信息系统安全集成服务资质认证自表
信息安全集成服务资质认证实施规则
(2) 具备制定安全集成方案并能够按照该方案实施的能力;能够提供信息系统安全集成服务报
告、系统使用指南等文档;
(3) 具备对安全集成完成的系统进行检测和验证的能力;
(4) 熟悉国内外主流的信息技术产品、信息安全产品的功能及特性;
中国信息安全认证中心
第3页
ISCCC-SV-003:2011
信息安全集成服务资质认证实施规则
(4) 遵守国家现行法律、法规的规定;
4.2 基本管理能力要求
服务提供者应:
(1) 采取技术和管理措施确保客户信息的安全、可控,这些信息包括但不限于客户资料、集成
活动中产生的文档、最终安全集成报告等;
(2) 制定保密管理要求,明确保密岗位与职责,定期对服务人员进行保密教育与培训,并签订
《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责落实;
GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型 YD/T 1621-2007 网络与信息安全服务资质评价准则 YD/T 1799-2008 网络与信息安全应急处理服务资质评价方法 YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法 CNCA/CTS 0052-2007 信息安全服务资质认证技术规范 GB/T 5271.8-2001《信息技术词汇第8部分:安全》中的术语和定义适用于本标准。 3. 术语与定义
中国信息安全认证中心
第1页
ISCCC-SV-003:2011
信息安全集成服务资质认证实施规则
1. 适用范围 信息系统安全集成服务资质认证是依据国家认证认可法律法规及国际、国内相关技术标准和规
范,对信息系统安全集成服务提供者的资质进行评价的合格评定活动。 本规则提出了信息系统安全集成服务提供者(以下简称服务提供者)应具备的服务能力要求,
信息系统安全集成服务资质认证二级能力要求目录
信息系统安全集成服务资质认证二级能力要求目录信息系统安全集成服务资质认证是为了确保信息系统安全集成服务提供商具备一定的能力和技术水平,以保障用户的信息系统安全。
二级能力要求目录是对资质认证申请者在信息系统安全集成服务方面的具体能力要求的一份指南,以下是一个1200字以上的目录示例:一、信息系统安全集成服务概述1.1信息系统安全集成服务的定义和范围1.2信息系统安全集成服务的重要性和目标1.3信息系统安全集成服务流程和相关标准二、组织结构和管理能力要求2.1组织结构和人员配置2.2信息系统安全集成服务管理体系的建立和运行2.3内部培训和知识管理机制三、项目管理和质量评估能力要求3.1信息系统安全集成项目的规划和管理3.2项目实施的风险评估和管理3.3项目交付和验收的质量评估机制四、安全技术和工具能力要求4.1熟悉信息系统安全的相关技术和工具4.2辨识并使用合适的安全技术和工具4.3掌握安全技术和工具的配置和调试方法5.2进行信息系统安全评估和风险分析的能力六、安全应急响应和事件处理能力要求6.1建立和运行安全事件应急响应机制6.2协助用户进行安全事件的处理和恢复6.3安全事件的追踪和分析技巧七、安全意识培育和用户培训能力要求7.1开展信息系统安全宣传和培训7.2针对用户需求提供个性化的安全培训方案7.3评估和改进安全培训的效果和影响八、服务质量和用户满意度要求8.1保障信息系统安全集成服务的质量8.2积极收集用户反馈并及时改进服务8.3定期进行用户满意度调查和评估以上内容仅为一个示例,实际的二级能力要求目录可能会根据具体情况进行调整和补充。
对于资质认证申请者来说,遵循这样的目录能够有助于构建全面且符合要求的信息系统安全集成服务能力体系,并为其在资质认证中获得成功提供指导和参考。
服务资质认证自评估表填写规范
编码:ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期:2017 年9 月 1 日生效日期:2017 年 9月 1日主责处室:体系与服务认证部批准:张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范,确保申请组织的自评价材料基本信息清晰明了。
2适用范围适用于所有服务资质申请企业。
3职责申请组织相关人员填写自评估表。
4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息:所提供的财务审计或者财务报告的年份,对于财务审核报告需填写所出具的会计事务所名称,需填写收入、净利润等信息。
4.1.2、办公场所填写内容包含以下信息:房屋产权证或房屋租赁合同;产权人/出租人、地址、面积、租期。
4.1.3、人员能力填写内容包含以下信息:1)填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
