亚洲国产精品久久久婷婷-成人免费av高清在线观看-国产中文精品色婷婷综-国产精品中文字幕在线不卡

四川信息安全認(rèn)證咨詢 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證評(píng)價(jià)要求

   時(shí)間:2024-10-12 07:17:00     來源:華企認(rèn)證咨詢網(wǎng)     作者:小認(rèn)     瀏覽:900    評(píng)論:0    
核心提示:四川信息安全認(rèn)證咨詢 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證評(píng)價(jià)要求信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證評(píng)價(jià)要求1 范圍信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證是

四川信息安全認(rèn)證咨詢 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證評(píng)價(jià)要求

信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證評(píng)價(jià)要求

1 范圍

信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證是依據(jù)國家認(rèn)證認(rèn)可法律法規(guī)及國際、國內(nèi)相關(guān)技術(shù)標(biāo)準(zhǔn)和規(guī)范,對(duì)信息系統(tǒng)安全集成服務(wù)提供者的資質(zhì)進(jìn)行評(píng)價(jià)的合格評(píng)定活動(dòng)。

本規(guī)則提出了信息系統(tǒng)安全集成服務(wù)提供者(以下簡(jiǎn)稱服務(wù)提供者)應(yīng)具備的服務(wù)能力要求,及實(shí)施信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證的程序與管理要求。

本規(guī)則適用于對(duì)服務(wù)提供者服務(wù)能力的評(píng)價(jià)活動(dòng);可作為信息系統(tǒng)所有者選擇服務(wù)提供者的依據(jù);可為有關(guān)管理部門對(duì)服務(wù)提供者進(jìn)行管理提供參考;也可為服務(wù)提供者自我能力改進(jìn)提供參考。

2 規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。

對(duì)信息系統(tǒng)安全集成服務(wù)提供者所具備的服務(wù)資質(zhì)進(jìn)行評(píng)價(jià)所引用的標(biāo)準(zhǔn)包括:

GB/T20261-2006信息技術(shù)系統(tǒng)安全工程能力成熟度模型

YD/T1621-2007網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評(píng)價(jià)準(zhǔn)則

YD/T1799-2008網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評(píng)價(jià)方法

YD/T2252-2011網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力評(píng)價(jià)方法

CNCA/CTS0052-2007信息安全服務(wù)資質(zhì)認(rèn)證技術(shù)規(guī)范

GB/T5271.8-2001《信息技術(shù)詞匯第8部分:安全》中的術(shù)語和定義適用于本標(biāo)準(zhǔn)。

3 術(shù)語和定義

GB/T20261-2006中的術(shù)語均適用于本規(guī)則。

3.1 

信息系統(tǒng)安全集成服務(wù)informationsystemsecurityintegrationservice

信息系統(tǒng)安全集成服務(wù)(以下簡(jiǎn)稱:安全集成)是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證的活動(dòng)。

信息系統(tǒng)安全集成一般是按照信息系統(tǒng)建設(shè)的安全需求,采用信息系統(tǒng)安全工程的方法和理論,將安全單元、產(chǎn)品部件進(jìn)行集成的行為或活動(dòng)。信息系統(tǒng)安全集成包括在新建信息系統(tǒng)的結(jié)構(gòu)化設(shè)計(jì)中考慮信息安全保證因素,從而使建設(shè)完成后的信息系統(tǒng)滿足建設(shè)方或使用方的安全需求而開展的活動(dòng)。也包括在已有信息系統(tǒng)的基礎(chǔ)上額外增加信息安全子系統(tǒng)或信息安全設(shè)備等,通常被稱為安全優(yōu)化或安全加固。

4 安全集成服務(wù)提供者基本的資質(zhì)要求

4.1 基本條件

服務(wù)提供者應(yīng):

(1)具有中華人民共和國境內(nèi)的獨(dú)立法人資格,具有相關(guān)部門頒發(fā)的合法經(jīng)營資格;

(2)近兩年內(nèi)經(jīng)濟(jì)狀況良好,財(cái)務(wù)數(shù)據(jù)真實(shí)可信,并應(yīng)經(jīng)國家相關(guān)部門認(rèn)定的會(huì)計(jì)師事務(wù)所核實(shí);

(3)具有固定的工作場(chǎng)所;

(4)遵守國家現(xiàn)行法律、法規(guī)的規(guī)定。

4.2 基本管理能力要求

服務(wù)提供者應(yīng):

(1)采取技術(shù)和管理措施確??蛻粜畔⒌陌踩?、可控,這些信息包括但不限于客戶資料、集成活動(dòng)中產(chǎn)生的文檔、最終安全集成報(bào)告等;

(2)制定保密管理制度,明確保密崗位與職責(zé),定期對(duì)服務(wù)人員進(jìn)行保密教育與培訓(xùn),并簽訂《保密責(zé)任書》,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負(fù)責(zé)落實(shí);

(3)建立人員管理制度,使每一位服務(wù)人員持續(xù)滿足崗位職責(zé)的需求;制定安全集成技能培訓(xùn)計(jì)劃,定期對(duì)服務(wù)人員進(jìn)行培訓(xùn)、指導(dǎo)、考核;

(4)建立項(xiàng)目管理制度,并按照項(xiàng)目管理制度實(shí)施,具體包括在項(xiàng)目實(shí)施過程中如何與組織內(nèi)外的交流機(jī)制、規(guī)劃關(guān)鍵技術(shù)活動(dòng)、分配資源、指派責(zé)任、設(shè)立項(xiàng)目的里程碑及評(píng)審要求、日常的監(jiān)督檢查要求、編制過程文檔、提供工具、確保培訓(xùn)、策劃過程等,以保證安全服務(wù)的質(zhì)量;

(5)建立項(xiàng)目風(fēng)險(xiǎn)管理制度,評(píng)估項(xiàng)目風(fēng)險(xiǎn),制定項(xiàng)目風(fēng)險(xiǎn)控制措施并跟蹤其有效性;

(6)建立安全集成所需的設(shè)備采購管理制度,明確規(guī)定采購流程、流程中各環(huán)節(jié)責(zé)任制,確保采購質(zhì)量,控制采購成本;準(zhǔn)確識(shí)別供方提供的服務(wù)或系統(tǒng)構(gòu)件及其專業(yè)資質(zhì)和能力,并與供方的有效溝通機(jī)制等;

(7)制定符合標(biāo)準(zhǔn)要求的安全集成方案、報(bào)告等文檔模板。

4.3 基本技術(shù)能力要求

服務(wù)提供者應(yīng):

(1)具備安全集成有關(guān)的工作流程及操作規(guī)范;

(2)具備制定安全集成方案并能夠按照該方案實(shí)施的能力;能夠提供信息系統(tǒng)安全集成服務(wù)報(bào)告、系統(tǒng)使用指南等文檔;

(3)具備對(duì)安全集成系統(tǒng)進(jìn)行檢測(cè)和驗(yàn)證的能力;

(4)熟悉國內(nèi)外主流的信息技術(shù)產(chǎn)品、信息安全產(chǎn)品的功能及特性;

(5)具有滿足項(xiàng)目需要的開發(fā)、測(cè)試工具及模擬環(huán)境;

(6)有專門的技術(shù)人員關(guān)注并掌握信息安全技術(shù)、標(biāo)準(zhǔn)和法規(guī);關(guān)注國內(nèi)外權(quán)威機(jī)構(gòu)發(fā)布的安全公告及漏洞公告,并對(duì)最新的安全相關(guān)技術(shù)進(jìn)行研究。

