信息安全资质培训招标内容.docVIP

信息安全资质培训招标内容 1项目背景 国务院总理李克强同志在最近的一次讲话中指出检验检测是必不可少的生产环节，检验检测机构也可以申请高新技术企业，并享受相关优惠政策。这次讲话进一步表明国家对产品质量的重视，软件产业作为高新技术产业，在当今社会已经深入到人们工作生活的方方面面，信息安全抓不紧造成的影响也将是多方面的，必须抓住时机建立健全软件产品的风险评估服务能力，为软件产品质量保驾护航。目前，信息安全测评作为软件检测公共服务云平台建设的一个重要方面，国家网络软件质检中心尚未取得该项资质；另一方面，我国各级政府正在逐步的加大信息安全风险评估的资金投入，充分说明信息安全风险评估的市场需求很大！国家网络软件质检中心具有为社会服务的社会职能，尚未取得该资质在一定程度上影响了我中心的全方面发展。 信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。 信息安全风险评估服务资质级别是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。对服务提供方的背景审查主要指客户投诉、违法违纪行为等；服务人员的背景审查主要指行业主管部门或使用单位对从事风险评估服务的人员进行必要的审查。 因信息安全资质取证需要在人员资格认证及信息安全风险评估服务能力等方面由第三方专业机构培训，本次资质取证面向全国具有该项业务专业技术机构公开招标，负责组织完成资质取证相关工作。 2项目建设目标 服务提供商对以下内容对申请单位进行培训，达到中国信息安全认证中心风险评估三级资质的评审要求，确保取得信息安全风险评估资质，进一步完善软件检测公共服务平台能力建设，丰富检测类型，打造国内一流的软件检测公共服务平台。 2.1、风险评估要素关系模型 风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系： 风险评估要素关系模型 图中这些要素之间存在着以下关系：业务战略依赖于资产去完成；资产拥有价值，单位的业务战略越重要，对资产的依赖度越高，资产的价值则就越大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险，—部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。 2.2风险计算模型 风险计算模型是对通过风险分析计算风险值的过程的抽象，它主要包括资产评估、威胁评估、脆弱性评估以及风险分析。风险计算模型如下图所示： 风险计算模型示意图 风险计算模型中包含：资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、发生的可能性、动机等；脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度。 2.3风险计算的过程如下： 对资产进行识别，并对资产的价值进行赋值； 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； 对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； 根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性； 根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失； 根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。 3风险评估实施过程 根据风险评估要素关系模型，进行风险评估需要分析评价各要素，按照各要素关系，风险评估的过程主要包括：风险评估的准备，即