2)填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
3)填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
4)填写信息安全服务人员数量,养老保险证明出具单位及出具时间,劳动合同的签订时间及有效期。
5)信息安全专业保障人员认证证书,填写获证人员名称、证书编号、发证日期、有效期。
6)填写项目经理人员数量,人员的名称、证书名称、证书编号等。
4.1.4、业绩填写内容包含以下信息:1)填写首个信息安全服务(与申报类别一致)项目名称、合同签订时间、项目验收时间。
2)填写近三年信息安全服务项目(与申报类别一致)名称、合同金额、合同签订时间、验收时间、项目服务内容等。
4.1.5、服务管理填写内容包含以下信息:1)填写人员管理程序,内容应包含岗位职责,人员任前、中、后的监督、考核、评价、奖惩方式,信息安全服务相关技术岗位的能力指标。
信息安全服务资质认证
信息安全服务资质认证
监督审核通知单
:
您好,贵组织已获中国网络安全审查技术与认证中心颁发的:
安全集成服务资质级认证证书(获证日期:年月日)
应急处理服务资质级认证证书(获证日期:年月日)
风险评估服务资质级认证证书(获证日期:年月日)
安全开发服务资质级认证证书(获证日期:年月日)
安全运维服务资质级认证证书(获证日期:年月日)
灾难备份与恢复服务资质A类级认证证书(获证日期:年月日)灾难备份与恢复服务资质B类级认证证书(获证日期:年月日)网络安全审计服务资质级认证证书(获证日期:年月日)
工业控制系统安全服务资质级认证证书(获证日期:年月日)根据《信息安全服务资质认证实施规则》的要求,贵方应于年月日前接受我中心的年度监督审核并交纳监督审核费用。
请在十个工作日内,将本通知的回执回复至本邮箱,我中心将在收到款项后开具发票并安排审核。
另外,请在贵方计划的审核日期两个月之前提交自评估材料(例如:如果计划在9月10日接受审核,自评估材料需在7月10日之前提交至中心,自评估表在“,自评估表及其附件要求的证明材料只接收电子版)。
如贵组织申请的认证类别和级别发生变化,针对有变化的认证类别需重新填写申请书和自评估表。
联系人:彭琳赓;联系电话:/4648
联系地址:北京市朝阳区朝外大街甲10号中国网络安全审查技术与认证中心。
收款账户:户名:中国信息安全认证中心;
开户行:中信银行北京国际大厦支行
账号:7
特此通知。
中国网络安全审查技术与认证中心
年月日
回执。
计算机信息系统集成二级资质申报表
计算机信息系统集成二级资质申报表填表说明申报表封面填写说明 (1)申请单位法定代表人声明 (1)申报单位基本情况表(表dj-t1-1): (1)申报单位基本情况表(表dj-t1-2) (2)申报单位组织结构表(表dj-t2) (2)控股、参股公司概况(表dj-t2续) (2)申报单位负责人情况表(表dj-t3) (2)申报单位技术负责人情况表(表dj-t4) (3)申报单位财务负责人情况表(表dj-t5) (3)信息系统集成项目经理情况表(表dj-t6-1) (3)其他系统集成工程技术人员情况表(表dj-t6-2) (3)其中高级研发人员情况表(表dj-t6-3) (3)技术管理与技术水平情况表(表dj-t7-1) (4)技术管理与技术水平情况表(表dj-t7-2) (4)自主开发软件产品、工具情况表(表dj-t7-3) (4)自主开发软件产品、工具情况表(表dj-t7-3续) (4)技术管理与技术水平情况表(表dj-t7-4) (4)申报单位信息系统集成开发环境情况表(表dj-t8) (4)申报单位软件开发与系统集成质量保证工作情况表(表dj-t9) (4)申报单位客户服务工作情况表(表dj-t10) (4)人力资源管理与员工培训工作情况表(表dj-t11) (5)申报单位近三年资产运营情况表(表dj-t12-1) (5)申报单位近三年资产运营情况表(表dj-t12-2) (5)申报单位近三年计算机信息系统集成项目汇总表(表dj-t13) (5)典型计算机信息系统集成项目情况表(表dj-t13续) (5)申报单位需要说明的问题(表dj-t14) (6)主评审审核员确认及申报单位意见 (6)审查、审批意见 (6)申报表封面填写说明(一)填写说明:1、“登记编号”:由各省、市、自治区信息产业主管部门根据部资质办制定的2、“申报单位”;请填写申报单位全称(应为具有独立法人资格的单位),并加盖单位公章。
信息系统安全集成服务资质认证二级能力要求目录