5 信息系統(tǒng)安全集成服務(wù)過程要求

5.1 信息系統(tǒng)安全集成服務(wù)過程概述

信息系統(tǒng)安全集成服務(wù)過程分為四個(gè)階段:集成準(zhǔn)備、方案設(shè)計(jì)、建設(shè)實(shí)施、安全保證。

集成準(zhǔn)備階段主要是界定安全需求、簽訂服務(wù)合同、確定服務(wù)人員、簽訂保密協(xié)議等;方案設(shè)計(jì)階段主要根據(jù)國家及有關(guān)行業(yè)的要求,充分考慮各方面的安全需求和安全背景,以設(shè)計(jì)出適用的項(xiàng)目方案;建設(shè)實(shí)施階段主要是在新建或已運(yùn)行的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)項(xiàng)目方案的預(yù)期安全目標(biāo)和效果;安全保證階段主要是完成施工的安全系統(tǒng)進(jìn)行檢驗(yàn)、檢測(cè),觀察運(yùn)行情況,收集能夠?qū)崿F(xiàn)設(shè)計(jì)功能目標(biāo)好通過在方案設(shè)計(jì)階段、建設(shè)實(shí)施階段等過程中,收集客戶的安全需求已經(jīng)得到滿足的證據(jù)。

信息系統(tǒng)安全集成服務(wù)過程的四個(gè)階段包括10個(gè)過程要求(見表1),各過程要求細(xì)則共43項(xiàng)(見集成服務(wù)各階段的過程要求,表2、表3、表4、表5)。過程要求項(xiàng)定義了為滿足各階段過程的內(nèi)容要點(diǎn)以及最佳實(shí)踐。

表1:信息系統(tǒng)安全集成服務(wù)過程要求列表

階段名稱

過程要求

集成準(zhǔn)備

界定安全需求

簽定服務(wù)合同

確定服務(wù)人員

簽訂保密協(xié)議

方案設(shè)計(jì)

安全方案設(shè)計(jì)

建設(shè)實(shí)施

協(xié)調(diào)安全

管理安全控制

安全監(jiān)控

安全保證

建立保證論據(jù)

驗(yàn)證和確認(rèn)安全

5.2 集成準(zhǔn)備

5.2.1安全需求界定

風(fēng)險(xiǎn)評(píng)估是安全集成的重要基礎(chǔ)。依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估過程中已識(shí)別出的風(fēng)險(xiǎn),明確客戶的內(nèi)外部安全需求,并制定安全目標(biāo)。

本要求的目標(biāo):在安全需求方面與客戶和其他團(tuán)體達(dá)成共識(shí)。

具體要求和說明如下:

(1)理解安全需求

收集和分析所有有助于全面理解客戶安全需求的信息。

(2)識(shí)別適用的法律、政策和約束條件

識(shí)別影響客戶系統(tǒng)安全需求的法律、法規(guī)和行業(yè)標(biāo)準(zhǔn)等外部因素,并確定遵從全球性政策和本地政策的優(yōu)先權(quán)。

(3)識(shí)別安全背景

識(shí)別影響信息系統(tǒng)安全的背景因素,如信息系統(tǒng)的用途(如金融、醫(yī)療)、運(yùn)行場(chǎng)景、技術(shù)發(fā)展的變化、社會(huì)當(dāng)前熱點(diǎn)事件。

(4)獲取安全視圖

開發(fā)組織的高層次安全分析視圖,包括業(yè)務(wù)需求、角色、職責(zé)、信息流、資產(chǎn)、資源、人員保護(hù)以及物理保護(hù)等。

(5)識(shí)別安全目標(biāo)

識(shí)別滿足信息系統(tǒng)安全需求的安全目標(biāo)。安全目標(biāo)應(yīng)該至少涉及信息系統(tǒng)及其承載信息的可用性、保密性、完整性、可核查性、真實(shí)性和可靠性要求等。

(6)定義安全要求

定義信息系統(tǒng)的安全要求,并確保安全要求與適用的政策、法律、標(biāo)準(zhǔn)、安全需求以及約束條件保持一致。安全要求應(yīng)全面體現(xiàn)信息系統(tǒng)的安全需求,并與安全目標(biāo)建立對(duì)應(yīng)關(guān)系。

(7)達(dá)成安全協(xié)議

依據(jù)安全要求和客戶需求,與客戶和相關(guān)的團(tuán)體達(dá)成共識(shí)。

5.2.2確定服務(wù)合同

(1)與客戶和供方在服務(wù)合同中至少明確服務(wù)范圍、目標(biāo)、質(zhì)量和成本;

(2)與客戶和供方在服務(wù)合同中包括項(xiàng)目保密責(zé)任和違約責(zé)任。

5.2.3確定服務(wù)人員和組織

與客戶和供方確定項(xiàng)目人員構(gòu)成,并控制由項(xiàng)目人員變更帶來的相關(guān)風(fēng)險(xiǎn)。

5.2.3簽訂保密協(xié)議

與客戶和供方簽訂保密協(xié)議;注意保密內(nèi)容與客戶要求的一致性。

表2:信息系統(tǒng)安全集成服務(wù)準(zhǔn)備階段要求

集成準(zhǔn)備階段的要求

必備

可選

安全需求界定

1)理解安全需求

2)識(shí)別法律、政策和約束條件

3)識(shí)別安全背景

4)獲取安全視圖

5)獲取安全目標(biāo)

6)定義安全要求

7)達(dá)成安全協(xié)議

確定服務(wù)合同

1)明確服務(wù)范圍、目標(biāo)、質(zhì)量和成本

2)明確項(xiàng)目保密責(zé)任和違約責(zé)任

確定服務(wù)人員和組織

確定項(xiàng)目人員構(gòu)成

簽訂保密協(xié)議

簽訂保密協(xié)議

5.3 方案設(shè)計(jì)

基于“5.2.1安全需求界定”中識(shí)別的安全需求,為信息系統(tǒng)的規(guī)劃人員、設(shè)計(jì)人員、實(shí)施人員和客戶提供所需的安全輸入信息。這些信息至少包括安全體系結(jié)構(gòu)、設(shè)計(jì)或?qū)嵤┑捻?xiàng)目方案以及安全指南。

本要求的目標(biāo):評(píng)審信息系統(tǒng)中所有涉及安全的問題,并按照安全目標(biāo)在方案設(shè)計(jì)中落實(shí);安全集成項(xiàng)目組及各工作組所有成員都應(yīng)該理解安全問題,以各司其職;項(xiàng)目方案應(yīng)反映所提供的安全需求和要求。

具體要求和說明如下:

(1)理解安全需求

與設(shè)計(jì)人員、開發(fā)人員、客戶溝通確認(rèn),以確保相關(guān)團(tuán)體對(duì)安全輸入需求達(dá)成共識(shí)。

(2)確定安全約束條件和考慮事項(xiàng)

安全集成項(xiàng)目組應(yīng)分析和確定在需求、設(shè)計(jì)、實(shí)施、配置和文檔方面的安全約束條件和考慮事項(xiàng),以便于在各工作組的具體工作中做出最佳的安全集成選擇。

(3)識(shí)別安全集成項(xiàng)目方案

根據(jù)客戶安全需求以及其他約束條件,識(shí)別和制定項(xiàng)目方案。

(4)評(píng)審項(xiàng)目方案

各工作組和安全集成項(xiàng)目組要利用已識(shí)別的安全約束條件和考慮事項(xiàng)評(píng)審項(xiàng)目方案。

(5)提供安全集成指南

安全集成項(xiàng)目組應(yīng)開發(fā)項(xiàng)目相關(guān)的安全集成指南,并把它提供給各工作組。各工作組根據(jù)相關(guān)的安全集成指南對(duì)信息系統(tǒng)體系結(jié)構(gòu)、設(shè)計(jì)和實(shí)現(xiàn)的選擇條件做出決定。

(6)提供安全運(yùn)行指南

安全集成項(xiàng)目組應(yīng)設(shè)計(jì)并開發(fā)安全運(yùn)行指南,并提供給系統(tǒng)用戶和管理員。本運(yùn)行指南指導(dǎo)用戶和管理員以安全的方式進(jìn)行安裝、配置、運(yùn)行和廢棄系統(tǒng)。

表3:信息系統(tǒng)安全集成服務(wù)方案設(shè)計(jì)階段要求

方案設(shè)計(jì)階段要求

必備

可選

方案設(shè)計(jì)

 1)理解安全需求

 2)確定安全約束條件和考慮事項(xiàng)

