业务连续性管理体系认证实施规则-中国信息安全认证中心
业务连续性管理体系认证实施规则
ISCCC-BCMS-001:2016
中国信息安全认证中心
目录
1.适用范围 (2)
2.认证依据 (2)
3.术语和定义 (2)
3.1.信息收集 (2)
3.2.现场审核 (2)
3.3.现场见证(验证) (2)
4.认证类别 (2)
5.审核人员及审核组要求 (2)
6.认证信息公开 (2)
7.认证程序 (3)
7.1.初次认证 (3)
7.2.监督审核 (6)
7.3.再认证 (9)
7.4.管理体系结合审核 (9)
7.5.特殊审核 (9)
7.6.暂停、撤消认证或缩小认证范围 (10)
8.认证证书 (11)
8.1.证书内容 (11)
8.2.证书编号 (11)
8.3.对获证组织正确宣传认证结果的控制 (12)
9.对获证组织的信息通报要求及响应 (12)
10.附录A:审核时间 (13)
1.适用范围
本规则用于规范中国信息安全认证中心(简称中心)开展业务连续性管理体系(BCMS)认证活动。
2.认证依据
以国家标准GB/T 30146-2013/ISO/IEC22301:2012《公共安全业务连续性管理体系要求》为认证依据。
3.术语和定义
3.1.现场审核
中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。
3.2.现场见证(验证)
现场见证是针对受审核方或获证组织为满足相关方利益诉求、实现组织业务目标和处置组织风险所实施的关键活动而进行的,对关键活动的执行过程进行跟踪见证;现场验证是针对关键活动所采取的关键技术而进行的,以验证这些技术措施的功能能够得到实现。
3.3.现场评价
现场评价包括现场审核和现场见证(验证)
4.认证类型
认证类型分为初次认证,监督审核和再认证。一个认证周期内至少进行一次现场见证(验证)。为满足认证的需要,中心可以实施特殊审核,特殊审核可以采取现场审核和现场见证(验证)等方式进行。
5.审核人员及审核组要求
认证审核人员必须取得其他管理系注册审核员资格或者取得业务连续性管理体系审核员资格,取得资格的审核员中心应对其进行专业能力评价,以确定其能够胜任所安排的审核任务。
审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。
具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。
6.认证信息公开
中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息:
1)认证服务项目;
2)认证工作程序;
3)认证依据;
4)证书有效期;
5)认证收费标准。
7.认证程序
7.1.初次认证
7.1.1.认证申请
中心应要求申请组织的授权代表至少提供以下必要的信息:
1)认证申请书,包括但不限于以下内容:
a.申请认证的管理体系
b.企业基本信息,包括业务活动、组织架构、联系人信息、物理位置和体系范围等基本内容
c.法律地位资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书,组织代码证和税务登记证(如果有));
d.体系运行的时间;
e.取得相关法规规定的行政许可文件(适用时)。
7.1.2.申请评审
中心应根据认证依据、程序等要求,在三个工作日内对申请组织提交的认证申请书及其相关资料进行评审并保存评审记录,做出评审结论,以确定:
1)所需要的基本信息都得到提供;
2)申请组织的行业类别和与之相对应的管理体系管理的过程特性和管理要求;
3)国家对相应行业的管理要求;
4)中心与申请组织之间任何已知的理解差异得到消除;
5)中心有能力并能够实施认证活动;
6)申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证
活动的因素;
7)中心应建立关于审核人日的确定准则,根据受审核方的规模、特性、业务复杂程度、
管理体系涵盖的范围、认证要求和其承担的风险等因素核算并确定审核人日,以
确保审核的充分性和有效性。将确定后的人日数记录在审核方案中,审核人日的
确定规则参考附录A。
7.1.3.建立审核方案
在申请评审后,中心应针对申请组织建立审核方案(申请组织变更为受审核方),并由专职人员负责管理审核方案。审核方案范围与程度的确定应基于受审核组织的规模和性质,以及受审核管理体系的性质、功能、复杂程度以及成熟度水平。
审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,应包括以下内容:
1)审核方案的目标;
2)审核的范围与程度、数量、类型、持续时间、地点、日程安排;
3)审核准则;
4)审核方法;
5)审核组的选择;
6)所需的资源,包括交通和食宿;
7)处理保密性、信息安全、健康和安全,以及其它类似事宜。
7.1.4.确定审核组
中心应根据受审核方的行业、规模和业务复杂程度组建审核组,指派审核组长。审核组组建原则见第5章。
7.1.5.一阶段审核
审核组应对受审核方开展一阶段审核,以确定:
1)受审核方的管理体系得到策划和实施;
2)受审核方的管理体系已运行,并有足够的证据证明其运行情况;
3)受审核方对运行的管理体系进行了监视、测量、分析和评价,并有充分的证据;
4)受审核方对管理体系进行了有效的持续改进;
5)受审核方是否识别并遵守了相关的法律法规;
6)受审核方有充足的资源保障现场审核的进行;
7)受审核方哪些过程和控制措施需要进行现场见证或验证;
8)是否可以开展现场审核和现场见证(验证)。
9)收集关于客户的管理体系范围、过程和场所的必要信息,包括:
a)客户的场所
b)使用的过程和设备
c)所建立的控制的水平(特别是客户为多场所时)
7.1.6.现场评价计划
审核组应结合受审核方的申请材料、审核方案对现场评价的策划以及一阶段审核的结果对现场评价做出具体安排,包括但不限于具体的时间安排、审核组成员对受审核方按岗位和活动以何种方式进行评价的安排、高层沟通的安排和会议的安排。审核组长应至少在实施现场评价3个工作日之前,与受审核方就审核计划进行充分沟通,确保双方在理解上没有歧义。
7.1.7.现场评价
审核组按照审核计划的安排对受审核方进行现场评价,现场评价包括现场审核和现场见证(验证),这两种形式的评价可以同时进行也可以分开进行,主要考虑受审核方现场见证(验证)所需要的条件和环境。
如果现场审核与现场见证(验证)不同时进行,现场见证(验证)原则上在下一次监督审核之前完成。现场见证(验证)在一个认证周期内至少进行一次。
现场评价应考虑一阶段审核结果,对受审核方的管理过程和控制措施的运行情况进行评价,对一阶段审核提出的问题改进情况进行验证。
现场审核的内容包括但不限于:
a.组织环境(应对风险和机会的措施,管理目标和达标计划);
b.领导(管理承诺,方针,组织的角色、责任和权限);
c.策划(应对风险和机会的措施,管理目标和实现计划);
d.支持(资源,能力,意识,沟通,文件化信息);
e.运行(运行的策划和控制,业务影响分析和风险评估,业务连续性策略,建立和实施业务连续性程序,演练和测试);
f.绩效评估(监视、测量、分析和评价,内部审核,管理评审);
g.改进(不符合和纠正措施,持续改进)。
现场见证的内容主要针对业务连续性计划的演练过程见证,以确定受审核方业务连续性计划的演练能够验证和确保业务连续性计划的有效性。需要根据受审核方的演练计划进行现场见证的安排。
如果现场见证过程中受审核方的业务连续性计划演练过程不满足标准要求,见证人员将开具不符合项,并决定中心是否需要在6个月内对受审核方再次进行现场见证,如再次
见证后见证人员仍然认为演练无法通过,则对证书进行暂停。
7.1.8.初次认证的审核结论