信息系统安全集成服务资质认证二级能力要求目录一、引言1.背景信息2.目录介绍二、能力要求分类1.安全策略与规划能力要求a.分析和评估组织的安全需求b.制定信息系统安全策略和规划c.协调安全策略和规划的实施过程2.安全设备集成能力要求a.了解不同类型的安全设备b.实施安全设备的部署和集成c.进行安全设备的调试和测试3.安全产品集成能力要求a.了解各类安全产品的特点和功能b.根据需求选择合适的安全产品c.实施安全产品的部署和集成d.进行安全产品的调试和测试4.安全服务集成能力要求a.了解不同类型的安全服务b.根据需求选择合适的安全服务c.提供安全服务的部署和集成d.进行安全服务的调试和测试5.安全管理能力要求a.制定和实施安全管理制度b.进行安全风险评估和处理c.开展安全培训和宣传d.监控和评估信息系统安全状况e.处理安全事件和事故6.专业知识要求a.了解信息系统安全的基本概念和原理b.熟悉相关的法律法规和政策c.掌握安全策略和规划的方法和技巧d.熟悉安全设备、产品和服务的特点和功能e.理解信息系统安全管理的基本原则和方法f.具备良好的沟通和协调能力三、能力要求详解1.安全策略与规划能力要求的详细解释2.安全设备集成能力要求的详细解释3.安全产品集成能力要求的详细解释4.安全服务集成能力要求的详细解释5.安全管理能力要求的详细解释6.专业知识要求的详细解释四、结论1.总结各项能力要求的重要性及必要性2.强调提升综合能力的意义3.鼓励持续学习和提高能力的重要性以上是信息系统安全集成服务资质认证二级能力要求目录的一个简单示例,可以根据具体情况进行修改和补充。
具体的信息系统安全集成服务资质认证二级能力要求目录应结合相关标准和要求进行制定,以确保认证的准确性和有效性。
《信息系统安全集成服务资质认证评价要求》
《信息系统安全集成服务资质认证评价要求》编制说明一、工作简况《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。
该项目由中国信息安全认证中心承担。
截止到2011年底,国内外尚未形成安全集成服务相关标准。
ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的,其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容,以及安全工程的能力成熟度模型,未涉及认证评价的内容,所以该标准不能完全满足信息安全服务资质认证工作的需要。
鉴于现状,我们征集了信息安全业界专家的意见,专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。
结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准,将安全集成服务资质分为三级,其中一级最高,三级最低,最终制定一套符合我国信息安全服务现状的认证实施规则,依据该规则指导安全集成服务资质认证工作。
为了规范信息系统安全集成(以下简称安全集成)服务市场,提升安全集成服务质量,我中心于2012年初,依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。
该实施规则得到了申请方的一致认可。
该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上,经编写小组多次讨论和征求意见后制定,形成了目前的标准草案稿。
信息系统安全集成服务舞质认证简介
}
前沿 rn F t o
编 徐 辑/ 航
●●■■■■■
系统安全集成服务 信资 耆驽~ 口 认证简介 息质一
◎ 文 /翟 亚 红
一
、
信息 系统 安全集成 服
需 要 ,也 是 计 算 机 信 息 系 统 集 成 服 体 可 参 见 附 图 。 务 向保 障信 息 安 全 方 向 的 进 一 步 发 展 , 是 计 算 机 信 息 系 统 集 成 服 务 新
厂— 蕊
否
— —
Байду номын сангаас
的要 求 ,即 基 本 条 件 、 管 理 能 力 、
技 术 能 力 、规 范 及 标 准 化 的 安 全 集
●
= 三 、要 兰 =三 墨! =
制定并实拖纠正措施
成 服 务 过 程 要 求 等 。标 准 还 明确 了 服 务 资 质 级 别 分 为 三 级 , 一 级 最
安 全 集 成 服 务 的 出 现 , 是 国 家 和 社 会 信 息 化 发 展 的 产 物 ,是 信 息 安 全 服 务 行 业 向 规 范 化 、 专 业 化 方 向 进 一 步 发 展 的 必 然 结 果 。安 全 集成 服 务 已经 成 为 服务 提 供 商 普 遍 提 供 的 重 要 服 务 项
统 安 全 工 程 的 方 法 和 理 论 , 将 安
全 单 元 、产 品部 件 进 行 集成 的行 为 或 活 动 。 安 全 集 成 包 括 在 新 建
险 评 估 、应 急 处 理 、安 全 集 成 等 多
种 服 务 ,联 合 国 家 工 信 部 、 国 家 认
2 完备性审查 .
中 国信 息 安 全 认 证 中 心 对 申请
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于系统运行相关记录,及时对系统设备进行调整和维护。
34.
仅二级/一级要求:系统试运行周期至少一个月。
安全集成项目风险评估程序及风险评估报告。
9.
