ISCCC-SV-002-2010 信息安全风险评估服务资质认证实施规则

《信息系统安全集成服务资质认证评价要求》编制说明一、工作简况《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。

该项目由中国信息安全认证中心承担。

截止到2011年底，国内外尚未形成安全集成服务相关标准。

ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的，其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容，以及安全工程的能力成熟度模型，未涉及认证评价的内容，所以该标准不能完全满足信息安全服务资质认证工作的需要。

鉴于现状，我们征集了信息安全业界专家的意见，专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。

结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准，将安全集成服务资质分为三级，其中一级最高，三级最低，最终制定一套符合我国信息安全服务现状的认证实施规则，依据该规则指导安全集成服务资质认证工作。

为了规范信息系统安全集成（以下简称安全集成）服务市场，提升安全集成服务质量，我中心于2012年初，依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。

该实施规则得到了申请方的一致认可。

该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上，经编写小组多次讨论和征求意见后制定，形成了目前的标准草案稿。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

矚慫润厲钐瘗睞枥庑赖。

矚慫润厲钐瘗睞枥庑赖賃。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。

聞創沟燴鐺險爱氇谴净。

聞創沟燴鐺險爱氇谴净祸。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

残骛楼諍锩瀨濟溆塹籟。

残骛楼諍锩瀨濟溆塹籟婭。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

酽锕极額閉镇桧猪訣锥。

酽锕极額閉镇桧猪訣锥顧。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003］27号）、《关于信息安全等级保护工作的实施意见》（公通字［2004］66号）和《信息安全等级保护管理办法》(公通字［2007］43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：-—GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求；——GB/TCCCC—CCCC信息安全技术信息系统安全等级保护实施指南；——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。

信息安全技术信息系统安全等级保护测评过程指南1范围本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。

2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款.凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件,其最新版本适用于本标准。

GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240—2008信息安全技术信息系统安全等级保护定级指南GB/T22239—2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007］43号）3术语和定义GB/T5271.8、GB17859—1999、GB/TCCCC—CCCC和GB/TDDDD—DDDD确立的以及下列的术语和定义适用于本标准。

信息安全等级保护测评技术规格书一、项目概述:随着网络安全法的正式施行, 网络安全等级保护工作上升为一项基本国策。

与此同时, 跟随网络安全法配套的各项规章条例以及标准规范也逐一落实, 2018年6月27日, 公安部发布《网络安全等级保护条例（征求意见稿）》（以下简称“《保护条例》”）。

作为《网络安全法》的重要配套法规, 《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求。

为此, 我公司提出了《信息系统信息安全测评项目》, 项目旨参照相关安全安全标准对我公司目前运行的信息系统开展安全测评, 确保其高效、稳定、安全地运行。

欢迎国内具有独立承担民事责任的企业, 具备相关资格（具备信息安全等级保护测评资质）条件的供应商参加。

二、项目实施范围:芜湖新兴铸管有限责任公司的信息安全等级保护测评服务项目, 等保测评级别按国家对我公司信息安全等级保护工作的相关法律和技术标准要求执行。

定级系统: （二级）①公司OA办公系统；②物流系统；③采购系统；④质量中心系统；⑤炼铁部-工业网络系统；⑥铸管部-工业网络系统；工作范围包括我公司的等保检测定级、公安系统备案、建设整改、测评报告等工作, 完成国家相关部门对我公司的信息安全要求。

项目实施内容:1.安全检查（1）信息安全现状问题检查, 包括信息安全管理、信息安全技术、信息安全运维等各方面问题分析；（2）信息安全存在的主要问题及风险, 包括信息安全管理、信息安全技术、信息安全运维等各方面存在的问题及期潜在风险；（3）信息安全问题改进建议, 包括信息安全管理、信息安全技术、信息安全运维等各方面整改建议、具体实施方案以及改进期望值。

2.信息安全等级保护检测根据国家对信息安全等级保护工作的相关法律和技术标准要求, 结合本项目的系统保护等级开展实施与之相应的检查工作, 具体检查内容应包括：对信息系统进行等级保护差距测评, 测评内容包括物理安全、网络安全、主机安全、应用安全、数据安全及备份、安全管理。

