《关于信息安全认证测评浙江信息安全行业协会》由会员分享,可在线阅读,更多相关《关于信息安全认证测评浙江信息安全行业协会(59页珍藏版)》请在金锄头文库上搜索。
1、 专题一、信息安全认证、测评、资质认定政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查程序(暂 行) 一、为加强国务院各部委、各直属机构信息技术外包服务的安全管理,保证政府信息和信息系统安全,依据工业和信息化部、国家质量监督检验检疫总局、中国人民银行、国务院国有资产监督管理委员会、国家保密局、国家认证认可监督管理委员会联合印发的关于加强信息安全管理体系认证安全管理的通知(工信部联协2010394号),制定本审查程序。 二、本审查程序所称政府部门信息技术外包服务机构(以下简称服务机构),是指国务院各部委、各直属机构以签订合同的方式,委托承担信息技术服务且非本部门所属的专业机构。信息技
2、术服务主要包括信息系统设计与开发、信息系统集成、监理与测试、运行维护、数据处理、数据备份与灾难恢复、应急技术支持、安全测评、信息系统托管等。三、本审查程序所称信息安全管理体系认证,是指由认证机构依据信息安全管理体系相关标准和规范,对一个单位信息安全管理水平符合标准情况进行的合格评定活动。四、鼓励服务机构按照信息安全管理体系相关标准加强信息安全建设。服务机构申请信息安全管理体系认证时,应选择国家认证认可监督管理委员会批准开展信息安全管理体系认证的认证机构。五、鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。 六、服务机构申请信息安全管理体系认证(含再认证)时,应经工业
3、和信息化部安全审查同意。 七、工业和信息化部负责安全审查的管理工作,包括发布审查程序、制定审查标准、组织开展审查、发布审查结果等。 八、申请安全审查的服务机构应向工业和信息化部提交以下材料: (一)经服务机构法定代表人或其授权代表签署的政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查申请表(附表1)。 (二)服务机构拟提交给信息安全管理体系认证机构的认证申请材料,包括服务机构的营业执照及组织机构代码证书复印件、机构简介、主要业务流程、信息安全管理体系相关程序文件及其清单,以及认证机构要求提供的其他材料。 (三)服务机构拟选定的信息安全管理体系认证机构的基本信息,包括认证机构名称、性
4、质、资质、联系方式及机构简介等。 (四)服务机构证明其在申请认证、再认证及年度复核过程中确保不泄露政府重要信息的相关说明材料,包括但不限于拟与认证机构签署的安全保密协议,对认证活动中涉及政府信息的数据、文档、设备的安全管理措施,以及对参与认证人员的安全管理措施等。 (五)工业和信息化部要求提供的其他补充材料。九、工业和信息化部对服务机构提交的申请材料进行形式审查,并将是否受理的结果告知提交申请的服务机构。 十、工业和信息化部会同相关部门,组织专家对受理的申请进行实质审查,评估认证活动可能带来的信息安全风险,并将审查结果告知提交申请的服务机构。 十一、经审查同意申请并获得信息安全管理体系认证证书
5、的服务机构,应在获证后30个工作日内向工业和信息化部备案。 十二、自本审查程序公告之日起,对于未经工业和信息化部同意自行申请信息安全管理体系认证(含再认证),以及在审查过程中弄虚作假、谎报申请材料的服务机构,工业和信息化部将在一定范围予以通报。 十三、本审查程序由工业和信息化部负责解释。 十四、本审查程序自公告之日起实施。信息安全产品分级评估业务流程产品选型比对测试流程自主原创测评流程介绍1.1 自主原创测评流程综述自主原创测评流程参见下图:整个测评流程分为业务受理阶段、测评准备阶段、测评实施阶段、综合评定阶段和公告注册阶段五个阶段。1)业务受理阶段该阶段主要根据厂家文档及产品的实际情况,确定
