收藏
下载资源

ISCCC-SV-003 信息系统安全集成服务资质认证实施规则

上传人:野鹰 文档编号:3027877 上传时间:2017-07-30 格式:PDF 页数:23 大小:1.35MB
返回 下载 相关 举报
ISCCC-SV-003 信息系统安全集成服务资质认证实施规则_第1页
第1页 / 共23页
ISCCC-SV-003 信息系统安全集成服务资质认证实施规则_第2页
第2页 / 共23页
ISCCC-SV-003 信息系统安全集成服务资质认证实施规则_第3页
第3页 / 共23页
ISCCC-SV-003 信息系统安全集成服务资质认证实施规则_第4页
第4页 / 共23页
ISCCC-SV-003 信息系统安全集成服务资质认证实施规则_第5页
第5页 / 共23页
点击查看更多>>
资源描述

《ISCCC-SV-003 信息系统安全集成服务资质认证实施规则》由会员分享,可在线阅读,更多相关《ISCCC-SV-003 信息系统安全集成服务资质认证实施规则(23页珍藏版)》请在金锄头文库上搜索。

1、 文件编码:ISCCC-SV-003:2011 信息系统安全集成服务资质 认证实施规则 2011-06-01发布 2011-10-01实施 中国信息安全认证中心发布ISCCC-SV-003:2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第1页 目 录 1. 适用范围.2 2. 引用标准.2 3. 术语与定义.2 4. 安全集成服务提供者基本的资质要求.2 4.1 基本条件.3 4.2 基本管理能力要求.3 4.3 基本技术能力要求.3 5. 信息系统安全集成服务过程要求.4 5.1安全集成服务过程概述.4 5.2集成准备.4 5.3方案设计.6 5.4建设实施.7 5.5安

2、全保证.9 6. 信息系统安全集成服务资质分级评价要求.11 6.1三级信息系统安全集成服务资质要求. 11 6.2二级信息系统安全集成服务资质要求. 12 6.3 一级信息系统安全集成服务资质要求. 12 7. 信息系统安全集成服务资质认证模式与流程.13 8. 认证证书管理.16 附录A 信息安全工程过程能力级别参考.18 附录B 各级资质要求对照表.20 ISCCC-SV-003:2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第2页 1. 适用范围 信息系统安全集成服务资质认证是依据国家认证认可法律法规及国际、国内相关技术标准和规范,对信息系统安全集成服务提供者的资质

3、进行评价的合格评定活动。 本规则提出了信息系统安全集成服务提供者(以下简称服务提供者)应具备的服务能力要求,及实施信息系统安全集成服务资质认证的程序与管理要求。 本规则适用于对服务提供者服务能力的评价活动;可作为信息系统所有者选择服务提供者的依据;可为有关管理部门对服务提供者进行管理提供参考;也可为服务提供者自我能力改进提供参考。 2. 引用标准 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。

4、 对信息系统安全集成服务提供者所具备的服务资质进行评价所引用的标准包括: GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型 YD/T 1621-2007 网络与信息安全服务资质评价准则 YD/T 1799-2008 网络与信息安全应急处理服务资质评价方法 YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法 CNCA/CTS 0052-2007 信息安全服务资质认证技术规范 GB/T 5271.8-2001信息技术词汇第8部分:安全中的术语和定义适用于本标准。 3. 术语与定义 3.1 GB/T 20261-2006中的术语均适用于本规则。 3.2 信息系

5、统安全集成服务 信息系统安全集成服务(以下简称:安全集成)是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。 信息系统安全集成一般是按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行集成的行为或活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。 4. 安全集成服务提供者基本的资质要求 ISCCC-SV-003:2011 信息安全

6、集成服务资质认证实施规则 中国信息安全认证中心 第3页 4.1 基本条件 服务提供者应: (1) 具有中华人民共和国境内的独立法人资格,具有相关部门颁发的合法经营资格; (2) 近两年内经济状况良好,财务数据真实可信,并应经国家相关部门认定的会计师事务所核实; (3) 具有固定的工作场所。 (4) 遵守国家现行法律、法规的规定; 4.2 基本管理能力要求 服务提供者应: (1) 采取技术和管理措施确保客户信息的安全、可控,这些信息包括但不限于客户资料、集成活动中产生的文档、最终安全集成报告等; (2) 制定保密管理要求,明确保密岗位与职责,定期对服务人员进行保密教育与培训,并签订保密责任书,规

7、定应当履行的安全保密义务和承担的法律责任,并负责落实; (3) 建立人员管理程序,使每一位服务人员持续满足岗位职责的需求;制定安全集成技能培训计划,定期对服务人员进行培训、指导、考核; (4) 制定规范的项目管理制度,并按照项目管理制度实施,具体包括在项目实施过程中如何与组织内外的交流机制、规划关键技术活动、分配资源、指派责任、设立项目的里程碑及评审要求、日常的监督检查要求、编制过程文档、提供工具、确保培训、策划过程等,以保证安全服务的质量; (5) 制定项目风险管理制度,评估项目风险,制定项目风险控制措施并跟踪其有效性; (6) 制定符合标准要求的安全集成方案、报告等文档模板; (7) 制定针对供方的管理要求,包括准确识别供方提供的服务

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号