信息产业信息安全测评中心基本情况及业务
能力验证活动发现的问题总结与建议
漏洞库管理与查询系统的漏洞查询模块对用户的 输入过滤不严格,存在SQL注入漏洞和跨站脚 本漏洞。
信息产业信息安全测评中心 Page 27
二、发现的问题分析
5、信息系统渗透测试能力有所欠缺
2014年,样品系统中用户头像图片上传功能存在漏洞可绕 过文件类型验证上传后门,但90.6%的机构没发现该问题
能力验证活动发现的问题总结与建议
• • • •
国家网络与信息安全信息通报中心技术支撑单位 信息安全等级保护工作协调小组办公室推荐测评机构 国家信息安全产品认证指定实验室 非金融机构支付服务业务系统检测机构
内容提纲
一、能力验证活动概况 二、发现的问题总结 三、建议
二、发现的问题分析
6、未结合实际情况对测评内容进行仔细分析验证
通过URL可越权访问“系统人员管理”、“系统日志查看” 的问题未定位,仅对照权限列表与菜单的一致程度
信息安全等级保 护测评管理系统 访问控制功能存 在缺陷,项目管 理与实施用户可 以在登录后通过 URL直接跳转的 方式越权访问“ 系统人员管理” 、“系统日志查 看”等模块。
部分两年都报名参加的机构的技术人员对于标准理解、技 术水平有较大差距——SQL注入的问题2012年测得较到位, 2014年没有测出来
2012年:漏洞查询模块 对用户的输入过滤不严 格,存在SQL注入漏洞 和跨站脚本漏洞。
信息产业信息安全测评中心 Page 19
2014年:身份 鉴别模块可通 过SQL注入绕 过登录验证
安全管理服务器操作系统安 装了多余的远程管理程序( Real VNC 4.25)。
信息产业信息安全测评中心 Page 26
二、发现的问题分析
全国软件产品检测机构汇总情况
7
航天软件评测中心
7
市海淀区永定路51号(100854)
8
信息产业通信软件测评中心
贺晓能
3
市海淀区花园北路52号(100191)
9
工业和信息化部软件与集成电路促进中心赛普评测中心
帅
1-8115
海淀区羊坊店东路5号博望园西配楼10号(100038)
10
中国科学院软件研究所基础软件测评实验室
全国软件产品检测机构汇总
(说明:由于、、、、、、、正在完成认可检测机构的审核,所以暂时没有相关信息,请咨询当地受理机构)
1.市软件产品登记认可的软件检测机构
序号
检测机构名称
联系人
检测机构地址及网址
1
软件产品质量检测检验中心
何清清
1-815
市海淀区中关村软件园3号楼A座1242-1256号房间(100913)
薛云志
8/69-1070
市海淀区中关村南四街4号科研5号楼10层(100190)
11
中科卓信软件测评技术中心
9
51530158
市海淀区知春路23号量子银座1418A(100191)
2.市软件产品登记认可的软件检测机构备案
序号
检测机构名称
联系人
检测机构地址及网址
1
市计算机软件评测重点实验室
方娇
6
联航路1588号技术中心大楼3楼/
王继娜
5
市北街2号综合楼100A
2
北方实验室
鏖
威
2
9
市浑南新区世纪路15号火炬创新创业园C座5楼
14.软件产品登记认可的软件检测机构备案
信息安全评估报告
信息安全评估报告随着信息技术的不断发展,信息安全问题日益受到重视。
信息安全评估作为信息安全管理的重要环节,对于企业和个人来说具有重要意义。
本报告旨在对信息安全进行全面评估,为相关单位提供参考和建议。
一、信息安全评估的背景。
随着互联网的普及和信息化的发展,信息安全问题日益凸显。
各种网络攻击、数据泄露等事件层出不穷,给企业和个人带来了巨大的损失。
因此,信息安全评估成为了保障信息安全的重要手段。
二、信息安全评估的目的。
信息安全评估的主要目的是为了全面了解信息系统的安全状况,发现潜在的安全风险和问题,为信息安全管理提供科学依据和有效措施。
通过评估,可以及时发现和解决安全隐患,保障信息系统的安全运行。
三、信息安全评估的内容。
信息安全评估主要包括对信息系统的安全性能、安全策略、安全管理、安全技术和安全服务等方面的评估。
其中,安全性能评估主要针对系统的安全性能进行评估,包括系统的机密性、完整性和可用性等方面;安全策略评估主要评估系统的安全策略是否合理、有效;安全管理评估主要评估系统的安全管理是否到位、有效;安全技术评估主要评估系统的安全技术是否先进、可靠;安全服务评估主要评估系统的安全服务是否及时、有效。
四、信息安全评估的方法。
信息安全评估可以采用定性评估和定量评估相结合的方法。
定性评估主要是通过专家经验和专业知识进行评估,主要包括文件审查、访谈、观察等方法;定量评估主要是通过数据分析和统计方法进行评估,主要包括风险分析、脆弱性扫描、安全测试等方法。
五、信息安全评估的意义。
信息安全评估对于企业和个人来说具有重要意义。
首先,可以帮助企业和个人全面了解信息系统的安全状况,发现潜在的安全风险和问题;其次,可以为信息安全管理提供科学依据和有效措施,及时发现和解决安全隐患;最后,可以保障信息系统的安全运行,减少信息安全事件的发生,降低信息安全风险。
六、信息安全评估的建议。
针对信息安全评估发现的问题和风险,我们提出如下建议,加强信息安全意识教育培训,建立健全的信息安全管理制度,加强安全技术和服务的应用,定期进行信息安全评估和演练,及时发现和解决安全隐患。
中国信息安全认证中心
中国信息安全认证中心中国信息安全认证中心(China Information Security Certification Center,简称“CISCC”)是中国专门从事信息安全认证和相关技术服务的国家级机构。
成立于1998年,是经中华人民共和国认证认可监管部门批准设立的、具有独立法人资格的非营利性社会组织,隶属于国家利益的领域。
其宗旨是保护信息安全,提高信息安全水平,促进经济社会的可持续发展。
一、机构架构CISCC主要由认证与评估部、密码与安全技术部、科学技术研究部、信息安全应急联动中心、证书管理中心等五个部门构成。
其中认证与评估部是其核心部门,承担着对各类信息系统的安全认证、安全评估等任务。
二、业务范围1. 认证服务CISCC在信息安全认证方面具有多年的经验和技术积累,拥有国际领先的信息安全认证服务。
其认证业务主要包括以下几个方面:1.1. 信息系统安全等级保护评估认证信息系统安全等级保护是国家强制性的安全保护措施之一,对于各类重要信息系统的安全防护来说至关重要。
CISCC 的信息系统安全等级保护评估认证业务主要包括:(1)信息系统安全等级评估认证;(2)信息系统安全防护产品安全等级评估认证;(3)信息安全等级保护培训和咨询。
1.2. 信息安全管理体系认证信息安全管理体系认证是指在信息系统运行过程中,采用相关管理规范和标准,建立管理制度来保护信息资产的活动。
CISCC的信息安全管理体系认证业务主要包括:(1)ISO 27001信息安全管理体系认证;(2)GB/T 22080信息安全管理体系认证;(3)CISCC信息安全管理体系认证。
1.3. 其他信息安全认证CISCC的认证业务还包括其他信息安全认证项目,如:密码技术安全认证、市场网络安全评估、云计算安全认证等。
2. 技术服务CISCC的技术服务主要包括区块链技术、密码技术、信息安全应急服务等。
其技术服务专家团队由具有多年从业经验的专业技术人员组成,服务范围包括政府部门、企业、金融机构、电子政务和社会公益组织等。
中国信息安全产品测评认证中心(CNITSEC)
信息系统安全服务资质等级是对提供信息系统安全服务组织综合实力的客 观评价,反映了组织的信息系统安全服务资格、水平和能力。资质等级划分的主 要依据包括:基本资格要求、基本能力要求、安全工程过程能力和其他补充要求 等。
安全服务资质等级分为五级,由一级到五级依次递增,一级是最基本级别, 五级为最高级别。
3.2 基本能力要求
3.2.1 组织与管理要求
1. 必须拥有健全的组织机构和管理体系,为持续的信息系统安全服务提供 保证;
2. 必须具有专业从事信息系统安全服务的队伍和相应的质保体系; 3. 从事安全服务的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求
1. 了解信息系统技术的最新动向,有能力掌握信息系统的最新技术; 2. 具有不断的技术更新能力; 3. 具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、