6、是否受理产品的自主原创测评申请。厂家向中心提交自主原创测评申请,按照文档要求提交全部文档及资质证明。由公共服务部对厂家提交的文档进行初步的技术和形式审查,包括提交的文档内容是否符合内容要求和形式要求,通过审查的进入下一阶段,未通过审查的根据提交文档的实际情况提出书面反馈意见,厂家应根据反馈意见进行补充或修改,并以新的文档重新提出测评申请。如遇严重问题的,由中心出具书面情况描述,拒绝接受产品申请,终止自主原创测评业务。2)测评准备阶段受理完成后,信息安全实验室制定测评方案。厂家将产品及全部文档提交到中心,信息安全实验室对厂家详细文档进行审核,通过审查的进入下一阶段,未通过审查的根据提交文档的实际
7、情况提出书面反馈意见,厂家应根据反馈意见进行补充或修改,直到资料符合测评要求。信息安全实验室通知厂家项目正式启动,并将需厂家配合的相关事宜一并告知。3)测评实施阶段在测评实施阶段,厂商在收到启动通知书后,同中心签订源代码托管协议,并提交送测产品样品和源代码,并同信息安全实验室协商确定现场测评相关的工作安排,制定方案。测评组人员根据方案,严格遵照测评进度开展测评工作,必要时可要求厂家提供技术支持,及配合完成有关操作,对于出现的问题应及时报负责人解决,属厂家问题的出具观察报告由厂家确认签字,属严重问题的经与厂家确认,必要时终止测评业务。4)综合评定阶段测评组人员根据各个方面的测评结果,出具综合的描
8、述性报告,该报告将作为产品是否通过原创证明的直接依据。报告和评估记录交由负责人完成审核,测评组人员根据审核意见对报告和记录进行修改,并最终由负责人签字确认,确认后进入下一阶段。5)公告注册阶段中心组织相关领域内的专家,负责对综合结果进行评审。通过评审的产品将在中心网站及主流媒体进行公布,并留有半个月的争议期限,在争议期内接受社会及业内厂家的意见,发生严重争议的,视具体情况经查实后可终止测评业务。未发生争议的进入下一阶段。 争议期过后,中心对产品进行注册并颁发产品认证证书,将认证结果公布于中心网站和杂志。在监督期内,中心均接受对已获证产品的争议,如有争议发生,对该产品将进行复议,对确认违反自主原
9、创规定的,将对其取消已颁发的证书。同时,中心每年对已测评产品复查1次,可采取自查、抽查、普查等不同形式并可进行不定期抽查。根据监督检查的结果,对违反有关规则或程序自行变更技术性能或采用国外产品或技术对已测评产品的安全性和可控性造成威胁,中心可要求该获证企业进行解释和整改,必要时也可随时对其取消已颁发的证书。中心将根据情节严重程度对该获准企业的申请资格加以限制。中心将在证书3年有效期满后,组织对该产品的证书和换发新的证书,如遇到产品变化较大的,可要求厂家重新提供文档及相关证明,必要时,可组织验证性测评。1.2 资料提交和说明在自主原创测评中,厂商应根据测评流程提交相关资料,厂商所需提交的资料包括
10、:1.2.1 业务受理阶段(申请书)所需提交的资料在业务受理阶段,厂商在申请书中应提交以下文件:l 申请单位应提交以下企业资质文件用于审查:n 企业法人营业执照:用于审查企业的法人身份、注册资金、企业类型、经营范围等内容;n 企业资质证书:包括政府或行业协会等单位颁发的企业能力资质证书,包括质量管理体系证书等。l 申请单位应提交以下送测产品资质文件用于审查:n 产品证书:包括中华人民共和国公安部颁发的销售许可证、中国信息安全测评中心颁发的产品分级(EAL)测评证书等;n 知识产权相关证书:计算机软件著作权证书或专利证书等。l 其他申请书要求的相关文件资料1.2.2 测评实施阶段(启动通知单)所
