风险类-中国信息安全认证中心

国家信息安全测评信息安全服务资质申请指南（云计算安全类一级）（试行）©版权2017—中国信息安全测评中心2017年9月1日目录目录2引言3一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 云计算安全服务过程能力要求 (7)3.4 项目和组织过程能力要求 (9)四、资质认定 (11)4.1认定流程图 (11)4.2申请阶段 (12)4.3资格审查阶段 (12)4.4能力测评阶段 (12)4.4.1静态评估 (12)4.4.2现场审核 (13)4.4.3综合评定 (13)4.4.4资质审定 (13)4.5证书发放阶段 (13)五、监督、维持和升级 (14)六、处置 (14)七、争议、投诉与申诉 (14)八、获证组织档案 (15)九、费用及周期 (15)十、联系方式 (16)引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作，对信息技术产品、信息系统和工程的安全性进行测试与评估。

对信息安全服务和人员的资质进行审核与评价。

中国信息安全测评中心的主要职能是：1.为信息技术安全性提供测评服务；2.信息安全漏洞分析；3.信息安全风险评估；4.信息技术产品、信息系统和工程安全测试与评估；5.信息安全服务和信息安全人员资质测评；6.信息安全技术咨询、工程监理与开发服务。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。

为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

国家注册信息安全管理体系(ISMS）审核员
培训招生简章
中国信息安全认证中心（China Information Security Certification Center，英文缩写:ISCCC）是经中央编制委员会批准成立，由原国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证（产品认证、服务资质认证和ISMS、ITSM认证）的专门机构.
中国信息安全认证中心是经国家批准的ISMS审核员、信息安全产品认证工厂检查员、信息安全服务资质认证评审员、信息安全技术培训的专业培训机构.
国家注册ISMS审核员是国家认可的ISMS认证审核执业资格，从事和提供第三方ISMS认证的认证机构必须具备规定数量的国家注册ISMS审核员.另外,ISMS审核员也是一个组织中不可缺少的、重要的信息安全岗位,其职责是持续评审组织ISMS的符合性，以保证组织的信息安全符合法规、标准和业务的要求。

为各类人员对培训的需求,我们将定期举办ISMS审核员培训班，欢迎报名参加。

培训班的培训与考试内容、时间与方式见附件.
报名回执：
国家注册ISMS 审核员培训班报名表
注:
1。

学员报名条件按国家ISMS 注册审核员注册基本要求执行(见CCAA网站中人员注册—新领域确认-关于发布《信息安全管理体系认证审核员确认方案的》通知）。

2。

请随回执一并提交480＊640的数码登记照。

3。

回执请联系:
徐然
北京市朝外大街甲10号中认大厦,100020
中国信息安全认证中心
电话：010-******** 传真:010—65994283 电子邮件：training＠isccc。

