四川信息安全認(rèn)證咨詢 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證評(píng)價(jià)要求
信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證評(píng)價(jià)要求
1 范圍
信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證是依據(jù)國家認(rèn)證認(rèn)可法律法規(guī)及國際、國內(nèi)相關(guān)技術(shù)標(biāo)準(zhǔn)和規(guī)范,對(duì)信息系統(tǒng)安全集成服務(wù)提供者的資質(zhì)進(jìn)行評(píng)價(jià)的合格評(píng)定活動(dòng)。
本規(guī)則提出了信息系統(tǒng)安全集成服務(wù)提供者(以下簡(jiǎn)稱服務(wù)提供者)應(yīng)具備的服務(wù)能力要求,及實(shí)施信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證的程序與管理要求。
本規(guī)則適用于對(duì)服務(wù)提供者服務(wù)能力的評(píng)價(jià)活動(dòng);可作為信息系統(tǒng)所有者選擇服務(wù)提供者的依據(jù);可為有關(guān)管理部門對(duì)服務(wù)提供者進(jìn)行管理提供參考;也可為服務(wù)提供者自我能力改進(jìn)提供參考。
2 規(guī)范性引用文件
下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。
對(duì)信息系統(tǒng)安全集成服務(wù)提供者所具備的服務(wù)資質(zhì)進(jìn)行評(píng)價(jià)所引用的標(biāo)準(zhǔn)包括:
GB/T20261-2006信息技術(shù)系統(tǒng)安全工程能力成熟度模型
YD/T1621-2007網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評(píng)價(jià)準(zhǔn)則
YD/T1799-2008網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評(píng)價(jià)方法
YD/T2252-2011網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力評(píng)價(jià)方法
CNCA/CTS0052-2007信息安全服務(wù)資質(zhì)認(rèn)證技術(shù)規(guī)范
GB/T5271.8-2001《信息技術(shù)詞匯第8部分:安全》中的術(shù)語和定義適用于本標(biāo)準(zhǔn)。
3 術(shù)語和定義
GB/T20261-2006中的術(shù)語均適用于本規(guī)則。
3.1
信息系統(tǒng)安全集成服務(wù)informationsystemsecurityintegrationservice
信息系統(tǒng)安全集成服務(wù)(以下簡(jiǎn)稱:安全集成)是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證的活動(dòng)。
信息系統(tǒng)安全集成一般是按照信息系統(tǒng)建設(shè)的安全需求,采用信息系統(tǒng)安全工程的方法和理論,將安全單元、產(chǎn)品部件進(jìn)行集成的行為或活動(dòng)。信息系統(tǒng)安全集成包括在新建信息系統(tǒng)的結(jié)構(gòu)化設(shè)計(jì)中考慮信息安全保證因素,從而使建設(shè)完成后的信息系統(tǒng)滿足建設(shè)方或使用方的安全需求而開展的活動(dòng)。也包括在已有信息系統(tǒng)的基礎(chǔ)上額外增加信息安全子系統(tǒng)或信息安全設(shè)備等,通常被稱為安全優(yōu)化或安全加固。
4 安全集成服務(wù)提供者基本的資質(zhì)要求
4.1 基本條件
服務(wù)提供者應(yīng):
(1)具有中華人民共和國境內(nèi)的獨(dú)立法人資格,具有相關(guān)部門頒發(fā)的合法經(jīng)營資格;
(2)近兩年內(nèi)經(jīng)濟(jì)狀況良好,財(cái)務(wù)數(shù)據(jù)真實(shí)可信,并應(yīng)經(jīng)國家相關(guān)部門認(rèn)定的會(huì)計(jì)師事務(wù)所核實(shí);
(3)具有固定的工作場(chǎng)所;
(4)遵守國家現(xiàn)行法律、法規(guī)的規(guī)定。
4.2 基本管理能力要求
服務(wù)提供者應(yīng):
(1)采取技術(shù)和管理措施確??蛻粜畔⒌陌踩?、可控,這些信息包括但不限于客戶資料、集成活動(dòng)中產(chǎn)生的文檔、最終安全集成報(bào)告等;
(2)制定保密管理制度,明確保密崗位與職責(zé),定期對(duì)服務(wù)人員進(jìn)行保密教育與培訓(xùn),并簽訂《保密責(zé)任書》,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任,并負(fù)責(zé)落實(shí);
(3)建立人員管理制度,使每一位服務(wù)人員持續(xù)滿足崗位職責(zé)的需求;制定安全集成技能培訓(xùn)計(jì)劃,定期對(duì)服務(wù)人員進(jìn)行培訓(xùn)、指導(dǎo)、考核;
(4)建立項(xiàng)目管理制度,并按照項(xiàng)目管理制度實(shí)施,具體包括在項(xiàng)目實(shí)施過程中如何與組織內(nèi)外的交流機(jī)制、規(guī)劃關(guān)鍵技術(shù)活動(dòng)、分配資源、指派責(zé)任、設(shè)立項(xiàng)目的里程碑及評(píng)審要求、日常的監(jiān)督檢查要求、編制過程文檔、提供工具、確保培訓(xùn)、策劃過程等,以保證安全服務(wù)的質(zhì)量;
(5)建立項(xiàng)目風(fēng)險(xiǎn)管理制度,評(píng)估項(xiàng)目風(fēng)險(xiǎn),制定項(xiàng)目風(fēng)險(xiǎn)控制措施并跟蹤其有效性;
(6)建立安全集成所需的設(shè)備采購管理制度,明確規(guī)定采購流程、流程中各環(huán)節(jié)責(zé)任制,確保采購質(zhì)量,控制采購成本;準(zhǔn)確識(shí)別供方提供的服務(wù)或系統(tǒng)構(gòu)件及其專業(yè)資質(zhì)和能力,并與供方的有效溝通機(jī)制等;
(7)制定符合標(biāo)準(zhǔn)要求的安全集成方案、報(bào)告等文檔模板。
4.3 基本技術(shù)能力要求
服務(wù)提供者應(yīng):
(1)具備安全集成有關(guān)的工作流程及操作規(guī)范;
(2)具備制定安全集成方案并能夠按照該方案實(shí)施的能力;能夠提供信息系統(tǒng)安全集成服務(wù)報(bào)告、系統(tǒng)使用指南等文檔;
(3)具備對(duì)安全集成系統(tǒng)進(jìn)行檢測(cè)和驗(yàn)證的能力;
(4)熟悉國內(nèi)外主流的信息技術(shù)產(chǎn)品、信息安全產(chǎn)品的功能及特性;
(5)具有滿足項(xiàng)目需要的開發(fā)、測(cè)試工具及模擬環(huán)境;
(6)有專門的技術(shù)人員關(guān)注并掌握信息安全技術(shù)、標(biāo)準(zhǔn)和法規(guī);關(guān)注國內(nèi)外權(quán)威機(jī)構(gòu)發(fā)布的安全公告及漏洞公告,并對(duì)最新的安全相關(guān)技術(shù)進(jìn)行研究。
5 信息系統(tǒng)安全集成服務(wù)過程要求
5.1 信息系統(tǒng)安全集成服務(wù)過程概述
信息系統(tǒng)安全集成服務(wù)過程分為四個(gè)階段:集成準(zhǔn)備、方案設(shè)計(jì)、建設(shè)實(shí)施、安全保證。
