《信息系统安全集成服务资质认证评价要求》

合集下载

信息安全集成服务资质认证实施规则

信息安全集成服务资质认证实施规则

(2) 具备制定安全集成方案并能够按照该方案实施的能力;能够提供信息系统安全集成服务报
告、系统使用指南等文档;
(3) 具备对安全集成完成的系统进行检测和验证的能力;
(4) 熟悉国内外主流的信息技术产品、信息安全产品的功能及特性;
中国信息安全认证中心
第3页
ISCCC-SV-003:2011
信息安全集成服务资质认证实施规则
(4) 遵守国家现行法律、法规的规定;
4.2 基本管理能力要求
服务提供者应:
(1) 采取技术和管理措施确保客户信息的安全、可控,这些信息包括但不限于客户资料、集成
活动中产生的文档、最终安全集成报告等;
(2) 制定保密管理要求,明确保密岗位与职责,定期对服务人员进行保密教育与培训,并签订
《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责落实;
GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型 YD/T 1621-2007 网络与信息安全服务资质评价准则 YD/T 1799-2008 网络与信息安全应急处理服务资质评价方法 YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法 CNCA/CTS 0052-2007 信息安全服务资质认证技术规范 GB/T 5271.8-2001《信息技术词汇第8部分:安全》中的术语和定义适用于本标准。 3. 术语与定义
中国信息安全认证中心
第1页
ISCCC-SV-003:2011
信息安全集成服务资质认证实施规则
1. 适用范围 信息系统安全集成服务资质认证是依据国家认证认可法律法规及国际、国内相关技术标准和规
范,对信息系统安全集成服务提供者的资质进行评价的合格评定活动。 本规则提出了信息系统安全集成服务提供者(以下简称服务提供者)应具备的服务能力要求,

信息安全管理体系认证及cmmi5级资质

信息安全管理体系认证及cmmi5级资质

信息安全管理体系认证以及CMMI5级资质分别是两个重要的认证标准,它们对企业的发展和管理都有着重要的意义。

本文将从以下几个方面对信息安全管理体系认证及CMMI5级资质进行介绍和分析。

一、信息安全管理体系认证的意义1.1 信息安全管理体系认证的概念信息安全管理体系认证是指对企业的信息安全管理体系进行评估和认证,通过合乎标准的管理体系,对信息进行保护,确保信息的完整性、保密性和可用性。

1.2 信息安全管理体系认证的意义信息安全管理体系认证对企业具有以下几个重要意义:(1) 提升企业形象和竞争力(2) 保护重要信息资产(3) 符合法律法规的要求(4) 提高管理效率和降低管理风险二、信息安全管理体系认证的标准及流程2.1 信息安全管理体系认证的标准信息安全管理体系认证采用的主要标准是ISO/IEC 27001:2013,该标准是国际上公认的信息安全管理体系标准,包括了信息安全管理体系的要求和指南。

2.2 信息安全管理体系认证的流程信息安全管理体系认证的流程主要包括以下几个步骤:(1) 制定信息安全政策(2) 进行风险评估和管理(3) 制定信息安全管理计划(4) 实施信息安全管理体系(5) 进行内审和管理评审(6) 申请认证机构进行认证评审三、CMMI5级资质的意义3.1 CMMI5级资质的概念CMMI5级资质是指企业所具备的成熟度管理模型集成的最高级别,它是评价企业软件开发和管理能力的国际公认的标准。

3.2 CMMI5级资质的意义CMMI5级资质对企业具有以下几个重要意义:(1) 提高软件开发和管理能力(2) 提高产品质量和交付能力(3) 降低开发成本和风险(4) 促进团队协作和创新四、CMMI5级资质的评价模型及流程4.1 CMMI5级资质的评价模型CMMI5级资质采用的主要评价模型是CMMI(Capability Maturity Model Integration),该模型包括了软件开发和管理的各个方面,包括需求管理、配置管理、项目管理、过程管理等。

信息系统建设和服务能力证书申报条件

信息系统建设和服务能力证书申报条件

信息系统建设和服务能力证书申报条件信息系统建设和服务能力证书是指对企业信息系统建设和服务能力的一种认可和评定,是企业在信息化建设领域的一项重要资质认证。

申请该证书需要满足一定的条件,包括以下几个方面:一、企业基本条件1. 注册资金:企业注册资金不低于一定金额(一般为50万元以上);2. 营业执照:企业应在经营范围内包含信息系统建设和服务相关内容;3. 人员配备:企业应有一定数量的专业技术人员,包括项目管理、技术开发、测试、运维等方面的人员;4. 业绩和成果:企业应具有一定的信息系统建设和服务实际项目经验,有一定的业绩和成果证明。