分析和提供防范措施的能力; 4. 能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及
发布日期:2002 年 1 月
共13页第2页
CNITSEC
Байду номын сангаас
中国信息安全产品测评认证中心(CNITSEC) 信息安全服务资质认证指南
引言
中国信息安全产品测评认证中心(原中国国家信息安全测评认证中心,简称 CNITSEC)是经中央批准成立、代表国家开展信息安全测评认证的职能机构,依 据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家 信息安全测评认证体系。
3.1 基本资格要求....................................................................................................................4 3.2 基本能力要求....................................................................................................................5
CISP-1-信息安全测评认证概述
测评认证中心的建设过程 Nhomakorabea1997年初,国务院信息化工作领导小组委托筹建
“中国互联网络安全产品测评认证中心” 1998年7月, 该中心挂牌运行 1998年10月,国家质量技术监督局授权成立“中 国国家信息安全测评认证中心”
1999年2月9日,该中心挂牌运行 2001年5月,中编办根据党中央、国务院有关领
cnitsec
信息安全测评认证体系模式
信息安全认证管理委员会 认证机构 Lab认可机构 CB认可机构
信息技术安全认证中心
认 可
授权
认证
信息技术安全测试实验室
证书
信息技术安全测试实验室
信息技术安全测试实验室 信息技术安全测试实验室
cnitsec
美国(NIAP)
负责管理和运行美国的信息安全测评认证体系
行业性授权测评机构
1、计算机测评中心:由信产部(15所)2000年列编设立 2、广电测评中心:由广电部2000年列编设立 3、银行、证券、电信等行业,2001年起开始测评认证 cnitsec
二、信息安全测评认证标准
1 、通用准则CC(GB/T 18336 idt ISO/IEC 15408) 2、信息系统安全保障通用评估准则 3、其他标准
机密性 隐蔽信息 无条件 机密性 强制性 机密性 目标重用
范围 CC-0 到 CC-3 CD-0 到 CD-4 CM-0 到 CM-4 CR-0 到 CR-4
cnitsec
标准名称 TCSEC 绿皮书
功能级别
保证级别
D,C1,C2,B1,B2,B3,A1 F1~F10 Q1~Q8 L1~L66 F1~F10 E0~E7
国际上安全测评标准的发展
信息技术产品自主原创测评业务白皮书-中国信息安全测评中心
4 业务实施
4.1 业务流程 业务流程如下图 1 所示:
第 2 页,共 4 页
图 1 业务流程图
整个测评流程分为受理阶段、预测评阶段、测评阶段、注册阶段等四个阶段。 1)受理阶段 申请方向中心提交自主原创测评申请,按照文档要求提交全部文档及资质证 明。由受理人员对申请方提交的申请材料进行审核。如果未通过审核,受理部门 会根据提交材料的实际情况提出反馈意见,申请方应根据反馈意见进行补充或修 改。通过审核后,执行受理审批流程,申请方签订测评协议、交纳测评费用。
1.2 目的和意义 信息技术产品自主原创测评的目的是促进高质量、安全和自主原创的信息技
术产品的开发,包括如下几个方面: 1.积极落实国家的自主创新政策,扶持具有一定自主创新能力的信息技术企
业,促进我国信息技术产业的发展; 2.有助于在涉及国家安全的信息技术领域中加强产品和服务的安全性和可
控性,维护国家和用户的安全利益; 3.引导和鼓励信息技术企业的自主研发,使企业发展进入良性循环,提高信
3 测评内容 ..........................................................2 4 业务实施 ...................2
4.1 业务流程 ....................................................2 4.2 测评时间 ....................................................4 4.3 业务输出 ....................................................4
‘年中关村信息安全测评联盟能力验证计划结果报告
力维持提供技术支持。
2、参加者的范围
本次能力验证计划全国共有 182 家测评机构报名,其中 180 家参加了现场能力验 证活动,其中 166 家为《全国等级保护测评机构推荐目录》中的机构,占参加测评机 构的 92.22%。参加测评机构的地域覆盖 30 个省、直辖市和自治区。本次所有参加现 场能力验证的测评机构均提交了结果。
1、目的和意义 ....................................................................................1 2、参加者的范围 ................................................................................1 3、测评项目和要求 ............................................................................2 4、样品情况 ........................................................................................2
1
3、测评项目和要求
本次能力验证计划是依据《GB/T 22239-2008 信息安全技术 网络安全等级保护 基本要求》对样品系统进行测试与评估,判断系统的安全防护能力是否符合《GB/T 22239-2008 信息安全技术 网络安全等级保护基本要求》中第三级基本技术要求所选 取的网络安全、主机安全和应用安全要求以及样品系统所要求遵循的安全策略。
C) 5、计划日程 ........................................................................................3 ITSTE 6、保密要求 ........................................................................................4 心( 三、结果评价原则 ....................................................................................5 评中 四、结果评价 ............................................................................................6 测 五、分析和建议 ........................................................................................7
中国软件评测中心信息系统安全测评报告
中国软件评测中心信息系统安全测评报告一、前言随着信息技术的飞速发展,信息系统已成为我国经济社会发展的重要支撑。
保障信息系统安全,对于维护国家安全、社会稳定和人民群众利益具有重要意义。
为了全面了解我国信息系统安全状况,提高信息安全防护能力,中国软件评测中心对某单位信息系统进行了安全测评。
二、测评背景1. 测评目的本次测评旨在全面了解某单位信息系统的安全状况,发现潜在的安全风险,为信息系统安全防护提供科学依据。
