风险类-中国信息安全认证中心

国家信息安全测评信息安全服务资质申请指南（云计算安全类一级）（试行）©版权2017—中国信息安全测评中心2017年9月1日目录目录2引言3一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 云计算安全服务过程能力要求 (7)3.4 项目和组织过程能力要求 (9)四、资质认定 (11)4.1认定流程图 (11)4.2申请阶段 (12)4.3资格审查阶段 (12)4.4能力测评阶段 (12)4.4.1静态评估 (12)4.4.2现场审核 (13)4.4.3综合评定 (13)4.4.4资质审定 (13)4.5证书发放阶段 (13)五、监督、维持和升级 (14)六、处置 (14)七、争议、投诉与申诉 (14)八、获证组织档案 (15)九、费用及周期 (15)十、联系方式 (16)引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作，对信息技术产品、信息系统和工程的安全性进行测试与评估。

对信息安全服务和人员的资质进行审核与评价。

中国信息安全测评中心的主要职能是：1.为信息技术安全性提供测评服务；2.信息安全漏洞分析；3.信息安全风险评估；4.信息技术产品、信息系统和工程安全测试与评估；5.信息安全服务和信息安全人员资质测评；6.信息安全技术咨询、工程监理与开发服务。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。

为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

国家注册信息安全管理体系(ISMS）审核员
培训招生简章
中国信息安全认证中心（China Information Security Certification Center，英文缩写:ISCCC）是经中央编制委员会批准成立，由原国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证（产品认证、服务资质认证和ISMS、ITSM认证）的专门机构.
中国信息安全认证中心是经国家批准的ISMS审核员、信息安全产品认证工厂检查员、信息安全服务资质认证评审员、信息安全技术培训的专业培训机构.
国家注册ISMS审核员是国家认可的ISMS认证审核执业资格，从事和提供第三方ISMS认证的认证机构必须具备规定数量的国家注册ISMS审核员.另外,ISMS审核员也是一个组织中不可缺少的、重要的信息安全岗位,其职责是持续评审组织ISMS的符合性，以保证组织的信息安全符合法规、标准和业务的要求。

为各类人员对培训的需求,我们将定期举办ISMS审核员培训班，欢迎报名参加。

培训班的培训与考试内容、时间与方式见附件.
报名回执：
国家注册ISMS 审核员培训班报名表
注:
1。

学员报名条件按国家ISMS 注册审核员注册基本要求执行(见CCAA网站中人员注册—新领域确认-关于发布《信息安全管理体系认证审核员确认方案的》通知）。

2。

请随回执一并提交480＊640的数码登记照。

3。

回执请联系:
徐然
北京市朝外大街甲10号中认大厦,100020
中国信息安全认证中心
电话：010-******** 传真:010—65994283 电子邮件：training＠isccc。

