信息安全服务资质 认证技术规范

信息安全服务资质
认证技术规范
Technical Specifications of Certification
for Qualification of Information Security Service Provider
(备案稿)
目录
前言 (3)
1 范围 (4)
2 规范性引用文件 (4)
3 术语和缩略语 (4)
3.1 术语 (4)
3.2 缩略语 (5)
4 认证具体要求 (5)
4.1 基本资格 (6)
4.1.1 独立法人 (6)
4.1.2 法律要求 (6)
4.2 基本能力 (6)
4.2.1 资产与规模 (6)
4.2.2 人员素质与构成 (6)
4.2.3 设备、设施与环境 (6)
4.2.4 业绩 (7)
4.3 信息安全服务管理过程 (7)
4.3.1 建立并实施服务管理体系 (7)
4.3.2 服务等级管理 (7)
4.3.3 保密管理 (8)
4.3.4 服务报告 (8)
4.3.5 服务连续性及可用性管理 (8)
4.3.6 信息安全服务的预算及财务管理 (8)
4.3.7 容量管理 (8)
4.3.8 信息安全管理 (9)
4.3.9 业务关系管理过程 (9)
4.3.10 供方管理 (9)
4.3.11 事故管理 (10)
4.3.12 问题管理 (10)
4.3.13 项目风险管理 (10)
4.3.14 配置管理 (10)
4.3.15 变更管理 (11)
4.3.16 发布管理 (11)
5 信息安全服务类型与资质评定原则 (11)
5.1 信息安全服务的类型 (11)
5.2 信息安全服务资质的评判原则 (11)
2
前言
本技术规范是信息安全服务资质认证技术规范。

本技术规范根据我国信息安全服务管理的现状，并参考了相关技术规范而制定。

本技术规范由中国信息安全认证中心（ISCCC）提出并归口。

本技术规范起草单位：中国信息安全认证中心。

3
本技术规范适用于认证机构对提供信息安全服务的组织进行信息安全服务资质的评估，也可作为信息安全服务的需方对服务组织的选择依据；或作为国家主管部门对评估对象进行管理和检查的技术规范。

另外，也可为信息安全服务提供组织改进自身能力提供指导。

2规范性引用文件
下列文件中的条款通过本技术规范的引用而成为本技术规范的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本技术规范，然而，鼓励根据本技术规范达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本技术规范。

GB 17859-1999 计算机信息系统安全保护等级划分准则；
GB/T 20261-2006 信息技术系统安全工程能力成熟度模型；
GB/T 20984-2007 信息安全技术信息安全风险评估规范；
GB/T 20988-2007 信息安全技术信息系统灾难恢复规范；
ISO/IEC 20000-2005 信息技术服务管理指南。

3术语和缩略语
GB/T5271.8-2001确立的术语和定义适用于本技术规范。

3.1术语
3.1.1
信息安全服务 information security service
信息安全服务是由供应商、组织或人员所执行的一个安全过程或任务。

3.1.2
信息安全服务组织 information security service organization
信息安全服务组织是指针对客户要求，从事信息安全服务相关的分析、设计及承建的组织。

3.1.3
服务等级 service level
服务提供组织和客户约定的服务内容和级别。

3.1.4
信息安全集成 information security integration
信息安全集成是为了满足安全需求的一组工程过程的集合，涉及到信息系统和应用的设计、集成、操作、管理、维护和改进等整个生命周期。

3.1.5
风险评估 risk assessment
对各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。

它是确认安全风险及其大小的过程。

应急响应 emergency response
应急响应指的是对影响计算机系统和网络安全的不当行为（事件）进行标识、记录、分类和处理，直到受影响的服务恢复正常运行的过程。

3.1.7
灾难恢复 disaster recovery
为了将系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态所设计的活动和流程。

3.1.8
信息安全外包 information security outsourcing service
信息安全外包，指客户将全部或部分信息安全工作指定专业性公司完成的服务模式。

整个外包服务过程包括服务等级协议的签订、关系管理、过程管理、问题管理和发布管理等。

3.1.9
安全管理 security management
安全管理服务指对接入网络的信息资源的控制。

3.1.10
安全工程 security engineering
安全工程是一组与安全相关的工程过程的集合，它应满足一组安全要求，并应用到系统和应用的开发、集成、操作、管理、维护和改进以及产品的开发、交付和升级中。

3.1.11
系统测评 system testing and evaluation
在风险评估的基础上，对在信息系统生命周期中采取的技术类、管理类、过程类的安全保证措施进行测评和检查，确定信息安全保证措施对实施其职能的有效性及其面临安全风险的可接受程度。

