中国信息安全产品测评认证中心
信息系统安全服务资质测评认证指南-中国信息安全测评中心[002]
![信息系统安全服务资质测评认证指南-中国信息安全测评中心[002]](https://img.taocdn.com/s3/m/f11bb3144b35eefdc8d333fe.png)
国家信息安全测评信息安全服务资质申请指南(云计算安全类一级)(试行)©版权2017—中国信息安全测评中心2017年9月1日目录目录2引言3一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 云计算安全服务过程能力要求 (7)3.4 项目和组织过程能力要求 (9)四、资质认定 (11)4.1认定流程图 (11)4.2申请阶段 (12)4.3资格审查阶段 (12)4.4能力测评阶段 (12)4.4.1静态评估 (12)4.4.2现场审核 (13)4.4.3综合评定 (13)4.4.4资质审定 (13)4.5证书发放阶段 (13)五、监督、维持和升级 (14)六、处置 (14)七、争议、投诉与申诉 (14)八、获证组织档案 (15)九、费用及周期 (15)十、联系方式 (16)引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。
对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:1.为信息技术安全性提供测评服务;2.信息安全漏洞分析;3.信息安全风险评估;4.信息技术产品、信息系统和工程安全测试与评估;5.信息安全服务和信息安全人员资质测评;6.信息安全技术咨询、工程监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。
为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
中国信息安全测评中心_企业报告(供应商版)
同比增长:100.0%
注:平均下浮率是指,项目下浮金额与预算金额的比值的平均值。(下浮金额=项目预算金额-中标金额)
1.2 业绩趋势
近 3 月(2022-12~2023-02):
近 1 年(2022-03~2023-02):
本报告于 2023 年 02 月 08 日 生成
1 / 14
近 3 年(2020-03~2023-02):
分地区主要项目
(1)北京(4)
序号
Байду номын сангаас
项目名称
招标单位
1
中国中化互联网出口安全威胁监测 服务单一来源采购结果公示
中国中化股份有限公司
中化信息技术有限公司互联网攻击
2 现场实时监测服务项目单一来源采 中化信息技术有限公司
购结果公示
北京市传染病智慧化多点触发监测
3 预警平台项目(第五包)成交结果 北京市疾病预防控制中心
企业基本信息
企业名称: 营业范围:
中国信息安全测评中心
主要资质:
一、业绩表现
1.1 总体指标
近 1 年(2022-02~2023-02):
中标项目数(个)
11
同比增长:-15.4%
中标率
84.6%
同比增长:-15.4%
中标总金额(万元)
(不含费率与未公示金额)
¥9497.2
同比增长:238.7%
平均下浮率
公告
4
中国网络安全审查技术与认证中心 华为天津市政务云专业技术机构安 全评价项目成交公告
中国网络安全审查技术与 认证中心
中标金额 (万元)
200.0
100.0
31.9
26.8
中国信息安全认证中心简介
产品认证类型
中国信息安全认证中心是唯一指定为国家信息安全 产品认证机构,负责实施国家信息安全产品认证。获得 国家信息安全产品认证证书的产品表明其符合相应的信 息安全规范和标准要求。
国家信息安全产品认证
产品认证类型
国家信息安全产品认证
产品认证类型
IT产品信息安全认ቤተ መጻሕፍቲ ባይዱ 非金融机构支付业务设施技术认证
产品认证类型
XBRL软件认证 电子产品认证
依据《财政部关于开展可扩展商业报告语言(XBRL) 技术规范系列国家标准符合性测试工作的通知》(财会 〔2012〕14号)和《关于开展可扩展商业报告语言 (XBRL)软件认证工作的实施意见》(国认证联[2013]55 号),中国信息安全认证中心对可扩展商业报告语言 (XBRL)软件产品进行认证。 依据《认证认可条例》和认证主管部门的相关文件 规定,中国信息安全认证中心对电子产品开展自愿性认 证业务。该业务的认证流程、检验标准、工厂检查要求 等依据中国信息安全认证中心公开的产品认证实施规则 进行。
产品认证类型
CCC产品认证 无线局域网产品认证
国家信息安全产品认证
IT产品信息安全认证 非金融机构支付业务设施技术认证