 3)識(shí)別安全集成項(xiàng)目方案

 4)評(píng)審項(xiàng)目方案

 5)提供安全集成指南

 6)提供安全運(yùn)行指南

5.4 建設(shè)實(shí)施

5.4.1協(xié)調(diào)安全

協(xié)調(diào)安全的目的是確保所有相關(guān)組織和工作組人員都能積極參與安全集成項(xiàng)目。協(xié)調(diào)安全涉及到保持所有項(xiàng)目人員與外部組織以及工作組之間溝通。

本要求的目標(biāo):項(xiàng)目組的所有成員都能主動(dòng)地參與到安全集成項(xiàng)目中,最大程度地發(fā)揮他們的作用;溝通和協(xié)調(diào)有關(guān)安全的決策和建議。

具體要求和說明如下:

(1)制定協(xié)調(diào)目標(biāo)

需要相關(guān)工作組重視并參與安全集成項(xiàng)目。根據(jù)項(xiàng)目組的信息需求和項(xiàng)目要求決定共享信息的目標(biāo),并建立與他們之間的合作關(guān)系和承諾。

(2)識(shí)別協(xié)調(diào)機(jī)制

識(shí)別在項(xiàng)目中協(xié)調(diào)安全的不同方法,用于與相關(guān)組織共享安全集成的決策和建議。

(3)促進(jìn)安全協(xié)調(diào)

確保以合適和有效的方式來解決項(xiàng)目開展期間的意見分歧。

(4)協(xié)調(diào)安全決策和建議

運(yùn)用已識(shí)別的協(xié)調(diào)機(jī)制,與項(xiàng)目組人員、各工作組及其他組織溝通安全決策和建議。

5.4.2管理安全控制

管理和維護(hù)安全控制措施。通過正確實(shí)施和配置,確保信息系統(tǒng)的安全措施在其運(yùn)行狀態(tài)下達(dá)到預(yù)期目標(biāo)。

本要求的目標(biāo):正確配置和使用安全控制措施。

具體要求和說明如下:

(1)建立安全職責(zé)

確保相關(guān)負(fù)責(zé)人的行為職責(zé)得到授權(quán),并且傳達(dá)給組織中的所有成員。無論采用什么安全控制措施,都應(yīng)該確保管理職責(zé)是明確和持續(xù)適用的。

(2)管理安全控制措施的配置

對(duì)信息系統(tǒng)安全控制機(jī)制進(jìn)行配置管理,制定相關(guān)流程和要求。

(3)管理安全意識(shí)、培訓(xùn)和教育

像管理其他的意識(shí)、培訓(xùn)和教育一樣,對(duì)所有員工的安全意識(shí)、培訓(xùn)和教育進(jìn)行管理。

(4)定期維護(hù)與管理安全控制措施

定期維護(hù)和管理安全服務(wù)和控制措施,包括保護(hù)服務(wù)和控制機(jī)制免受有意或者無意的損壞,并依據(jù)法律和政策的要求進(jìn)行備案。

5.4.3監(jiān)控安全態(tài)勢(shì)

監(jiān)控安全態(tài)勢(shì)的目的是確保識(shí)別和報(bào)告所有的安全違規(guī)行為、試圖違規(guī)行為或能夠潛在地導(dǎo)致安全違規(guī)的錯(cuò)誤。監(jiān)控安全態(tài)勢(shì)需要監(jiān)控內(nèi)部和外部環(huán)境中可能影響信息系統(tǒng)安全的所有因素。

本要求的目標(biāo):檢測(cè)和跟蹤內(nèi)部與外部的安全事件,并根據(jù)策略進(jìn)行安全響應(yīng);根據(jù)安全目標(biāo),識(shí)別并處理安全態(tài)勢(shì)的變化。

具體要求和說明如下:

(1)分析事件記錄

檢查安全信息相關(guān)的事件記錄。識(shí)別值得關(guān)注的事件,以及與其他事件的關(guān)聯(lián)性。

(2)監(jiān)控變化

關(guān)注可能影響當(dāng)前安全狀態(tài)有效性的任何變化。威脅、脆弱性、影響和風(fēng)險(xiǎn)與信息系統(tǒng)的安全緊密相關(guān)。

(3)識(shí)別安全事件

確定是否發(fā)生了安全事件,識(shí)別其詳細(xì)情況并且在必要時(shí)向上級(jí)報(bào)告。

(4)監(jiān)控安全防護(hù)措施

經(jīng)常檢查安全防護(hù)措施的運(yùn)行狀態(tài),以便識(shí)別出其性能的變化和功能的有效性。

(5)評(píng)審安全態(tài)勢(shì)

定期檢查安全措施和相關(guān)的安全要求,以識(shí)別必要的安全變更。

(6)管理安全事件響應(yīng)

制定應(yīng)急響應(yīng)計(jì)劃,和快速恢復(fù)策略和恢復(fù)計(jì)劃;并定期測(cè)試和維護(hù)應(yīng)急響應(yīng)計(jì)劃。

(7)保存安全監(jiān)控結(jié)果

封存和歸檔安全監(jiān)控日志、審計(jì)報(bào)告和分析結(jié)果。

表4:信息系統(tǒng)安全集成服務(wù)建設(shè)實(shí)施階段要求

建設(shè)實(shí)施階段要求

必備

可選

協(xié)調(diào)安全

 1)建立安全職責(zé)

 2)識(shí)別安全集成協(xié)調(diào)機(jī)制

 3)促進(jìn)安全集成協(xié)調(diào)

 4)協(xié)調(diào)安全決策和建議

管理安全控制

 1)建立安全職責(zé)

 2)管理安全控制機(jī)制的配置

 3)管理安全意識(shí)、培訓(xùn)和教育

 4)定期維護(hù)和管理安全控制機(jī)制

安全監(jiān)控

 1)分析事件記錄

 2)監(jiān)控變化

 3)識(shí)別安全事件

 4)監(jiān)控安全防護(hù)措施

 5)評(píng)審安全態(tài)勢(shì)

 6)管理安全事件響應(yīng)

 7)保存安全監(jiān)控結(jié)果

5.5 安全保證

5.5.1建立保證論據(jù)

建立保證論據(jù)的目的是通過相關(guān)的證據(jù)清楚地表明客戶的安全需求已經(jīng)得到滿足。保證論據(jù)是由多種保證證據(jù)支持的一系列陳述性保證目標(biāo),包括識(shí)別和定義保證要求、證據(jù)的產(chǎn)生和分析活動(dòng)以及支持保證要求所需的附加證據(jù)活動(dòng)。另外,收集、整理并展示這些活動(dòng)生成的證據(jù)。

本要求的目標(biāo):項(xiàng)目工作結(jié)果和工作過程向客戶明確地提供了其安全需求已被滿足的證據(jù)。

具體要求和說明如下:

(1)識(shí)別保證目標(biāo)

由客戶確定的安全保證目標(biāo)指明了信息系統(tǒng)需要的信任等級(jí)和安全策略實(shí)現(xiàn)的信任等級(jí)。保證目標(biāo)的充分性應(yīng)該由開發(fā)商、集成商、客戶和信息系統(tǒng)運(yùn)維人員共同確定。

(2)制定保證策略

制定安全保證策略的目的是策劃和確保安全目標(biāo)被正確地貫徹和落實(shí)。本過程所產(chǎn)生的保證證據(jù)將會(huì)提供安全措施滿足安全風(fēng)險(xiǎn)管理的信任等級(jí)。通過制定和頒布安全保證策略,實(shí)現(xiàn)對(duì)安全保證相關(guān)活動(dòng)的有效管理。

(3)制定測(cè)量準(zhǔn)則(一級(jí)可選要求)

安全測(cè)量準(zhǔn)則有利于安全決策、績(jī)效提升和職責(zé)核查。測(cè)量安全績(jī)效的目的是基于已識(shí)別的測(cè)量準(zhǔn)則監(jiān)控安全運(yùn)行的狀態(tài),以便于通過實(shí)施糾正措施進(jìn)行過程改進(jìn)。測(cè)量準(zhǔn)則有助于監(jiān)控保證策略和保證目標(biāo)的完成。

(4)控制保證證據(jù)