方案设计
根据系统建设安全需求,编制安全集成技术方案。
项目方案设计阶段控制程序文件,包括明确工作内容、流程、文档模板,内容应覆盖审核条款的要求。项目技术方案、实施方案、沟通记录。
10.
依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面要求。
仅一级要求:建立项目变更管理程序,对项目实施过程中方案、资源变更进行有效控制,完整记录变更过程。
项目建设实施阶段控制程序,覆盖审核条款要求。提供变更管理程序、变更记录。
25.
仅一级要求:制定项目应急处置方案和恢复策略,对项目过程中的应急事件及时进行响应。
项目建设实施阶段控制程序,覆盖审核条款要求。提供应急处置方案、恢复策略、处置记录。
17.
仅一级要求:基于安全集成项目需求和进度计划,编制信息安全产品和工具定制开发计划。
项目方案设计阶段控制程序文件,内容应覆盖审核条款的要求。提供自主开发的信息安全产品、平台和工具清单。
18.
建设实施-实施集成
依据已确认的安全集成项目技术方案和实施方案,按照时间和质量要求进行系统建设。
项目建设实施阶段控制程序文件,包括工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。提供项目施工记录。
3.
集成准备-需求调研与分析
调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求。
准备阶段控制程序文件,包括明确工作内容、流程、方法、文档模板,内容至少包括需求调研、分析、评审,产品选型,财务预算。提供投标文件、项目文档等证明。
4.
基于系统建设需求,提出产品选型方案和建设预算。
11.
结合技术方案和实施方案,与客户进行沟通,获得客户认可。
12.
仅二级/一级要求:结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明确系统架构、产品选型、产品功能、性能及配置等参数。
项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。提供系统建设安全设计说明书。
13.
26.
建设实施-监督管理
仅一级要求:定期对项目实施情况进行评审,采取适当措施,控制项目风险。
项目管理评审程序,覆盖审核条款的要求。提供项目评审与质量控制文档。
27.
安全保障-系统测试
依据项目技术方案和测试计划,对系统进行联调和系统测试,完整记录测试过程相关信息。
项目安全保障阶段控制程序文件,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。提供测试方案、计划、记录。
仅二级/一级要求:组织客户及相关技术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能和安全性要求。
项目管理评审程序,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款要求。提供专家对项目技术方案、实施方案的评审论证意见。
14.
仅二级/一级要求:结合技术方案,对项目组及第三方配合人员进行业务和技能培训。
19.
项目实施人员按时提交施工记录和工程日志,及时向项目经理汇报项目进度。
20.
建立安全集成项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施过程中能够有效充分的沟通。
项目建设实施阶段控制程序,覆盖审核条款要求。提供沟通方案。
21.
仅二级/一级要求:产品、设备安装调试过程中,应完整妥善记录相关信息。
31.
仅一级要求:基于建设系统的安全要求,制定系统安全性测试方案,模拟攻击场景,对系统安全性进行测试。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供系统安全性测试方案、测试记录。
32.
安全保障-系统试运行
为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供系统试运行记录、设备调整维护记录。
28.
对于新建系统重点测试系统的功能、性能和安全性等;对于系统改造或升级项目,还需进行兼容性测试。
29.
仅二级/一级要求:系统测试完成后,制定系统测试报告,并提交客户。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供测试报告、初验申请与报告。
30.
仅二级/一级要求:结合项目需要提出初验申请,组织客户及相关方对项目进行初验,并提交初验报告。
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
技术服务要求
建立信息系统安全集成服务流程。源自信息系统安全集成服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息系统安全集成服务规范并按照规范实施。
信息系统安全集成服务规范。
项目建设实施阶段控制程序,覆盖审核条款要求。提供安装调试记录、项目完工报告。
22.
仅二级/一级要求:项目建设施工完成后,需向客户提交完工报告。
23.
仅二级/一级要求:项目实施完成后,相关过程记录及时归档,并统一保管。
项目建设实施阶段控制程序,覆盖审核条款要求。提供项目过程文档归档方式及归档记录。
24.
5.
结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录。
6.
仅二级/一级要求:准确识别和综合分析系统在信息安全特性方面相适应的安全需求。
系统安全需求分析报告,内容应覆盖审核条款要求。
7.
仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制需求分析报告。
8.
仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。提供业务和技能的相关培训记录。
15.
仅一级要求:结合项目需要,编制安全集成项目施工手册和作业指导书。
项目方案设计阶段控制程序文件,内容应覆盖审核条款的要求。提供安全集成项目施工手册和作业指导书。
16.
仅一级要求:对于新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求。对于系统改造,还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等。