审核实施规则--信安服务平台.docVIP

[信安在线安全服务入驻审核实施规则] [第一版] 目录 1. 适用范围 1 2. 规范性引用文件 1 3. 审核服务范围 2 4. 通用审核要求 2 4.1. 法律地位要求 3 4.2. 财务资信要求 3 4.3. 办公场所要求 3 4.4. 人员素质要求 3 4.5. 服务安全要求 4 4.6. 服务技术要求 4 5. 专业审核要求 4 5.1. 基础漏洞扫描 4 5.2. 网站日常监测服务 6 5.3. 网络安全应急服务 7 5.4. 深度漏洞扫描验证 7 5.5. 安全渗透测试 9 5.6. 抗拒绝服务测试 11 5.7. 安全众测服务 11 5.8. 网络安全专项测评 12 5.9. 网站源代码审计 13 6. 审核程序 13 6.1. 审核申请 13 6.2. 申请材料评审 13 6.3. 现场评审 14 6.4. 审核决定 14 6.5. 证书颁发 14 6.6. 证后监督 14 6.6.1. 证后监督频次和方式 14 6.6.2. 证后监督内容 15 6.6.3. 证后监督结论 15 6.6.4. 信息通报 15 6.7. 审核证书管理 16 6.7.1. 证书有效期 16 6.7.2. 暂停审核证书 16 6.7.3. 撤销审核证书 16 6.7.4. 注销审核证书 17 6.7.5. 证书变更 17  适用范围 是依，对信息安全服务提供者资质进行审核的合格评定活动。 本规则规定了信息安全服务提供者（以下简称服务提供者）应具备的通用审核要求、专业审核要求以及审核机构开展服务资质审核的程序。 本规则可用于对服务提供者进行资信和能力审核，可作为服务提供者开展自我审核的依据，并可为政府及有关社会组织选择服务提供者提供依据。 规范性引用文件 下列文件中的条款通过本文件引用而成为本文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文件，然而，鼓励根据本文件达成协议的各方研究可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本文件。 CNCA/CTS 0052-2007《信息安全服务资质技术规范》 GB/T 5271.8-2001《信息技术词汇第8部分：安全》中的术语和定义适用于本标准。 信安在线安全服务入驻审核分为9个审核项目包含情况详见下表。 序号 审核服务项目 基础漏洞扫描 网站日常监测 网络安全应急服务 深度漏洞扫描验证 安全渗透测试 抗拒绝服务测试 安全众测服务 网络安全专项测评 网站源代码审计 企业获得的对应的服务审核，即可参与信安在线的相应服务 通用审核要求 通用审核要求适用的信息安全服务审。 法律地位要求 在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。 财务资信要求 近经营状况良好，财务数据真实可信，应提供在中华人民共和国境内登记注册的会计师事务所出具的财务审计报告。 办公场所要求 拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。 服务保障要求 从事信息安全服务人员10名以上。 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。 服务安全要求确保其供应商满足服务安全要求满足法律法规对服务安全的要求。 制定保密管理制度，明确岗位保密责任。 与相关人员签订保密协议，并进行保密教育。 服务要求 建立信息安全服务（与申报类别一致）流程。 制定信息安全服务（与申报类别一致）规范并按照规范实施。 专业审核要求 受审核服务厂商应具备覆盖扫描和扫描扫描工具，且在线指定格式导出扫描报告并具备对报告中发现的问题进行验证能力Web扫描OWSP-TOP10： 注入 失效的身份认证和会话 跨站脚本 - XSS 不安全的直接对象引用 安全配置错误 敏感信息泄露 功能级访问控制缺失 跨站请求伪造 - CSRF 使用含有已知漏洞的组件 未验证的重定向和转发 主机扫描应支持以下类型：CGI攻击测试 FTP测试 DNS测试 Finger测试 杂项测试； LDAP测试 RPC测试 SNMP测试 SSH服务测试 SSL测试 VPN测试 注册表测试； 后门测试； 类UNIX测试 数据库测试； 信息获取测。 网站日常监测服务 公司的项目包括以下内容 服务端口监控； DNS劫持监控； 网站挂马监控； 疑似篡改监控； 关键内容监控； 敏感字监控； 网站响应时间监控； 下载速度监控； HTML加载时间监控。 网络安全应急服务 被审核厂商应能,在安全事件发生后按预定的应急响应方案开展应急响应服务可做响应服务范围应至少包括以下内容: Web入侵事件 操作系统入侵事件(后门\木马\病毒等) 邮件APT入侵事件 监管部门通报事件 深度漏洞扫描验证 受审核服务厂商应具备覆盖扫描和扫描扫描工具，且的操作人