在安全集成項(xiàng)目各階段活動(dòng)中識(shí)別并收集各種安全證據(jù)。安全證據(jù)應(yīng)該進(jìn)行控制和管理,以確保與當(dāng)前工作結(jié)果的通用性和與安全保證目標(biāo)的關(guān)聯(lián)性。

(5)分析保證證據(jù)

分析保證證據(jù),以提供滿足安全目標(biāo)的證據(jù)的信任等級(jí),從而滿足客戶的安全需求。通過分析保證證據(jù),可以確定安全建設(shè)實(shí)施過程和安全驗(yàn)證過程是否充分和完善,以便判斷安全機(jī)制和安全功能的實(shí)現(xiàn)是否令人滿意。同時(shí),也確保了安全集成項(xiàng)目結(jié)果相對(duì)于安全基線而言也是完整的和正確的。

(6)提供保證論據(jù)

向客戶提供用于表明與安全保證目標(biāo)相符合的整體安全保證論據(jù)。保證論據(jù)應(yīng)該被評(píng)審,以確保保證證據(jù)的充分性和滿足安全保證目標(biāo)。

5.5.2驗(yàn)證和確認(rèn)安全

確保項(xiàng)目方案得到驗(yàn)證和確認(rèn)。驗(yàn)證表明項(xiàng)目方案被正確地實(shí)施,而確認(rèn)則證明項(xiàng)目方案是有效的。根據(jù)安全要求、體系結(jié)構(gòu)和安全設(shè)計(jì)方面的信息,通過觀察、演示、分析和測(cè)試來驗(yàn)證項(xiàng)目方案。通過客戶的安全需求和安全目標(biāo)確認(rèn)項(xiàng)目方案。

本要求的目標(biāo):用事實(shí)證明項(xiàng)目方案滿足客戶的安全需求和要求。

具體要求和說明如下:

(7)識(shí)別項(xiàng)目方案

分別識(shí)別驗(yàn)證和確認(rèn)活動(dòng)的目標(biāo)。這涉及在安全集成項(xiàng)目的整個(gè)生命周期內(nèi)與所有工作組的協(xié)調(diào)。

(1)定義驗(yàn)證和確認(rèn)方法

識(shí)別待驗(yàn)證和確認(rèn)項(xiàng)目方案的方法,涉及如何驗(yàn)證和確認(rèn)每一項(xiàng)安全需求的方法。嚴(yán)格等級(jí)用于指明驗(yàn)證和確認(rèn)工作的細(xì)致程度,而且這受到“建立保證論據(jù)”中“制定面向所有安全目標(biāo)的安全保證策略”預(yù)期輸出結(jié)果的影響。

(2)執(zhí)行驗(yàn)證

通過確認(rèn)安全要求(包括“建立保證論據(jù)”識(shí)別的安全保證要求)來驗(yàn)證項(xiàng)目方案是正確的。

(3)執(zhí)行確認(rèn)

確認(rèn)項(xiàng)目方案的目的是表明項(xiàng)目方案能夠有效地滿足客戶的安全需求。有多種方式提供確認(rèn)證據(jù)證明客戶安全需求已經(jīng)得到滿足,比如在運(yùn)行環(huán)境或者代表性測(cè)試環(huán)境中測(cè)試項(xiàng)目方案。

(4)獲取驗(yàn)證和確認(rèn)結(jié)果

獲取并提供驗(yàn)證和確認(rèn)的結(jié)果。驗(yàn)證和確認(rèn)的結(jié)果應(yīng)該以一種容易理解和使用的方式提供。結(jié)果應(yīng)該能被跟蹤,以保持從安全需求到安全要求、項(xiàng)目方案、測(cè)試結(jié)果的可跟蹤性。

表5:信息系統(tǒng)安全集成服務(wù)安全保證階段要求

安全保證階段要求

必備

可選

建立保證論據(jù)

 1)識(shí)別保證目標(biāo)

 2)制定保證策略

 3)制定測(cè)量準(zhǔn)則(一級(jí)要求)

 4)控制保證證據(jù)

 5)分析保證證據(jù)

 6)提供保證論據(jù)

驗(yàn)證和確認(rèn)安全

 1)識(shí)別待驗(yàn)證和確認(rèn)的目標(biāo)

 2)制定驗(yàn)證和確認(rèn)的方法

 3)執(zhí)行驗(yàn)證

 4)執(zhí)行確認(rèn)

 5)獲取驗(yàn)證和確認(rèn)結(jié)果

6 信息系統(tǒng)安全集成服務(wù)資質(zhì)分級(jí)評(píng)價(jià)要求

信息系統(tǒng)安全集成服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度。資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別,其中一級(jí)最高,三級(jí)最低。

根據(jù)服務(wù)提供者的機(jī)構(gòu)注冊(cè)資金、從業(yè)經(jīng)驗(yàn)、人員素質(zhì)要求、項(xiàng)目經(jīng)驗(yàn)、管理能力和技術(shù)能力等要素,可將服務(wù)提供者的資質(zhì)劃分為三個(gè)級(jí)別。

6.1 三級(jí)信息系統(tǒng)安全集成服務(wù)資質(zhì)要求

6.1.1基本資格

(1)基本條件(參見第4.1節(jié));

(2)注冊(cè)資本:產(chǎn)權(quán)關(guān)系明晰,注冊(cè)資本不少于200萬元人民幣;

(3)人員素質(zhì)要求:信息系統(tǒng)安全集成服務(wù)人員10名以上;本科以上學(xué)歷人員占機(jī)構(gòu)總?cè)藬?shù)比例在60%以上;

(4)具有信息系統(tǒng)安全服務(wù)相關(guān)的資質(zhì)人員至少2人(如,CISAW,信息安全管理體系審核員、CISSP,CISA等);至少有1人具有項(xiàng)目管理的資格證書。

(5)主要負(fù)責(zé)人應(yīng)具有2年以上從事信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷,主要技術(shù)負(fù)責(zé)人應(yīng)獲得電子信息技術(shù)類高級(jí)職稱且從事安全集成技術(shù)工作不少于2年,財(cái)務(wù)負(fù)責(zé)人應(yīng)具有初級(jí)以上職稱;

(6)從業(yè)時(shí)間:從事信息系統(tǒng)安全集成服務(wù)一年以上;

(7)從業(yè)經(jīng)驗(yàn):獨(dú)立完成中小型企業(yè)的信息系統(tǒng)集成項(xiàng)目;近三年內(nèi)至少完成4個(gè)以上完整的信息安全集成項(xiàng)目,按合同要求質(zhì)量合格,已通過驗(yàn)收并投入實(shí)際應(yīng)用。項(xiàng)目合同總金額不少于300萬元人民幣。至少完成一個(gè)100萬以上的安全集成項(xiàng)目。

6.1.2管理能力(參見第4.2節(jié));

6.1.3技術(shù)能力(參見第4.3節(jié));

6.1.4服務(wù)過程要求(參見第5章)。

6.2 二級(jí)信息系統(tǒng)安全集成服務(wù)資質(zhì)要求

6.2.1基本資格

(1)基本條件(參見第4.1節(jié));

(2)注冊(cè)資本:產(chǎn)權(quán)關(guān)系明晰,注冊(cè)資本不少于1000萬元人民幣;

(3)人員素質(zhì)要求:信息系統(tǒng)安全集成服務(wù)人員20名以上;本科以上學(xué)歷人員占機(jī)構(gòu)總?cè)藬?shù)比例在70%以上;

(4)具有信息系統(tǒng)安全集成服務(wù)相關(guān)的資質(zhì)人員至少6人(如,CISAW,信息安全管理體系審核員、CISSP,CISA等);至少有2人具有項(xiàng)目管理的資格證書。

(5)主要負(fù)責(zé)人應(yīng)具有3年以上從事電子信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷,主要技術(shù)負(fù)責(zé)人應(yīng)獲得電子信息技術(shù)類高級(jí)職稱且從事安全集成技術(shù)工作不少于3年,財(cái)務(wù)負(fù)責(zé)人應(yīng)具有中級(jí)以上職稱。

(6)從業(yè)時(shí)間:從事信息系統(tǒng)安全集成服務(wù)三年以上;