《网络安全知识》判断题1、在使用网络和计算机时，我们最常用的认证方式是用户名/口令认证。

1、错误2、正确正确答案为：B2、公钥密码体制有两种基本的模型:一种是加密模型,另一种是解密模型。

1、错误2、正确正确答案为：A3、文件拥有者可以决定其他用户对于相应的文件有怎么样的访问权限，这种访问控制是基于角色的访问控制。

1、错误2、正确正确答案为：A4、文件拥有者可以决定其他用户对于相应的文件有怎么样的访问权限，这种访问控制是自主访问控制。

1、错误2、正确正确答案为：B1、云计算的特征分别为按需自服务，宽度接入，资源池虚拟化，架构弹性化以及服务计量化。

1、错误2、正确正确答案为：B2、自主访问控制(DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。

1、错误2、正确正确答案为：A3、安全信息系统获取的基本原则包括符合国家、地区及行业的法律法规，符合组织的安全策略与业务目标。

1、错误2、正确正确答案为：B4、备份策略是一系列原则，包括数据备份的数据类型，数据备份的周期以及数据备份的储存方式。

1、错误2、正确正确答案为：B5、总书记担任中共中央网络安全和信息化领导小组组场以来，我国信息化形势越来越好，国家对于信息化也越来越重视。

1、错误2、正确正确答案为：B1、服务式攻击就是让被攻击的系统无常进行服务的攻击方式。

1、错误2、正确正确答案为：A2、《网络安全法》只能在我国境适用。

1、错误2、正确正确答案为：A3、棱镜门事件的发起人是英国。

1、错误2、正确正确答案为：A4、大数据已经深入到社会的各个行业和部门，也将对社会各方面产生更重要的作用。

1、错误2、正确正确答案为：B5、打诈骗密码属于远程控制的攻击方式。

1、错误2、正确正确答案为：A1、通过网络爬虫等方式获取数据，是数据收集其中一种方式叫网络数据采集。

1、错误2、正确正确答案为：B2、一般认为，未做配置的防火墙没有任何意义。

1、错误2、正确正确答案为：B3、ETSI专门成立了一个专项小组叫M2M TC。

中国信息安全测评中心给出的安全可靠等级1.引言1.1 概述概述部分的内容可以描述中国信息安全测评中心（简称CITC）的重要性以及其对信息安全领域的贡献。

中国信息安全测评中心（CITC）是中国国家计算机网络应急技术处理协调中心（CNCERT）下属的一家专业机构。

它致力于评估和认证各类信息系统和产品的安全性和可靠性，为保障国家信息安全作出了重要贡献。

在信息安全领域中，信息系统和产品的安全性是至关重要的。

随着网络的快速发展和信息技术的普及应用，安全性问题也日益凸显，恶意攻击、数据泄露和系统漏洞等威胁不断增加，严重威胁国家的安全和社会的稳定。

因此，评估和认证信息系统和产品的安全性变得至关重要。

CITC作为中国权威的信息安全测评机构，拥有丰富的经验和专业的技术团队。

它通过制定一系列严格的安全可靠等级评估标准，对各类信息系统和产品进行科学、客观、全面的评估和测试，准确评估其在安全性和可靠性方面的表现。

这些评估标准不仅适用于政府部门和军队的信息系统，也适用于企事业单位的信息系统和产品。

通过CITC的评估，可以及时发现和解决信息系统和产品存在的安全隐患，提升其安全性和可靠性，确保信息系统和产品的正常运行和数据的安全保密。

在国家信息安全战略的背景下，CITC的工作对于国家各个行业和企事业单位的信息安全至关重要。

通过CITC的评估认证，可以为国家信息安全提供可靠的支持，推动信息安全技术的创新和发展，提升整个国家信息安全保障体系的水平。

总之，中国信息安全测评中心在信息安全领域具有重要地位和作用，它通过严格的安全可靠等级评估，为各类信息系统和产品的安全性提供了科学的评估和认证，为国家信息安全建设做出了重要贡献。

1.2 文章结构文章结构是一个文章所采用的组织方式，它有助于读者理解和跟随文章的逻辑思路。

本文的文章结构分为引言、正文和结论三个部分。

引言部分主要包括三个方面的内容。

首先，概述部分阐述了中国信息安全测评中心给出的安全可靠等级评估的背景和意义。

《网络安全知识》判断题1、在使用网络和计算机时,我们最常用的认证方式是用户名/口令认证. 1、错误2、正确正确答案为：B2、公钥密码体制有两种基本的模型：一种是加密模型，另一种是解密模型。

1、错误2、正确正确答案为：A3、文件拥有者可以决定其他用户对于相应的文件有怎么样的访问权限，这种访问控制是基于角色的访问控制。

1、错误2、正确正确答案为：A4、文件拥有者可以决定其他用户对于相应的文件有怎么样的访问权限，这种访问控制是自主访问控制.1、错误2、正确正确答案为:B1、云计算的特征分别为按需自服务,宽度接入,资源池虚拟化，架构弹性化以及服务计量化。

1、错误2、正确正确答案为:B2、自主访问控制（DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。

1、错误2、正确正确答案为：A3、安全信息系统获取的基本原则包括符合国家、地区及行业的法律法规,符合组织的安全策略与业务目标.1、错误2、正确正确答案为：B4、备份策略是一系列原则，包括数据备份的数据类型，数据备份的周期以及数据备份的储存方式。

