收藏
下载资源

信息系统安全服务资质评估准则

上传人:枫** 文档编号:419711853 上传时间:2022-10-30 格式:DOC 页数:18 大小:163.01KB
返回 下载 相关 举报
信息系统安全服务资质评估准则_第1页
第1页 / 共18页
信息系统安全服务资质评估准则_第2页
第2页 / 共18页
信息系统安全服务资质评估准则_第3页
第3页 / 共18页
信息系统安全服务资质评估准则_第4页
第4页 / 共18页
信息系统安全服务资质评估准则_第5页
第5页 / 共18页
点击查看更多>>
资源描述

《信息系统安全服务资质评估准则》由会员分享,可在线阅读,更多相关《信息系统安全服务资质评估准则(18页珍藏版)》请在金锄头文库上搜索。

1、GB XXXXX200Xxxxxxx中 华 人 民 共 和 国 国 家 标 准GB XXXXX200Xeqv UN/ECE/WP.4/R.1212 信息系统安全服务资质评估准则Evaluation Criteria for Competence of Information System Security Service Provider(初稿)2000年4月,北京200X-XX-XX发布 200X-XX-XX实施 国 家 质 量 技 术 监 督 局 发 布1前 言本标准的目的是对提供信息安全服务的组织进行资质评估与认证,为国家有关主管部门的行政管理提供技术依据。本标准的评估对象是提供信息安全

2、服务的组织,包括信息安全工程的设计、施工及其相关的咨询和培训组织。与本标准相关的其它评估标准、评估细则和评估方法包括:信息安全工程质量管理要求信息安全服务资质评估等级划分细则信息安全服务资质等级评估方法本标准起草单位:中国国家信息安全测评认证中心,中国国家信息安全测评认证中心系统工程实验室,信息产业部电子第30研究所,四川大学信息安全研究所,中国国防科技信息中心,解放军总装备部,北京普方德信息技术有限公司,北京天融信公司。本标准主要起草人:关义章、叶征、崔玉华、任卫红、唐海波、龙毅宏、刘炳华、满林松、周恩志等本标准于200X年X月X日起实施。本标准委托中国国家信息安全测评认证中心负责解释。目

3、录1适用范围12定义12.1信息安全服务12.2信息安全服务提供者12.3信息安全服务资质等级12.4信息安全工程过程能力级别12.5信息安全服务评估组织13服务类型与资质评定原则13.1信息安全服务的类型13.2信息安全服务资质等级的评判原则14提供信息安全服务的基本资格要求25提供信息安全服务的基本能力要求25.1组织与管理要求25.2技术能力要求25.3人员构成与素质要求35.4设备、设施与环境要求35.5规模与资产要求35.6业绩要求35.7质量保证要求45.8培训要求46信息安全工程过程及能力级别46.1概述46.2信息安全工程过程要求56.2.1评估安全对系统的影响56.2.2评估

4、系统面临的安全威胁56.2.3评估系统的安全弱点56.2.4评估系统的安全风险56.2.5确定系统的安全需求66.2.6为系统提供必要的安全信息66.2.7监测系统的安全状况66.2.8管理系统的安全控制76.2.9安全性协调76.2.10检验并证实安全性76.2.11建立并提供安全性保证证据76.3信息安全工程过程能力级别86.3.1基本执行级86.3.1.1执行过程86.3.2计划跟踪级86.3.2.1制定过程执行计划86.3.2.2规范化执行86.3.2.3验证执行86.3.2.4跟踪执行86.3.3充分定义级86.3.3.1定义标准过程86.3.3.2执行已定义过程86.3.3.3协调

5、项目和组织活动96.3.4定量控制级96.3.4.1建立可测量的质量目标96.3.4.2客观地管理执行96.3.5连续改进级96.3.5.1改进组织能力96.3.5.2改进过程有效性97信息安全服务资质等级划分97.1概述97.2信息安全服务资质等级划分97.3不同资质等级可从事的安全服务118引用标准与参考文献128.1计算机信息系统安全保护等级划分准则128.2系统工程能力成熟模型128.3系统安全工程能力成熟模型128.4系统安全工程能力成熟模型评定方法128.5信息系统安全工程手册128.6软件工程能力成熟模型128.7信息安全工程质量管理要求129附录系统安全工程主要术语139.1组

6、织139.2项目139.3系统139.4安全工程139.5安全工程生命期139.6工作产品149.7顾客149.8过程149.9过程能力149.10制度化149.11过程管理14- IV -1 适用范围本标准适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估;信息安全服务的需方对服务提供方的选择依据;作为国家主管部门对评估对象进行管理和检查的技术规范。另外,也可为信息安全服务提供组织改进自身能力提供指导。2 定义2.1 信息安全服务信息安全服务是指信息安全工程的设计、实施、测试、运行和维护,以及相关的咨询和培训活动。2.2 信息安全服务提供者信息安全服务提供者是指信息安全工程方案

7、设计组织、承建信息安全工程的组织以及提供有关信息安全咨询和培训的组织。2.3 信息安全服务资质等级信息安全服务资质等级是指一个组织提供信息安全服务的综合能力。包括技术能力、组织结构与管理、资源配置、安全工程过程能力、业绩和质量保证等多个方面。2.4 信息安全工程过程能力级别信息安全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目时,执行组织已定义过程的能力成熟程度。2.5 信息安全服务评估组织信息安全服务评估组织,是指对提供信息安全服务的组织的资质等级进行评估认证的第三方机构。在我国是指中国国家信息安全测评认证中心及其授权分支机构。3 服务类型与资质评定原则3.1 信息安全服务的类型