二、管理体系条件1. 质量管理:企业应建立健全的质量管理体系,并具有ISO9001等相关认证;2. 信息安全:企业应具备信息安全管理体系,包括信息安全政策、安全意识教育、安全事件应急处理等措施;3. 项目管理:企业应具备完善的项目管理流程和方法,包括项目启动、规划、执行、监控和收尾等环节;4. 绩效评价:企业应建立绩效评价体系,对员工的工作绩效进行定期评估和考核。

三、技术能力条件1. 技术实力:企业应具备一定规模和实力的技术团队,具有开发和运维信息系统的能力;2. 技术水平:企业应具备一定的技术创新能力,能够应对信息技术的发展和变化;3. 专业能力:企业应具备相关领域的专业技术人员,包括软件开发、系统集成、网络建设、安全保障等方面的人员。

四、服务质量条件1. 服务态度:企业应具备良好的服务态度和客户导向意识,能够满足客户的需求和期望;2. 服务流程:企业应建立完善的服务流程和标准化的服务管理体系,能够提供高质量的服务;3. 服务保障:企业应具备良好的售后服务保障能力,能够及时、有效地解决客户使用过程中出现的问题。

企业申报信息系统建设和服务能力证书需要全面满足以上的条件,包括基本条件、管理体系条件、技术能力条件和服务质量条件。

只有具备了这些条件,企业才能获得相关的资质认证,为企业在信息化建设领域开展业务提供了有力的支持和保障。

信息系统建设及服务能力评估资质证书

信息系统建设及服务能力评估资质证书

信息系统建设及服务能力评估资质证书一、引言信息系统建设及服务能力评估资质证书是指由相关权威机构颁发的,用来评价一家企业或机构信息系统建设及服务能力的证书。

在当今信息化的时代,信息系统的建设和服务能力对于企业的发展至关重要。

拥有一份权威的资质证书,不仅可以提高企业的竞争力,还可以展示企业在信息化建设方面的实力和专业性。

二、资质证书的重要性1. 企业发展的需要信息系统建设及服务能力评估资质证书是企业信息化建设的重要保障。

拥有这样的资质证书,可以证明企业在信息系统建设和服务能力方面具有一定的实力和专业水准。

2. 政府监管的要求在一些行业中,政府对企业的信息系统建设和服务能力提出了一定的要求,而持有相应的资质证书是企业获得相关资质认定的重要条件。

3. 提升企业形象拥有信息系统建设及服务能力评估资质证书,可以向外界证明企业在信息化建设方面具有一定的实力和专业性,提升企业形象和信誉度。

三、资质证书的评定标准信息系统建设及服务能力评估资质证书的颁发是基于一系列严格的评定标准的。

一般来说,评定标准包括企业在信息系统规划、系统设计与开发、系统集成、系统运维与保障等方面的能力和水平。

1. 信息系统规划企业在信息系统规划方面需要具备合理的信息化战略和规划,能够充分考虑企业的发展需求和现实情况,确保信息系统的建设与企业的发展方向相匹配。

2. 系统设计与开发企业需要具备完善的系统设计与开发能力,能够根据业务需求和技术标准进行系统设计与开发,确保系统具有合理的架构和高效的运行性能。

3. 系统集成企业需要具备良好的系统集成能力,能够将各个系统进行有效地整合与协同,确保系统之间的信息共享和业务流程的无缝衔接。

4. 系统运维与保障企业需要具备健全的系统运维与保障能力,能够有效地进行日常运维管理,确保系统的稳定运行和数据的安全保障。

四、持有资质证书的意义持有信息系统建设及服务能力评估资质证书对企业而言意义重大。

资质证书是企业信息化建设过程中的“通行证”,能够为企业在信息化项目的投标和合作中提供有力的支持。

信息安全服务资质认证要求

信息安全服务资质认证要求

信息安全服务资质认证要求ISCCC XXX XXX-2007信息安全服务资质认证要求Certification Requirementsfor Qualification of Information Security Service Provider(备案送审稿)中国信息安全认证中心 发布××××-××-××实施××××-××-××发布备案号:××××—××××目录前言 (3)1 适用范围 (4)2 定义 (4)2.1信息安全服务 (4)2.2信息安全服务提供者 (4)2.3信息安全服务资质等级 (4)2.4信息安全工程过程能力级别 (4)3 服务类型与资质评定原则 (4)3.1信息安全服务的类型 (4)3.2信息安全服务资质等级的评判原则 (4)4 认证具体要求 (5)4.1基本资格 (5)4.1.1独立法人 (5)4.1.2法律要求 (6)4.2基本能力 (6)4.2.1资产与规模 (6)4.2.2人员素质与构成 (6)4.2.3设备、设施与环境 (7)4.2.4业绩 (7)4.3质量管理能力 (7)4.3.1体系和管理职责 (7)4.3.2资源管理 (8)4.3.3项目过程管理 (10)4.3.4测量、分析和改进 (12)4.3.5客户服务 (13)4.3.6技术能力更新 (14)4.4安全工程过程能力 (14)4.4.1风险过程 (14)4.4.2工程过程 (16)4.4.3保证过程 (19)5引用标准与参考文献 (20)5.1计算机信息系统安全保护等级划分准则 (20)5.2系统安全工程能力成熟模型 (20)5.3系统安全工程能力成熟模型—评定方法 (20)5.4信息系统安全工程手册 (20)5.5软件工程能力成熟模型 (20)6附录——系统安全工程主要术语 (21)6.1组织 (21)6.2项目 (21)6.3系统 (21)6.4安全工程 (21)6.5安全工程生命期 (21)6.6工作产品 (22)6.7顾客 (22)6.8过程 (22)6.9过程能力 (22)6.10制度化 (23)6.11过程管理 (23)前言本技术规范属于信息安全服务资质认证要求。

《我国信息安全技术标准体系与认证认可制度介绍》

《我国信息安全技术标准体系与认证认可制度介绍》

第十期《我国信息安全技术标准体系与认证认可制度介绍》一. 什么是信息安全技术标准体系?为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设,使信息安全在各个方面都有据可依,信息安全标准的制定显得十分重要,国际国内都形成了具有一定规模的信息安全标准体系.信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体,是编制信息安全标准编制、修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学合理化的手段.信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等,而且通常高层次的标准体系对下有约束力。

事实上,在这些特定领域标准的执行还要看各个国家的管理法规和制度。

国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。

二。

国内外信息安全标准化组织有哪些?国际上与信息安全标准化有关的组织主要有以下四个.1.ISO/IEC JTC1(信息技术标准化委员会)所属SC27(安全技术分委员会)的前身是SC20(数据加密技术分委员会),主要从事信息技术安全的一般方法和技术的标准化工作。

ISO/TC68负责银行业务应用范围内有关信息安全标准的制定,主要制定行业应用标准,与SC27有着密切的联系。

ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。

2。

lEC在信息安全标准化方面除了与ISO联合成立了JTC1下的分委员会外,还在电信、信息技术和电磁兼容等方面成立了技术委员会,如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等,并且制定相关国际标准。

3.ITU SG17组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等.4。

IETF(Internet工程任务组)制定标准的具体工作由各个工作组承担。

10信息安全服务资质评估准则

10信息安全服务资质评估准则

第1讲 信息安全服务资质评估准则
六、获得信息安全服务资质的公司
获得信息安全服务资质的部分公司名单
第1讲 信息安全服务资质评估准则
相关参考文件: 信息安全服务资质评估准则.doc 信息安全服务资质认证实施规则2010-415_发布.pdf 信息安全服务资质认证规范的编制说 明.doc 信息安全服务资质申请指南.doc 信息安全风险评估服务资质认证获证组织 名单.doc
第1讲 信息安全服务资质评估准则
四、提供信息安全服务的基本能力要求
7、质量保证要求 1)要通过“信息系统安全工程质量管理要求”; 2) 要通过经裁剪的“信息系统安全工程质量管理要 求”;裁剪原则应与业务范围和控制环节相一致。 8、培训要求 1) 有独立的法人资格; 2) 有固定的培训场所,良好的培训环境; 3) 有相应培训设备; 4) 培训人员要有培训资格证书。
第1讲 信息安全服务资质评估准则
五、信息安全工程过程能力级别
2、计划跟踪级 处于本能力级别的组织:计划并跟踪执行本组织已定 义的过程,验证是否执行了特定的步骤,工作产品是 否符合指定的标准和需求,跟踪过程的执行情况。
制定标准化的执行过程 执行已定义的标准化过程 验证是否执行了标准化的过程 跟踪执行过程
第1讲 信息安全服务资质评估
四、提供信息安全服务的基本能力要求
1、组织与管理要求 1)必须拥有健全的组织结构和管理体系,为持续的 信息安全服务提供保证。 2)应制定符合国家保密机关要求的工作保密制度和 相关的组织监管体系。 3)所有成员要签定保密合同,并遵守有关法律法规。
第1讲 信息安全服务资质评估准则
第1讲 信息安全服务资质评估准则
小结与习题_1
欢迎提问?