《网络安全知识》判断题1、在使用网络和计算机时，我们最常用的认证方式是用户名/口令认证。

1、错误2、正确正确答案为：B2、公钥密码体制有两种基本的模型:一种是加密模型,另一种是解密模型。

1、错误2、正确正确答案为：A3、文件拥有者可以决定其他用户对于相应的文件有怎么样的访问权限，这种访问控制是基于角色的访问控制。

1、错误2、正确正确答案为：A4、文件拥有者可以决定其他用户对于相应的文件有怎么样的访问权限，这种访问控制是自主访问控制。

1、错误2、正确正确答案为：B1、云计算的特征分别为按需自服务，宽度接入，资源池虚拟化，架构弹性化以及服务计量化。

1、错误2、正确正确答案为：B2、自主访问控制(DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。

1、错误2、正确正确答案为：A3、安全信息系统获取的基本原则包括符合国家、地区及行业的法律法规，符合组织的安全策略与业务目标。

1、错误2、正确正确答案为：B4、备份策略是一系列原则，包括数据备份的数据类型，数据备份的周期以及数据备份的储存方式。

1、错误2、正确正确答案为：B5、总书记担任中共中央网络安全和信息化领导小组组场以来，我国信息化形势越来越好，国家对于信息化也越来越重视。

1、错误2、正确正确答案为：B1、服务式攻击就是让被攻击的系统无常进行服务的攻击方式。

1、错误2、正确正确答案为：A2、《网络安全法》只能在我国境适用。

1、错误2、正确正确答案为：A3、棱镜门事件的发起人是英国。

1、错误2、正确正确答案为：A4、大数据已经深入到社会的各个行业和部门，也将对社会各方面产生更重要的作用。

1、错误2、正确正确答案为：B5、打诈骗密码属于远程控制的攻击方式。

1、错误2、正确正确答案为：A1、通过网络爬虫等方式获取数据，是数据收集其中一种方式叫网络数据采集。

1、错误2、正确正确答案为：B2、一般认为，未做配置的防火墙没有任何意义。

1、错误2、正确正确答案为：B3、ETSI专门成立了一个专项小组叫M2M TC。

中国信息安全测评中心给出的安全可靠等级1.引言1.1 概述概述部分的内容可以描述中国信息安全测评中心（简称CITC）的重要性以及其对信息安全领域的贡献。

中国信息安全测评中心（CITC）是中国国家计算机网络应急技术处理协调中心（CNCERT）下属的一家专业机构。

它致力于评估和认证各类信息系统和产品的安全性和可靠性，为保障国家信息安全作出了重要贡献。

在信息安全领域中，信息系统和产品的安全性是至关重要的。

随着网络的快速发展和信息技术的普及应用，安全性问题也日益凸显，恶意攻击、数据泄露和系统漏洞等威胁不断增加，严重威胁国家的安全和社会的稳定。

因此，评估和认证信息系统和产品的安全性变得至关重要。

CITC作为中国权威的信息安全测评机构，拥有丰富的经验和专业的技术团队。

它通过制定一系列严格的安全可靠等级评估标准，对各类信息系统和产品进行科学、客观、全面的评估和测试，准确评估其在安全性和可靠性方面的表现。

这些评估标准不仅适用于政府部门和军队的信息系统，也适用于企事业单位的信息系统和产品。

通过CITC的评估，可以及时发现和解决信息系统和产品存在的安全隐患，提升其安全性和可靠性，确保信息系统和产品的正常运行和数据的安全保密。

在国家信息安全战略的背景下，CITC的工作对于国家各个行业和企事业单位的信息安全至关重要。

通过CITC的评估认证，可以为国家信息安全提供可靠的支持，推动信息安全技术的创新和发展，提升整个国家信息安全保障体系的水平。

总之，中国信息安全测评中心在信息安全领域具有重要地位和作用，它通过严格的安全可靠等级评估，为各类信息系统和产品的安全性提供了科学的评估和认证，为国家信息安全建设做出了重要贡献。

1.2 文章结构文章结构是一个文章所采用的组织方式，它有助于读者理解和跟随文章的逻辑思路。

本文的文章结构分为引言、正文和结论三个部分。

引言部分主要包括三个方面的内容。

首先，概述部分阐述了中国信息安全测评中心给出的安全可靠等级评估的背景和意义。

《网络安全知识》判断题1、在使用网络和计算机时,我们最常用的认证方式是用户名/口令认证. 1、错误2、正确正确答案为：B2、公钥密码体制有两种基本的模型：一种是加密模型，另一种是解密模型。

1、错误2、正确正确答案为：A3、文件拥有者可以决定其他用户对于相应的文件有怎么样的访问权限，这种访问控制是基于角色的访问控制。

1、错误2、正确正确答案为：A4、文件拥有者可以决定其他用户对于相应的文件有怎么样的访问权限，这种访问控制是自主访问控制.1、错误2、正确正确答案为:B1、云计算的特征分别为按需自服务,宽度接入,资源池虚拟化，架构弹性化以及服务计量化。

1、错误2、正确正确答案为:B2、自主访问控制（DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。

1、错误2、正确正确答案为：A3、安全信息系统获取的基本原则包括符合国家、地区及行业的法律法规,符合组织的安全策略与业务目标.1、错误2、正确正确答案为：B4、备份策略是一系列原则，包括数据备份的数据类型，数据备份的周期以及数据备份的储存方式。

1、错误2、正确正确答案为：B5、习近平总书记担任中共中央网络安全和信息化领导小组组场以来，我国信息化形势越来越好,国家对于信息化也越来越重视.1、错误2、正确正确答案为：B1、服务式攻击就是让被攻击的系统无法正常进行服务的攻击方式。