审核组应该对一阶段审核和现场评价中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
如果现场评价发现不符合项和观察项应开具不符合项报告,且获得受审核方认同。
现场评价结束,审核组应形成是否推荐认证注册的结论;如果现场审核和现场见证(验证)需要分开实施,且现场见证(验证)需要在现场审核结束后进行,审核组可以根据一阶段审核结果和现场审核的结果对受审核方的管理体系是否满足所有适用的认证依据的要求进行评价,并判断是否推荐认证注册。
现场评价结束后(现场见证(验证)需在现场审核结束后实施时,现场审核结束视同现场评价结束),3个工作日内,审核组长完成审核报告编制工作,中心将与受审核方进行沟通,确保双方对报告的理解上没有歧义。
7.1.9.认证决定
中心应指派认证决定人员,对受审核方的认证申请实施认证决定,以决定:a.同意认证注册,颁发认证证书;
b.补充认证决定所需的信息,包括但不限于申请材料、审核材料,再行决定;
c.不同意认证注册,并将理由通知受审核方。
认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实受审核方建立管理体系得到了建立、实施、运行、监视、评审、保持和改进。
注1:参加审核的人员不能再作为认证决定人员实施认证决定。
注2:受审核方获得认证注册资格后变更为获证组织。
7.1.10.审核方案记录与变更
审核方案管理人员应收集一阶段审核、现场评价和认证决定的信息,特别是形成的结论和变化的信息,记录到审核方案中。并确定审核方案是否需要进行变更,如需要则更新相应项目内容。
7.2.监督审核
7.2.1.监督频次
中心应在满足认可要求的基础上,根据获证组织管理体系覆盖的业务活动的特点以及所承担的风险,合理设计和确定监督审核的时间间隔和频次。当获证组织管理体系发生重
大变更,或发生重大问题、业务中断事故、客户投诉等情况时,中心可视情况增加监督的频次。
监督审核的最长时间间隔不超过12个月。由于获证组织业务运作的时间(季节)特点及其内部审核安排等原因,可以合理选取和安排监督周期及时机,在认证证书有效期内的监督审核必须覆盖管理体系认证范围内的所有业务活动。
7.2.2.信息收集
在进行监督审核之前,中心需要收集获证组织的管理体系相关信息,以确定获证组织的管理体系相关信息是否发生变化。需要客户提供的信息包括以下几个方面:
1)信息确认文件,包括但不限于:
a.基本信息,包括组织名称、地址、联系人、法人等信息的变化情况;
b.组织信息:包括范围、组织架构、人员数量等信息的变化情况;
c.管理体系相关信息,关键文件化信息的变化情况。
7.2.3.确定审核组
中心应根据获证组织的行业、规模和业务复杂程度组建审核组,指派审核组长。审核组组建原则,见第5章。
7.2.4.信息评审
审核组应对获证组织的信息确认文件进行评审,以确定:
1)获证组织的管理体系变化情况,尤其是管理体系范围的变化;
2)是否需要修订审核方案。
7.2.5.制定现场评价计划
审核组应结合获证组织的信息确认文件、审核方案对监督审核中现场评价的策划和一阶段审核的结果对现场评价做出具体安排,包括但不限于具体的时间安排、审核组成员对获证组织按岗位和活动以何种方式进行评价的安排、高层沟通的安排和会议的安排。审核组长应至少在实施现场评价3个工作日之前,与获证组织就审核计划进行充分沟通,确保双方在理解上没有歧义。
BCMS的监督审核并不覆盖标准所有条款,监督审核的抽样采取条款抽样的方式进行,抽样准则为:
1)两次监督审核涉及的条款之和必须覆盖标准所有条款;
2)标准中对业务连续性过程有决定作用的条款每次监督审核都需要抽到;
3)获证组织前一次审核问题较多的条款在本次监督审核中需要抽到;
4)一阶段审核时,审核组认为重要的条款应考虑进行抽样。
监督审核的内容应包括以下方面:
1)内部审核和管理评审;
2)对上次审核中确定的不符合采取的措施;
3)投诉的处理;
4)管理体系在实现获证客户目标和各管理体系的预期结果方面的有效性;
5)为持续改进而策划的活动的进展;
6)持续的运作控制;
7)任何变更;
8)标志的使用和(或)任何其他对认证资格的引用
7.2.6.现场评价
审核组按照审核计划的安排对获证组织进行现场评价,现场评价包括现场审核和现场见证(验证),这两种形式的评价可以同时进行也可以分开进行,主要考虑获证组织现场见证(验证)所需要的条件和环境。
由于监督审核并不要求覆盖体系的所有方面,因此在监督审核的策划过程中,如果获证组织的认证范围信息有变化,应对变化的方面进行关注,必要时重新确认审核范围。。7.2.7.监督审核结论
审核组应该对现场评价中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
如果现场评价发现不符合项和观察项应开具不符合项报告,且获得获证组织认同。
现场评价结束,审核组应形成是否推荐保持认证注册的结论;如果现场审核和现场见证(验证)需要分开实施,且现场见证(验证)需要在现场审核结束后进行,审核组则可以根据一阶段审核结果和现场审核的结果对获证组织的管理体系是否满足所有适用的认证依据的要求进行评价,并判断是否推荐保持认证注册。
现场评价结束后(现场见证(验证)需在现场审核结束后实施时,现场审核结束视同现场评价结束),3个工作日内,审核组长完成审核报告编制工作,并与获证组织进行沟通,确保双方对报告的理解没有歧义。
7.2.8.认证决定
中心应指派认证决定人员,对获证组织的认证申请实施认证决定,以决定:a.同意保持认证注册,颁发认证标志;
b.补充认证决定所需的信息,包括但不限于申请材料、审核材料,再行决定;
c.不同意保持认证注册,做出暂定或撤销的决定,并将理由通知获证组织。
认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实获证组织建立管理体系得到了建立、实施、运行、监视、评审、保持和改进。
7.2.9.审核方案记录与变更
审核方案管理人员应收集一阶段审核、现场评价和认证决定的信息,特别是形成的结论和变化的信息,同时记录到审核方案中。并确定审核方案是否需要进行变更,如需要则更新相应项目内容。
7.3.再认证
认证证书有效期满前,中心根据获证组织的申请对获证组织实施再认证,以保证管理体系认证证书持续有效。
再认证审核的形式和过程与初次认证保持一致,但再认证的一阶段审核可以与二阶段审核一起进行,但当获证组织或其管理体系的运作环境(如法律的变更)有重大变更时,再认证审核活动可能需要有单独的第一阶段审核。
再认证审核将包括针对下列方面的现场审核
1) 结合内部和外部变更来看的整个管理体系的有效性,以及认证范围的持续相关性和适宜性;
2) ?经证实的对保持管理体系有效性并改进管理体系,以提高整体绩效的承诺;
3) 管理体系在实现获证客户的目标和管理体系预期结果方面的有效性。
7.4.管理体系结合审核
当申请组织在运行业务连续性管理体系的同时还运行了其他管理体系,若其他管理体系在中心的认证业务范围内,中心可以根据申请组织的需求对管理体系进行单独的审核,或者对多个管理体系进行结合审核,但中心需确保在结合审核的情形下,对诸如审核范围的界定、审核时间的确定、审核方案的策划等进行有效的管理。
对于结合审核,必须以审核活动满足体系认证所有要求为前提,并且审核的质量不应由于结合审核而受到负面影响。在审核报告中,应清晰体现所有与管理体系有关的重要要素的描述并易于识别。
7.5.特殊审核
7.5.1.变更或扩大认证范围
获证组织申请变更或扩大认证范围时,中心应按再认证的过程对获证组织变更或扩大认证范围进行特殊审核,最终形成是否同意变更或扩大认证注册范围的决定。变更或扩大认证范围的审核活动可单独进行,也可和对获证组织的监督审核或再认证同时进行。
7.5.2.中心在调查投诉、对变更做出回应或对被暂停认证资格的获证组织进行追踪
