信息安全服务资质 认证技术规范.docVIP

信息安全服务资质 认证技术规范 Technical Specifications of Certification for Qualification of Information Security Service Provider (备案稿) 目 录 前 言 3 1 范围 4 2 规范性引用文件 4 3 术语和缩略语 4 3.1 术语 4 3.2 缩略语 5 4 认证具体要求 5 4.1 基本资格 6 4.1.1 独立法人 6 4.1.2 法律要求 6 4.2 基本能力 6 4.2.1 资产与规模 6 4.2.2 人员素质与构成 6 4.2.3 设备、设施与环境 6 4.2.4 业绩 7 4.3 信息安全服务管理过程 7 4.3.1 建立并实施服务管理体系 7 4.3.2 服务等级管理 7 4.3.3 保密管理 8 4.3.4 服务报告 8 4.3.5 服务连续性及可用性管理 8 4.3.6 信息安全服务的预算及财务管理 8 4.3.7 容量管理 8 4.3.8 信息安全管理 9 4.3.9 业务关系管理过程 9 4.3.10 供方管理 9 4.3.11 事故管理 10 4.3.12 问题管理 10 4.3.13 项目风险管理 10 4.3.14 配置管理 10 4.3.15 变更管理 11 4.3.16 发布管理 11 5 信息安全服务类型与资质评定原则 11 5.1 信息安全服务的类型 11 5.2 信息安全服务资质的评判原则 11  前 言 本技术规范是信息安全服务资质认证技术规范。 本技术规范根据我国信息安全服务管理的现状，并参考了相关技术规范而制定。 本技术规范由中国信息安全认证中心（ISCCC）提出并归口。 本技术规范起草单位：中国信息安全认证中心。 范围 本技术规范适用于认证机构对提供信息安全服务的组织进行信息安全服务资质的评估，也可作为信息安全服务的需方对服务组织的选择依据；或作为国家主管部门对评估对象进行管理和检查的技术规范。另外，也可为信息安全服务提供组织改进自身能力提供指导。 规范性引用文件 下列文件中的条款通过本技术规范的引用而成为本技术规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本技术规范，然而，鼓励根据本技术规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本技术规范。 GB 17859-1999 计算机信息系统安全保护等级划分准则； GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型； GB/T 20984-2007 信息安全技术 信息安全风险评估规范； GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范； ISO/IEC 20000-2005 信息技术 服务管理指南。 术语和缩略语 GB/T5271.8-2001确立的术语和定义适用于本技术规范。 术语 3.1.1 信息安全服务 information security service 信息安全服务是由供应商、组织或人员所执行的一个安全过程或任务CISA Certified Information Security Auditor 注册信息安全审核员 CISSP Certified Information Systems Security Professional 注册信息系统安全专家 NCSE National Certification of Information Security Engineer 国家信息安全技术水平考试 法律要求 申请组织必须遵守国家现行法律、法规的规定。在所有经营活动中没有触犯知识产权保护等有关法律的行为。 基本能力 资产与规模 4.2.2.1 资产规模 申请组织的注册资本应在100万元以上，资产总额在200万元以上。 4.2.2.2 财务状况 申请组织近2年的财务状况良好。 4.2.2.3 安全服务利润 申请组织在最近一年信息安全服务方面的利润应在20万以上或占利润总额的10%以上。 人员素质与构成 4.2.2.1 技术人员 申请组织从事安全服务的专业技术人员应不少于15人。 4.2.2.2 人员素质 申请组织从事安全服务的专业技术人员大学本科以上学历所占比例不小于70%，硕士学历以上所占比例不小于10%。主要专业技术人员至少有4名取得国际、国内目前承认的信息安全专业证书，例如CISSP，CISA，NCSE。 4.2.2.3 组织负责人 申请组织总经理或负责安全服务工作的副总经理须具有5年以上从事信息安全领域企业管理工作经历。 4.2.2.4 安全技术负责人 申请组织的信息安全技术负责人： 从事信息安全服务工作不少于4年，且具有信息安全领域相关专业的中级以上职称