XBRL软件认证 电子产品认证
产品认证类型
CCC产品认证 无线局域网产品认证
中国信息安全认证中心是强制性产品认证指定认证 机构,负责实施音视频设备(08类)、信息技术设备 (09类)、电信终端设备(16类)强制性产品认证工作。 中国信息安全认证中心是国家指定的无线局域网产 品认证机构,负责实施无线局域网产品认证。
中国信息安全认证中心
China Information Security Certification Center
中国信息安全认证中心
中国信息安全认证中心中国信息安全认证中心(China Information Security Certification Center,简称“CISCC”)是中国专门从事信息安全认证和相关技术服务的国家级机构。
成立于1998年,是经中华人民共和国认证认可监管部门批准设立的、具有独立法人资格的非营利性社会组织,隶属于国家利益的领域。
其宗旨是保护信息安全,提高信息安全水平,促进经济社会的可持续发展。
一、机构架构CISCC主要由认证与评估部、密码与安全技术部、科学技术研究部、信息安全应急联动中心、证书管理中心等五个部门构成。
其中认证与评估部是其核心部门,承担着对各类信息系统的安全认证、安全评估等任务。
二、业务范围1. 认证服务CISCC在信息安全认证方面具有多年的经验和技术积累,拥有国际领先的信息安全认证服务。
其认证业务主要包括以下几个方面:1.1. 信息系统安全等级保护评估认证信息系统安全等级保护是国家强制性的安全保护措施之一,对于各类重要信息系统的安全防护来说至关重要。
CISCC 的信息系统安全等级保护评估认证业务主要包括:(1)信息系统安全等级评估认证;(2)信息系统安全防护产品安全等级评估认证;(3)信息安全等级保护培训和咨询。
1.2. 信息安全管理体系认证信息安全管理体系认证是指在信息系统运行过程中,采用相关管理规范和标准,建立管理制度来保护信息资产的活动。
CISCC的信息安全管理体系认证业务主要包括:(1)ISO 27001信息安全管理体系认证;(2)GB/T 22080信息安全管理体系认证;(3)CISCC信息安全管理体系认证。
1.3. 其他信息安全认证CISCC的认证业务还包括其他信息安全认证项目,如:密码技术安全认证、市场网络安全评估、云计算安全认证等。
2. 技术服务CISCC的技术服务主要包括区块链技术、密码技术、信息安全应急服务等。
其技术服务专家团队由具有多年从业经验的专业技术人员组成,服务范围包括政府部门、企业、金融机构、电子政务和社会公益组织等。
中国信息安全测评中心
中国信息安全测评中心中国信息安全测评中心(China Information Security Evaluation Center,CISEC)是中国国家信息安全测评机构,负责对各类信息系统和产品进行安全测评和认证。
作为中国信息安全领域的权威机构,CISEC在信息安全技术、标准和管理方面发挥着重要作用。
本文将介绍CISEC的职能、作用以及其在信息安全领域的重要性。
CISEC的职能主要包括对信息系统和产品进行安全测评、认证和监督检查。
在信息系统方面,CISEC负责对政府部门、金融机构、电信运营商等重要单位的信息系统进行安全测评,评估其在保护重要信息资产、防范网络攻击、应对突发安全事件等方面的能力。
在产品方面,CISEC对各类信息安全产品进行认证,包括防火墙、入侵检测系统、安全管理软件等,以确保其符合国家和行业标准,具有良好的安全性能。
CISEC在信息安全领域的作用主要体现在以下几个方面,首先,CISEC对信息系统和产品进行安全测评和认证,有助于提高其安全性能和可信度,为用户和企业选择和使用安全可靠的信息系统和产品提供了参考依据。
其次,CISEC通过对信息系统的安全测评,有助于发现系统存在的安全隐患和漏洞,提出改进建议和技术要求,促进信息系统的安全加固和提升。
再次,CISEC通过对信息安全产品的认证,推动了信息安全产品的研发和创新,促进了信息安全产业的健康发展。
最后,CISEC作为国家信息安全测评机构,还参与了国家信息安全标准的制定和推广,提高了信息安全管理水平和标准化程度。
CISEC在信息安全领域的重要性不言而喻。
随着网络技术的飞速发展和信息化进程的加快,信息安全问题日益突出,网络攻击、数据泄露等安全事件频发,给国家安全和社会稳定带来了严重威胁。
而CISEC作为国家信息安全测评机构,承担着信息安全保障的重要责任,其职能和作用对于加强信息安全防护、保护国家重要信息基础设施、维护国家网络安全具有重要意义。
CISP-1-信息安全测评认证概述
测评认证中心的建设过程 Nhomakorabea1997年初,国务院信息化工作领导小组委托筹建