8、信息安全服务的类型主要指一个组织按照一定的合同或协议,为另一个组织所履行的安全服务的具体形式,包括:1) 安全工程:为信息系统进行安全方案设计(开发)、施工(安全集成)、验证(测试)、运行(监控)和维护;2) 安全咨询和培训:从事信息系统安全咨询、培训、宣传和其它安全工程之外服务的业务。包括书面提出并制订信息系统安全方案,提供安全管理与操作规定的服务,提供安全性测试和监控,方案(安全方案、信息系统和安全产品等)试验,在公开场合或媒体宣讲传播安全知识的活动,信息系统安全的专家活动和政策制订工作,从事信息系统安全教育工作,其它可能影响信息系统安全性能的有偿或无偿服务或技术活动。3.2 信息安全服务

9、资质等级的评判原则信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定,是在其基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上,针对不同的服务种类,采用一定的权值综合考虑后确定,并由国家认证机构授予相应的资质级别。信息安全服务的资质等级的划分遵循以下原则:1 综合考虑原则: 信息安全服务资质等级的划分必须对组织的综合能力进行考察,它主要与组织的资格状况、技术实力、信息安全工程过程能力等级以及其他要求有关。2 与现行国家有关主管部门颁布的法律、法规、规章、制度相

10、一致的原则:安全策略要保持与现行的法律、法规、规章、制度相一致,不能相抵触。3 与我国已发布或即将发布的有关信息安全的标准相一致的原则:我国已发布许多与安全服务有关的的标准,本评估准则的资质等级划分必须与这些标准相一致。4 与组织的基本能力水平紧密结合的原则:一个组织的基本能力是评估其资质等级的基本要求,有些基本能力要求可能决定一个组织是否具备参与资质评定的资格。5 与信息安全服务工程过程能力等级紧密结合的原则:工程过程能力等级是反映组织实施工程的成熟程度,是评定资质的重要依据。6 可裁剪原则:安全服务有多种类型,对不同类型的安全服务可进行适当的裁剪。7 可操作性原则具有实际操作的可行性。4

11、提供信息安全服务的基本资格要求4.1 提供信息安全服务的组织必须是一个独立的实体,具有工商行政管理部门发给的合法的营业执照。4.2 必须获得国家有关信息安全主管部门发给的从事信息安全服务的资格证书。4.3 从事涉密(国家秘密)网络信息系统安全服务的组织必须获得国家安全主管部门的批准。4.4 采用商密信息产品进行安全系统集成的组织必须获得国家安全主管部门的批准。4.5 必须遵守国家现行法律、法规的规定。5 提供信息安全服务的基本能力要求5.1 组织与管理要求从事信息安全服务的组织:5.1.1 必须拥有健全的组织结构和管理体系,为持续的信息安全服务提供保证。5.1.2 应制定符合国家保密机关要求的

12、工作保密制度和相关的组织监管体系。5.1.3 所有成员要签定保密合同,并遵守有关法律法规。5.2 技术能力要求从事信息安全服务的组织,应:5.2.1 了解信息安全技术的最新动向,有能力掌握信息安全的最新技术。5.2.2 具有不断的技术更新能力。5.2.3 具有对信息系统所面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力。5.2.4 须能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度。5.2.5 具有对发生的突发性安全事件进行分析和解决的能力。5.2.6 从事安全系统集成和相关咨询的组织应具有足够的技术力量,对市场的信息安全产品 进行

13、功能分析、提出安全策略和安全解决方案、及安全产品的系统集成的能力。5.2.7 应具有足够的技术力量,根据服务业务的需求开发信息安全应用、产品或支持性工具的能力。5.2.8 系统集成商应有对集成的系统进行检测和验证的能力。5.2.9 有能力对信息安全系统进行有效的维护。5.2.10 有跟踪、了解、掌握、应用国际、国家和行业标准的能力。5.3 人员构成与素质要求5.3.1 从事信息安全服务的组织应具有充足的人力资源和合理的人员结构。5.3.2 所有与信息安全服务有关的管理和销售人员等应具有基本的信息安全知识。5.3.3 应有一批相对稳定的技术队伍。5.3.4 技术骨干人员应系统地掌握信息安全基础理

14、论和核心技术,并有足够的专业工作经验。5.4 设备、设施与环境要求从事信息安全的组织,应:5.4.1 具有固定的工作场所,良好的工作环境。5.4.2 具有先进的开发、测试或模拟环境。5.4.3 具有先进的开发、生产和测试设备。5.4.4 具有实施相关服务的必需的开发、生产和测试工具。5.5 规模与资产要求从事信息安全的组织,应:5.5.1 有足够的注册资金和充足的流动资金。5.5.2 建立与所承担的业务范围和工程规模相适应的服务体系。5.5.3 有足够的人员从事直接与信息安全服务相关的活动。5.6 业绩要求从事信息安全的组织,应具有与申请资质相符的从业经历,主要考查:5.6.1 从业时间5.6.2工程或项目规模5.6.3 工程或项目数量5.6.4 工程或项目质量5.6.5 合作项目参与程度5.6.6 完成结果评价 5.7 质量保证要求5.7.1 提供信息系统安全工程服务的组织要求通过“信息系统安全工程质量管理要求”;5.7.2 提供信息系统安全咨询培训服务的组织要求通过经裁剪的“信息系统安全工程质

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号