2. 测评依据测评依据主要包括以下标准:(1)GB/T 222392008《信息安全技术信息系统安全等级保护基本要求》(2)GB/T 250582010《信息安全技术信息安全风险评估规范》(3)ISO/IEC 27001:2013《信息安全管理系统》(4)其他相关法律法规、标准及最佳实践3. 测评范围本次测评范围包括某单位信息系统的硬件设备、软件系统、网络设备、安全设备、管理制度、人员安全意识等方面。
三、测评过程1. 测评准备(1)成立测评团队:由中国软件评测中心抽调具有丰富经验的测评人员组成。
(2)制定测评方案:根据测评目的、依据和范围,制定详细的测评方案。
(3)收集相关信息:收集某单位信息系统的相关资料,包括硬件设备、软件系统、网络设备、安全设备、管理制度等。
2. 测评实施(1)物理安全测评:对信息系统的硬件设备、网络设备等进行物理安全检查。
(2)网络安全测评:对信息系统的网络架构、网络设备、安全设备等进行安全测评。
(3)系统安全测评:对信息系统的操作系统、数据库、中间件等进行安全测评。
(4)应用安全测评:对信息系统的应用程序进行安全测评。
(5)管理制度测评:对信息系统的安全管理制度、应急预案等进行测评。
(6)人员安全意识测评:对信息系统使用人员进行安全意识测评。
3. 测评结果分析根据测评数据,分析信息系统存在的安全风险,形成测评报告。
四、测评发现的安全问题及整改建议1. 物理安全(1)问题描述:部分硬件设备存在损坏、老化现象,可能导致系统运行不稳定。
中国信息安全测评中心
中国信息安全测评中心测评公告(2019年第5号)中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。
根据国家职能授权,测评结果定期向社会公布。
特此公告。
中国信息安全测评中心二〇一九年十月附表:通过国家信息安全测评/注册信息安全工程师(CISE)的人员序号姓名证书编号发证日期有效期备注1.李辉CNITSEC2002CISE00029 2019-9-23 2022-9-22 维持2.谭述纲CNITSEC2002CISE00045 2019-9-232022-9-22维持3.杨力CNITSEC2004CISE00280 2019-9-232022-9-22维持4.黄春CNITSEC2004CISE00281 2019-9-232022-9-22维持5.沈勇CNITSEC2004CISE00285 2019-9-232022-9-22维持6.郑毅强CNITSEC2005CISE00388 2019-9-232022-9-22维持7.韩瑜CNITSEC2005CISE00728 2019-9-232022-9-22维持8.冀传坤CNITSEC2007CISE01225 2019-9-232022-9-22维持9.甘洋CNITSEC2007CISE01231 2019-9-232022-9-22维持10.金建新CNITSEC2008CISE01275 2019-9-232022-9-22维持11.颜喜宏CNITSEC2009CISE00174 2019-9-232022-9-22维持12.王喆CNITSEC2009CISE00309 2019-9-232022-9-22维持13.张鹏CNITSEC2009CISE00363 2019-9-232022-9-22维持14.熊文丹CNITSEC2009CISE00379 2019-9-232022-9-22维持15.刘志欣CNITSEC2009CISE00537 2019-9-232022-9-22维持16.冯晓冬CNITSEC2010CISE00014 2019-9-232022-9-22维持17.罗希CNITSEC2010CISE00047 2019-9-232022-9-22维持18.陈森CNITSEC2010CISE00248 2019-9-232022-9-22维持19.张腾标CNITSEC2010CISE00360 2019-9-232022-9-22维持20.赵兆CNITSEC2010CISE00369 2019-9-232022-9-22维持21.杨威CNITSEC2010CISE00424 2019-9-232022-9-22维持22.楼晓CNITSEC2010CISE00479 2019-9-232022-9-22维持23.王旭CNITSEC2010CISE00535 2019-9-232022-9-22维持24.卫威CNITSEC2011CISE00131 2019-9-232022-9-22维持25.凌晨CNITSEC2011CISE00348 2019-9-232022-9-22维持26.石磊CNITSEC2011CISE01033 2019-9-232022-9-22维持27.万京平CNITSEC2012CISE00203 2019-9-232022-9-22维持28.陈游生CNITSEC2012CISE01080 2019-9-232022-9-22维持29.邢振华CNITSEC2012CISE01052 2019-9-232022-9-22维持30.肖伟CNITSEC2012CISE01150 2019-9-232022-9-22维持31.李愿军CNITSEC2012CISE01258 2019-9-232022-9-22维持32.战莹CNITSEC2012CISE01330 2019-9-232022-9-22维持33.颜清华CNITSEC2012CISE01404 2019-9-232022-9-22维持34.韩国峰CNITSEC2012CISE01373 2019-9-232022-9-22维持35.王永琦CNITSEC2012CISE01374 2019-9-232022-9-22维持36.赵春CNITSEC2012CISE01386 2019-9-232022-9-22维持37.唐立忠CNITSEC2012CISE01437 2019-9-232022-9-22维持38.陆晨晖CNITSEC2012CISE01472 2019-9-232022-9-22维持39.杨凯利CNITSEC2013CISE00065 2019-9-232022-9-22维持40.廖谦CNITSEC2013CISE00067 2019-9-232022-9-22维持41.陈烁文CNITSEC2013CISE00119 2019-9-232022-9-22维持42.纪德伟CNITSEC2013CISE00121 2019-9-232022-9-22维持43.梁庆姿CNITSEC2013CISE00122 2019-9-232022-9-22维持44.刘冰琼CNITSEC2013CISE00123 2019-9-232022-9-22维持45.岳志鹏CNITSEC2013CISE00126 2019-9-232022-9-22维持46.张信庆CNITSEC2013CISE00127 2019-9-232022-9-22维持47.韦红金CNITSEC2013CISE00152 2019-9-232022-9-22维持48.常茜茜CNITSEC2013CISE00177 2019-9-232022-9-22维持49.王鹏CNITSEC2013CISE00178 2019-9-232022-9-22维持50.林丰洲CNITSEC2013CISE00192 2019-9-232022-9-22维持51.吴占玉CNITSEC2013CISE00193 2019-9-232022-9-22维持52.段卫东CNITSEC2013CISE00196 2019-9-232022-9-22维持53.张华云CNITSEC2013CISE00200 2019-9-232022-9-22维持54.张亚合CNITSEC2013CISE00251 2019-9-232022-9-22维持55.陈志伟CNITSEC2013CISE00295 2019-9-232022-9-22维持56.王立民CNITSEC2013CISE00313 2019-9-232022-9-22维持57.罗乐CNITSEC2013CISE00529 2019-9-232022-9-22维持58.屈闯CNITSEC2013CISE00496 2019-9-232022-9-22维持59.