“中国互联网络安全产品测评认证中心” 1998年7月, 该中心挂牌运行 1998年10月,国家质量技术监督局授权成立“中 国国家信息安全测评认证中心”
1999年2月9日,该中心挂牌运行 2001年5月,中编办根据党中央、国务院有关领
cnitsec
信息安全测评认证体系模式
信息安全认证管理委员会 认证机构 Lab认可机构 CB认可机构
信息技术安全认证中心
认 可
授权
认证
信息技术安全测试实验室
证书
信息技术安全测试实验室
信息技术安全测试实验室 信息技术安全测试实验室
cnitsec
美国(NIAP)
负责管理和运行美国的信息安全测评认证体系
行业性授权测评机构
1、计算机测评中心:由信产部(15所)2000年列编设立 2、广电测评中心:由广电部2000年列编设立 3、银行、证券、电信等行业,2001年起开始测评认证 cnitsec
二、信息安全测评认证标准
1 、通用准则CC(GB/T 18336 idt ISO/IEC 15408) 2、信息系统安全保障通用评估准则 3、其他标准
机密性 隐蔽信息 无条件 机密性 强制性 机密性 目标重用
范围 CC-0 到 CC-3 CD-0 到 CD-4 CM-0 到 CM-4 CR-0 到 CR-4
cnitsec
标准名称 TCSEC 绿皮书
功能级别
保证级别
D,C1,C2,B1,B2,B3,A1 F1~F10 Q1~Q8 L1~L66 F1~F10 E0~E7
国际上安全测评标准的发展
国家信息安全测评中心
国家信息安全测评中心国家信息安全测评中心(National Information Security Evaluation Center,简称NISEC)是中国的一个重要机构,负责评估和提升国家信息系统的安全性和可信度。
成立于2002年,NISEC的目标是为了确保国家信息安全,维护网络与信息系统的良好运行和稳定。
NISEC的职责和作用1. 评估信息系统的安全性:NISEC负责对国家重要信息系统进行安全性评估和渗透测试,发现潜在的安全隐患和漏洞,并提供相关技术建议和安全改进措施。
2. 指导安全技术标准:NISEC致力于研究与制定信息安全评估和测试的标准规范,以及加强信息安全技术的研究与发展,提高国家信息安全水平。
3. 信息安全事件响应:NISEC负责协助国家相关部门应对信息安全事件,提供合理的解决方案和技术支持,确保信息系统和网络的安全运行。
4. 促进信息安全人才培养:NISEC为相关单位提供信息安全培训和教育,提高从业人员的工作能力和技术水平,推动信息安全人才的培养和发展。
NISEC的工作内容1. 安全评估与测试:NISEC通过制定方法和规范,对国家重要信息系统进行源代码审计、渗透测试、密码分析等手段,评估其安全性和可信度,发现潜在漏洞和隐患。
2. 安全技术标准研究:NISEC参与制定信息安全评估和测试的标准和规范,推动信息安全技术的发展和应用,提高信息系统的安全性。
3. 安全事件响应:NISEC成立了专业的安全事件响应小组,负责响应和处理重要信息系统和网络的安全事件,迅速采取措施修复漏洞,确保信息系统的正常运行。
4. 信息安全培训与教育:NISEC组织和承办信息安全培训和教育活动,提供相关课程和资料,培养和培训信息安全从业人员,不断提高他们的专业水平和技能。
NISEC的重要意义和影响1. 提升国家信息安全水平:NISEC通过评估和测试信息系统的安全性,为政府和企业提供有效的安全保障措施,提高了国家信息安全的整体水平。
中国信息安全评测中心
中国信息安全评测中心
中国信息安全评测中心(China Information Security Evaluation Center,CISEC)是中国国家信息安全产业的重要组成部分,是国家信息安全认证的权威机构。
成立于2003年,是由国家密码管理局主管,中国信息通信研究院具体承担的专业机构。
中国信息安全评测中心的主要职责包括对信息系统产品进行安全性和功能性评测,对信息系统产品进行认证,开展信息安全技术研究与标准制定等工作。
其评测范围涵盖了计算机系统、网络设备、安全产品、智能卡、密码产品等多个领域。
作为国家级的信息安全评测机构,中国信息安全评测中心拥有一支高素质的专
业评测团队,拥有先进的评测设备和严格的评测流程。
在信息安全评测领域具有丰富的经验和权威的声誉,得到了政府、企业和用户的广泛认可。
中国信息安全评测中心的评测工作严格遵循国家和行业标准,注重评测结果的
客观性和公正性。
评测报告具有权威性和可信度,对产品的安全性能和功能性能进行了全面、深入的评估和测试,为用户选择和使用信息安全产品提供了重要参考依据。