CCRC信息安全服务资质超超超详细说明中国网络安全审查技术与认证中心(CCRC，原中国信息安全认证中心)是依据国家《网络安全法》和国家有关强制性产品认证、网络安全管理法规，负责实施网络安全审查和认证的专门机构。

CCRC信息安全服务资质规定了信息安全服务提供者在提供服务时应具备的服务安全通用要求和专业服务能力要求。

通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。

同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

一、CCRC信息安全服务资质认证的基本环节:①认证申请与受理;②文档审核;③现场审核;④认证决定;⑤年度监督审核。

二、CCRC信息安全服务资质认证的申请资料初次申请服务资质认证时，申请单位应填写认证申请书，并提交资格、能力方面的证明材料。

申请材料通常包括:①服务资质认证申请书;②独立法人资格证明材料;③从事信息安全服务的相关资质证明;④工作保密制度及相应组织监管体系的证明材料;⑤与信息安全风险评估服务人员签订的保密协议复印件;⑥人员构成与素质证明材料;⑦公司组织结构证明材料;⑧具备固定办公场所的证明材料;⑨项目管理制度文档;⑩信息安全服务质量管理文件;⑪项目案例及业绩证明材料;⑫信息安全服务能力证明材料等。

三、CCRC信息安全服务资质认证依据对特定类别的信息安全服务，有具体的评价标准。

例如，信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008)，信息安全风险评估服务资质认证的依据是《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。

四、CCRC信息安全服务资质认证的8大认证分项CCRC信息安全服务资质包含8大认证分项，即信息系统安全集成服务资质认证、安全运维服务资质认证、风险评估服务资质认证、应急处理服务资质认证、软件安全开发服务资质认证、信息系统灾难备份与恢复服务资质认证、工业控制安全服务资质认证、网络安全审计服务资质认证。

文件编码:ISCCC-SV-001:2010 信息安全服务资质认证实施规则2010-4-15发布 2010-4-15实施中国信息安全认证中心目录1.适用范围 (22.认证标准 (23.认证模式 (24.认证的基本环节 (25.认证实施 (35.1.认证时限 (35.2.认证申请及受理 (45.3.文档审核 (55.4.现场审核 (65.5.认证决定 (65.6.证后监督 (75.7.再认证 (85.8.认证变更 (86.认证证书 (96.1.认证证书有效期 (96.2.认证证书的管理 (97.收费 (101.适用范围信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务提供方的安全服务资质进行评价的合格评定活动。

中国信息安全认证中心根据《中华人民共和国认证认可条例》及相关规定制定本规则。

本规则适用于中国信息安全认证中心开展的信息安全服务资质认证工作,信息安全服务类别可包括信息安全应急处理、风险评估、灾难恢复、系统测评、安全运维、安全咨询、安全培训、安全审计、安全监理等多种。

本规则规定了实施信息安全服务资质认证管理与实施的基本要求。

2.认证模式现场检查+ 特定服务检查 + 获证后监督3.认证的基本环节(1认证申请及受理(2文档审核(3现场审核(4认证决定(5获证后监督(6再认证4.认证标准信息安全服务资质认证所依据的标准包括相关国家标准、行业标准和认证技术规范,涵盖了对信息安全服务提供方的基本资格、基本能力、管理能力、技术能力等方面的要求。

目前,信息安全服务资质认证采用的标准主要分为两大类:(1通用基础标准:CNCA/CTS 0052-2007 《信息安全服务资质认证技术规范》YD/T 1621-2007 《网络与信息安全服务资质评估准则》(2特定评价标准:针对特定类型的信息安全服务的评价要求。

可作为认证评价的所依据或参考的标准包括相关国家或行业标准、技术规范及管理指南,如:YD/T 1799-2008 《网络与信息安全应急处理服务资质评估方法》GB/T 20984-2007 《信息安全技术信息安全风险评估规范》GB/Z 20985-2007 《信息技术安全技术信息安全事件管理指南》 GB/Z 20986-2007 《信息安全技术信息安全事件分类分级指南》GB/T 20988-2007 《信息安全技术信息系统灾难恢复规范》GB/T 22081-2008 《信息技术安全技术信息安全管理实用规则》特定类型服务的资质认证要求可通过相关标准、规范或实施规则另行规定。