刘伟CNITSEC2013CISE00513 2019-9-232022-9-22维持60.庄严CNITSEC2013CISE00526 2019-9-232022-9-22维持64.钟振帆CNITSEC2013CISE00675 2019-9-232022-9-22维持65.徐逸飞CNITSEC2013CISE00613 2019-9-232022-9-22维持66.徐志元CNITSEC2013CISE00614 2019-9-232022-9-22维持67.陈曙光CNITSEC2013CISE00624 2019-9-232022-9-22维持68.李烁CNITSEC2013CISE00688 2019-9-232022-9-22维持69.冯伟CNITSEC2013CISE00702 2019-9-232022-9-22维持70.金蕊CNITSEC2013CISE00796 2019-9-232022-9-22维持71.黄海CNITSEC2013CISE00862 2019-9-232022-9-22维持72.霍立磊CNITSEC2013CISE00839 2019-9-232022-9-22维持73.陈仙住CNITSEC2013CISE00891 2019-9-232022-9-22维持74.陈永泉CNITSEC2013CISE00892 2019-9-232022-9-22维持75.黄丽荣CNITSEC2013CISE00895 2019-9-232022-9-22维持76.黄骁婷CNITSEC2013CISE00896 2019-9-232022-9-22维持77.张玮CNITSEC2013CISE00903 2019-9-232022-9-22维持78.郑晓伟CNITSEC2013CISE00904 2019-9-232022-9-22维持79.朱亮CNITSEC2013CISE01141 2019-9-232022-9-22维持80.姚磊CNITSEC2013CISE00931 2019-9-232022-9-22维持81.王蓓CNITSEC2013CISE00968 2019-9-232022-9-22维持82.魏建新CNITSEC2013CISE00972 2019-9-232022-9-22维持83.桑月秋CNITSEC2013CISE01069 2019-9-232022-9-22维持84.刘阳CNITSEC2013CISE01085 2019-9-232022-9-22维持85.马悦CNITSEC2014CISE00900 2019-9-232022-9-22维持86.李平CNITSEC2014CISE00945 2019-9-232022-9-22维持87.陈立治CNITSEC2014CISE00990 2019-9-232022-9-22维持88.罗浪涛CNITSEC2014CISE01150 2019-9-232022-9-22维持89.杨铮CNITSEC2014CISE01243 2019-9-232022-9-22维持90.蔡春景CNITSEC2014CISE01509 2019-9-232022-9-22维持91.郑太海CNITSEC2014CISE01595 2019-9-232022-9-22维持92.邢懿CNITSEC2015CISE00632 2019-9-232022-9-22维持93.余希CNITSEC2015CISE00643 2019-9-232022-9-22维持96.王东CNITSEC2015CISE00939 2019-9-232022-9-22维持97.潘善民CNITSEC2015CISE01053 2019-9-232022-9-22维持98.王陈诚CNITSEC2015CISE01288 2019-9-232022-9-22维持99.张剑峰CNITSEC2015CISE01491 2019-9-232022-9-22维持100.程璋CNITSEC2015CISE01611 2019-9-232022-9-22维持101.王立江CNITSEC2015CISE01678 2019-9-232022-9-22维持102.蒋梦凌CNITSEC2016CISE00016 2019-9-232022-9-22维持103.辜轶峰CNITSEC2016CISE00126 2019-9-232022-9-22维持104.曹渝CNITSEC2016CISE00128 2019-9-232022-9-22维持105.曹宇龙CNITSEC2016CISE00241 2019-9-232022-9-22维持106.皇甫张棣CNITSEC2016CISE00800 2019-9-232022-9-22维持107.李秉CNITSEC2016CISE00251 2019-9-232022-9-22维持108.刘玲丽CNITSEC2016CISE00402 2019-9-232022-9-22维持109.王烜CNITSEC2016CISE00404 2019-9-232022-9-22维持110.陶彦CNITSEC2016CISE00405 2019-9-232022-9-22维持111.王唐林CNITSEC2016CISE00289 2019-9-232022-9-22维持112.段正杰CNITSEC2016CISE00444 2019-9-232022-9-22维持113.黄强CNITSEC2016CISE00446 2019-9-232022-9-22维持114.江明CNITSEC2016CISE00447 2019-9-232022-9-22维持115.李坤CNITSEC2016CISE00448 2019-9-232022-9-22维持116.吕柯露CNITSEC2016CISE00449 2019-9-232022-9-22维持117.张亚珍CNITSEC2016CISE00453 2019-9-232022-9-22维持118.章其星CNITSEC2016CISE00454 2019-9-232022-9-22维持119.张亚强CNITSEC2016CISE00465 2019-9-232022-9-22维持120.蔡翔宇CNITSEC2016CISE00473 2019-9-232022-9-22维持121.文远CNITSEC2016CISE00479 2019-9-232022-9-22维持122.余基飞CNITSEC2016CISE00487 2019-9-232022-9-22维持123.陈远鹏CNITSEC2016CISE00530 2019-9-232022-9-22维持124.方武仪CNITSEC2016CISE00664 2019-9-232022-9-22维持125.孙星CNITSEC2016CISE00679 2019-9-232022-9-22维持129.朱阳阳CNITSEC2016CISE00926 2019-9-232022-9-22维持130.陈滢竹CNITSEC2016CISE00129 2019-9-232022-9-22维持131.王宁CNITSEC2016CISE00898 2019-9-232022-9-22维持132.钟慧CNITSEC2016CISE00936 2019-9-232022-9-22维持133.梁曦CNITSEC2016CISE00938 2019-9-232022-9-22维持134.林麓CNITSEC2016CISE01032 2019-9-232022-9-22维持135.刘晶晶CNITSEC2016CISE01138 2019-9-232022-9-22维持136.董玉君CNITSEC2016CISE01144 2019-9-232022-9-22维持137.孙宣CNITSEC2016CISE01149 2019-9-232022-9-22维持138.孟二飞CNITSEC2016CISE00450 2019-9-232022-9-22维持139.郝尚印CNITSEC2016CISE01222 2019-9-232022-9-22维持140.黄辉CNITSEC2016CISE01238 2019-9-232022-9-22维持141.于亚坤CNITSEC2016CISE01292 2019-9-232022-9-22维持142.