信息安全服务资质评估准则.docxVIP

信息安全服务资质评估准则 百度文库专用 木标准的目的是对提供信息安全服务的组织进行资质评估与认证，为国家有 关主管部门的行政管理提供技术依据。 本标准的评估对象是提供信息安全服务的组织，包括信息安全工程的设计、 施工及其相关的咨询和培训组织。 与本标准相关的其它评估标准、评估细则和评估方法包括： 信息安全工程质量管理要求 信息安全服务资质评估等级划分细则 信息安全服务资质等级评估方法 本标准起草单位：中国国家信息安全测评认证中心，中国国家信息安全测评 认证中心系统工程实验室，信息产业部电子第30研究所，四川大学信息安全研 究所，中国国防科技信息中心，解放军总装备部，北京普方德信息技术有限公司, 北京天融信公司。 木标准主要起草人：关义章、叶征、崔玉华、任卫红、唐海波、龙毅宏、刘 炳华、满林松、周恩志等 本标准于200X年X刀X日起实施。 本标准委托中国国家信息安全测评认证中心负责解释。 目录 1适用范围1 2定义 1 信息安全服务1 2 信息安全服务提供者 1 信息安全服务资质等级1 2. 4 信息安全工程过程能力级别1 5 信息安全服务评估组织1 3服务类型与资质评定原则1 信息安全服务的类型 1 2 信息安全服务资质等级的评判原则1 4提供信息安全服务的基本资格要求2 5提供信息安全服务的基本能力要求2 1 组织与管理要求 2 2 技术能力要求2 人员构成与素质要求 3 设备、设施与环境要求3 规模与资产要求 3 6 业绩要求 3 5. 7 质量保证要求4 5.8 培训要求 4 6信息安全工程过程及能力级别4 1 概述 4 2 信息安全工程过程要求5 评估安全对系统的影响5 评估系统而临的安全威胁5 TOC \o 1-5 \h \z 评估系统的安全弱点 5 评估系统的安全风险 5 确定系统的安全需求 6 为系统提供必要的安全信息6 监测系统的安全状况 6 管理系统的安全控制 7 安全性协调7 检验并证实安全性7 建立并提供安全性保证证据7 3 信息安全工程过程能力级别8 基木执行级8 ?1执行过程 8 计划跟踪级8 1制定过程执行计划8 ?2规范化执行8 3验证执行 8 ?4跟踪执行 8 充分定义级8 .1定义标准过程8 TOC \o 1-5 \h \z .2执行己定义过程 8 .3协调项目和组织活动 9 定量控制级9 .1建立可测量的质量目标9 .2客观地管理执行 9 连续改进级9 .1改进组织能力9 .2改进过程有效性 9 7信息安全服务资质等级划分9 1 概述 9 2 信息安全服务资质等级划分9 3 不同资质等级可从事的安全服务 11 8引用标准与参考文献 12 计算机信息系统安全保护等级划分准则12 2 系统工程能力成熟模型12 3 系统安全工程能力成熟模型12 4 系统安全工程能力成熟模型一评定方法12 信息系统安全工程手册12 软件工程能力成熟模型12 7 信息安全工程质量管理要求12 9附录一一系统安全工程主要术语 13 1 组织 13 项目 13 系统 13 9. 4 安全工程 13 9. 5 安全工程牛命期 13 工作产品 14 顾客 14 过程 14 9. 9 过程能力 14 9. 10 制度化14 9. 11 过程管理 14 适用范圉 木标准适用于评估机构对提供信息安全服务的组织进行信息安全服务资质 的评估；信息安全服务的需方对服务提供方的选择依据；作为国家主管部门对评 估对象进行管理和检查的技术规范。另外，也可为信息安全服务提供组织改进自 身能力提供指导。 定义 信息安全服务 信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相 关的咨询和培训活动。 信息安全服务提供者 信息安全服务提供者是指信息安全工程方案设计组织、承建信息安全工程的 组织以及提供有关信息安全咨询和培训的组织。 信息安全服务资质等级 信息安全服务资质等级是指一个组织提供信息安全服务的综合能力。包括技 术能力、组织结构与管理、资源配置、安全工程过程能力、业绩和质量保证等多 个方面。 信息安全工程过程能力级别 信息安全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目 时，执行组织已定义过程的能力成熟程度。 信息安全服务评估组织 信息安全服务评估组织，是指对提供信息安全服务的组织的资质等级进行评 估认证的第三方机构。在我国是指中国国家信息安全测评认证中心及其授权分支 机构。 服务类型与资质评定原则 信息安全服务的类型 信息安全服务的类型主要指一个组织按照一定的合同或协议，为另一个组织 所履行的安全服务的具体形式，包括： 安全工程：为信息系统进行安全方案设计（开发）、施工（安全集成）、验证 （测试）、运行（监控）和维护； 安全咨询和培训：从事信息系统安全咨询、培训、宣传和其它安全工程之外 服务的业务。包