时,应指派审核组提前较短时间通知获证组织后对其进行特殊审核。特殊审核以现场审核方式进行,此时:
1)应向获证组织说明并使其提前了解将在何种条件下进行此类审核;
2)由于获证组织缺乏对审核组成员的任命表示反对的机会,中心应在指派审核组时给
予更多的关注;
3)审核组应制订审核计划,形成审核结论;
4)中心应根据审核结论作出认证决定。
7.5.3.审核方案记录与变更
审核方案管理人员应收集特殊审核的信息,特别是形成的结论和变化的信息,并记录到审核方案中。同时确定审核方案是否需要进行变更,如需要则更新相应项目内容。
7.6.暂停、撤消认证或缩小认证范围
7.6.1.中心应有暂停、撤消认证或缩小管理体系认证范围的政策和形成文件的程
序,并规定中心的后续措施。
7.6.2.发生以下情况(但不限于)时,中心应暂停获证组织的管理体系认证资格:
(1)获证组织的管理体系持续地或严重地不满足认证要求,包括对管理体系有效性的要求;
(2)获证组织不允许按要求的频次实施监督或再认证审核;
(3)获证组织不接受或不配合认证认可监督管理部门的监督管理;
(4)获证组织主动请求暂停。
7.6.3.认证资格暂停期最长不超过6个月。
7.6.4.在暂停认证期间,获证组织的管理体系认证证书暂时无效。中心应做出具有
强制实施力的安排,避免暂停认证期间获证组织继续宣传管理体系认证资格。中心应使认证证书的暂停信息可公开获取。
7.6.5.如果获证组织未能在中心规定的时限内解决造成暂停认证的问题,中心应撤
消其管理体系认证或缩小其相应的认证范围。
7.6.6.如果获证组织在认证范围的某些部分持续地或严重地不满足认证要求,中心
应缩小其管理体系认证范围,以排除不满足要求的部分。认证范围的缩小应与认证标准的要求一致。
7.6.7.中心应与获证组织就撤消管理体系认证时的要求做出具有强制实施力的安
排,以确保获证组织接到撤消认证的通知时,立即停止使用任何引用管理体系认证资格的广告材料。
7.6.8.在任何组织提出请求时,中心应正确说明获证组织的管理体系认证被暂停、
撤消或缩小的情况。
8.认证证书
8.1.证书内容
8.1.1.认证证书内容应以中文书写,至少包括以下方面:
(1)认证证书名称,例如:业务连续性管理体系认证证书;
(2)符合本规则8.2项规定的证书编号;
(3)获证组织名称、注册地址、获证地址和邮政编码;
(4)符合本规则2项的认证依据;
(5)通过认证的业务类别;
(6)颁证日期、换证日期以及证书有效期的起止年月日。如颁证日期:2002 年5月1日,有效期:2002年5月1日至2005年4月30日;
(7)中心的名称及其标志;
(8)中心的印章和法定代表人代表或其授权人的签字;
(9)认可标识及认可注册号(应为国家认监委确定的认可机构的标识,以申请认可为目的发出的证书可没有此内容);
8.1.2.如果认证所覆盖业务(或服务)的类别及其所涉及的过程和覆盖的场所较多,
需在证书附件上加以注明。
8.2.证书编号
8.2.1.对同一个受审核方实施的同一个管理体系认证,赋予一个认证证书编号。
8.2.2.证书编号规则由中心进行明确规定。
8.2.3.同一个组织的认证范围覆盖多个场所并需要颁发子证书时,在子认证证书编
号后加上“-”和序号,如-1(-2,-3,?)。
8.2.4.有效期内换发证书,认证证书编号中的机构注册号、年份号、顺序号和认证
的有效期保持不变,应注明换证日期。
8.2.5.撤销证书后,原认证证书编号废止,不再它用。
8.2.6.认证证书上的中心名称应与相应的中心批准书上的名称一致。
8.3.对获证组织正确宣传认证结果的控制
中心应采取授权使用标识的方式来要求获证组织在认证结果的宣传和使用中采用本规则确定的认证依据,同时注明通过认证的业务类别和认证证书编号。在认证证书被暂停期间或撤销后,应收回相应的授权。
不应授权获证组织在产品上使用上述标识,或以表示产品合格的方式使用上述标识。
9.对获证组织的信息通报要求及响应
为确保获证组织的管理体系持续有效,中心应要求获证组织建立信息通报制度,及时向中心通报以下信息:
(1)业务、地点、组织机构变化等情况的信息(及时通报);
(2)顾客投诉的相关信息(每三个月通报一次);
(3)组织的体系文件和业务重大变化时进行通报;
(4)有严重与管理体系相关事故的信息(及时通报);
(5)其他重要信息。(视情况)
中心应对上述信息以及收集到的相关公共信息进行分析,视情况采取相应措施,包括增加监督审核频次以及暂停或撤销认证资格的措施等。在发生重大客户投诉等严重情况时,中心需立即采取相应处理措施。
10.附录A:审核时间
下表为BCMS初次认证的审核人日基数,具体审核时间需要考虑受审核方的规模、特性、业务复杂程度、BCMS涵盖的范围、认证要求和其承担的风险等因素。根据受审核方的特点在项目方案制定过程中可以在人日基数上进行增减。
审核人日包括一阶段审核、现场审核、现场见证(验证)以及报告编写的时间。
当BCMS与其他管理体系结合审核时,BCMS的审核时间可根据结合审核的其他管理体系的特点进行减少。
监督审核的人日数为初次认证人日数的二分之一,再认证的人日数为初次认证人日数的三分之二,上述原则仅限于获证组织的认证范围和组织规模未发生变化的情况。
基本人日数计算表
2017年中国信息安全行业发展现状及未来发展趋势分析
2017年中国信息安全行业发展现状及未来发展趋势分析 (一)行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制 信息安全行业主要受信息产业及安全主管部门的监管,具体如下: 数据来源:公开资料整理 2、行业主要法律法规及政策 (1)行业主要法律法规 信息安全行业,受到信息安全行业相关法律法规的管理。行业的主要法律法规如下:
数据来源:公开资料整理(2)行业主要发展政策
行业主要发展政策如下: 数据来源:公开资料整理(二)信息安全行业概况及未来发展趋势 1、信息安全的定义
信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护,使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁,保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性: 数据来源:公开资料整理 2、信息安全行业的技术、产品和服务 (1)信息安全技术 为了实现信息安全的七个核心属性,需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而,目前信息安全的主流技术包括信息系统自身的安全技术(物理安全和运行安全技术)、信息自身的安全技术(数据安全与内容安全技术)、信息利用的安全技术(信息对抗技术),具体如下:
数据来源:公开资料整理(2)信息安全产品 信息安全产品按照功能分类主要包括:防火墙产品、入侵检测与入侵防御产品、统一威胁管理产品、身份管理类产品、加密类产品、电子签名类产品、安全审计类产品以及终端安全管理产品等。主要产品的情况如下:
信息安全管理体系审核员注册准则-中国信息安全认证中心
中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会
信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.360docs.net/doc/4715071538.html, email:pcc@https://www.360docs.net/doc/4715071538.html, 版权 ?版权2012-中国认证认可协会
前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。
国家信息安全测评