信息系统集成实施服务能力评价认证证书

信息系统集成实施服务能力评价认证证书

信息系统集成实施服务能力评价认证证书一、背景信息系统集成实施服务能力评价认证证书是由相关权威机构对一家企业进行业务能力、管理能力、技术能力等多方面评价认证后颁发的一种资质证书。

该证书是企业在信息系统集成领域具有一定实力和竞争力的重要标志,也是企业向客户证明自身实力和信誉的有效凭证。

二、评价认证标准信息系统集成实施服务能力评价认证证书的颁发标准包括但不限于以下几个方面:1. 业务能力:评价企业在信息系统集成实施服务领域的实际业务能力,包括项目规划、方案设计、系统搭建、系统测试、实施部署等能力。

2. 管理能力:评价企业的管理体系和各项管理制度的完善程度,包括质量管理、项目管理、风险管理、安全管理等方面。

3. 技术能力:评价企业在信息技术方面的实际能力,包括技术研发能力、技术创新能力、技术人员素质等方面。

4. 服务能力:评价企业在客户服务方面的实际能力,包括售前服务、售中服务、售后服务等方面。

三、证书颁发流程企业在申请信息系统集成实施服务能力评价认证证书时,需要按照以下流程进行:1. 提交申请:企业向相关权威机构提交申请资料,包括企业基本情况、业绩介绍、管理体系文件等。

2. 考察评估:权威机构对企业进行现场考察评估,了解企业的实际运营情况、管理情况、技术能力等。

3. 成果评议:评价机构对考察评估结果进行评议,形成评价报告。

4. 颁发证书:如果企业符合评价认证标准,则颁发信息系统集成实施服务能力评价认证证书。

四、证书意义信息系统集成实施服务能力评价认证证书对企业具有重要意义,主要包括以下几个方面:1. 增强市场竞争力:企业获得该证书后,能够证明自身在信息系统集成领域的实力和能力,提升市场竞争力。

2. 提升客户信任:证书是企业对客户的一种信誉保证,能够增强客户对企业的信任度。

3. 强化品牌形象:获得该证书后,能够增强企业的品牌形象,提高企业的知名度和美誉度。

4. 提高项目成功率:证书是企业在项目投标和实施过程中的重要资质,能够提高项目中标和实施成功的概率。

信息化工程与技术服务能力评价证书评价条件

信息化工程与技术服务能力评价证书评价条件

信息化工程与技术服务能力评价证书评价条件在当今信息爆炸的时代,信息化工程与技术服务能力评价证书成为了企业展示自身实力的重要标志。

它不仅是企业实力的一种体现,更是对企业综合实力的全面评价。

本文将从多个角度来分析信息化工程与技术服务的评价条件,以期帮助读者更深入地了解这一主题。

1. 评价条件的综合性信息化工程与技术服务能力评价证书的评价条件是由多方面因素综合而成的。

它包括了企业在信息化工程建设、技术服务能力、项目管理、服务质量等方面的表现。

评价条件的设定需要考虑企业的实际情况和市场需求,并且需要全面、客观地进行评估。

2. 项目管理能力在评价条件中,项目管理能力是至关重要的一环。

企业需要展现其在项目策划、实施、监控和总结等方面的能力,以证明其具备成功完成信息化工程和技术服务的能力。

而在评价标准中,项目管理的规范性、透明度和成果导向是需要重点考量的方面。

3. 技术服务水平另外一个重要的评价条件是企业的技术服务水平。

这包括了企业在技术人员水平、服务流程、服务质量、客户满意度等方面的表现。

优秀的技术服务需要有专业的团队和高效的服务流程作为支撑,同时需要对客户需求有充分的了解和及时的响应。

4. 信息化工程建设能力评价条件中还包括了企业的信息化工程建设能力。

这需要考察企业在项目规划、系统设计、软硬件采购、系统集成、数据安全等方面是否具备完备的能力。

在信息化工程建设能力的评价中,需考虑企业在技术研发和创新方面的投入和成果。

5. 资质认证与企业声誉最后一个重要的评价条件是企业的资质认证和声誉。

企业有没有通过ISO认证、是否获得行业内的荣誉称号、是否存在质量或信誉问题等,都将成为评价条件的重要内容。

这一部分评价主要以客观的数据和事实为依据,客观评价企业的整体实力。

经过对以上几个方面的全面分析,我们可以看出,信息化工程与技术服务能力评价证书的评价条件是一个综合性的指标体系。

企业需要在项目管理能力、技术服务水平、信息化工程建设能力和企业资质声誉等多方面进行综合展现。

信息安全服务资质认证实施细则(2015版)