刘雪梅CNITSEC2016CISE01293 2019-9-232022-9-22维持143.汤敏杰CNITSEC2016CISE01294 2019-9-232022-9-22维持144.姚梦薇CNITSEC2016CISE01295 2019-9-232022-9-22维持145.江楠CNITSEC2016CISE01297 2019-9-232022-9-22维持146.张琪CNITSEC2016CISE01298 2019-9-232022-9-22维持147.韦震CNITSEC2016CISE01268 2019-9-232022-9-22维持148.邵晋光CNITSEC2016CISE01277 2019-9-232022-9-22维持149.苏彦CNITSEC2016CISE01278 2019-9-232022-9-22维持150.黄维CNITSEC2016CISE01283 2019-9-232022-9-22维持151.林锴CNITSEC2016CISE01342 2019-9-232022-9-22维持152.魏明春CNITSEC2016CISE01320 2019-9-232022-9-22维持153.李辉CNITSEC2016CISE01440 2019-9-232022-9-22维持154.余玲CNITSEC2016CISE01450 2019-9-232022-9-22维持155.黄德俊CNITSEC2016CISE01453 2019-9-232022-9-22维持156.王泽政CNITSEC2016CISE01360 2019-9-232022-9-22维持157.姚克民CNITSEC2016CISE01375 2019-9-232022-9-22维持158.刘昉CNITSEC2016CISE01382 2019-9-232022-9-22维持161.何帆CNITSEC2016CISE01417 2019-9-232022-9-22维持162.牛晨CNITSEC2016CISE01469 2019-9-232022-9-22维持163.耿焰CNITSEC2016CISE01494 2019-9-232022-9-22维持164.张筝CNITSEC2016CISE01500 2019-9-232022-9-22维持165.周志强CNITSEC2016CISE01501 2019-9-232022-9-22维持166.魏凤CNITSEC2016CISE01506 2019-9-232022-9-22维持167.陈之华CNITSEC2016CISE01540 2019-9-232022-9-22维持168.许颖媚CNITSEC2016CISE01545 2019-9-232022-9-22维持169.高云CNITSEC2016CISE01699 2019-9-232022-9-22维持170.吴秋玫CNITSEC2016CISE01566 2019-9-232022-9-22维持171.孙佰明CNITSEC2016CISE01588 2019-9-232022-9-22维持172.李秀芬CNITSEC2016CISE01605 2019-9-232022-9-22维持173.王鹏CNITSEC2016CISE01609 2019-9-232022-9-22维持174.周昕CNITSEC2016CISE01615 2019-9-232022-9-22维持175.房浩CNITSEC2016CISE01616 2019-9-232022-9-22维持176.李伟CNITSEC2016CISE01632 2019-9-232022-9-22维持177.叶延磊CNITSEC2016CISE01710 2019-9-232022-9-22维持178.王思尧CNITSEC2016CISE01715 2019-9-232022-9-22维持179.崔岩松CNITSEC2016CISE01676 2019-9-232022-9-22维持180.葛军CNITSEC2016CISE01721 2019-9-232022-9-22维持181.章富强CNITSEC2016CISE01787 2019-9-232022-9-22维持182.胡宇辉CNITSEC2016CISE01837 2019-9-232022-9-22维持183.李军CNITSEC2016CISE01838 2019-9-232022-9-22维持184.田洋CNITSEC2016CISE01967 2019-9-232022-9-22维持185.田晶CNITSEC2016CISE01970 2019-9-232022-9-22维持186.王鹏CNITSEC2016CISE01975 2019-9-232022-9-22维持187.李景清CNITSEC2016CISE01981 2019-9-232022-9-22维持188.吕志鹏CNITSEC2016CISE01869 2019-9-232022-9-22维持189.覃岩岩CNITSEC2016CISE01872 2019-9-232022-9-22维持190.胡培军CNITSEC2016CISE01878 2019-9-232022-9-22维持191.唐振宇CNITSEC2016CISE01900 2019-9-232022-9-22维持195.寇志寅CNITSEC2016CISE02040 2019-9-232022-9-22维持196.杨翔CNITSEC2016CISE02041 2019-9-232022-9-22维持197.韩哲CNITSEC2016CISE02104 2019-9-232022-9-22维持198.肖洁CNITSEC2016CISE01950 2019-9-232022-9-22维持199.林彬CNITSEC2016CISE01951 2019-9-232022-9-22维持200.袁胜CNITSEC2016CISE02140 2019-9-232022-9-22维持201.吴志强CNITSEC2016CISE02192 2019-9-232022-9-22维持202.黄亚龙CNITSEC2016CISE02223 2019-9-232022-9-22维持203.刘海波CNITSEC2016CISE02268 2019-9-232022-9-22维持204.葛荣兴CNITSEC2016CISE02276 2019-9-232022-9-22维持205.张瑞峰CNITSEC2016CISE02416 2019-9-232022-9-22维持206.张伟琦CNITSEC2016CISE02420 2019-9-232022-9-22维持207.张雄胜CNITSEC2016CISE02421 2019-9-232022-9-22维持208.冯开CNITSEC2016CISE02423 2019-9-232022-9-22维持209.乔金玉CNITSEC2016CISE02424 2019-9-232022-9-22维持210.卢志远CNITSEC2016CISE02425 2019-9-232022-9-22维持211.任广平CNITSEC2016CISE02433 2019-9-232022-9-22维持212.任思诗CNITSEC2017CISE00016 2019-9-232022-9-22维持通过国家信息安全测评/注册信息安全管理人员(CISO)的人员序号姓名证书编号发证日期有效期备注1.杜鸿晖CNITESC2007CISO00455 2019-9-232022-9-22维持2.卢星宇CNITSEC2007CISO00449 2019-9-232022-9-22维持3.龙颂潜CNITSEC2008CISO00502 2019-9-232022-9-22维持4.邱建民CNITSEC2009CISO00191 2019-9-232022-9-22维持5.卓鹏程CNITSEC2009CISO00195 2019-9-232022-9-22维持6.张文豪CNITSEC2009CISO00197 2019-9-232022-9-22维持7.黄代安CNITSEC2009CISO00202 2019-9-232022-9-22维持8.吴兰CNITSEC2010CISO00149 2019-9-232022-9-22维持11.