国家信息安全测评 信息安全服务资质申请指南(安全工程类三级) ?版权2015—中国信息安全测评中心 2016年10月1 日
一、认定依据 (4) 二、级别划分 (4) 三、三级资质要求 (4) 3.1 基本资格要求 (5) 3.2 基本能力要求 (5) 3.3 质量管理要求 (6) 3.4安全工程过程能力要求 (6) 四、资质认定 (7) 4.1认定流程图 (7) 4.2申请阶段 (8) 4.3资格审查阶段 (8) 4.4能力测评阶段 (8) 4.4.1静态评估 (8) 4.4.2现场审核 (9) 4.4.3综合评定 (9) 4.4.4资质审定 (9) 4.5证书发放阶段 (9) 五、监督、维持和升级 (10) 六、处置 (10) 七、争议、投诉与申诉 (10) 八、获证组织档案 (11) 九、费用及周期 (11)
中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。 中国信息安全测评中心的主要职能是: 1.对国内外信息安全产品和信息技术进行测评; 2.对国内信息系统和工程进行安全性评估; 3.对提供信息系统安全服务的组织和单位进行评估; 4.对信息安全专业人员的资质进行评估。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。 本指南适用于所有向CNITSEC提出信息安全工程服务三级资质申请的境内外组织。
中国电信信息安全责任书范文
信息安全责任书 作为中国电信用户,保证遵守以下各项规定: 第一条遵守国家有关法律、行政法规和管理规章,严格执行信息安全管理规定。 第二条建立有效的信息安全管理制度和技术保障措施,建立完善的内容管理审核制度,定期组织自查自纠,及时处理各种隐患。落实信息安全责任制,加强从事信息管理人员的教育检查工作,并接受相关业务主管部门的管理、监督和检查。 第三条不利用中国电信移动通信网、互联网或相关业务平台从事危害国家安全、泄露国家机密等违法犯罪活动,不利用中国电信移动通信网、互联网或相关业务平台制作、查阅、复制和传播违反宪法和法律、妨碍社会治安、破坏国家统一、破坏民族团结、色情、暴力等的信息,不利用中国电信移动通信网、互联网或相关业务平台发布任何含有下列内容之一的信息: (一)反对宪法所确定的基本原则的; (二)危害国家安全,泄露国家机密,颠覆国家政权,破坏国家统一的; (三)损害国家荣誉和利益的; (四)煽动民族仇恨、民族歧视,破坏民族团结的; (五)破坏国家宗教政策,宣扬邪教和封建迷信的; (六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; (八)侮辱或者诽谤他人,侵害他人合法权益的; (九)含有法律、行政法规禁止的其他内容的。 发现上述违法活动和有害信息的,应立即采取措施制止并及时向有关主管部门报告。 第四条服务器上开设的网站,在开通联网前必须履行备案手续,先备案后接入,未履行备案手续、未获得备案号的网站必须关闭。网站开通论坛必须履行前置审批手续,若未履行前置审批、未获得备案号必须关闭论坛。 承诺声明,将严格履行相关规定,若因违反以上规定,根据相关法规承担全部责任,中国电信丽江分公司有权单方面断网。 责任单位(签章): 责任人(签字) 年月日
美国八大金刚对中国信息安全的威胁
中国在美国“八大金刚”面前几乎赤身裸体 一位在信息安全领域沉浸了20多年的专家称:“作为全球第二大经济体,中国几乎是赤身裸体地站在已经武装到牙齿的美国…八大金刚?(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前。” 被西方国家及媒体频频指责是安全威胁源的中国,目前正处于一个无形的网络安全阴影之 下。 中国国家互联网应急中心抽样监测显示,2011年有近5万个境外IP地址作为木马或僵尸网络控制服务器,参与控制了我国境内近890万台主机,其中有超过99.4%的被控主机,源头在美国。而仿冒我国境内银行网站站点的IP也有将近四分之三来自美国。
这组触目惊心的数据,显示出中国网络安全的脆弱现状。中国的信息安全在以思科为代表的美国“八大金刚”(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前形同虚设。在绝大多数核心领域,这八家企业都占据了庞大的市场份额。一位在信息安全领域沉浸了20多年的专家称:“作为全球第二大经济体,中国几乎是赤身裸体地站在已经武装到牙齿的美国…八大金刚?面前。” 多位信息安全专家向《中国经济和信息化》杂志表示,在全球范围内,除美国在信息安全方面采用进攻型策略以外,其他国家都只能防守。而如何防范可能被插进体内的獠牙,国内相关部门应当拿出更多办法。 而本刊获得的数据显示,全球有超过九成的网络战发端于美国。而网络设备正是网络战必备的武器。 在此威胁下,已有中国大型央企觉醒。思科在中国的第二大客户中国联通,正在更换已经使用的思科网络设备。中国联通及江苏联通向本刊确认称,截至10月底,中国两大骨干网之一的China169骨干网江苏无锡节点核心集群路由器已搬迁完成,而被“扫地出门”的路由器正是思科的产品。江苏联通综合部部长向记者证实,此次搬迁是来自中国联通总部的统一安排,并不是江苏联通的决定。 中国联通还称,不排除有其他省级公司继续弃用思科产品。 这或许是这艘来自美国的通信领域航空母舰在中国第一次遭受挫折。在18年前,它驶入一片荒芜的中国通信海域大展拳脚,凭借强悍的技术实力与公关能力横行无阻。 也有专家呼吁,因为承担着振兴国家经济命脉的重任,以央企为代表的大型企业,应当率先警惕使用思科等产品带来的潜在安全威胁。 技术漏洞还是另有玄机? 美国与以色列曾经借助电脑蠕虫病毒令伊朗的核设施瘫痪——之所以该病毒具备如此威力,是因为几乎伊朗每台电脑都安装了微软的Windows 系统。 在传统的四大战争空间之外,越来越多的国家将目光投向网络空间。美国总统奥巴马已经任命微软的前安全总管霍华德·施密特作为网络安全总指挥。五角大楼甚至成立了一个新的网络司令部,担任领导的是国家安全局局长基思·亚历山大将军,他的任务是保卫美国的军事网络和攻击他国的系统。
中国信息安全测评中心授权培训机构管理办法
中国信息安全测评中心授权培训机构管理办法 中国信息安全测评中心 二〇一七年一月
第一章 总 则 第一条随着国家信息化建设的高速发展,对信息安全专业人才的需求逐年增加。为贯彻中共中央办公厅、国务院办公厅中办发[2003]27号文件中关于“加快信息安全人才培养,增强全民信息安全意识”的精神,加强对授权培训机构的管理,规范授权培训机构的职能,中国信息安全测评中心(以下简称CNITSEC)根据相关管理规定制定本办法。 第二条CNITSEC为授权委托方,中国信息产业商会信息安全产业分会为授权运营管理机构(以下简称授权运营方),授权培训机构为CNITSEC授权的培训机构方。 第三条CNITSEC、授权运营方、授权培训机构关系如下: 1、CNITSEC及授权培训机构均为独立的法人单位,但两两之间不具有行政隶属及产权归属关系,各自对自己的行为承担法律责任; 2、授权运营方作为CNITSEC与授权培训机构之间的接口机构,按照授权委托方的要求对授权培训机构进行监督、指导和管理。授权运营方统一受理对授权培训机构的投诉,根据调查结果出具处理意见。 3、CNITSEC对授权运营方及授权培训机构具有监督管理的权利; 4、授权培训机构应严格遵守相关管理规定,开展双方协议规定的培训业务,按时向CNITSEC缴纳管理费。 第四条本办法由授权运营方具体执行。 第二章授权业务类型 授权培训机构应与CNITSEC及授权运营方签订授权协议书,明确
