收藏
下载资源

信息安全集成服务资质认证实施规则

上传人:小** 文档编号:93028397 上传时间:2019-07-15 格式:PDF 页数:23 大小:661.33KB
返回 下载 相关 举报
信息安全集成服务资质认证实施规则_第1页
第1页 / 共23页
信息安全集成服务资质认证实施规则_第2页
第2页 / 共23页
信息安全集成服务资质认证实施规则_第3页
第3页 / 共23页
信息安全集成服务资质认证实施规则_第4页
第4页 / 共23页
信息安全集成服务资质认证实施规则_第5页
第5页 / 共23页
点击查看更多>>
资源描述

《信息安全集成服务资质认证实施规则》由会员分享,可在线阅读,更多相关《信息安全集成服务资质认证实施规则(23页珍藏版)》请在金锄头文库上搜索。

1、 文件编码:文件编码:ISCCC-SV-003:2011 信息信息系统系统安全安全集成集成服务资质服务资质 认证实施规则认证实施规则 2011-10-01 发布发布 2011-10-01 实施实施 中国信息安全认证中心发布中国信息安全认证中心发布 ISCCC-SV-003:2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第1页 目目 录录 1.1. 适用范围适用范围 . 2 2.2. 引用标准引用标准 . 2 3.3. 术语与定义术语与定义 2 4.4. 安全集成服务提供者基本的资质要求安全集成服务提供者基本的资质要求 2 4.1 基本条件基本条件 . 3 4.2 基本管理能

2、力要求基本管理能力要求 . 3 4.3 基本技术能力要求基本技术能力要求 . 3 5.5. 信息系统安全集成服务过程要求信息系统安全集成服务过程要求 . 4 5.1 安全集成服务过程概述安全集成服务过程概述 4 5.2 集成准备集成准备 4 5.3 安全方案设计安全方案设计 6 5.4 建设实施建设实施 7 5.5 安全保证安全保证 9 6.6. 信息系统安全集成服务资质分级评价要求信息系统安全集成服务资质分级评价要求 11 6.1 三级信息系统安全集成服务资质要求三级信息系统安全集成服务资质要求 11 6.2 二级信息系统安全集成服务资质要求二级信息系统安全集成服务资质要求 12 6.3 一

3、级信息系统安全集成服务资质要求一级信息系统安全集成服务资质要求 . 12 7. 信息系统安全集成服务资质认证模式与流程信息系统安全集成服务资质认证模式与流程 13 8. 认证证书管理认证证书管理 17 附录附录 A 信息安全工程过程能力级别参考信息安全工程过程能力级别参考 . 18 附录附录 B 各级资质要求对照表各级资质要求对照表 20 ISCCC-SV-003:2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 2 页 1.1. 适用范围适用范围 信息系统安全集成服务资质认证是依据国家认证认可法律法规及国际、国内相关技术标准和规 范,对信息系统安全集成服务提供者的资质进行

4、评价的合格评定活动。 本规则提出了信息系统安全集成服务提供者(以下简称服务提供者)应具备的服务能力要求, 及实施信息系统安全集成服务资质认证的程序与管理要求。 本规则适用于对服务提供者服务能力的评价活动;可作为信息系统所有者选择服务提供者的依 据;可为有关管理部门对服务提供者进行管理提供参考;也可为服务提供者自我能力改进提供参考。 2.2. 引用引用标准标准 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所 有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的 各方研究可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版

5、本适用于本标准。 对信息系统安全集成服务提供者所具备的服务资质进行评价所引用的标准包括: GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型 YD/T 1621-2007 网络与信息安全服务资质评价准则 YD/T 1799-2008 网络与信息安全应急处理服务资质评价方法 YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法 CNCA/CTS 0052-2007 信息安全服务资质认证技术规范 GB/T 5271.8-2001信息技术词汇第8部分:安全中的术语和定义适用于本标准。 3.3. 术语与定义术语与定义 3.1 GB/T 20261-2006 中的术语

6、均适用于本规则。 3.2 信息系统安全集成服务 信息系统安全集成服务(以下简称:安全集成)是指从事计算机应用系统工程和网络系统工程 的安全需求界定、安全设计、建设实施、安全保证的活动。 信息系统安全集成一般是按照信息系统建设的安全需求, 采用信息系统安全工程的方法和理论, 将安全单元、产品部件进行集成的行为或活动。信息系统安全集成包括在新建信息系统的结构化设 计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展 的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为 安全优化或安全加固。 4.4. 安全集成服务提供者基本安全集成

7、服务提供者基本的资质的资质要求要求 ISCCC-SV-003:2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 3 页 4.1 基本基本条件条件 服务提供者应: (1) 具有中华人民共和国境内的独立法人资格,具有相关部门颁发的合法经营资格; (2) 近两年内经济状况良好,财务数据真实可信,并应经国家相关部门认定的会计师事务所核 实; (3) 具有固定的工作场所。 (4) 遵守国家现行法律、法规的规定; 4.2 基本管理能力要求基本管理能力要求 服务提供者应: (1) 采取技术和管理措施确保客户信息的安全、可控,这些信息包括但不限于客户资料、集成 活动中产生的文档、最终安全集

8、成报告等; (2) 制定保密管理要求,明确保密岗位与职责,定期对服务人员进行保密教育与培训,并签订 保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责落实; (3) 建立人员管理程序,使每一位服务人员持续满足岗位职责的需求;制定安全集成技能培训 计划,定期对服务人员进行培训、指导、考核; (4) 制定规范的项目管理制度,并按照项目管理制度实施,具体包括在项目实施过程中如何与 组织内外的交流机制、规划关键技术活动、分配资源、指派责任、设立项目的里程碑及评审要 求、日常的监督检查要求、编制过程文档、提供工具、确保培训、策划过程等,以保证安全服 务的质量; (5) 制定项目风险管理制度,