和正刚CNITSEC2013CISO00092 2019-9-232022-9-22维持12.刘智刚CNITSEC2013CISO00159 2019-9-232022-9-22维持13.张平CNITSEC2013CISO00161 2019-9-232022-9-22维持14.赵勇CNITSEC2013CISO00398 2019-9-232022-9-22维持15.朱严CNITSEC2013CISO00399 2019-9-232022-9-22维持16.郑茂林CNITSEC2013CISO00400 2019-9-232022-9-22维持17.张景明CNITSEC2013CISO00520 2019-9-232022-9-22维持18.陈非CNITSEC2013CISO00525 2019-9-232022-9-22维持19.闫利CNITSEC2013CISO00536 2019-9-232022-9-22维持20.陆高斌CNITSEC2014CISO00228 2019-9-232022-9-22维持21.宋燕伟CNITSEC2014CISO00317 2019-9-232022-9-22维持22.周源CNITSEC2015CISO00103 2019-9-232022-9-22维持23.张寒坤CNITSEC2015CISO00421 2019-9-232022-9-22维持24.张盛有CNITSEC2016CISO00002 2019-9-232022-9-22维持25.陈兴艳CNITSEC2016CISO00012 2019-9-232022-9-22维持26.康政辉CNITSEC2016CISO00034 2019-9-232022-9-22维持27.成首玺CNITSEC2016CISO00069 2019-9-232022-9-22维持28.吴寒平CNITSEC2016CISO00153 2019-9-232022-9-22维持29.刘超CNITSEC2016CISO00185 2019-9-232022-9-22维持30.马骎CNITSEC2016CISO00144 2019-9-232022-9-22维持31.苏晓春CNITSEC2016CISO00320 2019-9-232022-9-22维持32.贾明CNITSEC2016CISO00321 2019-9-232022-9-22维持33.于敏CNITSEC2016CISO00322 2019-9-232022-9-22维持34.佘智勇CNITSEC2016CISO00323 2019-9-232022-9-22维持35.闫振CNITSEC2016CISO00328 2019-9-232022-9-22维持36.孔祥龙CNITSEC2016CISO00340 2019-9-232022-9-22维持37.申斌CNITSEC2016CISO00352 2019-9-232022-9-22维持38.陈茜CNITSEC2016CISO00357 2019-9-232022-9-22维持39.张五一CNITSEC2016CISO00358 2019-9-232022-9-22维持40.邢昕CNITSEC2016CISO00360 2019-9-232022-9-22维持44.张明春CNITSEC2016CISO00495 2019-9-232022-9-22维持45.陈绍武CNITSEC2016CISO00519 2019-9-232022-9-22维持46.陈光敏CNITSEC2016CISO00522 2019-9-232022-9-22维持47.朱雯君CNITSEC2016CISO00563 2019-9-232022-9-22维持48.刘栋CNITSEC2016CISO00577 2019-9-232022-9-22维持49.肖华英CNITSEC2016CISO00597 2019-9-232022-9-22维持50.史晓辉CNITSEC2016CISO00715 2019-9-232022-9-22维持51.宋斌CNITSEC2016CISO00819 2019-9-232022-9-22维持通过国家信息安全测评/注册信息系统审计师(CISP-A)的人员序号姓名证书编号发证日期有效期备注1.李建军CNITSEC2013CISP-A00023 2019-9-232022-9-22维持2.韩文科CNITSEC2013CISP-A00027 2019-9-232022-9-22维持3.曹树仁CNITSEC2014CISP-A00005 2019-9-232022-9-22维持通过国家信息安全测评/注册信息安全员(CISM)的人员序号姓名证书编号发证日期有效期备注1.袁华刚CNITSEC2013CISM00476 2019-9-232022-9-22维持2.胡华锋CNITSEC2013CISM00555 2019-9-232022-9-22维持3.马家嘉CNITSEC2013CISM00701 2019-9-232022-9-22维持4.张鹏CNITSEC2014CISM00605 2019-9-232022-9-22维持5.石林晓CNITSEC2016CISM00323 2019-9-232022-9-22维持6.张权CNITSEC2016CISM00324 2019-9-232022-9-22维持。
信息安全评估报告
信息安全评估报告随着网络技术的不断发展,信息安全问题也越来越引起人们的关注。
对于企业来说,信息安全是非常重要的问题,一旦出现信息泄露,将对企业造成巨大的损失。
因此,信息安全评估成为了企业不可或缺的一部分。
在实际执行中,企业需要进行信息安全评估并且形成评估报告,以便更好地了解自身的安全状况,及时采取措施防范风险。
信息安全评估是指通过对企业的信息系统进行深入的测试和分析,识别涉及信息安全违规、不良行为和情况,并建议改进措施。
因此,企业需要找到专业的信息安全评估机构,进行全方位的安全风险评估和测试,确保企业信息系统的安全性和完整性。
一旦发现问题,企业需要及时采取措施解决,还要形成详细的评估报告。
随着评估的深入,企业需要将评估结果形成报告,以便进行安全风险分析和管理。
信息安全评估报告主要包括以下几个方面:一、测试结果与结论评估报告中应该包括测试的结果和结论,这是评估报告最重要的一部分。
测试结果可以细分为各个方面,比如风险评估、安全策略、安全技术措施、应急响应等等。
评估报告要尽可能详尽地描述测试结果,并给出相应的评估结论,告诉企业其信息系统在哪些方面有风险,需要加强哪些方面的安全管理。
二、问题与解决方案评估报告需要明确企业信息系统存在的问题,并提出相应的解决方案。
这些问题主要包括存在的安全风险、缺失的安全措施、不合规的安全管理等。
解决方案主要包括技术和管理措施,要针对具体的问题提出具体的解决方案,以便企业能够快速采取相应的安全管理措施。
同时,要注重解决方案的可行性和实用性。
三、安全管理评价信息安全评估报告还应包括对企业安全管理的评价和建议。
这部分内容主要是对企业采取的安全措施、安全策略、安全管理制度等进行评价和建议,从而帮助企业了解自身的安全水平,以及如何采取更好的安全管理措施。
评价的过程中需要根据国家相关的法规、标准等进行综合分析,以便更好地指导企业的安全管理和建设。
四、其他建议在对企业的信息安全管理进行评估的过程中,评估人员还可能会发现一些其他问题,这些问题不是企业安全的直接问题,但会影响到企业的安全和发展。
中国信息安全测评中心揭牌
深化安全技术测评,维护国家信息安全来源:明朝万达作者:发布时间:2008-12-0210月31日,中国信息安全测评中心揭牌仪式在北京中关村软件园隆重举行,正式拉开了中国信息安全测评中心启用新名称、履行新职能的重要一幕。
来自国家质检总局、工业和信息化部、国家发改委等近三十个中央国家机关相关部门的领导,和来自信息安全界的知名院士专家,以及信息安全产业界的代表百余人亲临现场表示祝贺。
信息安全测评认证是信息安全保障的基础性工作,特别是在当前我国信息技术与产业的核心竞争力还不强,关键技术、关键设备还受制于人的情况下,严格把住信息技术产品的市场准入关尤为重要。
党中央、国务院对信息安全测评认证工作高度重视,早在1997年第一届国务院信息化工作领导小组就授权国家质检总局启动了信息安全产品测评认证体系建设工作。
