关于信息安全认证、测评-浙江省信息安全行业协会.docVIP

专题一、信息安全认证、测评、资质认定 政府部门信息技术外包服务机构申请 信息安全管理体系认证安全审查程序（暂 行） 一、为加强国务院各部委、各直属机构信息技术外包服务的安全管理，保证政府信息和信息系统安全，依据工业和信息化部、国家质量监督检验检疫总局、中国人民银行、国务院国有资产监督管理委员会、国家保密局、国家认证认可监督管理委员会联合印发的《关于加强信息安全管理体系认证安全管理的通知》（工信部联协〔2010〕394号），制定本审查程序。 二、本审查程序所称政府部门信息技术外包服务机构（以下简称服务机构）,是指国务院各部委、各直属机构以签订合同的方式，委托承担信息技术服务且非本部门所属的专业机构。信息技术服务主要包括信息系统设计与开发、信息系统集成、监理与测试、运行维护、数据处理、数据备份与灾难恢复、应急技术支持、安全测评、信息系统托管等。 三、本审查程序所称信息安全管理体系认证，是指由认证机构依据信息安全管理体系相关标准和规范，对一个单位信息安全管理水平符合标准情况进行的合格评定活动。 四、鼓励服务机构按照信息安全管理体系相关标准加强信息安全建设。服务机构申请信息安全管理体系认证时，应选择国家认证认可监督管理委员会批准开展信息安全管理体系认证的认证机构。 五、鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。 六、服务机构申请信息安全管理体系认证（含再认证）时，应经工业和信息化部安全审查同意。 七、工业和信息化部负责安全审查的管理工作，包括发布审查程序、制定审查标准、组织开展审查、发布审查结果等。 八、申请安全审查的服务机构应向工业和信息化部提交以下材料： （一）经服务机构法定代表人或其授权代表签署的《政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查申请表》（附表1）。 （二）服务机构拟提交给信息安全管理体系认证机构的认证申请材料，包括服务机构的营业执照及组织机构代码证书复印件、机构简介、主要业务流程、信息安全管理体系相关程序文件及其清单，以及认证机构要求提供的其他材料。 （三）服务机构拟选定的信息安全管理体系认证机构的基本信息，包括认证机构名称、性质、资质、联系方式及机构简介等。 （四）服务机构证明其在申请认证、再认证及年度复核过程中确保不泄露政府重要信息的相关说明材料，包括但不限于拟与认证机构签署的安全保密协议，对认证活动中涉及政府信息的数据、文档、设备的安全管理措施，以及对参与认证人员的安全管理措施等。 （五）工业和信息化部要求提供的其他补充材料。 九、工业和信息化部对服务机构提交的申请材料进行形式审查，并将是否受理的结果告知提交申请的服务机构。 十、工业和信息化部会同相关部门，组织专家对受理的申请进行实质审查，评估认证活动可能带来的信息安全风险，并将审查结果告知提交申请的服务机构。 十一、经审查同意申请并获得信息安全管理体系认证证书的服务机构，应在获证后30个工作日内向工业和信息化部备案。 十二、自本审查程序公告之日起，对于未经工业和信息化部同意自行申请信息安全管理体系认证（含再认证），以及在审查过程中弄虚作假、谎报申请材料的服务机构，工业和信息化部将在一定范围予以通报。 十三、本审查程序由工业和信息化部负责解释。 十四、本审查程序自公告之日起实施。 信息安全产品分级评估业务流程 产品选型比对测试流程 自主原创测评流程介绍 自主原创测评流程综述 自主原创测评流程参见下图： 整个测评流程分为业务受理阶段、测评准备阶段、测评实施阶段、综合评定阶段和公告注册阶段五个阶段。 1）业务受理阶段 该阶段主要根据厂家文档及产品的实际情况，确定是否受理产品的自主原创测评申请。 厂家向中心提交自主原创测评申请，按照文档要求提交全部文档及资质证明。 由公共服务部对厂家提交的文档进行初步的技术和形式审查，包括提交的文档内容是否符合内容要求和形式要求，通过审查的进入下一阶段，未通过审查的根据提交文档的实际情况提出书面反馈意见，厂家应根据反馈意见进行补充或修改，并以新的文档重新提出测评申请。 如遇严重问题的，由中心出具书面情况描述，拒绝接受产品申请，终止自主原创测评业务。 2）测评准备阶段 受理完成后，信息安全实验室制定测评方案。 厂家将产品及全部文档提交到中心，信息安全实验室对厂家详细文档进行审核，通过审查的进入下一阶段，未通过审查的根据提交文档的实际情况提出书面反馈意见，厂家应根据反馈意见进行补充或修改，直到资料符合测评要求。 信息安全实验室通知厂家项目正式启动，并将需厂家配合的相关事宜一并告知。 3）测评实施阶段 在测评实施阶段，厂商在收到启动通知书后，同中心签订《源代码托管