中国信息安全评测中心还积极参与国际信息安全认证的合作与交流,与国际知
名的信息安全评测机构保持密切联系,开展国际合作项目,提升中国信息安全评测的国际影响力和竞争力。
未来,中国信息安全评测中心将继续致力于信息安全评测与认证工作,不断提
升评测能力和水平,推动信息安全技术的创新与发展,为国家信息安全产业的健康发展和信息社会的安全建设作出更大的贡献。
中国信息安全评测中心,将始终坚持“客观、公正、权威、可信”的评测理念,为保障国家信息安全和用户利益而努力奋斗!。
中国信息安全测评中心 安全可靠等级
中国信息安全测评中心安全可靠等级下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by the editor. I hope that after you download them, they can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!In addition, our shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!中国信息安全测评中心:安全可靠等级评估导言随着信息技术的迅猛发展,信息安全已经成为社会各个领域关注的重要议题之一。
中国信息安全认证中心
中国信息安全认证中心中国信息安全认证中心(以下简称“认证中心”)是中国重要的信息安全认证机构。
作为国家授权的第三方认证机构,认证中心为企业和机构提供全方位的信息安全认证服务,以确保其信息系统和数据安全,并推动中国信息安全事业的发展。
认证中心的成立旨在提高信息系统和数据的安全性,并为企业和机构建立可信任的信息安全环境。
根据国家相关法律法规和标准,认证中心为各类企业和机构提供信息安全评估、认证、检测、监管等服务,确保其信息系统和数据的完整性、可用性和可信度。
首先,认证中心致力于信息安全评估和认证服务。
通过对企业和机构的信息系统进行详细审查和评估,认证中心可以发现系统中存在的安全漏洞、缺陷和风险,并提供相应的建议和解决方案。
认证中心的专业团队具备丰富的技术和经验,能够有效地评估和认证各种类型的信息系统,确保其符合国家和行业的安全标准和要求。
其次,认证中心还提供信息安全检测和监管服务。
通过对企业和机构的信息系统进行定期检测和监管,认证中心可以发现系统中的风险和威胁,并及时采取相应的措施进行应对和防范。
认证中心以先进的检测技术和方法,帮助企业和机构建立健全的安全监控体系,确保其信息系统和数据的安全性。
此外,认证中心还开展信息安全培训和宣传活动。
认证中心通过组织各类培训和研讨会,向企业和机构的管理人员和技术人员传授最新的信息安全知识和技术,提高他们的安全意识和技能。
同时,认证中心还定期发布信息安全宣传材料,向公众普及信息安全知识,提高社会对信息安全的重视和认识。
认证中心在信息安全领域取得了显著的成绩和口碑。
多年来,认证中心通过严格的认证流程和高水平的服务质量,赢得了广大企业和机构的信任和好评。
同时,认证中心与国内外的信息安全机构和组织保持紧密的合作和交流,不断引进和研发新的技术和方法,以适应信息安全领域日益复杂和多变的需求。
总之,中国信息安全认证中心作为国家重要的信息安全认证机构,发挥着至关重要的作用。
通过提供全方位的信息安全评估、认证、检测、监管和培训服务,认证中心为企业和机构建立可信任的信息安全环境,保障其信息系统和数据的安全。
风险评估
cnitsec
风险评估的定义
风险评估: 风险评估 对信息和信息处理设施的威胁 威胁(Threat)、 威胁 影响(Impact)和弱点 弱点(Vulnerability)及威胁 影响 弱点 发生的可能性 可能性的评估。 可能性
cnitsec
ISO13335以风险为核心的安全模型 ISO13335以风险为核心的安全模型
1/300 1/200 1/100 1/50 1/25 1/5
定量的风险分析
年度化损失运算表(频率)续 年度化损失运算表(频率) 2年一次 1年一次 1年二次 1个月一次 1星期一次 1天一次 1/2 1/1 1/0.5 12/1 52/1 365/1 0.5 1.0 2.0 12.0 52.0 365.0
cnitsec
风险的定义
ISO/IEC TR 13335-1:1996 安全风险:是指一种特定的威胁利用一种或一组脆弱 安全风险: 性造成组织的资产损失或损害的可能性。 性造成组织的资产损失或损害的可能性。 Risk: the potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss or damage to the assets.