经过几年的筹建和试运行,2001年中央批准在国家质检总局设立了“中国信息安全产品测评认证中心”,负责我国的信息安全测评与认证工作。
经过十年的发展,基本建立了对信息安全产品、信息系统安全性、信息安全服务资质和信息安全专业人员资质进行测评认证的能力;形成了较为完备的组织工作体系;对一千多个产品、系统和服务厂商实施了测评认证,对数千名信息安全专业人员进行了认证和国家注册;主持制定了二十多项体现我国特色的测评技术国家标准;为十多个中央和国家部委提供了安全技术测评服务,在保障国家信息安全方面发挥了重要作用。
2004年10月,中国信息安全产品测评认证中心根据国家质检总局等八部委联合下发的《关于建立国家信息安全认证认可体系的通知》中实行测评和认证职能分离的要求,将信息安全产品的认证工作移交给新成立的“中国信息安全认证中心”,并更名为“中国信息安全测评中心”,继续承担信息安全产品的测评工作,为认证工作提供科学、权威、客观、公正的技术依据;与此同时,增加对我国基础信息网络和重要信息系统进行风险评估的新职能。
根据中央领导“加快安全测评中心的建设”的重要指示精神,中国信息安全测评中心在国家质检总局、工业和信息化部、中编办、国家发改委、财政部、科技部等有关部门的大力支持下,先后落实了人员编制、办公条件、科研装备和运行经费,作为国家风险评估专控队伍,近年来承担了对我国基础信息网络和重要信息系统以及奥运网络信息系统的风险评估与安全检查工作任务,发现了大量安全漏洞和网络失泄密隐患,提出了有效整改建议,及时堵塞了漏洞、消除了隐患,为确保北京奥运会的成功举办和维护国家信息安全发挥了重要作用。
信息系统安全检测报告
信息系统安全检测报告一、引言随着信息技术的飞速发展,信息系统在各个领域的应用日益广泛,其安全性也变得至关重要。
本报告旨在对[具体信息系统名称]进行全面的安全检测和评估,以揭示潜在的安全风险和漏洞,并提出相应的改进建议。
二、检测范围与目标1. 明确检测涵盖的信息系统范围,包括硬件、软件、网络架构等。
2. 阐述检测的目标,如发现漏洞、评估安全策略的有效性等。
三、检测方法与工具1. 描述所采用的检测方法,如漏洞扫描、渗透测试、安全审计等。
2. 列举使用的安全检测工具,并说明其特点和优势。
四、安全检测结果1. 系统漏洞分析详细列出发现的各类漏洞,如操作系统漏洞、应用程序漏洞等。
对漏洞的严重程度进行评估和分类。
2. 网络安全状况分析网络架构的安全性,包括防火墙配置、访问控制等。
检测网络通信是否存在安全隐患。
3. 数据安全评估数据的保密性、完整性和可用性。
检查数据备份与恢复机制的有效性。
4. 用户认证与授权审查用户认证方式的安全性。
核实授权机制是否合理。
5. 安全策略与制度评估现有的安全策略和制度是否完善。
指出存在的不足和改进方向。
五、安全风险评估1. 根据检测结果,对信息系统面临的安全风险进行综合评估。
2. 确定风险的级别和影响范围。
六、改进建议1. 针对发现的漏洞和安全问题,提出具体的修复建议。
2. 就安全策略和制度的完善提供指导意见。
3. 建议加强人员安全培训和意识教育。
七、结论1. 总结本次安全检测的主要发现和成果。
2. 强调信息系统安全的重要性和持续改进的必要性。
八、附录1. 包含检测过程中生成的详细报告、日志等资料。
2. 其他相关的补充信息。
信息系统等级测评报告
信息系统等级测评报告一、引言信息系统在现代社会中的重要性不言而喻,它们承载着大量关键数据和业务流程,因此必须保证其安全性和稳定性。
为了对信息系统进行客观评估,本报告将对XXX公司的信息系统进行等级测评,并提供测评结果及建议。
二、测评背景XXX公司是一家大型电子商务企业,拥有复杂的信息系统架构和庞大的用户基础。
公司高度依赖信息系统,因此信息系统的安全性和性能是公司运营的关键因素。
三、测评目标本次测评的目标是评估XXX公司信息系统在保密性、完整性和可用性等关键方面的等级,为公司提供改进建议以提升信息系统的安全性和效率。
四、测评方法本次测评采用了以下方法进行:1. 信息收集:了解XXX公司的信息系统架构、数据流程以及安全控制措施。
2. 风险评估:对可能的威胁进行分析,评估其对信息系统的风险程度。
3. 安全扫描:利用专业软件对系统进行漏洞扫描和安全性评估。
4. 随机抽样:对系统中的样本数据进行抽取,验证其完整性和准确性。
5. 用户反馈:收集系统用户的意见和建议,以了解其对系统安全性的感知。
五、测评结果与分析根据本次测评的结果,XXX公司信息系统在保密性、完整性和可用性等关键方面等级如下:1. 保密性评级:A级通过对系统中的访问权限控制、加密机制以及安全审计等方面的评估,本测评得出XXX公司信息系统在保密性方面达到了A级水平。
系统能够有效保护敏感数据免受未授权访问的风险,并具备相应的安全审计措施以便对潜在的安全事件进行调查和溯源。
2. 完整性评级:B级在数据完整性方面,XXX公司的信息系统达到了B级水平。
系统能够防止数据的非法篡改和损坏,但在一些业务流程中存在一定的安全漏洞。
3. 可用性评级:A级XXX公司的信息系统在可用性方面达到了A级水平。
系统能够保证高可用性和稳定性,用户能够随时访问和使用系统,没有明显的系统故障和中断。
六、建议和改进措施基于本次测评结果,我们向XXX公司提出以下建议和改进措施,以提升信息系统的安全性和效率:1. 加强员工培训:提高员工对信息系统安全的意识,加强安全意识培训,防止社会工程学攻击。
某单位信息系统安全等级测评报告
某单位信息系统安全等级测评报告1. 测评目的本次测评旨在对某单位信息系统的安全等级进行全面评估,以发现潜在的安全风险,并提供改进建议,确保信息系统的安全可靠。
2. 测评范围本次测评的范围涵盖某单位的整体信息系统,包括网络设备、服务器、存储设备、应用系统、数据库、防火墙等相关硬件和软件设施。
3. 测评方法本次测评采用了常见的安全测评方法,包括渗透测试、漏洞扫描、安全策略审核等多种手段,全面分析信息系统的安全状态。
4. 测评结果经过多次测评和深入分析,发现了某单位信息系统存在以下安全风险:(1)网络设备存在弱密码和漏洞未及时修复的问题,容易受到恶意攻击的威胁;(2)服务器和存储设备的安全配置不当,存在信息泄露的风险;(3)应用系统和数据库存在权限控制不严格的问题,可能造成数据泄露和信息不当使用的隐患;(4)防火墙规则设置不合理,无法有效阻挡潜在的网络攻击。
5. 改进建议针对以上安全风险,提出了以下改进建议:(1)加强网络设备的安全管理,定期修改密码,及时更新漏洞补丁,提高网络安全性;(2)对服务器和存储设备进行安全配置优化,加强对敏感数据的保护,避免信息泄露;(3)加强应用系统和数据库的权限控制,限制非必要操作人员的访问权限,确保数据安全;(4)对防火墙规则进行调整,确保能够有效阻挡恶意攻击。
6. 结论通过本次信息系统安全等级测评,发现了某单位信息系统存在一定的安全风险,但也提供了相应的改进建议。
希望某单位能够重视信息系统安全,加强安全管理,并及时采取相应的措施,确保信息系统的安全性和可靠性。
对于某单位信息系统存在的安全风险,需要采取相应的措施来加强安全管理,以确保信息系统的安全性和可靠性。
以下是针对本次测评结果提出的改进建议的具体措施:1. 加强网络设备的安全管理针对网络设备存在弱密码和漏洞未及时修复的问题,建议对网络设备进行定期的安全审计和漏洞扫描,确保设备的安全性。
同时,加强对管理员账号和密码的管理,定期修改密码并强制设置复杂度要求。
全国软件产品检测机构汇总
山西电子信息产品检测所
段立军
太原市并州北路39号
2
中国软件评测中心山西分中心
唐 菁
中北大学软件学院
18.陕西省软件产品登记认可的软件检测机构备案名单
序号
检测机构名称
联系人
电话
检测机构地址及网址
1
陕西省软件评测中心
王滈
陕西省西安市西五路62号
19.四川省软件产品登记认可的软件检测机构备案名单
序号
检测机构名称
万鹏
江西省南昌市福州路235号
2
南昌金庐软件园软件评测培训有限公司
傅娴
南昌市高新区火炬大街559号
13.辽宁省软件产品登记认可的软件检测机构备案名单
序号
检测机构名称
联系人
电话
检测机构地址及网址
1
辽宁省电子信息产品监督检验院(辽宁省信息安全与软件测评认证中心)
王继娜