11、需提交的资料当通过审查,开始测评实施阶段时,厂商应根据启动通知单进一步提交以下资料:l 自主原创测评所涉及产品的所有源代码;l 送测产品样品;l 企业研发生产相关的进一步补充资料;l 其他启动通知单所要求的资料。1.3 自主原创测评业务接口说明中心公共服务部是负责自主原创测评业务对外联系和沟通的重要窗口,负责受理自主原创测评申请书、发放自主原创测评证书。源代码托管部门根据签署的源代码托管协议内容和具体实施办法,负责对企业的源代码进行管理。中心信息安全实验室是自主原创测评业务的业务实施接口,负责自主原创业务的实施。自主原创测评业务的业务接口图如下:整个测评过程中:中心的部门包括公共服务部、信息安
12、全实验室。l 公共服务部在业务受理阶段为厂家提供服务。l 信息安全实验室在测评准备阶段、测评实施阶段、综合评定阶段为厂家提供服务。l 公共服务部在公告注册阶段为厂家提供服务。1.3.1 测评内容信息安全产品自主原创测评包括以下几个方面:非技术性测评、技术性测评和现场核查。具体内容如下:1)非技术性测评主要包括:审查企业是否具备相关的专利技术及著作权证明。对产品的需求分析、概要设计、详细设计等文档进行审查,确认文档的完善性、准确性及一致性,是否足以支持产品自主研发。2) 技术性测评主要包括:产品安全性检测:对产品进行安全功能的测试,确认其可用性和稳定性,与产品设计文档是否一致。源代码同源性检测:
13、对代码的同源性进行检测,并同基准库进行比对。3) 现场核查主要包括:审查企业的生产现场,确认企业的生产规模是否足以满足产品自身的生产需求。确认与产品生产相关的文档是否齐全并得到了妥善的保护。审查研发及测试环境,确认企业是否采取了确保产品机密信息不被非授权泄漏的安全措施。确认企业是否采取了确保产品完整性的措施(如使用了配置管理或其它代码及文档管理的辅助工具)。确认产品是否采用了控制措施保证产品在开发环境以外的安全。与企业各级研发人员进行交流,确认其对产品的设计思路是否清晰,对产品的研发技术是否明确,对产品的功能特点是否明确。1.3.2 人员及时间该项业务从流程及内容上类似于信息安全产品分级评估的
14、EAL4级业务,涉及到文档审查、现场交流、源代码查看、产品测试,因此在人员及时间安排上可以参考EAL4级业务。开始测评时间为厂家接到项目启动通知单的时间。结束测评时间为信息安全实验室出具测评报告时间。测评按4人/日,50天完成的标准要求进行项目实施。1.3.3 监督测评中心有相应部门对测评流程就行监督管理,确保测评任务在正确的安全控制流程下进行。1.3.4 代码托管中心与申请厂家签署源代码第三方托管协议,来保护代码的安全1.4 业务输出自主原创测评输出产品:自主原创测评报告,该报告包括以下几个部分:l 文档审查报告:有关产品的专利、著作权及技术文档审查结果的评定。l 现场核查报告:对现场的文档
15、审查、开发环境、人员交流结果的评定报告。l 技术检测报告:对产品安全性测试和源代码验证结果的评定。l 综合测评报告:对以上3个报告的整体描述,阐述产品的最终评定结果。信息安全服务资质认定业务简介 “信息安全服务资质认定”是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定,为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。中国信息安全测评中心是由国家编办授权的开展信息安全服务资质认定工作的机构。 凡是在中华人民共和国境内从事信息系统安全服务的单位都可以向中国信息安全测评中心提出资质申请,中国信息安全测评中心秉承科学、规范、客观和公正的原则为社会提供完整的资质服务。 申请组织可根据组织服务情况申请相应类型的服务资质,目前,中心提供以下三类的资质申请工作: 1、资质信息安全服务(安全工程类)资质认定: 是对信息安全工程服务提