集成準(zhǔn)備階段主要是界定安全需求、簽訂服務(wù)合同、確定服務(wù)人員、簽訂保密協(xié)議等;方案設(shè)計(jì)階段主要根據(jù)國家及有關(guān)行業(yè)的要求,充分考慮各方面的安全需求和安全背景,以設(shè)計(jì)出適用的項(xiàng)目方案;建設(shè)實(shí)施階段主要是在新建或已運(yùn)行的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)項(xiàng)目方案的預(yù)期安全目標(biāo)和效果;安全保證階段主要是完成施工的安全系統(tǒng)進(jìn)行檢驗(yàn)、檢測(cè),觀察運(yùn)行情況,收集能夠?qū)崿F(xiàn)設(shè)計(jì)功能目標(biāo)好通過在方案設(shè)計(jì)階段、建設(shè)實(shí)施階段等過程中,收集客戶的安全需求已經(jīng)得到滿足的證據(jù)。
信息系統(tǒng)安全集成服務(wù)過程的四個(gè)階段包括10個(gè)過程要求(見表1),各過程要求細(xì)則共43項(xiàng)(見集成服務(wù)各階段的過程要求,表2、表3、表4、表5)。過程要求項(xiàng)定義了為滿足各階段過程的內(nèi)容要點(diǎn)以及最佳實(shí)踐。
表1:信息系統(tǒng)安全集成服務(wù)過程要求列表
階段名稱 | 過程要求 |
集成準(zhǔn)備 | 界定安全需求 |
簽定服務(wù)合同 | |
確定服務(wù)人員 | |
簽訂保密協(xié)議 | |
方案設(shè)計(jì) | 安全方案設(shè)計(jì) |
建設(shè)實(shí)施 | 協(xié)調(diào)安全 |
管理安全控制 | |
安全監(jiān)控 | |
安全保證 | 建立保證論據(jù) |
驗(yàn)證和確認(rèn)安全 |
5.2 集成準(zhǔn)備
5.2.1安全需求界定
風(fēng)險(xiǎn)評(píng)估是安全集成的重要基礎(chǔ)。依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估過程中已識(shí)別出的風(fēng)險(xiǎn),明確客戶的內(nèi)外部安全需求,并制定安全目標(biāo)。
本要求的目標(biāo):在安全需求方面與客戶和其他團(tuán)體達(dá)成共識(shí)。
具體要求和說明如下:
(1)理解安全需求
收集和分析所有有助于全面理解客戶安全需求的信息。
(2)識(shí)別適用的法律、政策和約束條件
識(shí)別影響客戶系統(tǒng)安全需求的法律、法規(guī)和行業(yè)標(biāo)準(zhǔn)等外部因素,并確定遵從全球性政策和本地政策的優(yōu)先權(quán)。
(3)識(shí)別安全背景
識(shí)別影響信息系統(tǒng)安全的背景因素,如信息系統(tǒng)的用途(如金融、醫(yī)療)、運(yùn)行場(chǎng)景、技術(shù)發(fā)展的變化、社會(huì)當(dāng)前熱點(diǎn)事件。
(4)獲取安全視圖
開發(fā)組織的高層次安全分析視圖,包括業(yè)務(wù)需求、角色、職責(zé)、信息流、資產(chǎn)、資源、人員保護(hù)以及物理保護(hù)等。
(5)識(shí)別安全目標(biāo)
識(shí)別滿足信息系統(tǒng)安全需求的安全目標(biāo)。安全目標(biāo)應(yīng)該至少涉及信息系統(tǒng)及其承載信息的可用性、保密性、完整性、可核查性、真實(shí)性和可靠性要求等。
(6)定義安全要求
定義信息系統(tǒng)的安全要求,并確保安全要求與適用的政策、法律、標(biāo)準(zhǔn)、安全需求以及約束條件保持一致。安全要求應(yīng)全面體現(xiàn)信息系統(tǒng)的安全需求,并與安全目標(biāo)建立對(duì)應(yīng)關(guān)系。
(7)達(dá)成安全協(xié)議
依據(jù)安全要求和客戶需求,與客戶和相關(guān)的團(tuán)體達(dá)成共識(shí)。
5.2.2確定服務(wù)合同
(1)與客戶和供方在服務(wù)合同中至少明確服務(wù)范圍、目標(biāo)、質(zhì)量和成本;
(2)與客戶和供方在服務(wù)合同中包括項(xiàng)目保密責(zé)任和違約責(zé)任。
5.2.3確定服務(wù)人員和組織
與客戶和供方確定項(xiàng)目人員構(gòu)成,并控制由項(xiàng)目人員變更帶來的相關(guān)風(fēng)險(xiǎn)。
5.2.3簽訂保密協(xié)議
與客戶和供方簽訂保密協(xié)議;注意保密內(nèi)容與客戶要求的一致性。
表2:信息系統(tǒng)安全集成服務(wù)準(zhǔn)備階段要求
集成準(zhǔn)備階段的要求 | 必備 | 可選 | |
安全需求界定 | 1)理解安全需求 | √ | |
2)識(shí)別法律、政策和約束條件 | √ | ||
3)識(shí)別安全背景 | √ | ||
4)獲取安全視圖 | √ | ||
5)獲取安全目標(biāo) | √ | ||
6)定義安全要求 | √ | ||
7)達(dá)成安全協(xié)議 | √ | ||
確定服務(wù)合同 | 1)明確服務(wù)范圍、目標(biāo)、質(zhì)量和成本 | √ | |
2)明確項(xiàng)目保密責(zé)任和違約責(zé)任 | √ | ||
確定服務(wù)人員和組織 | 確定項(xiàng)目人員構(gòu)成 | √ | |
簽訂保密協(xié)議 | 簽訂保密協(xié)議 | √ |
5.3 方案設(shè)計(jì)
基于“5.2.1安全需求界定”中識(shí)別的安全需求,為信息系統(tǒng)的規(guī)劃人員、設(shè)計(jì)人員、實(shí)施人員和客戶提供所需的安全輸入信息。這些信息至少包括安全體系結(jié)構(gòu)、設(shè)計(jì)或?qū)嵤┑捻?xiàng)目方案以及安全指南。
本要求的目標(biāo):評(píng)審信息系統(tǒng)中所有涉及安全的問題,并按照安全目標(biāo)在方案設(shè)計(jì)中落實(shí);安全集成項(xiàng)目組及各工作組所有成員都應(yīng)該理解安全問題,以各司其職;項(xiàng)目方案應(yīng)反映所提供的安全需求和要求。
具體要求和說明如下:
(1)理解安全需求
與設(shè)計(jì)人員、開發(fā)人員、客戶溝通確認(rèn),以確保相關(guān)團(tuán)體對(duì)安全輸入需求達(dá)成共識(shí)。
(2)確定安全約束條件和考慮事項(xiàng)
安全集成項(xiàng)目組應(yīng)分析和確定在需求、設(shè)計(jì)、實(shí)施、配置和文檔方面的安全約束條件和考慮事項(xiàng),以便于在各工作組的具體工作中做出最佳的安全集成選擇。
(3)識(shí)別安全集成項(xiàng)目方案
根據(jù)客戶安全需求以及其他約束條件,識(shí)別和制定項(xiàng)目方案。
(4)評(píng)審項(xiàng)目方案
各工作組和安全集成項(xiàng)目組要利用已識(shí)別的安全約束條件和考慮事項(xiàng)評(píng)審項(xiàng)目方案。
(5)提供安全集成指南
安全集成項(xiàng)目組應(yīng)開發(fā)項(xiàng)目相關(guān)的安全集成指南,并把它提供給各工作組。各工作組根據(jù)相關(guān)的安全集成指南對(duì)信息系統(tǒng)體系結(jié)構(gòu)、設(shè)計(jì)和實(shí)現(xiàn)的選擇條件做出決定。
(6)提供安全運(yùn)行指南
安全集成項(xiàng)目組應(yīng)設(shè)計(jì)并開發(fā)安全運(yùn)行指南,并提供給系統(tǒng)用戶和管理員。本運(yùn)行指南指導(dǎo)用戶和管理員以安全的方式進(jìn)行安裝、配置、運(yùn)行和廢棄系統(tǒng)。
表3:信息系統(tǒng)安全集成服務(wù)方案設(shè)計(jì)階段要求
方案設(shè)計(jì)階段要求 | 必備 | 可選 | |
方案設(shè)計(jì) | 1)理解安全需求 | √ | |
2)確定安全約束條件和考慮事項(xiàng) | √ | ||
3)識(shí)別安全集成項(xiàng)目方案 | √ | ||
4)評(píng)審項(xiàng)目方案 | √ | ||
5)提供安全集成指南 | √ | ||
6)提供安全運(yùn)行指南 | √ |
5.4 建設(shè)實(shí)施
5.4.1協(xié)調(diào)安全