(7)從業(yè)經(jīng)驗(yàn):獨(dú)立完成省級(jí)范圍的信息安全集成項(xiàng)目或大型企業(yè)的信息安全集成項(xiàng)目;近三年內(nèi)至少完成6個(gè)以上完整的信息安全集成項(xiàng)目且無客戶投訴,項(xiàng)目合同總金額不少于1000萬元人民幣;至少完成一個(gè)200萬以上的安全集成項(xiàng)目。

6.2.2管理能力

(1)基本管理能力(參見第4.2節(jié));

(2)制定項(xiàng)目質(zhì)量管理計(jì)劃,跟蹤項(xiàng)目過程和結(jié)果的質(zhì)量。

6.2.3技術(shù)能力

(1)基本技術(shù)能力(參見第4.3節(jié));

(2)應(yīng)具有足夠的技術(shù)力量,根據(jù)客戶業(yè)務(wù)的安全需求開發(fā)信息安全產(chǎn)品或支持性工具的能力。

6.2.4服務(wù)過程要求(參見第5章)

6.3 一級(jí)信息系統(tǒng)安全集成服務(wù)資質(zhì)要求

6.3.1基本資格

(1)基本條件(參見第4.1節(jié));

(2)注冊(cè)資本:產(chǎn)權(quán)關(guān)系明晰,注冊(cè)資本不少于2000萬元人民幣;

(3)人員素質(zhì)要求:信息系統(tǒng)安全集成服務(wù)人員30名以上;本科以上學(xué)歷人員占機(jī)構(gòu)總?cè)藬?shù)比例在80%以上;

(4)具有信息系統(tǒng)安全服務(wù)相關(guān)的資質(zhì)人員至少10人(如,CISAW,信息安全管理體系審核員、CISSP,CISA等);至少有5人具有項(xiàng)目管理的資格證書。

(5)主要負(fù)責(zé)人應(yīng)具有5年以上從事電子信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷,主要技術(shù)負(fù)責(zé)人應(yīng)獲得電子信息類高級(jí)職稱且從事系統(tǒng)集成技術(shù)工作不少于5年,財(cái)務(wù)負(fù)責(zé)人應(yīng)具有中級(jí)以上職稱。

(6)從業(yè)時(shí)間:從事信息系統(tǒng)安全集成服務(wù)五年以上;

(7)從業(yè)經(jīng)驗(yàn):獨(dú)立完成全國范圍的信息安全集成項(xiàng)目;近三年內(nèi)至少完成并通過驗(yàn)收的10個(gè)以上完整的信息系統(tǒng)安全集成服務(wù)項(xiàng)目且無客戶投訴,項(xiàng)目合同總金額不少于2000萬元人民幣;至少完成一個(gè)500萬以上的安全集成項(xiàng)目。

6.3.2管理能力

(1)基本管理能力(參見第4.2節(jié));

(2)制定服務(wù)質(zhì)量持續(xù)改進(jìn)的制度,跟蹤其落實(shí)情況;

(3)參考GB/T22080-2008/ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)建立信息安全管理體系并運(yùn)行三個(gè)月以上。

6.3.3技術(shù)能力

(1)基本技術(shù)能力(參見第4.3節(jié)要求);

(2)應(yīng)具有足夠的技術(shù)力量,根據(jù)客戶業(yè)務(wù)的安全需求開發(fā)信息安全產(chǎn)品或支持性工具的能力;

(3)應(yīng)具有足夠的技術(shù)力量,對(duì)市場(chǎng)上普通使用的信息安全產(chǎn)品進(jìn)行功能分析、提出安全策略及對(duì)安全產(chǎn)品進(jìn)行集成的能力;

(4)至少提供一個(gè)已完成的信息系統(tǒng),經(jīng)國家(或行業(yè))權(quán)威機(jī)構(gòu)或?qū)<医M驗(yàn)證其安全性符合要求。

6.3.4服務(wù)過程要求(參見第5章要求)

7 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證模式與流程

7.1信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證模式

現(xiàn)場(chǎng)檢查+特定服務(wù)檢查+獲證后監(jiān)督

現(xiàn)場(chǎng)檢查是在文檔審核通過后,審核組到申請(qǐng)方的注冊(cè)地址或業(yè)務(wù)量較集中的辦公地址進(jìn)行的標(biāo)準(zhǔn)符合性驗(yàn)證活動(dòng)。特定服務(wù)檢查是審核組對(duì)申請(qǐng)方的服務(wù)團(tuán)隊(duì)進(jìn)行的特定服務(wù)過程演示或到客戶現(xiàn)場(chǎng)見證服務(wù)過程的檢查活動(dòng),從而判定該申請(qǐng)方的服務(wù)能力。獲證后監(jiān)督是確保獲證方在獲證后能夠持續(xù)滿足標(biāo)準(zhǔn)的要求,在證書的三年有效期內(nèi)認(rèn)證機(jī)構(gòu)對(duì)獲證方進(jìn)行一或兩次現(xiàn)場(chǎng)監(jiān)督審核。如有特殊情況發(fā)生,認(rèn)證機(jī)構(gòu)可增加監(jiān)督審核頻次。

7.2信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證流程

7.2.1提交申請(qǐng)

申請(qǐng)方自愿向認(rèn)證機(jī)構(gòu)提交信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請(qǐng)。申請(qǐng)方應(yīng)提交的文件

(1)信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請(qǐng)書;

(2)獨(dú)立法人資格證明材料;

(3)從事信息系統(tǒng)安全集成服務(wù)的相關(guān)資質(zhì)證明;

(4)工作保密制度及相應(yīng)組織監(jiān)管體系已建立的證明材料;

(5)與信息系統(tǒng)安全集成服務(wù)人員簽訂的保密協(xié)議復(fù)印件;

(6)人員構(gòu)成與素質(zhì)證明材料;

(7)公司組織結(jié)構(gòu)證明材料;

(8)具備固定辦公場(chǎng)所的證明材料;

(9)項(xiàng)目管理制度文檔;

(10)安全集成服務(wù)流程;

(11)安全集成服務(wù)規(guī)范性文件;

(12)安全集成服務(wù)質(zhì)量管理文件(一、二級(jí));

(13)信息安全管理體系文件及設(shè)施情況的材料(一級(jí));

(14)項(xiàng)目案例及業(yè)績(jī)證明材料等。

7.2.2文檔審核

認(rèn)證機(jī)構(gòu)應(yīng)根據(jù)認(rèn)證依據(jù)、程序等要求,及時(shí)對(duì)申請(qǐng)方提交的申請(qǐng)文件和資料進(jìn)行審核并保存審核記錄,以確保:

(1)認(rèn)證要求規(guī)定明確并得到理解;

(2)認(rèn)證機(jī)構(gòu)和申請(qǐng)方之間在理解上的差異得到解決;

(3)對(duì)于申請(qǐng)的認(rèn)證范圍、工作場(chǎng)所和任何特殊要求,認(rèn)證機(jī)構(gòu)均有能力開展認(rèn)證服務(wù)。

7.2.3現(xiàn)場(chǎng)審核

認(rèn)證機(jī)構(gòu)應(yīng)組成審核組,依據(jù)相關(guān)標(biāo)準(zhǔn)和審核要求,對(duì)申請(qǐng)方進(jìn)行現(xiàn)場(chǎng)審核?,F(xiàn)場(chǎng)審核的內(nèi)容主要包括:

(1)通過檢查、觀察、訪談,對(duì)申請(qǐng)方的信息系統(tǒng)安全集成服務(wù)技術(shù)能力進(jìn)行驗(yàn)證;

(2)通過檢查、觀察、訪談,對(duì)申請(qǐng)方的信息系統(tǒng)安全集成服務(wù)管理能力進(jìn)行驗(yàn)證;

(3)觀察服務(wù)模擬演示或見證現(xiàn)場(chǎng)服務(wù)。

7.2.4認(rèn)證決定

認(rèn)證評(píng)價(jià)及認(rèn)證決定是由認(rèn)證決定委員會(huì)執(zhí)行。認(rèn)證決定委員會(huì)至少由3名以上(含3名)奇數(shù)認(rèn)證決定人員組成。