3.1.12
咨询与培训 consultation and training
信息安全培训与咨询是指提供系统安全架构、规划、审计、策略制定和过程开发的服务活动等。

3.2缩略语
CISA Certified Information Security Auditor 注册信息安全审核员
CISSP Certified Information Systems Security Professional 注册信息系统安全专家
NCSE National Certification of Information Security Engineer 国家信息安全技术水平考试
4认证具体要求
对信息安全服务资质认证提出了具体的认证要求。

5
4.1基本资格
4.1.1独立法人
申请组织必须是一个独立的实体，具有独立法人资格。

4.1.2法律要求
申请组织必须遵守国家现行法律、法规的规定。

在所有经营活动中没有触犯知识产权保护等有关法律的行为。

4.2基本能力
4.2.1资产与规模
4.2.2.1 资产规模
申请组织的注册资本应在100万元以上，资产总额在200万元以上。

4.2.2.2 财务状况
申请组织近2年的财务状况良好。

4.2.2.3 安全服务利润
申请组织在最近一年信息安全服务方面的利润应在20万以上或占利润总额的10%以上。

4.2.2人员素质与构成
4.2.2.1 技术人员
申请组织从事安全服务的专业技术人员应不少于15人。

4.2.2.2 人员素质
申请组织从事安全服务的专业技术人员大学本科以上学历所占比例不小于70%，硕士学历以上所占比例不小于10%。

主要专业技术人员至少有4名取得国际、国内目前承认的信息安全专业证书，例如CISSP，CISA，NCSE。

4.2.2.3 组织负责人
申请组织总经理或负责安全服务工作的副总经理须具有5年以上从事信息安全领域企业管理工作经历。

4.2.2.4 安全技术负责人
申请组织的信息安全技术负责人：
1)从事信息安全服务工作不少于4年，且具有信息安全领域相关专业的中级以上职称(或硕士以上学
历),或具有本科以上学历且从事信息安全服务工作不少于6年；
2)独立承担过信息安全服务项目；
3)承担的安全项目总额在150万以上。

4.2.2.5 财务负责人
申请组织的财务负责人须是会计师以上职称,负责财务工作5年以上。

4.2.3设备、设施与环境
4.2.3.1 工作环境
6
申请组织应有固定的工作场所，工作环境符合信息安全场所环境要求。

4.2.3.2 测试模拟环境
申请组织应具有与所承担项目相适应的测试环境和设备。

4.2.3.3 安全服务工具
申请组织应有满足信息安全服务的技术开发、测试工具。

4.2.3.4 组织与技术队伍
具有胜任信息安全服务的专职人员队伍。

4.2.4业绩
4.2.4.1 从业经验
申请组织应从事信息安全服务行业的时间在3年以上。

4.2.4.2 安全服务经验
申请组织必须完成3个以上成功的信息安全服务项目。

4.2.4.3 安全服务规模
申请组织近３年完成的信息安全服务项目总值应在200万元以上。

4.2.4.4 安全服务状况
申请组织所做安全服务项目应没有出现验收未通过的情况。

4.3信息安全服务管理过程
4.3.1建立并实施服务管理体系
提供管理体系包括有效管理和实施所有信息安全服务所需的方针和框架。

信息安全服务组织应考虑以下因素：
1)应有明确的管理职责；
2)应确定一名高层管理者负责服务管理计划及交付；
3)应有明确的服务管理方针、程序和与此相关的活动；
4)应有明确的文件管理程序；
5)针对所有人员进行技能和经验的教育和培训。

4.3.2服务等级管理
信息安全服务组织应在服务等级管理方面考虑以下因素：
1)应协商并记录所有方面：所提供的服务、相应的服务等级目标以及工作量特性；
2)应在一个或多个服务等级协议中书面规定所约定的服务；
3)应组织所有相关方协商并记录服务等级协议、支持服务约定、供方合同和相应的程序；
4)应把服务等级协议处于变更管理过程的控制之下；
5)应通过所有相关方定期评审的方式来保持服务等级协议，以确保服务等级协议的更新和持续有效；
6)应根据目标来监视并报告服务等级，报告中应展示当前的信息以及发展趋势，报告并评审不符合的
7
原因，并记录这一过程中所确定的改进措施，作为服务改进计划的输入。