協(xié)調(diào)安全的目的是確保所有相關(guān)組織和工作組人員都能積極參與安全集成項(xiàng)目。協(xié)調(diào)安全涉及到保持所有項(xiàng)目人員與外部組織以及工作組之間溝通。
本要求的目標(biāo):項(xiàng)目組的所有成員都能主動(dòng)地參與到安全集成項(xiàng)目中,最大程度地發(fā)揮他們的作用;溝通和協(xié)調(diào)有關(guān)安全的決策和建議。
具體要求和說明如下:
(1)制定協(xié)調(diào)目標(biāo)
需要相關(guān)工作組重視并參與安全集成項(xiàng)目。根據(jù)項(xiàng)目組的信息需求和項(xiàng)目要求決定共享信息的目標(biāo),并建立與他們之間的合作關(guān)系和承諾。
(2)識(shí)別協(xié)調(diào)機(jī)制
識(shí)別在項(xiàng)目中協(xié)調(diào)安全的不同方法,用于與相關(guān)組織共享安全集成的決策和建議。
(3)促進(jìn)安全協(xié)調(diào)
確保以合適和有效的方式來解決項(xiàng)目開展期間的意見分歧。
(4)協(xié)調(diào)安全決策和建議
運(yùn)用已識(shí)別的協(xié)調(diào)機(jī)制,與項(xiàng)目組人員、各工作組及其他組織溝通安全決策和建議。
5.4.2管理安全控制
管理和維護(hù)安全控制措施。通過正確實(shí)施和配置,確保信息系統(tǒng)的安全措施在其運(yùn)行狀態(tài)下達(dá)到預(yù)期目標(biāo)。
本要求的目標(biāo):正確配置和使用安全控制措施。
具體要求和說明如下:
(1)建立安全職責(zé)
確保相關(guān)負(fù)責(zé)人的行為職責(zé)得到授權(quán),并且傳達(dá)給組織中的所有成員。無論采用什么安全控制措施,都應(yīng)該確保管理職責(zé)是明確和持續(xù)適用的。
(2)管理安全控制措施的配置
對(duì)信息系統(tǒng)安全控制機(jī)制進(jìn)行配置管理,制定相關(guān)流程和要求。
(3)管理安全意識(shí)、培訓(xùn)和教育
像管理其他的意識(shí)、培訓(xùn)和教育一樣,對(duì)所有員工的安全意識(shí)、培訓(xùn)和教育進(jìn)行管理。
(4)定期維護(hù)與管理安全控制措施
定期維護(hù)和管理安全服務(wù)和控制措施,包括保護(hù)服務(wù)和控制機(jī)制免受有意或者無意的損壞,并依據(jù)法律和政策的要求進(jìn)行備案。
5.4.3監(jiān)控安全態(tài)勢(shì)
監(jiān)控安全態(tài)勢(shì)的目的是確保識(shí)別和報(bào)告所有的安全違規(guī)行為、試圖違規(guī)行為或能夠潛在地導(dǎo)致安全違規(guī)的錯(cuò)誤。監(jiān)控安全態(tài)勢(shì)需要監(jiān)控內(nèi)部和外部環(huán)境中可能影響信息系統(tǒng)安全的所有因素。
本要求的目標(biāo):檢測(cè)和跟蹤內(nèi)部與外部的安全事件,并根據(jù)策略進(jìn)行安全響應(yīng);根據(jù)安全目標(biāo),識(shí)別并處理安全態(tài)勢(shì)的變化。
具體要求和說明如下:
(1)分析事件記錄
檢查安全信息相關(guān)的事件記錄。識(shí)別值得關(guān)注的事件,以及與其他事件的關(guān)聯(lián)性。
(2)監(jiān)控變化
關(guān)注可能影響當(dāng)前安全狀態(tài)有效性的任何變化。威脅、脆弱性、影響和風(fēng)險(xiǎn)與信息系統(tǒng)的安全緊密相關(guān)。
(3)識(shí)別安全事件
確定是否發(fā)生了安全事件,識(shí)別其詳細(xì)情況并且在必要時(shí)向上級(jí)報(bào)告。
(4)監(jiān)控安全防護(hù)措施
經(jīng)常檢查安全防護(hù)措施的運(yùn)行狀態(tài),以便識(shí)別出其性能的變化和功能的有效性。
(5)評(píng)審安全態(tài)勢(shì)
定期檢查安全措施和相關(guān)的安全要求,以識(shí)別必要的安全變更。
(6)管理安全事件響應(yīng)
制定應(yīng)急響應(yīng)計(jì)劃,和快速恢復(fù)策略和恢復(fù)計(jì)劃;并定期測(cè)試和維護(hù)應(yīng)急響應(yīng)計(jì)劃。
(7)保存安全監(jiān)控結(jié)果
封存和歸檔安全監(jiān)控日志、審計(jì)報(bào)告和分析結(jié)果。
表4:信息系統(tǒng)安全集成服務(wù)建設(shè)實(shí)施階段要求
建設(shè)實(shí)施階段要求 | 必備 | 可選 | |
協(xié)調(diào)安全 | 1)建立安全職責(zé) | √ | |
2)識(shí)別安全集成協(xié)調(diào)機(jī)制 | √ | ||
3)促進(jìn)安全集成協(xié)調(diào) | √ | ||
4)協(xié)調(diào)安全決策和建議 | √ | ||
管理安全控制 | 1)建立安全職責(zé) | √ | |
2)管理安全控制機(jī)制的配置 | √ | ||
3)管理安全意識(shí)、培訓(xùn)和教育 | √ | ||
4)定期維護(hù)和管理安全控制機(jī)制 | √ | ||
安全監(jiān)控 | 1)分析事件記錄 | √ | |
2)監(jiān)控變化 | √ | ||
3)識(shí)別安全事件 | √ | ||
4)監(jiān)控安全防護(hù)措施 | √ | ||
5)評(píng)審安全態(tài)勢(shì) | √ | ||
6)管理安全事件響應(yīng) | √ | ||
7)保存安全監(jiān)控結(jié)果 | √ |
5.5 安全保證
5.5.1建立保證論據(jù)
建立保證論據(jù)的目的是通過相關(guān)的證據(jù)清楚地表明客戶的安全需求已經(jīng)得到滿足。保證論據(jù)是由多種保證證據(jù)支持的一系列陳述性保證目標(biāo),包括識(shí)別和定義保證要求、證據(jù)的產(chǎn)生和分析活動(dòng)以及支持保證要求所需的附加證據(jù)活動(dòng)。另外,收集、整理并展示這些活動(dòng)生成的證據(jù)。
本要求的目標(biāo):項(xiàng)目工作結(jié)果和工作過程向客戶明確地提供了其安全需求已被滿足的證據(jù)。
具體要求和說明如下:
(1)識(shí)別保證目標(biāo)
由客戶確定的安全保證目標(biāo)指明了信息系統(tǒng)需要的信任等級(jí)和安全策略實(shí)現(xiàn)的信任等級(jí)。保證目標(biāo)的充分性應(yīng)該由開發(fā)商、集成商、客戶和信息系統(tǒng)運(yùn)維人員共同確定。
(2)制定保證策略
制定安全保證策略的目的是策劃和確保安全目標(biāo)被正確地貫徹和落實(shí)。本過程所產(chǎn)生的保證證據(jù)將會(huì)提供安全措施滿足安全風(fēng)險(xiǎn)管理的信任等級(jí)。通過制定和頒布安全保證策略,實(shí)現(xiàn)對(duì)安全保證相關(guān)活動(dòng)的有效管理。
(3)制定測(cè)量準(zhǔn)則(一級(jí)可選要求)
安全測(cè)量準(zhǔn)則有利于安全決策、績(jī)效提升和職責(zé)核查。測(cè)量安全績(jī)效的目的是基于已識(shí)別的測(cè)量準(zhǔn)則監(jiān)控安全運(yùn)行的狀態(tài),以便于通過實(shí)施糾正措施進(jìn)行過程改進(jìn)。測(cè)量準(zhǔn)則有助于監(jiān)控保證策略和保證目標(biāo)的完成。
(4)控制保證證據(jù)
在安全集成項(xiàng)目各階段活動(dòng)中識(shí)別并收集各種安全證據(jù)。安全證據(jù)應(yīng)該進(jìn)行控制和管理,以確保與當(dāng)前工作結(jié)果的通用性和與安全保證目標(biāo)的關(guān)聯(lián)性。
(5)分析保證證據(jù)