9、评估项目风险,制定项目风险控制措施并跟踪其有效性; (6) 制定符合标准要求的安全集成方案、报告等文档模板; (7) 制定针对供方的管理要求, 包括准确识别供方提供的服务或系统构件及其专业资质和能力; 并与供方的有效沟通机制等。 4.3 基本技术能力要求基本技术能力要求 服务提供者应: (1) 具备安全集成有关的工作流程及操作规范; (2) 具备制定安全集成方案并能够按照该方案实施的能力;能够提供信息系统安全集成服务报 告、系统使用指南等文档; (3) 具备对安全集成完成的系统进行检测和验证的能力; (4) 熟悉国内外主流的信息技术产品、信息安全产品的功能及特性; ISCCC-SV-003:2

10、011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 4 页 (5) 具有满足项目需要的开发、测试工具或模拟环境,并熟练使用; (6) 有专门的技术人员关注并掌握信息安全技术、标准和法规;关注国内外权威机构发布的安 全公告及漏洞公告,对最新的安全相关技术进行研究。 5.5. 信息系统安全集成服务信息系统安全集成服务过程要求过程要求 5.1 信息系统安全集成服务信息系统安全集成服务过程过程概述概述 信息系统安全集成服务过程分为四个阶段:集成准备、安全方案设计、建设实施、安全保证。 集成准备阶段主要是界定安全需求、签订服务合同、确定服务人员、签订保密协议等;安全方案设 计阶段主要是充

11、分考虑各方面的安全需求和安全背景,以设计出适用的项目方案;建设实施阶段主 要是在客户环境中实现项目方案的预期安全目标和效果;安全保证阶段主要是通过在安全方案设计 阶段、建设实施阶段等过程中,收集客户需求已经得到满足的证据。 信息系统安全集成服务过程的四个阶段包括10个过程要求(见表1), 各过程要求细则共43项(见集 成服务各阶段的过程要求,表2、表3、表4、表5)。过程要求项定义了为满足各阶段过程的内容要点 以及最佳实践。 表1:信息系统安全集成服务过程要求列表 阶段阶段名称名称 过程要求过程要求 集成准备 界定安全需求 签定服务合同 确定服务人员 签订保密协议 安全方案设计 安全方案设计

12、建设实施 协调安全 管理安全控制 安全监控 安全保证 建立保证论据 验证和确认安全 5.2 集成准备集成准备 5.2.1 安全需求界定安全需求界定 风险评估是安全集成的重要基础。依据信息安全风险评估过程中已识别出的风险,明确客户的 ISCCC-SV-003:2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 5 页 内外部安全需求,并制定安全目标。 本要求的目标:在安全需求方面与客户和其他团体达成共识。 具体要求和说明如下: (1)(1) 理解理解安全需求安全需求 收集和分析所有有助于全面理解客户安全需求的信息。 (2)(2) 识别法律、政策和约束条件识别法律、政策和约束条件

13、 识别影响客户安全需求的法律、法规和行业标准等外部因素,并确定遵从全球性政策和本地 政策的优先权。 (3)(3) 识别安全背景识别安全背景 识别影响信息系统安全的背景因素,如信息系统的用途(如金融、医疗)、运行场景、技术发 展的变化、社会当前热点事件。 (4)(4) 获取安全视图获取安全视图 开发组织的高层次安全分析视图,包括业务需求、角色、职责、信息流、资产、资源、人员 保护以及物理保护等。 (5)(5) 识别安全目标识别安全目标 识别满足信息系统安全需求的安全目标。安全目标应该至少涉及信息系统及其承载信息的可 用性、保密性、完整性、可核查性、真实性和可靠性要求。 (6)(6) 定义安全要求

14、定义安全要求 定义信息系统的安全要求,并确保安全要求与适用的政策、法律、标准、安全需求以及约束 条件保持一致。安全要求应全面体现信息系统的安全需求,并与安全目标建立对应关系。 (7)(7) 达成安全协议达成安全协议 依据安全要求和客户需求,与客户和相关的团体达成共识。 5.2.2 确定服务合同确定服务合同 (1)与客户和供方在服务合同中至少明确服务范围、目标、质量和成本; (2)与客户和供方在服务合同中包括项目保密责任和违约责任。 5.2.3 确定服务人员和组织确定服务人员和组织 与客户和供方确定项目人员构成,并控制由项目人员变更带来的相关风险。 5.2.3 签订保密协议签订保密协议 与客户和

15、供方签订保密协议;注意保密内容与客户要求的一致性。 ISCCC-SV-003:2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 6 页 表2:信息系统安全集成服务准备阶段要求 集成准备集成准备阶段的要求阶段的要求 必备必备 可选可选 安全需求界定 1)理解安全需求 2)识别法律、政策和约束条件 3)识别安全背景 4)获取安全视图 5)获取安全目标 6)定义安全要求 7)达成安全协议 确定服务合同 1)明确服务范围、目标、质量和成本 2)明确项目保密责任和违约责任; 确定服务人员 和组织 确定项目人员构成; 签订保密协议 签订保密协议; 5.3 安全方案设计安全方案设计 基于“5.2.1 安全需求安全需求界定界定”中识别的安全需求,为信息系统的规划人员、设计人员、实施人员 和客户提供所需的安全输入信息。这些信息至少包括安全体系结构、设计或实施的项目方案以及安 全指南。 本要求的

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号