沈阳市太原北街2号综合楼100A
2
辽宁北方实验室有限公司
北京亦庄经济技术开发区同济南路8号CESI标准化科技园
6
中国赛宝实验室(工信部电子五所)
李佳
广州市天河区东莞庄路110号301楼2楼 赛宝软件评测中心
3.天津软件产品登记认可的软件检测机构备案名单
序号
检测机构名称
联系人
电话
检测机构地址及网址
1
中国软件评测中心
黄江平
北京市海淀区紫竹院路66号赛迪大厦12/13/14层
北京市电子产品质量检测中心
关利维
北京市东城区广渠门内大街9号(100062)
7
航天软件评测中心
北京市海淀区永定路51号(100854)
8
信息安全等级测评机构能力要求使用说明
信息安全等级测评机构能力要求使用说明信息安全等级测评机构是指按照《信息安全等级保护条例》的规定,经国家权威机关认定并登记注册,具备信息安全测评资质的机构。
信息安全等级测评机构的能力要求使用说明的目的是为了确保测评机构能够有效、准确地评估信息系统的安全等级,为政府、企事业单位提供科学、可靠的信息安全保障服务。
一、机构能力要求1.人员(1)信息安全等级测评机构的人员应具备经过相关培训,并取得相应证书的信息安全专业人员。
主要人员应包括具有一定年限的信息安全工作经验的高级工程师、技术人员和专业测评师等。
(2)人员应具备良好的职业道德素质和团队合作精神,具备独立开展信息安全等级测评工作的能力。
(3)人员应定期参加相关技术培训和考试,不断提升自身信息安全专业知识和技能,适应信息安全技术的快速更新换代。
2.设备(1)信息安全等级测评机构应配备先进、完备的信息安全测评设备和工具,以确保对各种信息系统进行全面的测评。
(2)设备应具备可靠性、稳定性和安全性,满足信息安全等级测评的要求。
(3)设备应定期维护和检修,并及时更新升级,以应对不断变化的信息安全威胁。
3.方法和流程(1)信息安全等级测评机构应制定科学、规范的测评方法和流程,确保测评结果的准确性和可靠性。
(2)测评方法应结合测评对象的实际情况,综合运用攻击与防护知识、安全评估知识和相关技术手段等,对信息系统进行全面、细致的安全检测。
(3)测评流程应明确每个环节的职责和要求,确保测评的全过程可控、可追溯。
4.组织管理(1)信息安全等级测评机构应建立健全的组织管理体系,明确各级管理人员和各部门的职责和权限。
(2)组织管理体系应涵盖人事管理、质量管理、安全管理等方面,并严格执行相关政策和制度。
(3)组织管理体系应进行定期审核和持续改进,不断提高信息安全等级测评工作的质量和水平。
二、使用说明1.测评需求确认2.测评准备(1)信息安全等级测评机构应根据测评需求,调配相应的人员和设备,进行必要的准备工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计量认证合格单位遵循准则 实验室资质认定评审准则
信息安全管理体系认证标准 ISO/IEC 27001:2005 信息技术 安全技术 信息安全管理体系要求
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系要求
信息产业信息安全测评中心
Page 5
单位介绍(三)--所具备的安全管理制度
信息产业信息安全测评中心
Page 8
单位介绍(四)--设备与设施
信息安全产品测试设备与工具
在设备设施方面,中心购置了相应的测评设备和工具
协议分析仪、思博伦万兆性能测试仪、IXIA性能测试仪
信息产业信息安全测评中心
Page 9
试机构
信息产业信息安全测评中心
Page 4
单位介绍(三)--所具备的安全管理制度
国家认可检查机构遵循标准
ISO/IEC 17020:1998各类检 查机构能力的通用要求
GB/T 18346-2001 各类检查 机构能力的通用要求
国家认可实验室遵循标准
ISO/IEC 17025:2005 检测和 校准实验室能力的通用要求 GB/T 27025-2008 检测和校 准实验室能力的通用要求
信息产业信息安全测评中心情况汇报
15901564049 zhangy@.c
n
•信息安全等级保护测评机构(国-008) •国家信息安全产品认证指定实验室 •中国人民银行非金融机构支付服务业务系统检测机构/移动金融 技术服务认证检测机构
提纲
单位介绍 经验及能力简介
证检测机构 信息安全风险评估服务资质认证证书(一级)(ISCCC-2010-ISV-RA-003) 中国国家认证认可监督管理委员会授权国家信息安全产品强制性检测实验室 工业和信息化部工业产品质量控制和技术评价实验室 信息安全管理体系认证证书( GB/T 22080 --ISO/IEC 27001) 信息产业部授权通信电子质量监督检验机构 国家税务局指定软件产品增值税退税检测机构 北京市经信委北京市财政局北京市国税局指定软件产品增值税退税检测与登记测
2013年中心质量体系 现行有效版本为5.0, 中心管理体系已经有 效运行十三年,并一 直持续改进。
《DP5.4.1-测评/检查过程控制程序》
中心运行的 管理体系
信息产业信息安全测评中心
Page 6
单位介绍(三)--所具备的安全管理制度
持续通过中国合格评定国家认可委员会(CNAS)认可的 实验室和检查机构监督评审和复评审
信息产业信息安全测评中心
Page 2
单位介绍(一)
华北计算技术研究所(中国电子科技集团公司第十五研究 所)成立于1958年是全民所有制国家一类科研事业单位
注册资金1.0641亿元 1998年,工业和信息化部(原电子工业部)依托中国电子
科技集团公司第十五研究所,授权其成立“电子工业部计 算机安全技术检测中心”,2011年经工信部批示,更名为 “信息产业信息安全测评中心” 中央网信办技术支持单位 国家网络与信息安全信息通报机制技术支持单位 工信部重点领域信息安全检查技术支持队伍 公安部和北京市公安局网安安全检查与应急技术支持单位
通过ISO 27001信息安全认证体系监督审核和复评审 质量目标
测评报告的合格率达到100%,客户满意度达到96% 质量方针
信息产业信息安全测评中心
Page 7
单位介绍(四)--设备与设施
智能卡产品测试设备与工具
1. Java卡安全性检测平台 2. 智能卡COS安全性检测平台 3. 随机数质量检测平台 4. 非接触式智能卡协议分析仪 5. SWP测试套件 6. 接触式智能卡测试仪- MP300 TC2 7. 接触式智能卡测试仪- MP300 TC3 8. 非接触式智能卡测试仪- MP300 TCL2 9. MP300 TCL2扩展模块 10. 智能卡通信协议分析仪- STAR 3150 11. 智能卡旁路攻击分析测试平台-Inspector SCA 12. 智能卡故障注入分析测试平台- Inspector FI系统
信息产业信息安全测评中心
Page 3
单位介绍(二)--所具备的认证认可相关资质
工业和信息化部最早成立及授权专门从事信息系统测评和信息安全产品测试及技 术服务的检测机构
中国认证认可监督管理委员会(CMA)计量认证/资质认定资质 中国合格评定国家认可委员会(CNAS)认可检测实验室(CNAS L0293) 中国合格评定国家认可委员会(CNAS)认可检验机构(CNAS IB0046) 信息安全等级保护测评机构推荐证书(国-008) 中国人民银行授权非金融机构支付服务业务系统检测机构和移动金融技术服务认
单位介绍(四)--设备与设施
移动互联网应用软件源代码安全审计分析平台
信息产业信息安全测评中心
Page 10
单位介绍(四)--设备与设施
信息系统安全与软件测试设备与工具
1. 绿盟远程安全评估系统 2. 安信通数据库安全扫描和渗透系统 3. 明鉴数据库弱点扫描器 4. IBM Rational AppScan应用安全扫描和分析系统 5. WebRavor应用安全扫描系统 6. Acunetix WVS应用安全漏洞扫描和分析软件 7. BackTrack5安全检测套件 8. 软件测试管理工具-Mercury Quality Center 9. 软件产品性能测试软件-HP LoadRunner 10. 软件源代码安全检测工具-Fortify software SCA
信息产业信息安全测评中心
WebRavor
Page 11
单位介绍(四)--设备与设施
设备设施配置
中心还根据测评需要,自行研发了一批测试管理平台和工具