信息安全服务资质认证实施细则(2015版)

文件编码:ISCCC-SV-001:2015信息安全服务资质认证实施规则(第2版)2015-04-01发布2015-04-01实施中国信息安全认证中心发布目录1.适用范围 (1)2.规范性引用文件 (1)3.术语与定义 (1)3.1.信息安全服务 (1)3.2.信息安全服务资质 (1)3.3.信息安全风险评估 (1)3.4.信息安全应急处理 (1)3.5.信息系统安全集成 (2)3.6.信息系统灾难备份与恢复 (2)3.7.软件安全开发 (2)3.8.信息系统安全运维 (2)4.通用评价要求 (2)4.1.三级评价要求 (2)4.1.1.法律地位要求 (2)4.1.2.财务资信要求 (2)4.1.3.办公场所要求 (2)4.1.4.人员素质与资质要求 (2)4.1.5.业绩要求 (3)4.1.6.服务管理要求 (3)4.1.7.服务合同要求 (3)4.1.8.服务安全要求 (3)4.1.9.服务技术要求 (3)4.2.二级评价要求 (3)4.2.1.法律地位要求 (4)4.2.2.财务资信要求 (4)4.2.3.办公场所要求 (4)4.2.4.人员素质与资质要求 (4)4.2.5.技术工具要求 (4)4.2.6.业绩要求 (4)4.2.7.服务管理要求 (4)4.2.8.服务合同要求 (5)4.2.9.服务安全要求 (5)4.2.10.服务技术要求 (5)4.3.一级评价要求 (5)4.3.1.申请条件 (5)4.3.2.法律地位要求 (5)4.3.3.财务资信要求 (5)4.3.4.办公场所要求 (5)4.3.5.人员素质与资质要求 (5)4.3.6.技术工具要求 (6)4.3.7.业绩要求 (6)4.3.8.服务管理要求 (6)4.3.9.服务合同要求 (6)4.3.10.服务安全要求 (6)4.3.11.服务技术要求 (7)5.专业评价要求 (7)5.1.风险评估服务资质专业评价要求 (7)5.2.安全集成服务资质专业评价要求 (7)5.3.应急处理服务资质专业评价要求 (7)5.4.灾难备份与恢复服务资质专业评价要求 (7)5.5.软件安全开发服务资质专业评价要求 (7)5.6.安全运维服务资质专业评价要求 (7)6.认证程序 (7)6.1.自评估 (7)6.2.认证申请 (7)6.3.申请材料评审 (7)6.4.现场评审 (8)6.5.认证决定 (8)6.6.证书颁发 (8)6.7.证后监督 (8)6.7.1.证后监督频次和方式 (8)6.7.2.证后监督内容 (8)6.7.3.证后监督结论 (8)6.7.4.信息通报 (8)6.8.认证证书管理 (8)6.8.1.证书有效期 (8)6.8.2.暂停认证证书 (8)6.8.3.撤销认证证书 (9)6.8.4.注销认证证书 (9)6.8.5.证书变更 (9)附录A(规范性附录):信息安全风险评估服务资质专业评价要求 (10)附录B(规范性附录):信息系统安全集成服务资质专业评价要求 (14)附录C(规范性附录):信息安全应急处理服务资质专业评价要求 (17)附录D(规范性附录):信息系统灾难备份与恢复服务资质专业评价要求 (21)附录E(规范性附录):软件安全开发服务资质专业评价要求 (25)附录F(规范性附录):安全运维服务资质专业评价要求 (29)参考文献 (33)1.适用范围信息安全服务资质认证是依据国家认证认可法律法规、相关技术标准和规范,对信息安全服务提供者的资质进行评价的合格评定活动。