双方的责任与义务,依法开展培训业务。 第五条授权培训机构可以以“中国信息安全测评中心授权培训机构”的名义,根据授权协议中授权内容从事以下培训业务: 1、注册信息安全员(Certified Information Security Member 简称CISM)培训; 2、注册信息安全专业人员(Certified Information Security Professional,简称CISP)培训,根据工作领域和实际岗位工作的需要,CISP培训分为四类: ●注册信息安全工程师(Certified Information Security Engineer简称CISE)培训; ●注册信息安全管理员(Certified Information Security Officer简称CISO)培训; ●注册信息安全审计师(Certified Information Security Auditor简称CISP-A)培训; ●注册信息安全开发人员(Certified Information Security Developer 简称CISD)培训。 3、其他培训业务以双方协议具体规定为准。 第三章授权培训机构的管理 第六条授权培训机构必须遵守如下管理规定: 1、日常工作管理 (1)按CNITSEC统一规定的教材、教学大纲开展培训业务,并执行授权运营方制定的统一培训标准;
信息技术与信息安全考试题库及答案(全)
???广西公需科目信息技术与信息安全考试 试卷 考试时间:150分钟总分:100分 ???分? ???是第几代移动通信技术?( ) ?? 第三代 ? 第二代 ? 第一代 ? 第四代 ???分? 无线局域网的覆盖半径大约是(? )。 ?? ???????? ? ?????? ? ?????? ? ???????? ???分? 恶意代码传播速度最快、最广的途径是( )。 ?? 安装系统软件时 ? 通过?盘复制来传播文件时 ? 通过网络来传播文件时 ? 通过光盘复制来传播文件时 ???分? 以下关于智能建筑的描述,错误的是(? )。 ?? 随着建筑智能化的广泛开展,我国智能建筑市场已接近饱和。 ? 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 ? 建筑智能化已成为发展趋势。 ? 智能建筑强调用户体验,具有内生发展动力。 ???分? 广义的电子商务是指( ?)。 ?? 通过互联网在全球范围内进行的商务贸易活动 ? 通过电子手段进行的商业事务活动 ? 通过电子手段进行的支付活动 ? 通过互联网进行的商品订购活动 ???分? 证书授权中心( ?)的主要职责是( ?)。
?? 颁发和管理数字证书 ? 进行用户身份认证 ? 颁发和管理数字证书以及进行用户身份认证 ? 以上答案都不对 ???分? 以下关于编程语言描述错误的是( ?)。 ?? 高级语言与计算机的硬件结构和指令系统无关,采用人们更易理解的方式编写程序,执行速度相对较慢。 ? 汇编语言适合编写一些对速度和代码长度要求不高的程序。 ? 汇编语言是面向机器的程序设计语言。用助记符代替机器指令的操作码,用地址符号或标号代替指令或操作数的地址,一般采用汇编语言编写控制软件、工具软件。 ? 机器语言编写的程序难以记忆,不便阅读和书写,编写程序难度大。但具有运行速度极快,且占用存储空间少的特点。 ???分? 云计算根据服务类型分为(? )。 ?? ????、 ???、 ??? ? ????、 ???、 ??? ? ????、 ???、 ??? ? ????、 ???、 ??? ???分? 统一资源定位符是(? )。 ?? 互联网上网页和其他资源的地址 ? 以上答案都不对 ? 互联网上设备的物理地址 ? 互联网上设备的位置 ????分? 网站的安全协议是?????时,该网站浏览时会进行( ?)处理。 ?? 增加访问标记 ? 加密 ? 身份验证 ? 口令验证 ????分? 涉密信息系统工程监理工作应由( )的单位或组织自身力量承担。 ?? 具有信息系统工程监理资质的单位; ? 涉密信息系统工程建设不需要监理;
浅谈中国国家信息安全战略
浅谈中国国家信息安全战略 关键词:信息安全国际信息安全威胁中国信息安全战略 摘要:当今世界,和平与发展是时代的主题。国家的发展需要和平稳定的建设环境,需要国家安全保障。随着现代技术的发展,信息技术已经成为隐形的国际斗争的工具,某种程度上来说,鼠标、键盘和子弹、炸弹一样危险。信息安全是国家安全的独立的基本要素,也影响着政治、军事、经济等其他要素。对于中国而言,必须广泛吸收借鉴发达国家的经验,完善信息安全战略,健全信息安全体制,保障国家信息安全。 一、信息安全简述 (一)、什么是信息安全 从一个主权国家的角度来讲,信息安全属于非传统安全范畴。非传统安全是指除军事、政治和外交冲突以外的其他对主权国家及人类整体生存和发展构成威胁的因素。1信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。2 (二)、信息安全的重要性 随着现代科学技术的发展,尤其是互联网的诞生为信息战提供的巨大技术支持,信息技术已经成为隐形的国际斗争的工具。某种程度上来说,轻轻敲击一下键盘和发射一枚炸弹危险程度不相上下。信息安全是国家安全的基本要素,举足轻重地影响着政治、军事、经济等其他要素。 二、国际信息安全现状分析 (一)、信息安全威胁事件回顾 1.1991年的海湾战争中,美国偷偷把一套带有病毒的同类芯片换装到伊拉克从法国购买了一种用于防空系统的新型电脑打印机里。当美国领导的多国部队发动“沙漠风暴”行动,空袭伊拉克时,美军用无线遥控装置激活了隐藏的病毒,致使伊拉克的防空系统陷入了瘫痪。 1夏超然,2008年非传统安全问题的新挑战与国家安全战略的应对之策,《理论观察》2009年第1期 2资料来源:“信息安全”维基百科https://www.360docs.net/doc/4715071538.html,/wiki
盘点2017年国内移动信息安全十大事件
盘点2017国内移动信息安全十大事件2017年刚刚结束,回头反思过去一年的发生的各类网络安全事件,除了WannaCry勒索病毒横扫全球、2亿选民资料泄漏的“邮件门”及新型IoT僵尸网络等轰动全球的网络安全大事件外,与我们生活密切相关的一众移动安全事件也是让人应接不暇,下面就跟我们一起来整理回顾下,2017年都发生了哪些移动安全事件吧。 1、勒索病毒瞄准“王者荣耀”袭击手机 火到一发不可收拾的《王者荣耀》不光吸粉能力、吸金能力超强,这吸引病毒的能力也非同一般。6月2日,360手机卫士发现了一款冒充时下热门手游《王者荣耀》辅助工具的手机勒索病毒,该勒索病毒被安装进手机后,会对手机中照片、下载、云盘等目录下的个人文件进行加密,并索要赎金。这种病毒一旦爆发,会威胁几乎所有安卓平台的手机,用户一旦中招,可能丢失所有个人信息。
从该病毒的形态来看,与PC端大规模肆虐的“永恒之蓝”界面极为相似,用户中招后,桌面壁纸、软件名称、图标形态都会被恶意修改,用户三天不支付,赎金便会加倍,一周不支付,文件就会被全部删除!除此之外,该勒索病毒可能使用的软件命名包括“王者荣耀辅助”或“王者荣耀前瞻版安装包”等。 2、个人隐私泄漏引发重视10款APP上安全“灰名单” 2017年7月20日,腾讯社会研究中心与DCCI互联网数据中心联合发布《网络隐私安全及网络欺诈行为研究分析报告显示,手机APP越界获取个人信息已经成为网络诈骗的主要源头之一,由此引发了社会各界对于手机应用越权获取用户隐私权限现状的声讨。 报告显示,高达96.6%的Android应用会获取用户手机隐私权,而iOS应用的这一数据也高达69.3%。用户更需警惕的是,25.3%的Android应用存在越界获取用户手机隐私权限的情况。越界获取隐私权限,是指手机应用在自身功能不必要的情况下获取用户隐私权限的行为。 手机应用越界获取用户隐私权限会带来巨大的安全风险隐患,如隐私信息被窃取、用户信息被用于网络诈骗、造成经济损失、手机卡顿现象严重等。例如,手机APP随意访问联系人、短信、记事本等应用,可以查看到用户的银行卡账号密码等信息,容易造成用户手机话费被暗扣和银行支付账号被盗。用户存在手机里的隐私资料、照片被