7.2.4.1認(rèn)證決定

認(rèn)證決定人員依據(jù)認(rèn)證標(biāo)準(zhǔn)、信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證程序與實(shí)施規(guī)則的要求及相關(guān)標(biāo)準(zhǔn),結(jié)合審核過程中收集的信息(對(duì)于存在不符合項(xiàng)的情況,必須通過整改并由審核組驗(yàn)證通過),對(duì)審核結(jié)果進(jìn)行綜合評(píng)價(jià),做出“通過認(rèn)證”或“不通過認(rèn)證”的決定。必要時(shí),認(rèn)證決定委員會(huì)應(yīng)對(duì)申請(qǐng)方滿足認(rèn)證依據(jù)的情況進(jìn)行風(fēng)險(xiǎn)評(píng)估,以做出是否授予認(rèn)證的決定。

對(duì)于符合認(rèn)證要求的申請(qǐng)方,認(rèn)證機(jī)構(gòu)應(yīng)頒發(fā)認(rèn)證證書并在相關(guān)媒體上予以公告。

對(duì)于不符合認(rèn)證要求的申請(qǐng)方,認(rèn)證機(jī)構(gòu)應(yīng)以書面的形式明示其不能獲得認(rèn)證的原因。

7.2.4.2對(duì)認(rèn)證決定的申訴

申請(qǐng)方如對(duì)認(rèn)證決定結(jié)果有異議,可在10個(gè)工作日內(nèi)向認(rèn)證機(jī)構(gòu)申訴,認(rèn)證機(jī)構(gòu)自收到申訴之日起,應(yīng)在一個(gè)月內(nèi)進(jìn)行處理,并將處理結(jié)果書面通知申請(qǐng)方。

7.2.5證后監(jiān)督

7.2.5.1證后監(jiān)督頻次和方式

認(rèn)證機(jī)構(gòu)應(yīng)根據(jù)信息系統(tǒng)安全集成服務(wù)的特點(diǎn)以及所承擔(dān)的認(rèn)證風(fēng)險(xiǎn),合理確定監(jiān)督審核的時(shí)間間隔和方式。監(jiān)督審核的方式可采用文檔審核或與現(xiàn)場(chǎng)審核相結(jié)合的方式。一般情況下,每年度(不超過12個(gè)月)進(jìn)行一次監(jiān)督審核,由項(xiàng)目管理人員提前兩個(gè)月通知獲證方。監(jiān)督審核的方式可采用文檔審核與現(xiàn)場(chǎng)審核相結(jié)合的方式。

當(dāng)信息系統(tǒng)安全集成服務(wù)提供者的信息系統(tǒng)安全集成服務(wù)發(fā)生重大事故、客戶投訴,或組織結(jié)構(gòu)、人員等方面發(fā)生重大變更等時(shí),認(rèn)證機(jī)構(gòu)視情況可增加現(xiàn)場(chǎng)監(jiān)督審核的頻次。

7.2.5.2監(jiān)督審核應(yīng)包括,但不限于以下內(nèi)容:

(1)新實(shí)施的服務(wù)案例;

(2)客戶投訴情況;

(3)涉及變化的范圍(例如:人員變化、實(shí)驗(yàn)環(huán)境變化、項(xiàng)目管理、質(zhì)量管理體系變化);

(4)上次審核提出的不符合項(xiàng)所采取糾正/預(yù)防措施、觀察項(xiàng)的實(shí)施情況。

7.2.5.3監(jiān)督結(jié)果評(píng)價(jià)

對(duì)于監(jiān)督審核合格的信息系統(tǒng)安全集成服務(wù)提供者,認(rèn)證機(jī)構(gòu)應(yīng)作出保持其認(rèn)證證書的決定;否則,應(yīng)暫停、撤銷其認(rèn)證證書。

7.2.5.4信息通報(bào)制度

為確保服務(wù)提供者的信息安全服務(wù)能力持續(xù)有效,服務(wù)提供者應(yīng)建立信息通報(bào)制度,及時(shí)向認(rèn)證機(jī)構(gòu)通報(bào)以下信息:

(1)有關(guān)組織機(jī)構(gòu)變化信息;

(2)消費(fèi)者投訴等信息;

(3)其他重要信息。

7.2.5.5信息分析

認(rèn)證機(jī)構(gòu)應(yīng)對(duì)上述信息進(jìn)行分析,視情況采取相應(yīng)措施,包括增加監(jiān)督審核頻次、暫停或撤銷認(rèn)證證書。

7.2.6再認(rèn)證

在認(rèn)證證書有效期滿的前三個(gè)月內(nèi),服務(wù)提供者可申請(qǐng)?jiān)僬J(rèn)證。再認(rèn)證程序與初次認(rèn)證程序相同。

7.2.7證書變更

(1)如果證書變更只涉及到注冊(cè)地址、資金或法定代表人的變更,申請(qǐng)方須遞交變更申請(qǐng),經(jīng)書面審核批準(zhǔn)后,認(rèn)證機(jī)構(gòu)僅對(duì)證書更新并收回原證書;

(2)信息系統(tǒng)安全集成服務(wù)提供者的組織機(jī)構(gòu)發(fā)生重大調(diào)整、人員變動(dòng)較大、擬變更業(yè)務(wù)范圍時(shí),應(yīng)向認(rèn)證機(jī)構(gòu)提出變更申請(qǐng),并提交相關(guān)材料。認(rèn)證機(jī)構(gòu)策劃并實(shí)施適宜的審核活動(dòng),并按照要求做出認(rèn)證決定。審核活動(dòng)可單獨(dú)進(jìn)行,也可與信息系統(tǒng)安全集成服務(wù)監(jiān)督或再認(rèn)證同時(shí)進(jìn)行。

7.2.8認(rèn)證時(shí)限

認(rèn)證時(shí)限是指自申請(qǐng)被正式受理之日起至頒發(fā)認(rèn)證證書時(shí)止所實(shí)際發(fā)生的時(shí)間,其中包括認(rèn)證受理、文檔審核、現(xiàn)場(chǎng)審核、認(rèn)證決定以及證書頒發(fā)環(huán)節(jié)。申請(qǐng)一類服務(wù)資質(zhì)認(rèn)證的時(shí)間一般為兩個(gè)月。

服務(wù)提供者如果已獲得我中心某一或幾類的信息安全服務(wù)資質(zhì)認(rèn)證,再申請(qǐng)安全集成服務(wù)資質(zhì)認(rèn)證,認(rèn)證周期可適當(dāng)縮短兩周左右。

8 認(rèn)證證書管理

8.1認(rèn)證證書有效期

信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證證書有效期為3年。

8.2認(rèn)證證書的管理

8.2.1暫停認(rèn)證證書

信息系統(tǒng)安全集成服務(wù)提供者有下列情形之一的,認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)暫停認(rèn)證證書。

(1)未按規(guī)定及時(shí)接受監(jiān)督審核或再認(rèn)證;

(2)未按規(guī)定使用認(rèn)證證書;

(3)監(jiān)督結(jié)果證明信息系統(tǒng)安全集成服務(wù)提供者的信息安全服務(wù)能力不符合認(rèn)證要求,但不需要立即撤銷認(rèn)證證書。

暫停期限一般為三個(gè)月。在三個(gè)月內(nèi),申請(qǐng)方可提出恢復(fù)證書的申請(qǐng),認(rèn)證機(jī)構(gòu)經(jīng)審核、批準(zhǔn)后方可使用該證書。在認(rèn)證證書暫停期間,申請(qǐng)方不得繼續(xù)使用證書。

8.2.2撤銷認(rèn)證證書

信息系統(tǒng)安全集成服務(wù)提供者有下列情形之一的,認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)撤銷其認(rèn)證證書。

(1)監(jiān)督結(jié)果證明信息系統(tǒng)安全集成服務(wù)提供者的信息安全服務(wù)能力不符合認(rèn)證要求,應(yīng)立即撤銷證書的;

(2)認(rèn)證證書暫停使用期間,信息系統(tǒng)安全集成服務(wù)提供者未采取有效糾正措施;

(3)信息系統(tǒng)安全集成服務(wù)提供者出現(xiàn)嚴(yán)重責(zé)任事故,影響其繼續(xù)有效提供集成服務(wù);

(4)信息系統(tǒng)安全集成服務(wù)提供者不接受認(rèn)證機(jī)構(gòu)對(duì)其實(shí)施的監(jiān)督或未申請(qǐng)?jiān)僬J(rèn)證。

8.2.3注銷認(rèn)證證書

信息系統(tǒng)安全集成服務(wù)提供者因?yàn)樽陨碓蛏暾?qǐng)注銷認(rèn)證證書,認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)給予注銷。

認(rèn)證證書注銷和撤銷后,認(rèn)證機(jī)構(gòu)應(yīng)收回認(rèn)證證書,并在相關(guān)媒體上予以公告。

附錄A信息安全工程過程能力級(jí)別參考(ISO/IEC21827:2008)

1.

