信息安全服务资质认证要求.docVIP

信息安全服务资质 认证要求 ISCCC XXX XXX-2007 信息安全服务资质 认证要求 Certification Requirements for Qualification of Information Security Service Provider (备案送审稿) 中国信息安全认证中心 发布 目录 前 言 3 1 适用范围 4 2 定义 4 2.1 信息安全服务 4 2.2 信息安全服务提供者 4 2.3 信息安全服务资质等级 4 2.4 信息安全工程过程能力级别 4 3 服务类型与资质评定原则 4 3.1 信息安全服务的类型 4 3.2 信息安全服务资质等级的评判原则 4 4 认证具体要求 5 4.1 基本资格 5 4.1.1 独立法人 5 4.1.2 法律要求 6 4.2 基本能力 6 4.2.1 资产与规模 6 4.2.2 人员素质与构成 6 4.2.3 设备、设施与环境 7 4.2.4 业绩 7 4.3 质量管理能力 7 4.3.1 体系和管理职责 7 4.3.2 资源管理 8 4.3.3 项目过程管理 10 4.3.4 测量、分析和改进 12 4.3.5 客户服务 13 4.3.6 技术能力更新 14 4.4 安全工程过程能力 14 4.4.1 风险过程 14 4.4.2 工程过程 16 4.4.3 保证过程 19 5 引用标准与参考文献 20 5.1 计算机信息系统安全保护等级划分准则 20 5.2 系统安全工程能力成熟模型 20 5.3 系统安全工程能力成熟模型—评定方法 20 5.4 信息系统安全工程手册 20 5.5 软件工程能力成熟模型 20 6 附录——系统安全工程主要术语 21 6.1 组织 21 6.2 项目 21 6.3 系统 21 6.4 安全工程 21 6.5 安全工程生命期 21 6.6 工作产品 22 6.7 顾客 22 6.8 过程 22 6.9 过程能力 22 6.10 制度化 23 6.11 过程管理 23 前 言 本技术规范属于信息安全服务资质认证要求。 本技术规范根据我国信息安全服务管理的现状，并参考了相关技术规范而制定。 本技术规范由中国信息安全认证中心（ISCCC）提出并归口。 本技术规范主要起草单位：中国信息安全认证中心。 适用范围 本要求适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估；信息安全服务的需方对服务提供方的选择依据；作为国家主管部门对评估对象进行管理和检查的技术规范。另外，也可为信息安全服务提供组织改进自身能力提供指导。 定义 信息安全服务 信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。 信息安全服务提供者 信息安全服务提供者是指信息安全工程方案设计组织、承建信息安全工程的组织以及提供有关信息安全培训的组织。 信息安全服务资质等级 信息安全服务资质等级是指一个组织提供信息安全服务的综合能力。包括技术能力、组织结构与管理、资源配置、安全工程过程能力、业绩和质量保证等多个方面。 信息安全工程过程能力级别 信息安全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目时，执行组织已定义过程的能力成熟程度。 服务类型与资质评定原则 信息安全服务的类型 信息安全服务的类型主要指一个组织按照合同或协议，为另一个组织所履行的安全服务的具体形式，目前我们只针对安全工程服务进行资质认证。安全工程类指为信息系统进行安全方案设计（开发）、实施（安全集成)、验证（测试）、培训、运行（监控）和维护； 信息安全服务资质等级的评判原则 信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定，是在其基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上，针对不同的服务种类，采用一定的权值综合考虑后确定，并由国家认证机构授予相应的资质级别。信息安全服务的资质等级的划分遵循以下原则： 综合考虑原则： 信息安全服务资质等级的划分必须对组织的综合能力进行考察，它主要与组织的资格状况、技术实力、信息安全工程过程能力等级以及其他要求有关。 与现行国家有关主管部门颁布的法律、法规、规章、制度相一致的原则： 安全策略要保持与现行的法律、法规、规章、制度相一致，不能相抵触。 与我国已发布或即将发布的有关信息安全的标准相一致的原则： 我国已发布许多与安全服务有关的标准，本评估准则的资质等级划分必须与这些标准相一致。 与组织的基本能力水平紧密结合的原则： 一个组织的基本能力是评估其资质等级的基本要求，有些基本能力要求可能决定一个组织是否具备参与资质评定的资格。 与信息安全服务工程过程能力等级紧密