1、错误2、正确正确答案为：B5、习近平总书记担任中共中央网络安全和信息化领导小组组场以来，我国信息化形势越来越好,国家对于信息化也越来越重视.1、错误2、正确正确答案为：B1、服务式攻击就是让被攻击的系统无法正常进行服务的攻击方式。

1、错误2、正确正确答案为:A2、《网络安全法》只能在我国境内适用。

1、错误2、正确正确答案为：A3、棱镜门事件的发起人是英国。

1、错误2、正确正确答案为：A4、大数据已经深入到社会的各个行业和部门，也将对社会各方面产生更重1、错误2、正确正确答案为：B5、打电话诈骗密码属于远程控制的攻击方式。

1、错误2、正确正确答案为：A1、通过网络爬虫等方式获取数据，是数据收集其中一种方式叫网络数据采集。

1、错误2、正确正确答案为：B2、一般认为，未做配置的防火墙没有任何意义。

1、错误2、正确正确答案为：B3、ETSI专门成立了一个专项小组叫M2M TC。

安全风险评估专业机构
以下是一些专业机构，专门进行安全风险评估：
1. 国家信息安全漏洞共享平台（CNVD）：CNVD是中国国家
信息安全漏洞共享平台，负责收集、整理和发布国内外软件及硬件产品的安全漏洞信息，为用户提供安全风险评估服务。

2. 国家信息安全漏洞库（CNNVD）：CNNVD是中国国家信
息安全漏洞库，与CNVD类似，负责收集、整理和发布国内
外软件及硬件产品的安全漏洞信息，为用户提供安全风险评估服务。

3. 国家计算机网络应急技术处理协调中心（CNCERT）：CNCERT是中国国家计算机网络应急技术处理协调中心，主
要负责处理网络安全事件和网络安全威胁，提供安全风险评估和应急响应服务。

4. 国际信息系统安全认证与评估中心（ISACA）：ISACA是
一个国际性的专业组织，致力于信息系统的安全、审计和控制。

他们提供安全风险评估的认证、培训和咨询服务。

5. 全球信息安全咨询和培训机构（EC-Council）：EC-Council
是全球著名的信息安全咨询和培训机构，提供各种安全风险评估相关的培训和认证课程。

6. 风险和安全评估公司（Risk and Security Assessment Firms）：许多专业的风险和安全评估公司提供各种类型的安全风险评估
服务，包括网络安全、物理安全、应用安全等方面的评估。

请注意，选择合适的安全风险评估机构需要根据您的具体需求和预算进行评估，并且确保他们具有相关的资质和经验。

信息安全管理体系信息安全管理体系(ISMS)FAQ一、信息安全管理体系认证的标准是什么,信息安全管理体系(Information Security Management System,简称ISMS)的概念最初来源于英国标准学会制定的BS7799标准, 并伴随着其作为国际标准的发布和普及而被广泛地接受。

ISO/IEC JTC1 SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会安全技术分委员会/第一工作组)是制定和修订ISMS标准的国际组织。

ISO/IEC27001:2005(《信息安全管理体系要求》)是ISMS认证所采用的标准。

目前我国已经将其等同转化为中国国家标准GB/T 22080-2008/ISO/IEC 27001:2005。

二、 ISO/IEC 27000族的成员标准主要有哪些,ISO/IEC 27000族是国际标准化组织专门为ISMS预留下来的一系列相关标准的总称，其包含的成员标准有:1. ISO/IEC 27000 ISMS概述和术语 IS2. ISO/IEC 27001 信息安全管理体系要求 IS3. ISO/IEC 27002 信息安全管理体系实用规则 IS4. ISO/IEC 27003 信息安全管理体系实施指南 FDIS5. ISO/IEC 27004 信息安全管理度量 FDIS6. ISO/IEC 27005 信息安全风险管理 IS7. ISO/IEC 27006 ISMS认证机构的认可要求 IS8. ISO/IEC 27007 信息安全管理体系审核指南 CD9. ISO/IEC 27008 ISMS控制措施审核员指南 WD10. ISO/IEC 27010 部门间通信的信息安全管理 NP11. ISO/IEC 27011 电信业信息安全管理指南 IS……目前，国际标准化组织(即:ISO)正在不断地扩充和完善ISMS系列标准，使之成为由多个成员标准组成的标准族。