定性分析适用于: 定性分析适用于: 初始的筛选活动, 初始的筛选活动,以鉴定出需要更仔细分析的风险 数据不足以进行定量分析的情况
cnitsec
3.5 定性分析与定量分析的比较
定性风险分析 定性风险分析是所有风险分析的方法中, 最容易也是最常被运用的方法。可是也是 最主观的。 其结果高度依存于RMT(风险管理小组) 其结果高度依存于RMT(风险管理小组) 的专业能力。 需要一套系统化的执行步骤,来帮助RMT 需要一套系统化的执行步骤,来帮助RMT 的执行成果更接近预期的效果。
中国信息安全测评中心给出的安全可靠等级
中国信息安全测评中心给出的安全可靠等级1.引言1.1 概述概述部分的内容可以描述中国信息安全测评中心(简称CITC)的重要性以及其对信息安全领域的贡献。
中国信息安全测评中心(CITC)是中国国家计算机网络应急技术处理协调中心(CNCERT)下属的一家专业机构。
它致力于评估和认证各类信息系统和产品的安全性和可靠性,为保障国家信息安全作出了重要贡献。
在信息安全领域中,信息系统和产品的安全性是至关重要的。
随着网络的快速发展和信息技术的普及应用,安全性问题也日益凸显,恶意攻击、数据泄露和系统漏洞等威胁不断增加,严重威胁国家的安全和社会的稳定。
因此,评估和认证信息系统和产品的安全性变得至关重要。
CITC作为中国权威的信息安全测评机构,拥有丰富的经验和专业的技术团队。
它通过制定一系列严格的安全可靠等级评估标准,对各类信息系统和产品进行科学、客观、全面的评估和测试,准确评估其在安全性和可靠性方面的表现。
这些评估标准不仅适用于政府部门和军队的信息系统,也适用于企事业单位的信息系统和产品。
通过CITC的评估,可以及时发现和解决信息系统和产品存在的安全隐患,提升其安全性和可靠性,确保信息系统和产品的正常运行和数据的安全保密。
在国家信息安全战略的背景下,CITC的工作对于国家各个行业和企事业单位的信息安全至关重要。
通过CITC的评估认证,可以为国家信息安全提供可靠的支持,推动信息安全技术的创新和发展,提升整个国家信息安全保障体系的水平。
总之,中国信息安全测评中心在信息安全领域具有重要地位和作用,它通过严格的安全可靠等级评估,为各类信息系统和产品的安全性提供了科学的评估和认证,为国家信息安全建设做出了重要贡献。
1.2 文章结构文章结构是一个文章所采用的组织方式,它有助于读者理解和跟随文章的逻辑思路。
本文的文章结构分为引言、正文和结论三个部分。
引言部分主要包括三个方面的内容。
首先,概述部分阐述了中国信息安全测评中心给出的安全可靠等级评估的背景和意义。
中国信息安全测评中心
中国信息安全测评中心中国信息安全测评中心(China Information Security Evaluation Center)是中国国家信息安全主管部门设立的专业机构,负责进行信息系统安全评估和认证工作。
该中心采用科学、专业的方法,对各类信息系统的安全性与稳定性进行全面评估,为用户和企业提供可靠的安全保障。
首先,中国信息安全测评中心具备先进的评估技术和方法。
该中心引进了多种国际先进的安全评估技术和标准,建立了全面的测评方法和流程。
通过对信息系统的攻击模拟、漏洞挖掘、安全策略分析等手段,有效评估系统的安全性。
同时,中心还开展了一系列的安全认证活动,为用户提供系统安全的产品和服务选择。
其次,中国信息安全测评中心依靠专业团队保障评估质量。
该中心拥有一支由中国国内外顶级信息安全专家组成的团队。
这些专家具备深厚的理论知识和丰富的实践经验,能够准确判断系统存在的安全隐患,并提出有效的改进措施。
他们严谨的工作态度和专业的技术能力,保证了评估结果的准确性和可信度。
第三,中国信息安全测评中心积极开展国际交流与合作。
该中心与国际上众多知名的信息安全机构、专家进行了深入的合作和交流,通过学习先进的安全技术和经验,不断提升自身的水平和能力。
同时,中心还参与国际安全评估和认证标准的制定工作,保障了中国信息安全的国际化水平。
最后,中国信息安全测评中心注重推动信息安全产业的发展。
该中心积极参与安全技术研究和创新,在密码算法、安全协议、保护技术等方面取得了一系列的科研成果。