分析保證證據(jù),以提供滿足安全目標(biāo)的證據(jù)的信任等級(jí),從而滿足客戶的安全需求。通過分析保證證據(jù),可以確定安全建設(shè)實(shí)施過程和安全驗(yàn)證過程是否充分和完善,以便判斷安全機(jī)制和安全功能的實(shí)現(xiàn)是否令人滿意。同時(shí),也確保了安全集成項(xiàng)目結(jié)果相對(duì)于安全基線而言也是完整的和正確的。
(6)提供保證論據(jù)
向客戶提供用于表明與安全保證目標(biāo)相符合的整體安全保證論據(jù)。保證論據(jù)應(yīng)該被評(píng)審,以確保保證證據(jù)的充分性和滿足安全保證目標(biāo)。
5.5.2驗(yàn)證和確認(rèn)安全
確保項(xiàng)目方案得到驗(yàn)證和確認(rèn)。驗(yàn)證表明項(xiàng)目方案被正確地實(shí)施,而確認(rèn)則證明項(xiàng)目方案是有效的。根據(jù)安全要求、體系結(jié)構(gòu)和安全設(shè)計(jì)方面的信息,通過觀察、演示、分析和測(cè)試來驗(yàn)證項(xiàng)目方案。通過客戶的安全需求和安全目標(biāo)確認(rèn)項(xiàng)目方案。
本要求的目標(biāo):用事實(shí)證明項(xiàng)目方案滿足客戶的安全需求和要求。
具體要求和說明如下:
(7)識(shí)別項(xiàng)目方案
分別識(shí)別驗(yàn)證和確認(rèn)活動(dòng)的目標(biāo)。這涉及在安全集成項(xiàng)目的整個(gè)生命周期內(nèi)與所有工作組的協(xié)調(diào)。
(1)定義驗(yàn)證和確認(rèn)方法
識(shí)別待驗(yàn)證和確認(rèn)項(xiàng)目方案的方法,涉及如何驗(yàn)證和確認(rèn)每一項(xiàng)安全需求的方法。嚴(yán)格等級(jí)用于指明驗(yàn)證和確認(rèn)工作的細(xì)致程度,而且這受到“建立保證論據(jù)”中“制定面向所有安全目標(biāo)的安全保證策略”預(yù)期輸出結(jié)果的影響。
(2)執(zhí)行驗(yàn)證
通過確認(rèn)安全要求(包括“建立保證論據(jù)”識(shí)別的安全保證要求)來驗(yàn)證項(xiàng)目方案是正確的。
(3)執(zhí)行確認(rèn)
確認(rèn)項(xiàng)目方案的目的是表明項(xiàng)目方案能夠有效地滿足客戶的安全需求。有多種方式提供確認(rèn)證據(jù)證明客戶安全需求已經(jīng)得到滿足,比如在運(yùn)行環(huán)境或者代表性測(cè)試環(huán)境中測(cè)試項(xiàng)目方案。
(4)獲取驗(yàn)證和確認(rèn)結(jié)果
獲取并提供驗(yàn)證和確認(rèn)的結(jié)果。驗(yàn)證和確認(rèn)的結(jié)果應(yīng)該以一種容易理解和使用的方式提供。結(jié)果應(yīng)該能被跟蹤,以保持從安全需求到安全要求、項(xiàng)目方案、測(cè)試結(jié)果的可跟蹤性。
表5:信息系統(tǒng)安全集成服務(wù)安全保證階段要求
安全保證階段要求 | 必備 | 可選 | |
建立保證論據(jù) | 1)識(shí)別保證目標(biāo) | √ | |
2)制定保證策略 | √ | ||
3)制定測(cè)量準(zhǔn)則(一級(jí)要求) | √ | ||
4)控制保證證據(jù) | √ | ||
5)分析保證證據(jù) | √ | ||
6)提供保證論據(jù) | √ | ||
驗(yàn)證和確認(rèn)安全 | 1)識(shí)別待驗(yàn)證和確認(rèn)的目標(biāo) | √ | |
2)制定驗(yàn)證和確認(rèn)的方法 | √ | ||
3)執(zhí)行驗(yàn)證 | √ | ||
4)執(zhí)行確認(rèn) | √ | ||
5)獲取驗(yàn)證和確認(rèn)結(jié)果 | √ |
6 信息系統(tǒng)安全集成服務(wù)資質(zhì)分級(jí)評(píng)價(jià)要求
信息系統(tǒng)安全集成服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度。資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別,其中一級(jí)最高,三級(jí)最低。
根據(jù)服務(wù)提供者的機(jī)構(gòu)注冊(cè)資金、從業(yè)經(jīng)驗(yàn)、人員素質(zhì)要求、項(xiàng)目經(jīng)驗(yàn)、管理能力和技術(shù)能力等要素,可將服務(wù)提供者的資質(zhì)劃分為三個(gè)級(jí)別。
6.1 三級(jí)信息系統(tǒng)安全集成服務(wù)資質(zhì)要求
6.1.1基本資格
(1)基本條件(參見第4.1節(jié));
(2)注冊(cè)資本:產(chǎn)權(quán)關(guān)系明晰,注冊(cè)資本不少于200萬元人民幣;
(3)人員素質(zhì)要求:信息系統(tǒng)安全集成服務(wù)人員10名以上;本科以上學(xué)歷人員占機(jī)構(gòu)總?cè)藬?shù)比例在60%以上;
(4)具有信息系統(tǒng)安全服務(wù)相關(guān)的資質(zhì)人員至少2人(如,CISAW,信息安全管理體系審核員、CISSP,CISA等);至少有1人具有項(xiàng)目管理的資格證書。
(5)主要負(fù)責(zé)人應(yīng)具有2年以上從事信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷,主要技術(shù)負(fù)責(zé)人應(yīng)獲得電子信息技術(shù)類高級(jí)職稱且從事安全集成技術(shù)工作不少于2年,財(cái)務(wù)負(fù)責(zé)人應(yīng)具有初級(jí)以上職稱;
(6)從業(yè)時(shí)間:從事信息系統(tǒng)安全集成服務(wù)一年以上;
(7)從業(yè)經(jīng)驗(yàn):獨(dú)立完成中小型企業(yè)的信息系統(tǒng)集成項(xiàng)目;近三年內(nèi)至少完成4個(gè)以上完整的信息安全集成項(xiàng)目,按合同要求質(zhì)量合格,已通過驗(yàn)收并投入實(shí)際應(yīng)用。項(xiàng)目合同總金額不少于300萬元人民幣。至少完成一個(gè)100萬以上的安全集成項(xiàng)目。
6.1.2管理能力(參見第4.2節(jié));
6.1.3技術(shù)能力(參見第4.3節(jié));
6.1.4服務(wù)過程要求(參見第5章)。
6.2 二級(jí)信息系統(tǒng)安全集成服務(wù)資質(zhì)要求
6.2.1基本資格
(1)基本條件(參見第4.1節(jié));
(2)注冊(cè)資本:產(chǎn)權(quán)關(guān)系明晰,注冊(cè)資本不少于1000萬元人民幣;
(3)人員素質(zhì)要求:信息系統(tǒng)安全集成服務(wù)人員20名以上;本科以上學(xué)歷人員占機(jī)構(gòu)總?cè)藬?shù)比例在70%以上;
(4)具有信息系統(tǒng)安全集成服務(wù)相關(guān)的資質(zhì)人員至少6人(如,CISAW,信息安全管理體系審核員、CISSP,CISA等);至少有2人具有項(xiàng)目管理的資格證書。
(5)主要負(fù)責(zé)人應(yīng)具有3年以上從事電子信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷,主要技術(shù)負(fù)責(zé)人應(yīng)獲得電子信息技術(shù)類高級(jí)職稱且從事安全集成技術(shù)工作不少于3年,財(cái)務(wù)負(fù)責(zé)人應(yīng)具有中級(jí)以上職稱。
(6)從業(yè)時(shí)間:從事信息系統(tǒng)安全集成服務(wù)三年以上;
(7)從業(yè)經(jīng)驗(yàn):獨(dú)立完成省級(jí)范圍的信息安全集成項(xiàng)目或大型企業(yè)的信息安全集成項(xiàng)目;近三年內(nèi)至少完成6個(gè)以上完整的信息安全集成項(xiàng)目且無客戶投訴,項(xiàng)目合同總金額不少于1000萬元人民幣;至少完成一個(gè)200萬以上的安全集成項(xiàng)目。
6.2.2管理能力
(1)基本管理能力(參見第4.2節(jié));
(2)制定項(xiàng)目質(zhì)量管理計(jì)劃,跟蹤項(xiàng)目過程和結(jié)果的質(zhì)量。