2019中国网络与信息安全市场优秀品牌调查报告
中国网络与信息安全市场优秀品牌调查报告第一部分调查背景、方法随着用户在网络与信息安全意识和安全需求方面的提升,近几年来,网络与信息安全市场正以倍速增长,行业发展日趋集中化和规范化,国内的网络与信息安全厂商已逐渐由原来的星星之火发展起燎原之势。网络与信息安全产业不但关系到国家的政治、经济、文化和国防安全,同时也成为it产业发展的一大亮点,在产业发展的过程中,也涌现出了大批优的网络与信息产品和服务品牌,其中也不乏行业中的后起之秀。为了让优秀的、具有一定实力的中国网络与信息安全生产和服务厂商脱颖而出,拥有更广泛的合作机会,让用户了解国内优秀的网络安全厂商和安全产品;推动构建面向未来、一体化的可信赖网络的发展,XX中国互联网大会.网络与信息安全论坛组委会,结合大会和论坛在组织、媒体、用户和专家层面的资源,发起了中国网络与信息安全优秀品牌调查活动。本次活动由中国互联网协会主办,上海交通大学信息安全工程学院承办,国家信息产业部、科技部等部委对活动予以指导,组织成立了中国网络与信息安全优秀品牌推荐专家评审委员会,保证了评选活动的中立性、专业性和权威性。本次调查共有有效样本1143份,样本广泛覆盖政府机关、金融、电信、能源、教育文化、互联网企业等各类用户。调查时间为XX年7月15日--XX年8月20日。采用的调查方式是通过网络调查、传真、e_mail和信件等多种方式向广大的互联网用户发放问卷。活动评选的过程同时得到了网易、新浪、天极、计算机世界、信息安全与通信保密、信息网络安全等大众和专业媒体的大力支持。第二部分调查结果 一、使用过何种类型的网络与信息安全产品(一)网民中安全产 - 1 -
国家信息安全专项清单
国家信息安全专项及下一代互联网技术研发、产业化和规模商用专项项目清单 2015年2月16日,国家发改委发布了国家信息安全专项及下一代互联网技术研发、产业化和规模商用专项项目清单,共计105个单位入选,其中信息安全行业的领导者北京中超伟业信息安全技术有限公司的云操作系统安全加固系统产品产业化项目成功入选,排名在第33位。 全部名单如下: 1、中安网脉(北京)技术股份有限公司中安源网络安全存储系统产品产业化项目已列入2013年国家信息安全专项。 2、最高人民检察院检察技术信息研究中心基于密级标识的综合管控系统试点示范项目已列入2013年国家信息安全专项。 3、北京中盾安全技术开发公司高级可持续威胁(APT)安全监测产品产业化项目已列入2013年国家信息安全专项。 4、上海辰锐信息科技公司网络保密和失泄密核查取证产品产业化项目已列入2013年国家信息安全专项。 5、中国信息安全测评中心基于公网的跨域电子邮箱安全保密试点示范项目已列入2013年国家信息安全专项。 6、龙浩通信公司基于可信强制访问控制的虚拟化安全加固及管理系统产品产业化项目已列入2013年国家信息安全专项。 7、中国银行业监督管理委员会信息中心国家金融领域商业银行重要信息系统安全应急保障平台试点示范项目已列入2013年国家信息安全专项。 8、国家信息中心基于标识密码技术的安全电子邮箱试点示范项目已列入2013年国家信息安全专项。
9、国家电网公司智能电网调度控制系统安全免疫示范项目已列入2013年国家信息安全专项。 10、北方智能微机电集团有限公司基于密级标识的涉密信息系统研究与试点示范项目已列入2013年国家信息安全专项。 11、中国电力建设集团有限公司云计算与大数据安全应用试点示范项目已列入2013年国家信息安全专项。 12、中国电信集团公司云操作系统安全加固及超大规模集群虚拟机安全管理产品产业化项目已列入2013年国家信息安全专项。 13、成都卫士通信息产业股份有限公司高性能入侵检测与防御系统产品产业化项目已列入2013年国家信息安全专项。 14、中电六所智能系统有限公司高级可持续威胁(APT)安全监测产品产业化项目已列入2013年国家信息安全专项。 15、中国软件与技术服务股份有限公司面向社会公共安全领域的大数据平台安全管理产品产业化项目已列入2013年国家信息安全专项。 16、中国信息安全研究院有限公司恶意程序辅助检测系统产品产业化项目已列入2013年国家信息安全专项。 17、北京国际系统控制有限公司安全采集远程终端单元(RTU)产品产业化项目已列入2013年国家信息安全专项。 18、金航数码科技有限责任公司网络保密检查和失泄密核查取证产品产业化项目已列入2013年国家信息安全专项。 19、北京京航计算通讯研究所航天三院涉密信息系统涉密载体全生命周期安全管控试点示范项目已列入2013年国家信息安全专项。
中国信息安全行业发展现状及未来发展趋势分析
年中国信息安全行业发展现状及未来发展趋势分析
————————————————————————————————作者:————————————————————————————————日期:
2017年中国信息安全行业发展现状及未来发展趋势分析 (一)行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制 信息安全行业主要受信息产业及安全主管部门的监管,具体如下: 数据来源:公开资料整理 2、行业主要法律法规及政策 (1)行业主要法律法规 信息安全行业,受到信息安全行业相关法律法规的管理。行业的主要法律法规如下:
数据来源:公开资料整理
(2)行业主要发展政策 行业主要发展政策如下: 数据来源:公开资料整理(二)信息安全行业概况及未来发展趋势 1、信息安全的定义
信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护,使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁,保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性: 数据来源:公开资料整理 2、信息安全行业的技术、产品和服务 (1)信息安全技术 为了实现信息安全的七个核心属性,需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而,目前信息安全的主流技术包括信息系统自身的安全技术(物理安全和运行安全技术)、信息自身的安全技术(数据安全与内容安全技术)、信息利用的安全技术(信息对抗技术),具体如下:
中国信息安全测评中心授权培训机构申请书
中国信息安全测评中心 授权培训机构申请书 申请单位(公章): 填表日期: ?版权2020—中国信息安全测评中心 2020年2月
中国信息安全测评中心(CNITSEC) 授权培训机构资质申请书 目录 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位资产运营情况 (7) 四、申请单位人员情况 (9) 五、培训场所及设备设施情况 (14) 六、质量保证 (16) 七、信息安全及相关培训情况 (18) 八、信息安全培训宣传推广 (19)