同时,中心还开展了一系列的信息安全培训和宣传活动,提高了公众对信息安全的意识和重视程度。
这些举措为中国信息安全产业的发展提供了强有力的支持。
总之,中国信息安全测评中心是中国国家信息安全主管部门设立的专业机构,具备先进的评估技术和方法,依靠专业团队保障评估质量,积极开展国际交流与合作,注重推动信息安全产业的发展。
中心的成立和发展为中国信息安全的提升和保障发挥了重要作用,也为广大用户和企业提供了可靠的安全支持。
中国信息安全测评中心揭牌
深化安全技术测评,维护国家信息安全来源:明朝万达作者:发布时间:2008-12-0210月31日,中国信息安全测评中心揭牌仪式在北京中关村软件园隆重举行,正式拉开了中国信息安全测评中心启用新名称、履行新职能的重要一幕。
来自国家质检总局、工业和信息化部、国家发改委等近三十个中央国家机关相关部门的领导,和来自信息安全界的知名院士专家,以及信息安全产业界的代表百余人亲临现场表示祝贺。
信息安全测评认证是信息安全保障的基础性工作,特别是在当前我国信息技术与产业的核心竞争力还不强,关键技术、关键设备还受制于人的情况下,严格把住信息技术产品的市场准入关尤为重要。
党中央、国务院对信息安全测评认证工作高度重视,早在1997年第一届国务院信息化工作领导小组就授权国家质检总局启动了信息安全产品测评认证体系建设工作。
经过几年的筹建和试运行,2001年中央批准在国家质检总局设立了“中国信息安全产品测评认证中心”,负责我国的信息安全测评与认证工作。
经过十年的发展,基本建立了对信息安全产品、信息系统安全性、信息安全服务资质和信息安全专业人员资质进行测评认证的能力;形成了较为完备的组织工作体系;对一千多个产品、系统和服务厂商实施了测评认证,对数千名信息安全专业人员进行了认证和国家注册;主持制定了二十多项体现我国特色的测评技术国家标准;为十多个中央和国家部委提供了安全技术测评服务,在保障国家信息安全方面发挥了重要作用。
2004年10月,中国信息安全产品测评认证中心根据国家质检总局等八部委联合下发的《关于建立国家信息安全认证认可体系的通知》中实行测评和认证职能分离的要求,将信息安全产品的认证工作移交给新成立的“中国信息安全认证中心”,并更名为“中国信息安全测评中心”,继续承担信息安全产品的测评工作,为认证工作提供科学、权威、客观、公正的技术依据;与此同时,增加对我国基础信息网络和重要信息系统进行风险评估的新职能。
根据中央领导“加快安全测评中心的建设”的重要指示精神,中国信息安全测评中心在国家质检总局、工业和信息化部、中编办、国家发改委、财政部、科技部等有关部门的大力支持下,先后落实了人员编制、办公条件、科研装备和运行经费,作为国家风险评估专控队伍,近年来承担了对我国基础信息网络和重要信息系统以及奥运网络信息系统的风险评估与安全检查工作任务,发现了大量安全漏洞和网络失泄密隐患,提出了有效整改建议,及时堵塞了漏洞、消除了隐患,为确保北京奥运会的成功举办和维护国家信息安全发挥了重要作用。
注册信息安全员 CISM 介绍 注册信息安全员 CISM
注册信息安全员(CISM)授权培训讲义注册信息安全员(CISM)介绍文件编号:CNITSEC-TBWT-CISM01版本:1.0中国信息安全产品测评认证中心人员培训事业部发布日期:2006年3月1日©版权2006—中国信息安全产品测评认证中心注册信息安全员(CISM)介绍1 中国信息安全产品测评认证中心(CNITSEC)介绍 (1)2 注册信息安全员(CISM)介绍 (2)2.1 全面建设信息安全人才体系 (3)2.2 注册信息安全员(CISM)介绍 (9)2.3 CISM知识体系大纲介绍 (22)1中国信息安全产品测评认证中心(CNITSEC)介绍1 中国信息安全产品测评认证中心(CNITSEC)介绍网址:中国信息安全产品测评认证中心是经中央批准成立,国家质检总局授权、代表国家开展信息安全测评认证工作的职能机构,依据国家有关产品质量认证和信息安全管理的法律法规,管理和运行国家信息安全测评认证体系。
中国信息安全产品测评认证中心筹建于1997年初,1998年7月以“中国互联网络安全产品测评认证中心”的名称试运行。
1998年10月经国家质量技术监督局授权,成立了“中国国家信息安全测评认证中心”。