6.2.3技術(shù)能力
(1)基本技術(shù)能力(參見第4.3節(jié));
(2)應(yīng)具有足夠的技術(shù)力量,根據(jù)客戶業(yè)務(wù)的安全需求開發(fā)信息安全產(chǎn)品或支持性工具的能力。
6.2.4服務(wù)過程要求(參見第5章)
6.3 一級(jí)信息系統(tǒng)安全集成服務(wù)資質(zhì)要求
6.3.1基本資格
(1)基本條件(參見第4.1節(jié));
(2)注冊(cè)資本:產(chǎn)權(quán)關(guān)系明晰,注冊(cè)資本不少于2000萬元人民幣;
(3)人員素質(zhì)要求:信息系統(tǒng)安全集成服務(wù)人員30名以上;本科以上學(xué)歷人員占機(jī)構(gòu)總?cè)藬?shù)比例在80%以上;
(4)具有信息系統(tǒng)安全服務(wù)相關(guān)的資質(zhì)人員至少10人(如,CISAW,信息安全管理體系審核員、CISSP,CISA等);至少有5人具有項(xiàng)目管理的資格證書。
(5)主要負(fù)責(zé)人應(yīng)具有5年以上從事電子信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷,主要技術(shù)負(fù)責(zé)人應(yīng)獲得電子信息類高級(jí)職稱且從事系統(tǒng)集成技術(shù)工作不少于5年,財(cái)務(wù)負(fù)責(zé)人應(yīng)具有中級(jí)以上職稱。
(6)從業(yè)時(shí)間:從事信息系統(tǒng)安全集成服務(wù)五年以上;
(7)從業(yè)經(jīng)驗(yàn):獨(dú)立完成全國范圍的信息安全集成項(xiàng)目;近三年內(nèi)至少完成并通過驗(yàn)收的10個(gè)以上完整的信息系統(tǒng)安全集成服務(wù)項(xiàng)目且無客戶投訴,項(xiàng)目合同總金額不少于2000萬元人民幣;至少完成一個(gè)500萬以上的安全集成項(xiàng)目。
6.3.2管理能力
(1)基本管理能力(參見第4.2節(jié));
(2)制定服務(wù)質(zhì)量持續(xù)改進(jìn)的制度,跟蹤其落實(shí)情況;
(3)參考GB/T22080-2008/ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)建立信息安全管理體系并運(yùn)行三個(gè)月以上。
6.3.3技術(shù)能力
(1)基本技術(shù)能力(參見第4.3節(jié)要求);
(2)應(yīng)具有足夠的技術(shù)力量,根據(jù)客戶業(yè)務(wù)的安全需求開發(fā)信息安全產(chǎn)品或支持性工具的能力;
(3)應(yīng)具有足夠的技術(shù)力量,對(duì)市場(chǎng)上普通使用的信息安全產(chǎn)品進(jìn)行功能分析、提出安全策略及對(duì)安全產(chǎn)品進(jìn)行集成的能力;
(4)至少提供一個(gè)已完成的信息系統(tǒng),經(jīng)國家(或行業(yè))權(quán)威機(jī)構(gòu)或?qū)<医M驗(yàn)證其安全性符合要求。
6.3.4服務(wù)過程要求(參見第5章要求)
7 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證模式與流程
7.1信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證模式
現(xiàn)場(chǎng)檢查+特定服務(wù)檢查+獲證后監(jiān)督
現(xiàn)場(chǎng)檢查是在文檔審核通過后,審核組到申請(qǐng)方的注冊(cè)地址或業(yè)務(wù)量較集中的辦公地址進(jìn)行的標(biāo)準(zhǔn)符合性驗(yàn)證活動(dòng)。特定服務(wù)檢查是審核組對(duì)申請(qǐng)方的服務(wù)團(tuán)隊(duì)進(jìn)行的特定服務(wù)過程演示或到客戶現(xiàn)場(chǎng)見證服務(wù)過程的檢查活動(dòng),從而判定該申請(qǐng)方的服務(wù)能力。獲證后監(jiān)督是確保獲證方在獲證后能夠持續(xù)滿足標(biāo)準(zhǔn)的要求,在證書的三年有效期內(nèi)認(rèn)證機(jī)構(gòu)對(duì)獲證方進(jìn)行一或兩次現(xiàn)場(chǎng)監(jiān)督審核。如有特殊情況發(fā)生,認(rèn)證機(jī)構(gòu)可增加監(jiān)督審核頻次。
7.2信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證流程
7.2.1提交申請(qǐng)
申請(qǐng)方自愿向認(rèn)證機(jī)構(gòu)提交信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請(qǐng)。申請(qǐng)方應(yīng)提交的文件
(1)信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請(qǐng)書;
(2)獨(dú)立法人資格證明材料;
(3)從事信息系統(tǒng)安全集成服務(wù)的相關(guān)資質(zhì)證明;
(4)工作保密制度及相應(yīng)組織監(jiān)管體系已建立的證明材料;
(5)與信息系統(tǒng)安全集成服務(wù)人員簽訂的保密協(xié)議復(fù)印件;
(6)人員構(gòu)成與素質(zhì)證明材料;
(7)公司組織結(jié)構(gòu)證明材料;
(8)具備固定辦公場(chǎng)所的證明材料;
(9)項(xiàng)目管理制度文檔;
(10)安全集成服務(wù)流程;
(11)安全集成服務(wù)規(guī)范性文件;
(12)安全集成服務(wù)質(zhì)量管理文件(一、二級(jí));
(13)信息安全管理體系文件及設(shè)施情況的材料(一級(jí));
(14)項(xiàng)目案例及業(yè)績(jī)證明材料等。
7.2.2文檔審核
認(rèn)證機(jī)構(gòu)應(yīng)根據(jù)認(rèn)證依據(jù)、程序等要求,及時(shí)對(duì)申請(qǐng)方提交的申請(qǐng)文件和資料進(jìn)行審核并保存審核記錄,以確保:
(1)認(rèn)證要求規(guī)定明確并得到理解;
(2)認(rèn)證機(jī)構(gòu)和申請(qǐng)方之間在理解上的差異得到解決;
(3)對(duì)于申請(qǐng)的認(rèn)證范圍、工作場(chǎng)所和任何特殊要求,認(rèn)證機(jī)構(gòu)均有能力開展認(rèn)證服務(wù)。
7.2.3現(xiàn)場(chǎng)審核
認(rèn)證機(jī)構(gòu)應(yīng)組成審核組,依據(jù)相關(guān)標(biāo)準(zhǔn)和審核要求,對(duì)申請(qǐng)方進(jìn)行現(xiàn)場(chǎng)審核?,F(xiàn)場(chǎng)審核的內(nèi)容主要包括:
(1)通過檢查、觀察、訪談,對(duì)申請(qǐng)方的信息系統(tǒng)安全集成服務(wù)技術(shù)能力進(jìn)行驗(yàn)證;
(2)通過檢查、觀察、訪談,對(duì)申請(qǐng)方的信息系統(tǒng)安全集成服務(wù)管理能力進(jìn)行驗(yàn)證;
(3)觀察服務(wù)模擬演示或見證現(xiàn)場(chǎng)服務(wù)。
7.2.4認(rèn)證決定
認(rèn)證評(píng)價(jià)及認(rèn)證決定是由認(rèn)證決定委員會(huì)執(zhí)行。認(rèn)證決定委員會(huì)至少由3名以上(含3名)奇數(shù)認(rèn)證決定人員組成。
7.2.4.1認(rèn)證決定
認(rèn)證決定人員依據(jù)認(rèn)證標(biāo)準(zhǔn)、信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證程序與實(shí)施規(guī)則的要求及相關(guān)標(biāo)準(zhǔn),結(jié)合審核過程中收集的信息(對(duì)于存在不符合項(xiàng)的情況,必須通過整改并由審核組驗(yàn)證通過),對(duì)審核結(jié)果進(jìn)行綜合評(píng)價(jià),做出“通過認(rèn)證”或“不通過認(rèn)證”的決定。必要時(shí),認(rèn)證決定委員會(huì)應(yīng)對(duì)申請(qǐng)方滿足認(rèn)證依據(jù)的情況進(jìn)行風(fēng)險(xiǎn)評(píng)估,以做出是否授予認(rèn)證的決定。