填表须知 用户在正式填写本申请书前,须认真阅读并理解以下内容:授权培训机构申请单位(以下简称:申请单位)在正式填写本申请书前,须认真阅读以下内容: 1.申请单位应仔细阅读《授权培训机构申请指南》及《授权培训机构管理办法》, 并按要求认真、如实、详细地填写本申请书。 2.申请单位应按照申请书的原有格式进行填写,所有填报项目(含表格)页面不足 时,可另加附页。 3.填写本表时要求字迹清晰,请用签字笔正楷填写或计算机输入。 4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材 料是否完整。 5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方, 必须加盖公章,同时提交一份对应的电子文档(电子文档刻盘与纸板申请书一起邮寄)。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。 7.如有疑问,请与中国信息安全测评中心联系。 中国信息安全测评中心 地址:北京市海淀区上地西路8号院1号楼 邮编:100085 电话:(010)82341571或82341576 传真:82341100 网址:https://www.360docs.net/doc/4715071538.html, 电子邮箱:zhangxy@https://www.360docs.net/doc/4715071538.html,
电信日网络信息安全知识竞赛试题
电信日网络信息安全知识竞赛试题 a、“让全球网络更安全” b、“信息通信技术:实现可持续发展的途径” c、“行动起 来创建公平的信息社会” 2、信息产业部将以世界电信日主题纪念活动为契机,广泛进行宣传和引导,进 一步增强电信行业和全社会的意识。 a、国家安全 b、网络与信息安全 c、公共安全版权所有 3、为了进一步净化网络环境,倡导网络文明,信息产业部于XX年2月21日启 动了持续到年底的系列活动。 a、阳光绿色网络工程 b、绿色网络行动 c、网络犯罪专项整治 4、“阳光绿色网络工程”的“阳光”寓意着光明和普惠万事万物,并要涤荡网络上 的污浊;“绿色”代表要面向未来构建充满生机的和谐网络环境;“网络”代表活动 的主要内容以网络信息服务为主;“工程”代表活动的系统性和长期性。系列活动 的副主题为:倡导网络文明,。 a、构建和谐环境 b、打击网络犯罪 c、清除网络垃圾 5、为了规范互联网电子邮件服务,依法治理垃圾电子邮件问题,保障互联网电 子邮件用户的合法权益,信息产业部于XX年2月20日颁布了,自XX年3月30 日开始施行。 a、《互联网信息服务管理办法》 b、《互联网电子邮件服务管理办法》 c、《互 联网电子公告服务管理规定》 6、为了防范垃圾电子邮件,互联网电子邮件服务提供者应当按照信息产业部制 定的技术标准建设互联网电子邮件服务系统,电子邮件服务器匿名转发功能。 a、使用 b、开启 c、关闭 7、互联网电子邮件服务提供者对用户的和互联网电子邮件地址负有保密的义务。 a、个人注册信息 b、收入信息 c、所在单位的信息 8、向他人发送包含商业广告内容的互联网电子邮件时,应当在电子邮件标题的 前部注明字样。 a、“推销” b、“商业信函” c、“广告”或“ad” 9、任何组织或个人不得利用互联网电子邮件从事传播淫秽色情信息、窃取他人 信息或者等违法犯罪活动,否则构成犯罪的,依法追究刑事责任,尚不构成犯罪的,由公安机关等依照有关法律、行政法规的规定予以处罚;电信业务提供者从 事上述活动的,并由电信管理机构依据有关行政法规处罚。 a、故意传播计算机病毒 b、发送商业广告 c、传播公益信息 10、为了鼓励用户对违规电子邮件发送行为进行举报,发动全社会的监督作用,信息产业部委托中国互联网协会设立了互联网电子邮件举报受理中心,其举报电 话是010-12321,举报电子邮箱地址为。
2020年全球及中国信息安全市场规模分析及预测
2020年全球及中国信息安全市场规模分析 及预测 网络安全相关法规、政策逐渐落地,推动整体行业的发展。1)合规性政策陆续出台提升网络安全产品服务空间。2017年,《网络安全法》出台,从顶层设计上将网络安全法制化。2019 年 5 月 13 日,《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于 2019 年12 月 1 日开始实施,标志着国家对信息安全技术与网络安全保护迈入 2.0时代。等保 2.0 为中国网络安全市场注入又一强力催化剂,进一步保障和提升中国在未来几年引领全球网络安全市场增速。 2)促进性法规进一步推动行业加速发展。2019 年 6 月,《国家网络安全产业发展规划》正式发布,根据规划,到2020 年,依托产业园带动北京市网络安全产业规模超过 1000 亿元,拉动 GDP 增长超过 3300 亿元,打造不少 3 家年收入超过 100 亿元的骨干企业。此外,地方政府网络安全产业规划陆续出台,为网络安全行业提供场地、资金、人才等实质性发展支持。 护网行动力度加大,凸显国家对网络安全的重视。自 2016 年以来,公安部每年开展针对关键信息基础设施的实战攻防演习,被称为“护网行动”。伴随着等保 2.0 时代的到来,同时为加强新中国成立 70 周年大庆的安全保卫,2019年“护网行动”涉及范围扩大至工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等单位,充分彰显国家对网络安全的重视。护网行动力度的加大,也极大促进了政企对网络安全的投入,推动安全市场的发展。
信息安全应急处理服务资质认证申请书-中国信息安全认证中心
申请编号: 信息安全服务资质认证 申请书 申请组织(盖章): 申请日期: 中国网络安全审查技术与认证中心
填写说明 1、本申请书适用于向中国网络安全审查技术与认证中心申报信息安全服务资质认证。 2、三级申请组织需提交申请书和自评价表(自评价表应包括公共管理自评价表一份)。 3、一、二级申请组织需提交申请书和自评价表(自评价表应包括公共管理、对应服务类别的自评价表各一份)。 4、申请书应使用A4型纸打印装订,首页及申请组织声明处加盖组织公章,并使用黑色钢笔或签字笔在相应位置签名(法人)。 5、申请书中所要求提交的证明材料,自评价表及自评价证据以电子版方式提供,不接受纸版材料。
信息安全服务资质认证申请书 1.申请信息 1.1申请类型 初次认证 级别变更1.2 资本类型 A类(不具有外资背景)B类(具有外资背景) 1.2申请类别与级别 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复(资源服务类)一级二级三级 灾难备份与恢复(技术服务类)一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 (工业控制所属行业:能源交通通信水利城建其他)1.3保持的类别和级别(级别变更或增加类别时填写) 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复(资源服务类)一级二级三级 灾难备份与恢复(技术服务类)一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 (工业控制所属行业:能源交通通信水利城建其他)2.组织基本信息(所有申请类型和级别都需填写) 申请组织全称(中文):。 申请组织全称(英文):。
信息安全知识竞赛题库