1999年2月,中心及其安全测试实验室分别通过“中国产品质量认证机构国家认可委员会”和“中国实验室国家认可委员会”的认可。
同年,国家质量技术监督局正式批准并向社会公告了《中国国家信息安全测评认证管理委员会章程》、《中国国家信息安全测评认证管理办法》、《中国国家信息安全测评认证标志和第一批实施测评认证的信息安全产品目录》等文件。
2001年5月,中央编制委员会正式批准认证中心的职能任务、机构和编制,将认证中心正式更名为“中国信息安全产品测评认证中心”,英文为China Information Technology Security Certification Center,简称CNITSEC。
中国信息安全产品测评认证中心的主要职能是:z对国内外信息安全产品和信息技术进行测评和认证;z对国内信息系统和工程进行安全性评估和认证;z对提供信息系统安全服务的组织和单位进行评估和认证;z对注册信息安全专业人员的资质进行评估和认证。
注册信息安全专业人员(CISP)指南1
信息安全专业人员注册指南中国信息安全测评中心二0一一年一月目录0 引言 (1)1 能力要求 (2)2 注册人员范围 (2)3 注册信息安全专业人员道德准则 (3)4 注册程序 (5)5 培训 (4)6 考试 (4)7 申请注册 (5)8 经历审核 (7)9 评估、注册与公布 (7)9.1评估 (7)9.2注册与公布 (7)10 注册维持 (8)11 专业发展 (10)12 处罚 (11)13 争议、投诉与申诉 (13)14 注册人员档案 (13)15 有关费用 (13)0 引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。
对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的英文名称为:China Information Technology Security Evaluation Center,简称:CNITSEC。
中国信息安全测评中心始建于1997年,1998年以“中国互联网络安全产品测评认证中心”的名称试运行。
同年经国家技术监督局授权为“中国国家信息安全测评认证中心”。
2001年,中央机构编制委员会将其正式定名为“中国信息安全产品测评认证中心”,并批准了相应的职能任务和机构编制。
2007年,经中央批准,增加漏洞分析和风险评估职能,更名为“中国信息安全测评中心”,成为国家信息安全专控队伍。
(以下简称中心)●“注册信息安全专业人员”,英文为Certified InformationSecurity Professional (简称CISP),根据实际岗位工作需要,CISP分为两个基础类别,●“注册信息安全工程师”,英文为Certified InformationSecurity Engineer,简称CISE。
证书持有人员主要从事信息安全技术领域的工作;●“注册信息安全管理人员”,英文为Certified InformationSecurity Officer,简称CISO。
EAL评估
信息安全产品分级评估是指依据国家标准GB/T 18336—2001,综合考虑产品的预期应用环境,通过对信息安全产品的整个生命周期,包括技术,开发、管理,交付等部分进行全面的安全性评估和测试,验证产品的保密性、完整性和可用性程度,确定产品对其预期应用而言是否足够安全,以及在使用中隐含的安全风险是否可以容忍,产品是否满足相应评估保证级的要求。
中国信息安全产品测评认证中心多年来依据国家授权对外开展信息安全产品测评业务,是代表国家对信息安全产品的最高认可,出具的测评报告具有极高的权威性。
中国信息安全产品测评认证中心依据国标GB/T 18336—2001开展分级评估业务,该标准等同采用国际标准ISO/IEC 15408:1999,所采用的评估方法均为国际通用方法,具备强大的国际认可基础。
目前中国信息安全测评中心使用的标准:GB/T 18336—2008 《信息技术安全技术信息技术安全性评估准则》(ISO/IEC 15408:2005)信息安全技术安全通用评估方法:ISO/IEC 18045:2005产品分级评估(EAL)是评估保证要求的一个基线集合。