對(duì)于符合認(rèn)證要求的申請(qǐng)方,認(rèn)證機(jī)構(gòu)應(yīng)頒發(fā)認(rèn)證證書并在相關(guān)媒體上予以公告。
對(duì)于不符合認(rèn)證要求的申請(qǐng)方,認(rèn)證機(jī)構(gòu)應(yīng)以書面的形式明示其不能獲得認(rèn)證的原因。
7.2.4.2對(duì)認(rèn)證決定的申訴
申請(qǐng)方如對(duì)認(rèn)證決定結(jié)果有異議,可在10個(gè)工作日內(nèi)向認(rèn)證機(jī)構(gòu)申訴,認(rèn)證機(jī)構(gòu)自收到申訴之日起,應(yīng)在一個(gè)月內(nèi)進(jìn)行處理,并將處理結(jié)果書面通知申請(qǐng)方。
7.2.5證后監(jiān)督
7.2.5.1證后監(jiān)督頻次和方式
認(rèn)證機(jī)構(gòu)應(yīng)根據(jù)信息系統(tǒng)安全集成服務(wù)的特點(diǎn)以及所承擔(dān)的認(rèn)證風(fēng)險(xiǎn),合理確定監(jiān)督審核的時(shí)間間隔和方式。監(jiān)督審核的方式可采用文檔審核或與現(xiàn)場(chǎng)審核相結(jié)合的方式。一般情況下,每年度(不超過12個(gè)月)進(jìn)行一次監(jiān)督審核,由項(xiàng)目管理人員提前兩個(gè)月通知獲證方。監(jiān)督審核的方式可采用文檔審核與現(xiàn)場(chǎng)審核相結(jié)合的方式。
當(dāng)信息系統(tǒng)安全集成服務(wù)提供者的信息系統(tǒng)安全集成服務(wù)發(fā)生重大事故、客戶投訴,或組織結(jié)構(gòu)、人員等方面發(fā)生重大變更等時(shí),認(rèn)證機(jī)構(gòu)視情況可增加現(xiàn)場(chǎng)監(jiān)督審核的頻次。
7.2.5.2監(jiān)督審核應(yīng)包括,但不限于以下內(nèi)容:
(1)新實(shí)施的服務(wù)案例;
(2)客戶投訴情況;
(3)涉及變化的范圍(例如:人員變化、實(shí)驗(yàn)環(huán)境變化、項(xiàng)目管理、質(zhì)量管理體系變化);
(4)上次審核提出的不符合項(xiàng)所采取糾正/預(yù)防措施、觀察項(xiàng)的實(shí)施情況。
7.2.5.3監(jiān)督結(jié)果評(píng)價(jià)
對(duì)于監(jiān)督審核合格的信息系統(tǒng)安全集成服務(wù)提供者,認(rèn)證機(jī)構(gòu)應(yīng)作出保持其認(rèn)證證書的決定;否則,應(yīng)暫停、撤銷其認(rèn)證證書。
7.2.5.4信息通報(bào)制度
為確保服務(wù)提供者的信息安全服務(wù)能力持續(xù)有效,服務(wù)提供者應(yīng)建立信息通報(bào)制度,及時(shí)向認(rèn)證機(jī)構(gòu)通報(bào)以下信息:
(1)有關(guān)組織機(jī)構(gòu)變化信息;
(2)消費(fèi)者投訴等信息;
(3)其他重要信息。
7.2.5.5信息分析
認(rèn)證機(jī)構(gòu)應(yīng)對(duì)上述信息進(jìn)行分析,視情況采取相應(yīng)措施,包括增加監(jiān)督審核頻次、暫停或撤銷認(rèn)證證書。
7.2.6再認(rèn)證
在認(rèn)證證書有效期滿的前三個(gè)月內(nèi),服務(wù)提供者可申請(qǐng)?jiān)僬J(rèn)證。再認(rèn)證程序與初次認(rèn)證程序相同。
7.2.7證書變更
(1)如果證書變更只涉及到注冊(cè)地址、資金或法定代表人的變更,申請(qǐng)方須遞交變更申請(qǐng),經(jīng)書面審核批準(zhǔn)后,認(rèn)證機(jī)構(gòu)僅對(duì)證書更新并收回原證書;
(2)信息系統(tǒng)安全集成服務(wù)提供者的組織機(jī)構(gòu)發(fā)生重大調(diào)整、人員變動(dòng)較大、擬變更業(yè)務(wù)范圍時(shí),應(yīng)向認(rèn)證機(jī)構(gòu)提出變更申請(qǐng),并提交相關(guān)材料。認(rèn)證機(jī)構(gòu)策劃并實(shí)施適宜的審核活動(dòng),并按照要求做出認(rèn)證決定。審核活動(dòng)可單獨(dú)進(jìn)行,也可與信息系統(tǒng)安全集成服務(wù)監(jiān)督或再認(rèn)證同時(shí)進(jìn)行。
7.2.8認(rèn)證時(shí)限
認(rèn)證時(shí)限是指自申請(qǐng)被正式受理之日起至頒發(fā)認(rèn)證證書時(shí)止所實(shí)際發(fā)生的時(shí)間,其中包括認(rèn)證受理、文檔審核、現(xiàn)場(chǎng)審核、認(rèn)證決定以及證書頒發(fā)環(huán)節(jié)。申請(qǐng)一類服務(wù)資質(zhì)認(rèn)證的時(shí)間一般為兩個(gè)月。
服務(wù)提供者如果已獲得我中心某一或幾類的信息安全服務(wù)資質(zhì)認(rèn)證,再申請(qǐng)安全集成服務(wù)資質(zhì)認(rèn)證,認(rèn)證周期可適當(dāng)縮短兩周左右。
8 認(rèn)證證書管理
8.1認(rèn)證證書有效期
信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證證書有效期為3年。
8.2認(rèn)證證書的管理
8.2.1暫停認(rèn)證證書
信息系統(tǒng)安全集成服務(wù)提供者有下列情形之一的,認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)暫停認(rèn)證證書。
(1)未按規(guī)定及時(shí)接受監(jiān)督審核或再認(rèn)證;
(2)未按規(guī)定使用認(rèn)證證書;
(3)監(jiān)督結(jié)果證明信息系統(tǒng)安全集成服務(wù)提供者的信息安全服務(wù)能力不符合認(rèn)證要求,但不需要立即撤銷認(rèn)證證書。
暫停期限一般為三個(gè)月。在三個(gè)月內(nèi),申請(qǐng)方可提出恢復(fù)證書的申請(qǐng),認(rèn)證機(jī)構(gòu)經(jīng)審核、批準(zhǔn)后方可使用該證書。在認(rèn)證證書暫停期間,申請(qǐng)方不得繼續(xù)使用證書。
8.2.2撤銷認(rèn)證證書
信息系統(tǒng)安全集成服務(wù)提供者有下列情形之一的,認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)撤銷其認(rèn)證證書。
(1)監(jiān)督結(jié)果證明信息系統(tǒng)安全集成服務(wù)提供者的信息安全服務(wù)能力不符合認(rèn)證要求,應(yīng)立即撤銷證書的;
(2)認(rèn)證證書暫停使用期間,信息系統(tǒng)安全集成服務(wù)提供者未采取有效糾正措施;
(3)信息系統(tǒng)安全集成服務(wù)提供者出現(xiàn)嚴(yán)重責(zé)任事故,影響其繼續(xù)有效提供集成服務(wù);
(4)信息系統(tǒng)安全集成服務(wù)提供者不接受認(rèn)證機(jī)構(gòu)對(duì)其實(shí)施的監(jiān)督或未申請(qǐng)?jiān)僬J(rèn)證。
8.2.3注銷認(rèn)證證書
信息系統(tǒng)安全集成服務(wù)提供者因?yàn)樽陨碓蛏暾?qǐng)注銷認(rèn)證證書,認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)給予注銷。
認(rèn)證證書注銷和撤銷后,認(rèn)證機(jī)構(gòu)應(yīng)收回認(rèn)證證書,并在相關(guān)媒體上予以公告。
附錄A信息安全工程過程能力級(jí)別參考(ISO/IEC21827:2008)
1.
