本表时要求字迹清晰，请用签字笔正楷填写或计算机输入。

4.提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。

5.申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档（电子文档刻盘与纸板申请书一起邮寄）。

6.本申请书要求提供的附件及证明材料须单独装订成册并编目。

7.如有疑问，请与中国信息安全测评中心联系。

中国信息安全测评中心地址：北京市海淀区上地西路8号院1号楼邮编：100085电话：（010）82341571或82341576传真：82341100网址：电子邮箱：zhangxy@申请表中国信息安全测评中心：我单位正式提出授权培训资质申请，并保证将按照授权培训资质的要求，提供所需的所有真实信息，并配合运营中心活动。

1．申请服务类型□ A类（不具有外资背景）□ B类（具有外资背景）2．申请类型□初次申请□再次申请，第次申请注：以上各项均为单选。

申请单位（盖章）：申请日期：年月日一、申请单位基本情况申请单位全称（中文）：申请单位全称（英文）：注册地址：办公地址：邮政编码：法定代表人姓名：职务：联系人姓名：职务：电子邮箱：联系方式：电话（）传真（）手机（）工商登记注册号或统一社会信用代码（附申请单位法人营业执照副本或上级主管部门批准成立文件复印件）：法人机构代码（附法人机构代码证副本复印件）：其他重要的法律文件：二、申请单位概况本项包括以下要求：1.描述单位基本情况（包括单位规模大小、隶属关系、发展历史、业务结构、培训经历、业绩等）；2.给出总体的组织结构图（明确从事培训业务部门与其它各部门的关系）；三、申请单位资产运营情况本项包括以下要求：1.单位近三年资产运营情况（加盖公章）（表3）；2.近三年审计报告与信用等级证明材料（审计报告、审计机构提供的资产状况良好的证明材料、加盖公章的资产负债表和损益表）；3.财务亏损或其它异常状况发生说明情况，并提供相应的证明材料；4.银行出具的资信证明。