信息系统安全服务资质评估准则.docVIP

前 言 本标准的目的是对提供信息安全服务的组织进行资质评估与认证，为国家有关主管部门的行政管理提供技术依据。 本标准的评估对象是提供信息安全服务的组织，包括信息安全工程的设计、施工及其相关的咨询和培训组织。 与本标准相关的其它评估标准、评估细则和评估方法包括： 信息安全工程质量管理要求 信息安全服务资质评估等级划分细则 信息安全服务资质等级评估方法 …… 本标准起草单位：中国国家信息安全测评认证中心，中国国家信息安全测评认证中心系统工程实验室，信息产业部电子第30研究所，四川大学信息安全研究所，中国国防科技信息中心，解放军总装备部，北京普方德信息技术有限公司，北京天融信公司。 本标准主要起草人：关义章、叶征、崔玉华、任卫红、唐海波、龙毅宏、刘炳华、满林松、周恩志等 本标准于200X年X月X日起实施。 本标准委托中国国家信息安全测评认证中心负责解释。 目 录 1 适用范围 1 2 定义 1 2.1 信息安全服务 1 2.2 信息安全服务提供者 1 2.3 信息安全服务资质等级 1 2.4 信息安全工程过程能力级别 1 2.5 信息安全服务评估组织 1 3 服务类型与资质评定原则 1 3.1 信息安全服务的类型 1 3.2 信息安全服务资质等级的评判原则 1 4 提供信息安全服务的基本资格要求 2 5 提供信息安全服务的基本能力要求 2 5.1 组织与管理要求 2 5.2 技术能力要求 2 5.3 人员构成与素质要求 3 5.4 设备、设施与环境要求 3 5.5 规模与资产要求 3 5.6 业绩要求 3 5.7 质量保证要求 4 5.8 培训要求 4 6 信息安全工程过程及能力级别 4 6.1 概述 4 6.2 信息安全工程过程要求 5 6.2.1 评估安全对系统的影响 5 6.2.2 评估系统面临的安全威胁 5 6.2.3 评估系统的安全弱点 5 6.2.4 评估系统的安全风险 5 6.2.5 确定系统的安全需求 6 6.2.6 为系统提供必要的安全信息 6 6.2.7 监测系统的安全状况 6 6.2.8 管理系统的安全控制 7 6.2.9 安全性协调 7 6.2.10 检验并证实安全性 7 6.2.11 建立并提供安全性保证证据 7 6.3 信息安全工程过程能力级别 8 6.3.1 基本执行级 8 6.3.1.1 执行过程 8 6.3.2 计划跟踪级 8 6.3.2.1 制定过程执行计划 8 6.3.2.2 规范化执行 8 6.3.2.3 验证执行 8 6.3.2.4 跟踪执行 8 6.3.3 充分定义级 8 6.3.3.1 定义标准过程 8 6.3.3.2 执行已定义过程 8 6.3.3.3 协调项目和组织活动 9 6.3.4 定量控制级 9 6.3.4.1 建立可测量的质量目标 9 6.3.4.2 客观地管理执行 9 6.3.5 连续改进级 9 6.3.5.1 改进组织能力 9 6.3.5.2 改进过程有效性 9 7 信息安全服务资质等级划分 9 7.1 概述 9 7.2 信息安全服务资质等级划分 9 7.3 不同资质等级可从事的安全服务 11 8 引用标准与参考文献 12 8.1 计算机信息系统安全保护等级划分准则 12 8.2 系统工程能力成熟模型 12 8.3 系统安全工程能力成熟模型 12 8.4 系统安全工程能力成熟模型—评定方法 12 8.5 信息系统安全工程手册 12 8.6 软件工程能力成熟模型 12 8.7 信息安全工程质量管理要求 12 9 附录——系统安全工程主要术语 13 9.1 组织 13 9.2 项目 13 9.3 系统 13 9.4 安全工程 13 9.5 安全工程生命期 13 9.6 工作产品 14 9.7 顾客 14 9.8 过程 14 9.9 过程能力 14 9.10 制度化 14 9.11 过程管理 14 适用范围 本标准适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估；信息安全服务的需方对服务提供方的选择依据；作为国家主管部门对评估对象进行管理和检查的技术规范。另外，也可为信息安全服务提供组织改进自身能力提供指导。 定义 信息安全服务 信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。 信息安全服务提供者 信息安全服务提供者是指信息安全工程方案设计组织、承建信息安全工程的组织以及提供有关信息安全咨询和培训的组织。 信息安全服务资质等级 信息安全服务资质等级是指一个组织提供信息安全服务的综合能力。包括技术能力、组织结构与管理、资源配置、安全工程过程能力、业绩和质量保证等多个方面。 信息安全工程过程能力级别 信息安全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目时，执行组织已定义过程的能力成熟程度。 信息安全服务