国家认证认可监督管理委员会关于发布2013年第一批11项认证认可行业标准的通知

国家认证认可监督管理委员会关于发布2013年第一批11项认证认可行业标准的通知

国家认证认可监督管理委员会关于发布2013年第一批11项认证认可行业标准的通知
文章属性
•【制定机关】国家认证认可监督管理委员会
•【公布日期】2013.12.02
•【文号】国认科[2013]58号
•【施行日期】2014.06.15
•【效力等级】部门规范性文件
•【时效性】现行有效
•【主题分类】认证认可,标准化
正文
国家认证认可监督管理委员会关于发布2013年第一批11项
认证认可行业标准的通知
(国认科〔2013〕58号)
各认证认可相关机构:
经审查,现将《能源管理体系电子信息企业认证要求》等11项认证认可行业标准予以发布。

标准编号、标准名称以及实施日期见附件。

附件:2013年第一批认证认可行业标准目录
国家认监委
2013年12月2日附件。

安全运维CCRC认证

安全运维CCRC认证
具有广泛认可度和影响力。
国内发展现状
我国信息安全认证起步较晚,但近年来发展迅速。目前,我国已建立了多个信息安全认 证机构,如中国信息安全认证中心、国家信息技术安全研究中心等。同时,我国政府也 出台了一系列政策和标准,推动信息安全产业的发展。然而,与国际先进水平相比,我
国在信息安全认证方面还存在一定差距,需要进一步加强相关工作。
和恢复流程,减少损失和影响。
运维团队组建与培训
运维团队组建
根据实际需求,组建具备专业技能和经验的运维 团队,确保运维工作的专业性和高效性。
培训与技能提升
定期开展运维人员的培训和技能提升课程,提高 团队整体的技术水平和安全意识。
团队协作与沟通
建立良好的团队协作机制和沟通渠道,确保运维 团队内部以及与相关部门之间的顺畅沟通。
安全运维CCRC认证
汇报人:XX
2024-01-09
目录
• 认证背景与意义 • CCRC认证体系介绍 • 安全运维管理体系建立与实践 • 风险评估与应对策略 • 合规性检查与持续改进计划 • 总结与展望
01
认证背景与意义
信息安全重要性
1 2 3
保障信息安全
随着信息化程度的提高,信息安全问题日益突出 ,保障信息安全已成为企业和组织的重要任务。
更新和提升。
行业挑战和机遇分析
挑战
网络安全威胁日益复杂多变,对安全运维人员的专业技能和应急响应能力提出更高要求;同时,行业 内存在多种认证标准,导致认证市场混乱不堪。
机遇
随着数字化、网络化、智能化的深入发展,网络安全市场将持续扩大,为安全运维领域提供更多就业 机会和发展空间;此外,政府和企业对网络安全重视程度不断提升,将为安全运维CCRC认证带来更 多政策支持和市场需求。

ict外包标准

ict外包标准

ict外包标准一、概述ICT外包是指信息技术(Information Communication Technology,ICT)服务外包,包括信息技术咨询、系统集成、IT运维管理等服务。