4.3.3保密管理
信息安全服务组织应对相关方信息进行保密，应考虑以下因素：
1)建立保密管理规范；
2)制定保密协议；
3)对所有员工不断进行保密意识与培训教育；
4)对客户的信息进行保密。

4.3.4服务报告
每一服务报告应清晰阐明其标识、目的、目标读者以及数据来源。

信息安全服务组织应编制服务报告已满足确定的需求和顾客要求。

服务报告内容应考虑以下因素：
1)与服务水平目标相比较的业绩；
2)不符合问题；
3)工作量；
4)重大事件发生后测试报告；
5)未来趋势；
6)满意度分析；
7)在服务报告中应考虑到管理决策和纠正措施，并与相关方联系。

4.3.5服务连续性及可用性管理
信息安全服务组织应在服务连续性及可用性方面，考虑以下因素：
1)计划每年至少评审一次；
2)业务环境发生重大变化时应重新测试；
3)变更管理程序应评估变更对可用性及服务连续性的影响；
4)应测量并记录可用性。

应调查计划外的不可用并采取适当的措施。

4.3.6信息安全服务的预算及财务管理
信息安全服务组织应制定预算并说明服务提供成本，考虑以下因素：
1)应为所有的组件制定预算并进行财务管理；
2)分配服务的间接费用和直接成本；
3)有效的财务控制和授权；
4)监控预算的执行。

注：根据信息安全服务组织的具体项目而定是否必须采取以上措施。

此项要求不作为基本要求。

4.3.7容量管理
信息安全服务组织实施容量管理，应编制并保持容量计划。

容量管理应阐述业务需求并考虑以下因素：
1)当前和预测的能力和绩效要求；
8
2)识别服务升级的时间表、限度和成本；
3)评价预期的服务升级、变更请求、关于容量的新技术和方法的影响；
4)预测外部变更的影响；
5)数据和程序满足未来的预测分析能力。

4.3.8信息安全管理
信息安全服务组织本身建立适合的安全管理体系，应考虑以下因素：
1)建立明确的信息安全服务策略；
2)具有专门的信息安全组织或部门，具有满足信息安全服务项目要求的专业人员队伍；
3)具有资产管理的能力，能够识别资产并了解如何保护资产；
4)具有人员管理的能力，在人员雇用前、雇用中、雇用后具有不同的措施，保证人员具有足够的能力
胜任本职工作、并能够不断学习新的技术与知识，达到与客户的要求相匹配。

签署相应的保密协议，保证对组织、客户的信息保密；
5)进行物理和环境的保护。

针对关键或敏感的信息处理设施放置在安全区域内，并受到确定的安全周
边的保护，包括适当的安全屏障和入口控制，所有关键设施在物理上避免未授权访问、损坏和干扰；
6)应实施通信和操作管理。

对所有的信息处理设施的管理和操作管理；实施和保持符合第三方服务交
付协议的信息安全和服务交付的适当水准；作出对未来容量需求的推测，以减少系统过载的风险；
要求有预防措施，以防范和检测恶意代码和未授权的移动代码的引入；保护网络中信息的安全性并保护支持性的基础设施、移动介质；
7)对信息、信息处理设施和业务过程的访问宜在业务和安全要求的基础上予以控制；建立规范控制对
信息系统和服务的访问权的分配；
8)针对信息系统的获取、开发和维护，信息系统包括操作系统、基础设施、业务应用、非定制产品、
服务和用户开发的应用。

支持业务过程的信息系统的设计和实施对安全是非常关键的，识别并商定安全要求，根据要求制定一系列控制措施并实施；
9)针对业务活动进行持续性管理，制定一系列预防和恢复控制措施，将对组织的影响减少到最低，并
从信息资产的损失中恢复到可接受的程度；
10)针对符合性管理，业务活动必须符合法律、法规、标准、审计的要求。

4.3.9业务关系管理过程
对于长期客户，服务提供组织应考虑以下因素：
1)每年至少进行一次服务评审，包括服务范围、服务等级协议、合同或业务需求的变更；
2)对于合同变更，应讨论服务等级协议变更问题，使客户了解需求及变更；
3)建立并实施抱怨程序。

4.3.10供方管理
对于组织的供方，信息安全服务提供组织应考虑以下因素：
9
1)制定针对供方的管理规范；
2)对每一个供方，应指定一个供方合同管理者；
3)应协商并书面规定所有方面使用的过程接口；
4)与供方签订的服务等级协议应与具体业务的服务等级协议一致；
5)应建立合同或正式协议的重要评审规程；
6)建立解决合同争议的正式规程；
7)应建立程序关于管理服务的预期或提前终结或将服务转嫁给其他方；
8)根据服务等级目标来监视和评审业绩。