2.

3.

4.

5.

7.1

7.2

7.3

A.1基本執(zhí)行級(jí)

本能力級(jí)別的組織是基于個(gè)人的知識(shí)和努力去執(zhí)行一些基本過程,而未經(jīng)嚴(yán)格的計(jì)劃和跟蹤。能提供的證據(jù)是該過程的工作結(jié)果。由于缺乏適當(dāng)控制,工作結(jié)果的一致性、性能和質(zhì)量會(huì)存在極大的差異。

A.2計(jì)劃跟蹤級(jí)

本能力級(jí)別的組織計(jì)劃并跟蹤執(zhí)行組織已定義的過程,驗(yàn)證是否執(zhí)行了特定的步驟,工作結(jié)果是否符合指定的標(biāo)準(zhǔn)和需求,測(cè)量用于跟蹤過程的執(zhí)行情況。組織能夠基于實(shí)際執(zhí)行活動(dòng)進(jìn)行管理。

1)制定過程執(zhí)行計(jì)劃

過程執(zhí)行的計(jì)劃涉及到過程文檔的編制,執(zhí)行過程的相應(yīng)工具的提供、過程實(shí)施的計(jì)劃、過程執(zhí)行中的培訓(xùn)、過程資源的分配以及過程執(zhí)行的責(zé)任分配。

2)規(guī)范化執(zhí)行

此要求注重于控制覆蓋過程的總數(shù)。需要列出過程執(zhí)行計(jì)劃的使用、基于標(biāo)準(zhǔn)和程序的過程執(zhí)行、配置管理下依過程產(chǎn)生的工作結(jié)果。

3)驗(yàn)證執(zhí)行

確認(rèn)過程按預(yù)定的方式執(zhí)行。涉及到驗(yàn)證執(zhí)行過程與可應(yīng)用的標(biāo)準(zhǔn)和程序是一致的以及對(duì)工作結(jié)果的審計(jì)。

4)跟蹤執(zhí)行

此要求注重于組織控制項(xiàng)目進(jìn)展的能力。組織通過可測(cè)量的計(jì)劃跟蹤過程的執(zhí)行情況,當(dāng)過程實(shí)施與計(jì)劃產(chǎn)生重大偏離時(shí)應(yīng)采取糾正措施。

A.3充分定義級(jí)

本能力級(jí)別的組織執(zhí)行已經(jīng)充分定義的標(biāo)準(zhǔn)過程。組織依據(jù)對(duì)已批準(zhǔn)發(fā)布的、文檔化的標(biāo)準(zhǔn)過程進(jìn)行適當(dāng)裁減,來充分定義組織的過程。

本級(jí)與級(jí)別2的主要區(qū)別在于利用組織范圍內(nèi)的標(biāo)準(zhǔn)過程來管理和規(guī)劃其活動(dòng)。

1)定義標(biāo)準(zhǔn)過程

該要求注重于組織標(biāo)準(zhǔn)過程的制度化。一個(gè)組織的標(biāo)準(zhǔn)過程可能需要裁剪以適合特定環(huán)境的使用,因此,要求組織提出標(biāo)準(zhǔn)過程的文檔,并為滿足特定用途而對(duì)標(biāo)準(zhǔn)過程進(jìn)行裁剪。

2)執(zhí)行已定義過程

該要求注重于執(zhí)行充分定義過程的可重復(fù)性。要求組織使用制度化過程,并對(duì)有缺陷的過程結(jié)果和工作結(jié)果進(jìn)行復(fù)查,執(zhí)行過程并使用結(jié)果數(shù)據(jù)。

3)協(xié)調(diào)項(xiàng)目和組織活動(dòng)

該要求注重項(xiàng)目和組織活動(dòng)的協(xié)調(diào)。大的工程通常由多個(gè)組協(xié)作完成,缺乏協(xié)調(diào)將會(huì)導(dǎo)致延誤和不可比對(duì)的結(jié)果。因此應(yīng)確定組內(nèi)、組間、組外活動(dòng)的協(xié)調(diào)。

A.4定量控制級(jí)

本能力級(jí)別的組織應(yīng)收集和分析執(zhí)行的詳細(xì)測(cè)量,獲得對(duì)過程能力和改進(jìn)能力的量化理解以預(yù)測(cè)執(zhí)行情況。本能力級(jí)別執(zhí)行的管理是客觀的,工作結(jié)果的質(zhì)量是可量化的。本級(jí)與充分定義級(jí)的主要區(qū)別在于定義的過程是定量可控的。

1)建立可測(cè)量的質(zhì)量目標(biāo)

該要求注重對(duì)組織所開發(fā)的產(chǎn)品(包括工作結(jié)果)建立可測(cè)量的質(zhì)量目標(biāo)。

2)客觀地管理執(zhí)行

該要求注重于確定過程能力的量化測(cè)量并使用量化測(cè)量來管理這一過程。提出了確定量化過程能力和以量化測(cè)量作為修正行動(dòng)的基礎(chǔ)。

A.5持續(xù)改進(jìn)級(jí)

本能力級(jí)別的組織基于組織的商務(wù)目標(biāo),并針對(duì)過程有效性和效率建立量化執(zhí)行目標(biāo)。通過執(zhí)行已定義的過程和有創(chuàng)見的新概念、新技術(shù)的量化反饋來保證對(duì)這些目標(biāo)進(jìn)行連續(xù)的過程改進(jìn)。

本級(jí)與定量控制級(jí)的主要區(qū)別在于已定義的過程和標(biāo)準(zhǔn)過程基于對(duì)這些過程變化效果的量化理解,進(jìn)行連續(xù)調(diào)整和改進(jìn)。

1)改進(jìn)組織能力

該要求注重在整個(gè)組織范圍內(nèi)使用標(biāo)準(zhǔn)過程,并在同的使用中進(jìn)行比較。在使用這些過程時(shí),尋找改進(jìn)標(biāo)準(zhǔn)過程的機(jī)會(huì),分析產(chǎn)生的缺陷以識(shí)別對(duì)標(biāo)準(zhǔn)過程的進(jìn)行改進(jìn)的可能性。

2)改進(jìn)過程有效性

該要求注重于制定處于連續(xù)受控改進(jìn)狀態(tài)下的標(biāo)準(zhǔn)過程。組織能消除標(biāo)準(zhǔn)過程產(chǎn)生缺陷的原因,并提出連續(xù)改進(jìn)的標(biāo)準(zhǔn)過程。

附錄B各級(jí)資質(zhì)要求對(duì)照表

各級(jí)資質(zhì)要求以及與過程能力級(jí)別對(duì)應(yīng)關(guān)系

三級(jí)

二級(jí)

一級(jí)

A.1基本執(zhí)行級(jí)

A.2計(jì)劃跟蹤級(jí)

A.3充分定義級(jí)

基本資格

注冊(cè)資本

200萬元人民幣

1000萬元人民幣

2000萬元人民幣

人員素質(zhì)要求

集成服務(wù)人員10人以上;

集成服務(wù)人員20人以上;

集成服務(wù)人員30人以上;

本科以上學(xué)歷人員比例60%以上;

本科以上學(xué)歷人員比例70%以上;