为了规范ICT外包市场,提高服务质量,制定本标准。

二、范围和定义本标准适用于ICT外包服务,涵盖了信息技术咨询、系统集成、IT运维管理等服务,但不包括基础设施建设、硬件设备采购等其他业务。

定义了ICT外包服务商、客户、服务内容等概念。

三、服务要求1. 服务质量:ICT外包服务商应提供高质量的服务,满足客户需求,确保服务质量和安全。

2. 服务范围:服务商应按照合同约定,提供符合要求的ICT外包服务,包括咨询、系统集成、IT运维管理等。

3. 服务效率:服务商应按照合同约定的时间节点,按时完成服务任务,确保服务质量。

四、服务商资质要求1. 资格认证:服务商应具备相应的信息技术服务资格认证,如ITSS(信息技术服务标准)等。

2. 人员配备:服务商应具备一定数量的专业技术人员,包括IT咨询师、系统集成工程师、IT运维管理人员等。

3. 经验要求:服务商应具备一定的ICT外包服务经验,能够提供优质的解决方案和实施服务。

五、合同管理1. 合同签订:客户与服务商应签订正式的ICT外包合同,明确双方的权利和义务。

2. 服务交付:服务商应按照合同约定,提供符合要求的ICT外包服务,并确保服务质量。

3. 变更管理:在服务过程中,如需变更服务内容或时间节点,应提前与客户协商,并签订书面变更协议。

六、评价与改进1. 评价方法:采用定性和定量相结合的方法,对服务商的服务质量、效率、客户满意度等方面进行评价。

2. 评价周期:定期对服务商的服务进行评价,一般以季度或年度为周期。

3. 结果反馈:评价结果应及时反馈给服务商,指出存在的问题和改进方向。

4. 改进措施:服务商应根据评价结果,采取相应的改进措施,提高服务质量,满足客户需求。

七、信息安全与隐私保护1. 信息安全:服务商应建立完善的信息安全管理制度,确保客户的信息安全。

信息系统安全集成服务资质认证介绍

信息系统安全集成服务资质认证介绍

信息系统安全集成服务资质认证介绍一、工作背景随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。

加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

开展信息安全服务分类分级的资质认证可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。

同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。

中国信息安全认证中心是国家质检总局直属事业单位,经中央编制委员会批准成立,由国家认证认可监督管理委员会批准,可依据相关标准开展对信息安全服务资质分类分级的认证工作。

2011年启动了信息系统安全集成服务资质认证工作,2013年4月,中国信息安全认证中心与辽宁省信息安全与软件测评认证中心签订了信息系统安全集成服务资质认证合作协议,授权测评认证中心为辽宁工作站,在辽宁省(含大连)内推广并实施信息系统安全集成服务资质认证工作。

二、认证简介信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。

信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。

也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。

信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。

资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。

安全集成服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。

信息系统安全服务资质认证指南(一级资质)

信息系统安全服务资质认证指南(一级资质)

国家信息安全测评认证信息系统安全服务资质认证指南(试行)\福建省网络与信息安全测评中心目录引言 (4)1 认证依据 (5)2 等级划分 (5)3 认证要求 (6)3.1 基本资格要求 (6)3.2 基本能力要求 (6)3.2.1 组织与管理要求 (6)3.2.2 技术能力要求 (6)3.2.3 人员构成与素质要求 (7)3.2.4 设备、设施与环境要求 (8)3.2.5 规模与资产要求 (8)3.2.6 业绩要求 (8)3.3 安全工程过程及能力级别 (9)4 认证流程 (11)5 受理过程 (12)6 申请书 (12)7 评审 (12)8 认证与公布 (13)9 保持认证 (14)10 认证发展 (15)11 处置 (15)12 争议、投诉与申诉 (15)13 认证企业档案 (16)14 费用及认证周期 (16)15 相关文件与表格 (17)引言福建省网络与信息安全测评中心(原中国国家信息安全测评认证中心,简称FJTEC)是经中央批准成立、代表国家开展信息安全测评认证的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评认证体系。

福建省网络与信息安全测评中心的主要职能是:1.对国内外信息安全产品和信息技术进行测评和认证2.对国内信息系统和工程进行安全性评估和认证3.对提供信息系统安全服务的组织和单位进行评估和认证4.对信息安全专业人员的资质进行评估和认证“中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息系统安全质量以及信息安全服务资质、人员资质的最高认可。

国家信息安全产品测评认证活动的技术依据是由中国国家信息安全测评认证管理委员会确认的有关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技术要求与技术规范。

“信息系统安全服务资质认证”是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行认证。

CCRC信息安全服务资质认证流程知识点汇总

CCRC信息安全服务资质认证流程知识点汇总

CCRC信息安全服务资质认证流程知识点汇总在我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。

加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

一、CCRC(原名ISCCC)概况CCRC(原名ISCCC)信息安全服务资质认证是中国网络安全审查技术与认证中心依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质包括法律地位、资源状况、管理水平、技术能力等方面的要求进行评价。

通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。

同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。

该资质共8个单项,每个单项分为一、二、三级(最低)。

1. 信息系统安全集成服务资质2. 安全运维服务资质3. 风险评估服务资质4. 应急处理服务资质5. 软件安全开发服务资质6. 信息系统灾难备份与恢复服务资质7. 工业控制安全服务资质8. 网络安全审计服务资质二、信息安全服务资质认证服务流程那么申请CCRC信息安全服务资质认证服务,究竟是怎样的一个流程呢?下面就来给各位详细地讲解一下。

认证流程可分为:自评估-认证申请-申请材料评审-现场审核-认证决定-证书颁发-监督审核1、CCRC信息安全服务资质申请条件:2、CCRC认证时所需的11项资料清单:3、CCRC信息安全服务资质认证周期:一级/二级认证周期一般是12周,三级认证周期4周。