信息安全竞赛题库 1.《中国电信四川公司重大网络与信息安全事件管理办法》中的网络与信息安全管理对应的各类业务和平台包括:自营和合作类业务、直接接入网站、ISP商接入网站、各类支撑系统、业务平台、通信系统、自营或合作类网站。 2.重大网络与信息安全事件发生后,责任单位是第一责任人。 3.重大网络与信息安全事件管控,核心和重点在于风险的预防和管控。 4.对造成网络与信息安全重大事件的相关责任单位,及其领导班子、主要责任人予以考核问责,主要依据事件的情节轻重和造成的影响。 5.对造成网络与信息安全重大事件的相关责任单位,及其领导班子、主要责任人的考核处置方式包括绩效扣分、通报批评、取消评优评先资格、直至问责。 6.网络信息安全管理管理体系分为决策层、管理层和执行层。 7.安全策略体系的建设工作是以动态管理和闭环管理为方法,并是一个持续完善的过程。 8.互联网安全角色设置中主要角色包括安全管理角色、安全预警/统计分析角色、安全事件处理角色、日常安全维护角色。 9.各安全域维护单位必须明确服务安排、服务定义和服务管理的各方面内容,并对第三方服务过程进行监督和评审,确保网络安全事件和问题得到恰当的处理。 10.访问控制是指基于业务的安全需求对系统和数据的访问进行控制。 11.访问控制包括限制访问权限与能力、限制进入物理区域、限制使用网络与信息处理系统及存储数据,具体包括:账号口令管理、网络访问控制、操作系统和应用系统的访问控制、远程访问控制。 12.网络与系统风险评估要求各安全域维护单位应建立风险评估管理办法,定期对所辖定级网络与系统进行风险评估,形成风险评估报告。 13.安全事件与应急响应要求各安全域维护单位必须遵循并贯彻“积极预防,及时发现,快速响应,确保恢复”的方针,建立安全事件报告机制及应急响应机制。 14.安全审计管理明确安全审计的范围应该包括各类网络与系统,业务平台与信息资产、组织与人员、业务流程等。 15.安全审计应作为安全日常工作的一部分定期开展。 16.安全事件就来源不同可分为外部发现和内部发现两类。 17.网络信息安全指通过采取必要的措施,防范对网络攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。 18.信息安全指在中国电信范围内,采取有效使网络数据与网络信息不受偶然或恶意的威胁,保障网络数据与网络信息的完整性、保密性、可用性以及合法合规性的能力;在发生信息安全事件时,能够最大程度降低信息安全事件所造成的影响。 19.信息安全基础管理原则包括一把手责任制和分级管理。 20.信息安全管理办法按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”原则,对责任单位划分为统筹管理部门、归口管理部门、业务运营管理部门、支撑管理部门四类。 21.网络数据和信息保存、提取、使用中,明确了必须遵守“合法、正当、必要”的原则。 22.责任单位必须对访问、提取使用、传递、消除等操作定期进行审计,履行信息安全管理责任。 23.合作方可以访问或使用的中国电信内部网络数据与网络信息,由责任单位承担管理和安全防护责任。 24.信息安全事件按照影响程度分为特大、重大、一般信息安全事件。 25.发生信息安全事件时,要按照要求立即进行上报并组织开展处置,其中特大和重大事件10分钟内上报省公司,处置情况20分钟内简要报送,24小时内简要书面报告,4个工作日内专题报告。 26.未实现电子化管理的用户信息资料必须落实到具体的使用人员,以权限最小化的原则进行查阅、使用和销毁。 27.所有涉及用户信息保护的人员签订保密协议,涉及用户信息查阅的支撑账号按季度定期审计。 28.互联网新技术、新业务信息安全评估指运用科学的方法和手段,系统地识别互联网业务经营过程中存在的信息安全风险,评估风险导致的信息安全事件一旦发生可能造成危害程度,进而提出综合性和可操作性的预防信息安全事件发生的管理对策和安全措施。 29.双新业务评估的对象包括基础电信企业及增值电信企业运营的互联网业务,以及可能被不法分子利用实施通讯信息诈骗的电信业务。 30.重点存量业务未经安全评估,业务部门必须立即停止发展。
电信信息安全管理制度
甘孜电信信息安全管理制度 一、信息安全管理制度 (一)、州公司各部门工作界面 1、市场拓展部:负责信息类业务整体规划、审核;负责对信息业务的整体把关;负责对外协调、公关,负责统一媒体宣传口径等工作。 2、信息化应用中心:负责制订信息安全工作管理规范,负责对州县信息安全工作的检查指导;负责信息安全管理体系相关技术平台的开发建设;负责承接省公司信息安全工作要求,负责组织开展本地的信息安全管理工作;负责本地互联网接入、合作接入及信息发布平台等本地管理的业务、平台的信息安全保障工作。 二、信息业务接入审核 (一)、与甘孜电信开展增值业务合作(包括:短信、声讯、互联网),需要进行接入审核,合作SP必须具备以下基本资质: 1、基本条件 (1)拥有信息产业部或其下属管理机构颁发的《电信增值业务经营许可证》,并确保其服务覆盖范围为其合法经营范围。 (2)具备开发增值业务应用的技术实力和运营团队,完备的售前、售中、售后服务体系和合法、可靠的资讯来源。 (3)符合中华人民共和国国务院令(第292号)《互联网信息服务管理办法》等互联网信息服务行业管理规定。 (4)工商部门批准的公司机构。
2、准入条件 (1)从事本地业务SP的注册资本金不低于100万人民币。 (2)拥有独特的业务资源或具有创新性的业务。 (3)具有完善的业务策划和商业计划。 (4)主要管理人员应具有从事电信增值业务工作两年以上的管理经验,能够深入理解增值业务合作SP管理办法,熟悉各类业务流程、营销策略制定及推广、产品管理等。 (5)符合《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际互联网保密管理规定》、《信息服务九不准》等相关管理规定。 注:凡是合作中涉及视频业务,在本办法中另行说明; 3、SP应准备的申请资料 (1)企业法人营业执照 (正副本复印件) (2)企业税务登记证(国税、地税正副本复印件) (3)增值电信业务经营许可证(复印件) (4)银行开户许可证(复印件) (5)四川电信增值业务(短信、声讯、互联星空等)项目商业合作计划书(包含如下内容) a、公司简介及团队介绍。 b、业务详细介绍:包括业务内容、业务定价、信息来源、特殊信息的版权、授权及合法性等资料;相关信息资讯来源许可证书(复印件),特别对于如新闻、音乐体育版权、心理咨询信息等经营许可
国家信息安全测评
国家信息安全测评 工业控制系统产品安全测评服务 白皮书 ?版权2014—中国信息安全测评中心 二〇一四年八月
目录 1. 目的和意义 (2) 2. 业务范围 (2) 3. 业务类型 (2) 4. 业务实施 (3)
1. 目的和意义 工业控制系统产品(以下简称工控产品)安全测评的目的是促进高质量、安全和可控的工控产品的开发,具体目的和意义包括: 1)对工控产品依据相关标准规范进行测评; 2)判定工控产品是否满足安全要求; 3)有助于在涉及国家安全的工业自动化生产领域中加强工控产品的安全性和可控性,维护国家和用户的安全利益; 4)促进国内工控产品市场优胜劣汰机制的建立和完善,规范市场。 2. 业务范围 工控产品分为控制类产品(即工业控制设备)和安全类产品(工业安全设备)。 1)控制类产品包括可编程控制器(PLC)、离散控制系统(DCS)、远程终端单元(RTU)、智能电子设备(IED)、各行业控制系统等用于生产控制的产品。 2)安全类产品包括工业防火墙、工业安全网关、工业异常监测产品、工业应用软件漏洞扫描产品等用于工业环境安全防护的产品。 3. 业务类型 工控产品安全测评类型分为标准测试、选型测试和定制测试等。 1)标准测试 依据第三方标准规范(如国家标准、测评中心测试规范等),测评工控产品的功能、性能、安全等指标,通过后颁发“工业控制系统安全技术测评证书”。 2)选型测试 根据委托方提出的测评要求对工控产品进行测试,形成选型测试报告,为委托方在产品选型采购时提供技术依据。 选型测试内容包括:功能测试、性能测试、安全测试等,具体测试项目和指标由
委托方与中心共同确认。 3)定制测试 依据委托方要求对工控产品进行测试,形成定制测试报告。 4. 业务实施 4.1 测试依据 依据标准: 1)GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》; 2)《工业防火墙安全测评准则》 3)《工业安全网关安全测评准则》 4)《工业异常监测系统安全测评准则》 5)《工业漏洞扫描产品安全测评准则》 6)…… 4.2 证据需求 根据业务内容的要求,申请方需提交的证据包括: 1)测评申请书 2)测评所需文档 3)被测产品 4.3 业务流程 测评流程分为以下四个阶段:申请阶段、预测评阶段、测评阶段和报告与证书发放阶段(如下图所示)。