本科以上學(xué)歷人員比例80%以上;

擁有安全集成服務(wù)資質(zhì)人數(shù)

2人

6人

10人

擁有項(xiàng)目管理資格人數(shù)

1人

2人

5人

單位負(fù)責(zé)人要求

2年以上信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷

3年以上信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷

5年以上信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷

技術(shù)負(fù)責(zé)人要求

電子信息技術(shù)類高級(jí)職稱;

安全集成技術(shù)工作經(jīng)驗(yàn)不少于2年;

電子信息技術(shù)類高級(jí)職稱;

安全集成技術(shù)工作經(jīng)驗(yàn)不少于3年;

電子信息技術(shù)類高級(jí)職稱;

安全集成技術(shù)工作經(jīng)驗(yàn)不少于5年;

財(cái)務(wù)負(fù)責(zé)人要求

財(cái)務(wù)系列初級(jí)以上職稱

財(cái)務(wù)系列中級(jí)以上職稱

財(cái)務(wù)系列中級(jí)以上職稱

從業(yè)時(shí)間

信息系統(tǒng)安全集成服務(wù)1年以上

信息系統(tǒng)安全集成服務(wù)3年以上

信息系統(tǒng)安全集成服務(wù)5年以上

從業(yè)經(jīng)驗(yàn)

3年內(nèi)4個(gè)以上的項(xiàng)目且合同總額

不少于300萬元人民幣;

一個(gè)100萬元以上的安全集成項(xiàng)目;

獨(dú)立完成省級(jí)范圍的信息安全集成項(xiàng)目或大型企業(yè)的信息安全集成項(xiàng)目;

3年內(nèi)6個(gè)以上的項(xiàng)目且合同總額不少于1000萬元人民幣;

一個(gè)200萬元以上的安全集成項(xiàng)目;

獨(dú)立完成全國范圍的信息安全集成項(xiàng)目;

3年內(nèi)完成10個(gè)以上的項(xiàng)目且合同總額不少于2000萬元人民幣;一個(gè)500萬元以上的安全集成項(xiàng)目;

管理能力

 

 

項(xiàng)目實(shí)施過程中驗(yàn)證并跟蹤

制定服務(wù)質(zhì)量持續(xù)改進(jìn)的制度,跟蹤其落實(shí)情況;

 

 

根據(jù)定義的過程執(zhí)行過程評(píng)審;

 

 

 

參考GB/T22080-2008/ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)建立信息安全管理體系;

技術(shù)能力

 

 

具有足夠的技術(shù)力量,根據(jù)服務(wù)業(yè)務(wù)的需求開發(fā)信息安全產(chǎn)品或支持性工具;

具有足夠的技術(shù)力量,根據(jù)服務(wù)業(yè)務(wù)的需求開發(fā)信息安全產(chǎn)品或支持性工具;

 

 

 

應(yīng)具有足夠的技術(shù)力量,對(duì)市場(chǎng)的信息安全產(chǎn)品進(jìn)行功能分析、提出安全策略和項(xiàng)目方案及安全產(chǎn)品的系統(tǒng)集成的能力;

 

 

 

安全集成后的信息系統(tǒng)的安全性,經(jīng)由國家主管部門或權(quán)威機(jī)構(gòu)專家組驗(yàn)證通過;

服務(wù)過程要求

 

 

 

制定安全測(cè)量準(zhǔn)則以監(jiān)控安全保證目標(biāo)。

附錄C參考標(biāo)準(zhǔn)

ISO/IEC21827:2008信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型

SSE-CMM3.0:2003系統(tǒng)安全工程能力成熟度模型

ISO29151個(gè)人可識(shí)別信息安全認(rèn)證

ISO29151個(gè)人可識(shí)別信息安全認(rèn)證 2020年8月13日,ISO29151個(gè)人可識(shí)別信息安全認(rèn)證是國際通行的個(gè)人身份信息保護(hù)指南,涵蓋26個(gè)控制域,181……

企業(yè)怎么辦理供應(yīng)鏈安全管理體系認(rèn)證?

企業(yè)怎么辦理供應(yīng)鏈安全管理體系認(rèn)證? 2020年8月8號(hào),供應(yīng)鏈安全管理體系認(rèn)證證書ISO28000是應(yīng)運(yùn)輸和物流行業(yè)對(duì)共同安全管理標(biāo)準(zhǔn)的需求而……

iso27001認(rèn)證要求?

iso27001認(rèn)證要求?ISO 27001是信息安全管理體系國際標(biāo)準(zhǔn),被廣泛應(yīng)用于企業(yè)信息安全保護(hù)。要進(jìn)行ISO 27001認(rèn)證,需要通過一系列的審查和評(píng)……

ISO27701隱私管理體系認(rèn)證對(duì)企業(yè)有什么意義?

ISO27701隱私管理體系認(rèn)證對(duì)企業(yè)有什么意義? 2020年8月25日,市場(chǎng)對(duì)ISO27701標(biāo)準(zhǔn)的發(fā)布有很大的期待。ISO27701的標(biāo)題為“隱私信息管理的ISO……

中企認(rèn)證咨詢網(wǎng)積累了豐富的國際質(zhì)量認(rèn)證工作經(jīng)驗(yàn),各項(xiàng)業(yè)務(wù)均成果卓著。始終以服務(wù)國家經(jīng)濟(jì)社會(huì)發(fā)展和提升人民生活品質(zhì)為己任,依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù),著力開展節(jié)能。在積極促進(jìn)國際貿(mào)易,調(diào)整經(jīng)濟(jì)結(jié)構(gòu),保護(hù)消費(fèi)者安全健康,構(gòu)建社會(huì)誠信體系,參與"兩型"社會(huì)建設(shè)等方面做出了積極貢獻(xiàn)。同時(shí),自身獲得了跨越式發(fā)展,已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu),可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念,正在朝著建立社會(huì)公信力高,有較強(qiáng)創(chuàng)新能力、市場(chǎng)競(jìng)爭(zhēng)能力和可持續(xù)發(fā)展能力,向業(yè)界有較高知名度的國際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行,優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開展,為順利實(shí)現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。

中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識(shí)產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗(yàn)廠咨詢、商務(wù)部信用等級(jí)、誠信信用等級(jí)、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價(jià)格實(shí)惠,證書真實(shí)有效,認(rèn)監(jiān)委可查,如有疑問,可點(diǎn)擊garryr.com了解詳情,竭誠為您服務(wù)!

 
展開閱讀
打賞
 
更多>同類iso27001認(rèn)證知識(shí)
0相關(guān)評(píng)論

国产一区二区三中文字幕| 日韩精品综合福利在线观看| 国产av天堂一区二区三区粉嫩| 欧美日本亚欧在线观看| 色婷婷激情五月天丁香| 欧美日韩精品综合在线| 91久久国产福利自产拍| 男女午夜在线免费观看视频| 久久久精品区二区三区| 成人国产一区二区三区精品麻豆| 国产免费无遮挡精品视频 | 一二区中文字幕在线观看| 中文字幕区自拍偷拍区| 色婷婷视频国产一区视频| 日韩精品在线观看完整版| 麻豆tv传媒在线观看| 午夜视频免费观看成人| 日韩欧美高清国内精品| 欧美日韩一级黄片免费观看 | 在线免费不卡亚洲国产| 中文字幕日韩欧美理伦片| 亚洲欧美日本视频一区二区| 日韩一区二区三区18| 亚洲乱码av中文一区二区三区 | 伊人国产精选免费观看在线视频 | 麻豆一区二区三区精品视频| 日韩欧美三级中文字幕| 午夜小视频成人免费看| 国产又粗又爽又猛又黄的 | 国产麻豆成人精品区在线观看 | 免费观看成人免费视频| 精品香蕉国产一区二区三区| 高潮少妇高潮久久精品99| 九九热最新视频免费观看| 免费观看一区二区三区黄片| 亚洲男人天堂网在线视频| 亚洲天堂有码中文字幕视频| 中文字幕在线区中文色| 韩国激情野战视频在线播放| 欧美一区二区在线日韩| 成人精品视频一区二区在线观看|