认证周期包括自申请被正式受理之日起至颁发认证证书时止实际发生的时间,不包括申请单位准备或补充材料的时间。

4、CCRC信息安全服务资质证书管理:证书状态:有效、暂停、撤销造成证书暂停的情况(最长3个月):1)获证组织的服务管理持续地或严重地不满足认证要求;2)逾期未按规定接受监督审核;3)违规使用认证证书,且未造成不良影响;4)监督审核有严重不符合项;5)获证组织主动请求暂停;6)其他需要暂停证书的情况。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

《信息系统安全集成服务资质认证评价要求》
编制说明
一、工作简况
《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。

该项目由中国信息安全认证中心承担。

截止到2011年底,国内外尚未形成安全集成服务相关标准。

ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的,其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容,以及安全工程的能力成熟度模型,未涉及认证评价的内容,所以该标准不能完全满足信息安全服务资质认证工作的需要。

鉴于现状,我们征集了信息安全业界专家的意见,专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。

结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准,将安全集成服务资质分为三级,其中一级最高,三级最低,最终制定一套符合我国信息安全服务现状的认证实施规则,依据该规则指导安全集成服务资质认证工作。

为了规范信息系统安全集成(以下简称安全集成)服务市场,提升安全集成服务质量,我中心于2012年初,依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。

该实施规则得到了申请方的一致认可。

该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上,经编写小组多次讨论和征求意见后制定,形成了目前的标准草案稿。

二、编制原则
为使该评价准则能够科学、规范地开展认证工作,客观反映我国信息安全集成服务产业的现状,评价信息安全集成服务提供方的资质,并通过指导、规范服务过程,实现服务良好的可操作性、可用性、安全性,在评价准则制定过程中,采用科学合理、结构严谨、计划周全的方法来进编制《信息系统安全集成服务资质认证评价要求》。

本标准在将参考国际通用的标准ISO/IEC 21827:2008《Information technology — Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20262-2006《信息技术系统安全工程能力成熟度模型》以及相关技术发展和实践
经验,本着下列原则开展工作,并遵循了以下几个原则:
(1)合规性,符合国家相关政策法规要求;
(2)协调性,与已颁布实施的相关标准相协调;
(3)可操作性,充分结合国情,考虑我国信息安全技术发展和应用的实际情况,实现可
操作性;
(4)先进性,适度考虑目前处于发展成熟过程中的技术,保持一定的先进性。

三、标准主要内容及确定内容的依据
本标准提出了信息系统安全集成服务提供者(以下简称服务提供者)应具备的服务能力要求,及实施信息系统安全集成服务资质认证的程序与管理要求。

本标准主要框架如下:
前言
1 范围
2 规范性引用文件
3 术语和定义
4 安全集成服务提供者基本的资质要求
4.1 基本条件
4.2 基本管理能力要求
4.3 基本技术能力要求
5 信息系统安全集成服务过程要求
5.1 信息系统安全集成服务过程概述
5.2 集成准备
5.3 方案设计
5.4 建设实施
5.5 安全保证
6 信息系统安全集成服务资质分级评价要求
6.1 三级信息系统安全集成服务资质要求
6.2 二级信息系统安全集成服务资质要求
6.3 一级信息系统安全集成服务资质要求
7 信息系统安全集成服务资质认证模式与流程
7.1 信息系统安全集成服务资质认证模式
7.2 信息系统安全集成服务资质认证流程
8 认证证书管理
附录A 信息安全工程过程能力级别参考(ISO/IEC 21827:2008)
附录B 各级资质要求对照表
本标准在确定主要内容时主要基于如下几个方面:
1)在分析和调研国内外信息系统安全集成服务提供方所需的信息安全技术与管理能
力要求的基础上,提出了我国信息系统安全集成服务提供方应具备的能力要求。

2)通过组织专家讨会,对标准的科学性、可行性等进行了多次论证、研讨,并根据专
家意见进行了多次修订、完善。

同时,结合1年的审核实践,证明其适用于我国信
息系统安全集成服务提供方的评价工作,具备较强地可行性。

四、与相关法律法规及国家有关规定、国内相关标准的关系
本标准主要参考了国际通用的标准ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20262-2006《信息技术系统安全工程能力成熟度模型》。

五、主要工作过程
1)2010年6月成立评价准则起草小组;
2)2011年1月至2011年8月,多次讨论标准修订意见及建议;
3)2011年7月至2011年11月,邀请了多名信息安全专家及多家厂商代表进行两次
评审;
4)2011年12月-2012年11月,经过一年的试用;
5)2012年12月,再次邀请专家对标准进行评审。

六、有关问题的说明
无。

《》标准编制组
二〇一二年十二月。

相关文档
最新文档