2.
3.
4.
5.
7.1
7.2
7.3
A.1基本執(zhí)行級(jí)
本能力級(jí)別的組織是基于個(gè)人的知識(shí)和努力去執(zhí)行一些基本過程,而未經(jīng)嚴(yán)格的計(jì)劃和跟蹤。能提供的證據(jù)是該過程的工作結(jié)果。由于缺乏適當(dāng)控制,工作結(jié)果的一致性、性能和質(zhì)量會(huì)存在極大的差異。
A.2計(jì)劃跟蹤級(jí)
本能力級(jí)別的組織計(jì)劃并跟蹤執(zhí)行組織已定義的過程,驗(yàn)證是否執(zhí)行了特定的步驟,工作結(jié)果是否符合指定的標(biāo)準(zhǔn)和需求,測(cè)量用于跟蹤過程的執(zhí)行情況。組織能夠基于實(shí)際執(zhí)行活動(dòng)進(jìn)行管理。
1)制定過程執(zhí)行計(jì)劃
過程執(zhí)行的計(jì)劃涉及到過程文檔的編制,執(zhí)行過程的相應(yīng)工具的提供、過程實(shí)施的計(jì)劃、過程執(zhí)行中的培訓(xùn)、過程資源的分配以及過程執(zhí)行的責(zé)任分配。
2)規(guī)范化執(zhí)行
此要求注重于控制覆蓋過程的總數(shù)。需要列出過程執(zhí)行計(jì)劃的使用、基于標(biāo)準(zhǔn)和程序的過程執(zhí)行、配置管理下依過程產(chǎn)生的工作結(jié)果。
3)驗(yàn)證執(zhí)行
確認(rèn)過程按預(yù)定的方式執(zhí)行。涉及到驗(yàn)證執(zhí)行過程與可應(yīng)用的標(biāo)準(zhǔn)和程序是一致的以及對(duì)工作結(jié)果的審計(jì)。
4)跟蹤執(zhí)行
此要求注重于組織控制項(xiàng)目進(jìn)展的能力。組織通過可測(cè)量的計(jì)劃跟蹤過程的執(zhí)行情況,當(dāng)過程實(shí)施與計(jì)劃產(chǎn)生重大偏離時(shí)應(yīng)采取糾正措施。
A.3充分定義級(jí)
本能力級(jí)別的組織執(zhí)行已經(jīng)充分定義的標(biāo)準(zhǔn)過程。組織依據(jù)對(duì)已批準(zhǔn)發(fā)布的、文檔化的標(biāo)準(zhǔn)過程進(jìn)行適當(dāng)裁減,來充分定義組織的過程。
本級(jí)與級(jí)別2的主要區(qū)別在于利用組織范圍內(nèi)的標(biāo)準(zhǔn)過程來管理和規(guī)劃其活動(dòng)。
1)定義標(biāo)準(zhǔn)過程
該要求注重于組織標(biāo)準(zhǔn)過程的制度化。一個(gè)組織的標(biāo)準(zhǔn)過程可能需要裁剪以適合特定環(huán)境的使用,因此,要求組織提出標(biāo)準(zhǔn)過程的文檔,并為滿足特定用途而對(duì)標(biāo)準(zhǔn)過程進(jìn)行裁剪。
2)執(zhí)行已定義過程
該要求注重于執(zhí)行充分定義過程的可重復(fù)性。要求組織使用制度化過程,并對(duì)有缺陷的過程結(jié)果和工作結(jié)果進(jìn)行復(fù)查,執(zhí)行過程并使用結(jié)果數(shù)據(jù)。
3)協(xié)調(diào)項(xiàng)目和組織活動(dòng)
該要求注重項(xiàng)目和組織活動(dòng)的協(xié)調(diào)。大的工程通常由多個(gè)組協(xié)作完成,缺乏協(xié)調(diào)將會(huì)導(dǎo)致延誤和不可比對(duì)的結(jié)果。因此應(yīng)確定組內(nèi)、組間、組外活動(dòng)的協(xié)調(diào)。
A.4定量控制級(jí)
本能力級(jí)別的組織應(yīng)收集和分析執(zhí)行的詳細(xì)測(cè)量,獲得對(duì)過程能力和改進(jìn)能力的量化理解以預(yù)測(cè)執(zhí)行情況。本能力級(jí)別執(zhí)行的管理是客觀的,工作結(jié)果的質(zhì)量是可量化的。本級(jí)與充分定義級(jí)的主要區(qū)別在于定義的過程是定量可控的。
1)建立可測(cè)量的質(zhì)量目標(biāo)
該要求注重對(duì)組織所開發(fā)的產(chǎn)品(包括工作結(jié)果)建立可測(cè)量的質(zhì)量目標(biāo)。
2)客觀地管理執(zhí)行
該要求注重于確定過程能力的量化測(cè)量并使用量化測(cè)量來管理這一過程。提出了確定量化過程能力和以量化測(cè)量作為修正行動(dòng)的基礎(chǔ)。
A.5持續(xù)改進(jìn)級(jí)
本能力級(jí)別的組織基于組織的商務(wù)目標(biāo),并針對(duì)過程有效性和效率建立量化執(zhí)行目標(biāo)。通過執(zhí)行已定義的過程和有創(chuàng)見的新概念、新技術(shù)的量化反饋來保證對(duì)這些目標(biāo)進(jìn)行連續(xù)的過程改進(jìn)。
本級(jí)與定量控制級(jí)的主要區(qū)別在于已定義的過程和標(biāo)準(zhǔn)過程基于對(duì)這些過程變化效果的量化理解,進(jìn)行連續(xù)調(diào)整和改進(jìn)。
1)改進(jìn)組織能力
該要求注重在整個(gè)組織范圍內(nèi)使用標(biāo)準(zhǔn)過程,并在同的使用中進(jìn)行比較。在使用這些過程時(shí),尋找改進(jìn)標(biāo)準(zhǔn)過程的機(jī)會(huì),分析產(chǎn)生的缺陷以識(shí)別對(duì)標(biāo)準(zhǔn)過程的進(jìn)行改進(jìn)的可能性。
2)改進(jìn)過程有效性
該要求注重于制定處于連續(xù)受控改進(jìn)狀態(tài)下的標(biāo)準(zhǔn)過程。組織能消除標(biāo)準(zhǔn)過程產(chǎn)生缺陷的原因,并提出連續(xù)改進(jìn)的標(biāo)準(zhǔn)過程。
附錄B各級(jí)資質(zhì)要求對(duì)照表
各級(jí)資質(zhì)要求以及與過程能力級(jí)別對(duì)應(yīng)關(guān)系 | 三級(jí) | 二級(jí) | 一級(jí) |
A.1基本執(zhí)行級(jí) | A.2計(jì)劃跟蹤級(jí) | A.3充分定義級(jí) | |
基本資格 | |||
注冊(cè)資本 | 200萬元人民幣 | 1000萬元人民幣 | 2000萬元人民幣 |
人員素質(zhì)要求 | 集成服務(wù)人員10人以上; | 集成服務(wù)人員20人以上; | 集成服務(wù)人員30人以上; |
本科以上學(xué)歷人員比例60%以上; | 本科以上學(xué)歷人員比例70%以上; | 本科以上學(xué)歷人員比例80%以上; | |
擁有安全集成服務(wù)資質(zhì)人數(shù) | 2人 | 6人 | 10人 |
擁有項(xiàng)目管理資格人數(shù) | 1人 | 2人 | 5人 |
單位負(fù)責(zé)人要求 | 2年以上信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷 | 3年以上信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷 | 5年以上信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷 |
技術(shù)負(fù)責(zé)人要求 | 電子信息技術(shù)類高級(jí)職稱; 安全集成技術(shù)工作經(jīng)驗(yàn)不少于2年; | 電子信息技術(shù)類高級(jí)職稱; 安全集成技術(shù)工作經(jīng)驗(yàn)不少于3年; | 電子信息技術(shù)類高級(jí)職稱; 安全集成技術(shù)工作經(jīng)驗(yàn)不少于5年; |
財(cái)務(wù)負(fù)責(zé)人要求 | 財(cái)務(wù)系列初級(jí)以上職稱 | 財(cái)務(wù)系列中級(jí)以上職稱 | 財(cái)務(wù)系列中級(jí)以上職稱 |
從業(yè)時(shí)間 | 信息系統(tǒng)安全集成服務(wù)1年以上 | 信息系統(tǒng)安全集成服務(wù)3年以上 | 信息系統(tǒng)安全集成服務(wù)5年以上 |
從業(yè)經(jīng)驗(yàn) | 3年內(nèi)4個(gè)以上的項(xiàng)目且合同總額 不少于300萬元人民幣; 一個(gè)100萬元以上的安全集成項(xiàng)目; | 獨(dú)立完成省級(jí)范圍的信息安全集成項(xiàng)目或大型企業(yè)的信息安全集成項(xiàng)目; 3年內(nèi)6個(gè)以上的項(xiàng)目且合同總額不少于1000萬元人民幣; 一個(gè)200萬元以上的安全集成項(xiàng)目; | 獨(dú)立完成全國范圍的信息安全集成項(xiàng)目; 3年內(nèi)完成10個(gè)以上的項(xiàng)目且合同總額不少于2000萬元人民幣;一個(gè)500萬元以上的安全集成項(xiàng)目; |
管理能力 | |||
| | 項(xiàng)目實(shí)施過程中驗(yàn)證并跟蹤 | 制定服務(wù)質(zhì)量持續(xù)改進(jìn)的制度,跟蹤其落實(shí)情況; |
| | 根據(jù)定義的過程執(zhí)行過程評(píng)審; | |
| | | 參考GB/T22080-2008/ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)建立信息安全管理體系; |
技術(shù)能力 | |||
| | 具有足夠的技術(shù)力量,根據(jù)服務(wù)業(yè)務(wù)的需求開發(fā)信息安全產(chǎn)品或支持性工具; | 具有足夠的技術(shù)力量,根據(jù)服務(wù)業(yè)務(wù)的需求開發(fā)信息安全產(chǎn)品或支持性工具; |
| | | 應(yīng)具有足夠的技術(shù)力量,對(duì)市場(chǎng)的信息安全產(chǎn)品進(jìn)行功能分析、提出安全策略和項(xiàng)目方案及安全產(chǎn)品的系統(tǒng)集成的能力; |
| | | 安全集成后的信息系統(tǒng)的安全性,經(jīng)由國家主管部門或權(quán)威機(jī)構(gòu)專家組驗(yàn)證通過; |
服務(wù)過程要求 | |||
| | | 制定安全測(cè)量準(zhǔn)則以監(jiān)控安全保證目標(biāo)。 |
附錄C參考標(biāo)準(zhǔn)
ISO/IEC21827:2008信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型
SSE-CMM3.0:2003系統(tǒng)安全工程能力成熟度模型
ISO29151個(gè)人可識(shí)別信息安全認(rèn)證
ISO29151個(gè)人可識(shí)別信息安全認(rèn)證 2020年8月13日,ISO29151個(gè)人可識(shí)別信息安全認(rèn)證是國際通行的個(gè)人身份信息保護(hù)指南,涵蓋26個(gè)控制域,181……
企業(yè)怎么辦理供應(yīng)鏈安全管理體系認(rèn)證?
企業(yè)怎么辦理供應(yīng)鏈安全管理體系認(rèn)證? 2020年8月8號(hào),供應(yīng)鏈安全管理體系認(rèn)證證書ISO28000是應(yīng)運(yùn)輸和物流行業(yè)對(duì)共同安全管理標(biāo)準(zhǔn)的需求而……
iso27001認(rèn)證要求?ISO 27001是信息安全管理體系國際標(biāo)準(zhǔn),被廣泛應(yīng)用于企業(yè)信息安全保護(hù)。要進(jìn)行ISO 27001認(rèn)證,需要通過一系列的審查和評(píng)……
ISO27701隱私管理體系認(rèn)證對(duì)企業(yè)有什么意義?
ISO27701隱私管理體系認(rèn)證對(duì)企業(yè)有什么意義? 2020年8月25日,市場(chǎng)對(duì)ISO27701標(biāo)準(zhǔn)的發(fā)布有很大的期待。ISO27701的標(biāo)題為“隱私信息管理的ISO……
中企認(rèn)證咨詢網(wǎng)積累了豐富的國際質(zhì)量認(rèn)證工作經(jīng)驗(yàn),各項(xiàng)業(yè)務(wù)均成果卓著。始終以服務(wù)國家經(jīng)濟(jì)社會(huì)發(fā)展和提升人民生活品質(zhì)為己任,依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù),著力開展節(jié)能。在積極促進(jìn)國際貿(mào)易,調(diào)整經(jīng)濟(jì)結(jié)構(gòu),保護(hù)消費(fèi)者安全健康,構(gòu)建社會(huì)誠信體系,參與"兩型"社會(huì)建設(shè)等方面做出了積極貢獻(xiàn)。同時(shí),自身獲得了跨越式發(fā)展,已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu),可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念,正在朝著建立社會(huì)公信力高,有較強(qiáng)創(chuàng)新能力、市場(chǎng)競(jìng)爭(zhēng)能力和可持續(xù)發(fā)展能力,向業(yè)界有較高知名度的國際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行,優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開展,為順利實(shí)現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。
中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識(shí)產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗(yàn)廠咨詢、商務(wù)部信用等級(jí)、誠信信用等級(jí)、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價(jià)格實(shí)惠,證書真實(shí)有效,認(rèn)監(jiān)委可查,如有疑問,可點(diǎn)擊garryr.com了解詳情,竭誠為您服務(wù)!
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
本文標(biāo)題:四川信息安全認(rèn)證咨詢 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證評(píng)價(jià)要求
本文地址:http://garryr.com/isos/202409/zs_11932.html