每一评估保证级定义一套一致的保证要求,合起来,评估保证级构成预定义的GB/T 18336保证级尺度。
在GB/T 18336中定义了以下7个评估保证级:(1) 评估保证级1(EAL1)——功能测试;(2) 评估保证级2(EAL2)——结构测试;(3) 评估保证级3(EAL3)——系统地测试和检查;(4) 评估保证级4(EAL4)——系统地设计、测试和复查;(5) 评估保证级5(EAL5)——半形式化设计和测试;(6) 评估保证级6(EAL6)——半形式化验证的设计和测试;(7) 评估保证级7(EAL7)——形式化验证的设计和测试。
分级评估是通过对信息技术产品的安全性进行独立评估后所取得的安全保证等级,表明产品的安全性及可信度。
获得的认证级别越高,安全性与可信度越高,产品可对抗更高级别的威胁,适用于较高的风险环境。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国信息安全产品测评认证中心
国家信息安全成果产业化(四川)基地培训中心
关于开展“注册信息安全专业人员(CISP)”注册资质培训的公告
国信安认[2006]25号
为进一步提高信息安全从业人员的技术水平和职业化道德、提高国家信息安全管理水平,加强我国信息安全专业人才的培养,支持四川信息安全企业申请信息系统安全服务资质,中国信息安全产品测评认证中心授权国家信息安全成果产业化(四川)基地培训中心计划于2007年1月进行“注册信息安全专业人员(CISP)”培训,具体事项通知如下:
一、课程设置:
二、培训管理和证书
“注册信息安全专业人员”注册资质证书是经中国信息安全产品测评认证中心实施并颁布的国家专业资质注册证书,同时负责“注册信息安全专业人员”的培训和注册管理工作。
培训教师管理:“注册信息安全专业人员”培训教师是由本中心认可的,且具有丰富信息安全理论和实践经验的资深专家担任。
培训资料管理:“注册信息安全专业人员”培训资料由中国信息安全产品测评认证中心统一编制、管理和发放。
资质证书管理:凡通过“注册信息安全专业人员”培训和考试者,本中心依据“注册信息安全专业人员”资质评估准则进行审核并合格者,获得“注册信息安全专业人员”专业资质证书。
证后维持管理:由中国信息安全产品测评认证中心负责和管理“注册信息安全专业人员”证后维持和服务工作。
三、培训师资:
由CISP认证的发起者和制定者,并具有多年信息安全领域实践的专家全程授课。
四、培训对象
包括在国家信息安全测评认证机构(包含授权测评机构)、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员。
五、培训费用
1、培训费:肆仟圆整人民币/人(含报名费、培训费、资料费),食宿可统一安排,费用自理。
2、考试费:1000元/人;
3、认证费:500元/人;
4、年金:500元/人/年;
注:(1).培训费中包含学员午餐、茶水及点心费用。
但不含学员住宿费。
(2).有关考试费、认证费、年金的规定及收取,详情请参阅中国信息安全产品测评认证中心网站。
六、报名须知:
1、填写《CISP培训报名表》(见附件一),于正式开课前一星期内提交于我培训中心,代为办理报名手续。
2、准备相关材料,学员报到当日提交:
a) 5张正面免冠2寸彩色照片(2张用于考试,2张用于认证,1张用于胸牌)
b) 2份学历证复印件
c) 2份身份证复印件
d) 填妥考试申请表
e) 填妥认证申请表,且第二页表格需加盖公章
3、培训地点:四川省成都市
4、培训时间:2007年1月15日—1月26日上课(1月14日全天报到)
七、培训组织单位及联系办法:
主办单位:中国信息安全产品测评认证中心
承办单位:北京银长城信息技术有限公司CISP培训学习联系人:秦老师
电话咨询:0/8599转622或623 (传真)
电话咨询:0,(传真)
协办单位:国家信息安全成果产业化(四川)基地培训中心联系人:赵老师联系电话:028-,
传真电话:028-
中国信息安全产品测评认证中心国家信息安全成果产业化(四川)基地培训中心2006年11月20日 2006年11月20日
附件1:
“注册信息安全员资格认证培训”报名表
注:此表复制有效。