1、错误2、正确正确答案为:A2、《网络安全法》只能在我国境内适用。

1、错误2、正确正确答案为：A3、棱镜门事件的发起人是英国。

1、错误2、正确正确答案为：A4、大数据已经深入到社会的各个行业和部门，也将对社会各方面产生更重1、错误2、正确正确答案为：B5、打电话诈骗密码属于远程控制的攻击方式。

1、错误2、正确正确答案为：A1、通过网络爬虫等方式获取数据，是数据收集其中一种方式叫网络数据采集。

1、错误2、正确正确答案为：B2、一般认为，未做配置的防火墙没有任何意义。

1、错误2、正确正确答案为：B3、ETSI专门成立了一个专项小组叫M2M TC。

安全风险评估专业机构
以下是一些专业机构，专门进行安全风险评估：
1. 国家信息安全漏洞共享平台（CNVD）：CNVD是中国国家
信息安全漏洞共享平台，负责收集、整理和发布国内外软件及硬件产品的安全漏洞信息，为用户提供安全风险评估服务。

2. 国家信息安全漏洞库（CNNVD）：CNNVD是中国国家信
息安全漏洞库，与CNVD类似，负责收集、整理和发布国内
外软件及硬件产品的安全漏洞信息，为用户提供安全风险评估服务。

3. 国家计算机网络应急技术处理协调中心（CNCERT）：CNCERT是中国国家计算机网络应急技术处理协调中心，主
要负责处理网络安全事件和网络安全威胁，提供安全风险评估和应急响应服务。

4. 国际信息系统安全认证与评估中心（ISACA）：ISACA是
一个国际性的专业组织，致力于信息系统的安全、审计和控制。

他们提供安全风险评估的认证、培训和咨询服务。

5. 全球信息安全咨询和培训机构（EC-Council）：EC-Council
是全球著名的信息安全咨询和培训机构，提供各种安全风险评估相关的培训和认证课程。

6. 风险和安全评估公司（Risk and Security Assessment Firms）：许多专业的风险和安全评估公司提供各种类型的安全风险评估
服务，包括网络安全、物理安全、应用安全等方面的评估。

请注意，选择合适的安全风险评估机构需要根据您的具体需求和预算进行评估，并且确保他们具有相关的资质和经验。

信息安全管理体系信息安全管理体系(ISMS)FAQ一、信息安全管理体系认证的标准是什么,信息安全管理体系(Information Security Management System,简称ISMS)的概念最初来源于英国标准学会制定的BS7799标准, 并伴随着其作为国际标准的发布和普及而被广泛地接受。

ISO/IEC JTC1 SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会安全技术分委员会/第一工作组)是制定和修订ISMS标准的国际组织。

ISO/IEC27001:2005(《信息安全管理体系要求》)是ISMS认证所采用的标准。

目前我国已经将其等同转化为中国国家标准GB/T 22080-2008/ISO/IEC 27001:2005。

二、 ISO/IEC 27000族的成员标准主要有哪些,ISO/IEC 27000族是国际标准化组织专门为ISMS预留下来的一系列相关标准的总称，其包含的成员标准有:1. ISO/IEC 27000 ISMS概述和术语 IS2. ISO/IEC 27001 信息安全管理体系要求 IS3. ISO/IEC 27002 信息安全管理体系实用规则 IS4. ISO/IEC 27003 信息安全管理体系实施指南 FDIS5. ISO/IEC 27004 信息安全管理度量 FDIS6. ISO/IEC 27005 信息安全风险管理 IS7. ISO/IEC 27006 ISMS认证机构的认可要求 IS8. ISO/IEC 27007 信息安全管理体系审核指南 CD9. ISO/IEC 27008 ISMS控制措施审核员指南 WD10. ISO/IEC 27010 部门间通信的信息安全管理 NP11. ISO/IEC 27011 电信业信息安全管理指南 IS……目前，国际标准化组织(即:ISO)正在不断地扩充和完善ISMS系列标准，使之成为由多个成员标准组成的标准族。