4.3.11事故管理
信息安全服务组织针对事故管理应考虑以下因素：
1)建立事故管理程序；
2)记录所有事故；
3)通知客户发生的事故及解决事故的进展情况；
4)根据过程对重大事故进行分类和管理。

4.3.12问题管理
信息安全服务组织在问题管理方面应考虑以下因素：
1)建立问题管理程序；
2)记录已识别的所有问题；
3)应制定相应的纠正措施并实施，以减少潜在的问题；
4)纠正潜在问题原因的变更需求应提交变更管理程序；
5)监视、评审已解决的问题及其有效性；
6)应记录这一过程中采取的改进措施，作为服务改进计划的输入。

4.3.13项目风险管理
信息安全服务组织应在项目风险管理方面考虑以下因素：
1)建立项目风险管理程序；
2)记录、跟踪已识别的项目风险；
3)应制定相应的纠正措施并实施；
4)应记录这一过程中采取的改进措施，作为服务改进计划的输入。

4.3.14配置管理
信息安全服务组织应在配置管理方面考虑以下因素：
1)建立配置管理程序；
2)识别配置项；
3)建立配置审计程序，应包括记录偏差、发起纠正措施和结果报告的内容。

10
4.3.15变更管理
信息安全服务组织应在变更管理方面考虑以下因素：
1)制定变更管理程序，其中包括恢复和补救失败变更的方法；
2)清楚规定服务和基础设施变更的范围，并形成文件；
3)评审所有变更，确保变更实施后所采取的措施；
4)定期分析变更记录；
5)记录由变更管理所确定的改进措施，作为服务改进计划的输入。

4.3.16发布管理
信息安全服务组织应在发布管理方面考虑以下因素：
1)制定发布管理程序；
2)制定发布失败情况下的返回或补救的方式；
3)评估变更要求对发布计划的影响；
4)建立受控的测试环境；
5)设计并实施发布和分发，确保在安装、处理、包装及交付过程的软硬件的完整性；
6)测量成功或失败的发布。

5信息安全服务类型与资质评定原则
5.1信息安全服务的类型
信息安全服务的类型主要指一个组织按照合同或协议，为另一个组织所履行的安全服务的具体形式，目前我们针对目前市场上存在的安全服务类别进行资质认证。

根据目前的信息安全服务资质认证范围可分为以下几种：安全集成、风险评估、系统测评、安全管理、外包、应急响应、灾难恢复、培训和咨询等。

可以参考国内外相关的标准，例如：GB/T 20261-2006《系统工程安全能力成熟度模型》、GB/T 20984-2007《信息安全技术信息安全风险评估规范》、GB/Z 20985-2007《信息技术安全技术信息安全事件管理指南》、GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》和GB/T 20988-2007《信息安全技术信息系统灾难恢复规范》、ISO/IEC 17799-2005《信息技术安全技术信息安全管理实用规则》、 ISO/IEC TR 13335 《信息技术信息技术安全管理指导》、GB/T 18336-2001 《信息技术安全技术信息技术安全性评估准则》、YD/T 1621-2007《网络与信息安全服务资质评估准则》等标准。

5.2信息安全服务资质的评判原则
信息安全服务资质评估是对信息安全服务组织的资格状况、技术实力和实施安全服务过程质量保证能力等方面的具体衡量和评价。

资质的评定，是在其基本资格和能力水平、信息安全服务项目的组织管理水平、信息安全服务基本能力的单项评估结果基础上，针对不同的服务种类，采用一定的权值综合考虑后确定，并由认证机构授予相应的资质级别。

信息安全服务资质的评判遵循以下原则：
1)综合性原则
11
信息安全服务资质的评判必须对组织的综合能力进行考察，它主要与组织的资格状况、技术实力、信息安全服务过程能力等级以及其他要求有关。

2)合规性原则
安全策略要保持与现行的法律、法规、规章、制度相一致，不能相抵触。

我国已发布许多与安全服务有关的标准，本技术规范的资质要求必须与这些标准相一致。

3)关键能力符合原则
一个组织的基本能力是评估其资质的基本要求，有些基本能力要求可能决定一个组织是否具备参与资质评定的资格。

4)可裁剪性原则
安全服务有多种类型，对不同类型的安全服务可进行适当的裁剪。

5)可操作性原则
具有实际操作的可行性。

12。