网络安全认证证明近年来，随着互联网的快速发展，网络安全问题日益引起广泛关注。

为了确保个人和组织在互联网上的信息安全，网络安全认证成为越来越重要的一项工作。

本文将介绍网络安全认证的意义，相关机构及其认证项目，以及获得网络安全认证的优势。

一、网络安全认证的意义网络安全认证是指依据相关标准，对网络安全相关的技术、产品、系统或服务进行评估和认证的过程。

它旨在验证系统的安全性和可信度，保障用户信息的机密性、完整性和可用性。

网络安全认证的意义主要体现在以下几个方面：1. 提供可信的保障：网络安全认证通过评估和验证技术和系统的安全性，为用户提供了一个可信的保障。

通过认证的系统和服务能够有效地保护用户的信息免受非法获取和利用的威胁。

2. 促进信息交流和共享：网络安全认证是各个组织和个人共享信息的基础。

只有通过认证的安全系统和服务才能够获得其他组织和个人的信任，进而实现信息的有效传递、共享和合作。

3. 遵守法律法规：在当前网络环境下，隐私和数据安全的保护成为法律法规的重要要求。

网络安全认证可以帮助组织和个人符合相关法律法规的要求，避免违法违规行为，降低安全风险和法律风险。

二、网络安全认证机构及认证项目网络安全认证是由各个国家或地区的行业组织、政府机构或专业机构负责开展和监管的。

以下是一些国际上常见的网络安全认证机构及其认证项目：1. 美国国家标准与技术研究院（NIST）：NIST通过发布一系列的网络安全标准和指南，对相关产品和系统进行评估和认证。

其中著名的认证项目包括FIPS（联邦信息处理标准）、SP（特别出版物），如FIPS 140-2（密码模块认证标准）和SP 800-53（信息系统安全和隐私控制）。

2. 国际标准化组织（ISO）：ISO发布了一系列的网络安全标准，包括ISO 27001（信息安全管理体系认证）和ISO 27002（信息安全管理实践指南）。

这些标准被广泛使用，被公认为是信息安全管理的基准。

3. 中华人民共和国国家互联网信息办公室（CAC）：CAC是中国政府负责网络安全事务的主管机构，它发布了一系列的网络安全认证标准和规范。

信息系统安全集成服务资质认证介绍一、工作背景随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。

加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

开展信息安全服务分类分级的资质认证可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。

同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

中国信息安全认证中心是国家质检总局直属事业单位，经中央编制委员会批准成立，由国家认证认可监督管理委员会批准，可依据相关标准开展对信息安全服务资质分类分级的认证工作。

2011年启动了信息系统安全集成服务资质认证工作，2013年4月，中国信息安全认证中心与辽宁省信息安全与软件测评认证中心签订了信息系统安全集成服务资质认证合作协议，授权测评认证中心为辽宁工作站，在辽宁省（含大连）内推广并实施信息系统安全集成服务资质认证工作。

二、认证简介信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。

信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。

也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。

信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。

资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

安全集成服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。

千里马招标网网络安全风险评估及系统加固招标需求书投标方不得以低于成本的报价竞标。

投标方报价低于本项目财政预算%时，评标委员会有权要求其对成本构成进行介绍，并要求投标方用书面的形式进行低价说明（在保证质量的前提下，能够大幅节省经费的手段或原因）；如投标人没有合理的理由或不按要求提供低价说明，可视为不被接受的有风险的报价，评标委员会则另行选择供应商。

1、评标方法、评标因素及权重分值采购需求一、项目概况、项目概况：为确保中级法院信息系统的稳定、安全运行，结合年深圳市党政机关信息安全联合检查和绩效评估工作要求，特对网络安全风险评估及系统加固项目进行公开招标。

项目服务内容包括：）服务器系统：深圳中院服务器设备数量≥台，其中SUN小型机≥台。

）存储系统：磁盘阵列存储设备包括惠普存储、华为存储、Netapp存储。

）法院内部专网：法院内部专网与INTERNET物理隔离，是法院内部办公网络，包括深圳中院内部局域网、中院局域网与上级法院联网、中院局域网与基层院联网、中院局域网与市政专网联网等，中院内部专网网络设备主要由HC、华为等网络设备组成，内网核心及大部分接入层网路设备为HC网络设备，网络设备数量≥台，内网应用系统包括诉讼服务中心系统、综合整合应用平台系统等，内网应用系统数量≥台。

）法院外部网：法院外部网与INTERNET相连，与法院内部专网物理隔离，外网网络设备数量≥台，外网应用系统包括外网网站、诉讼服务平台系统、多元化纠纷系统和法智云端系统，外网应用系统数量≥。

）网络安全设备：法院网络系统部署了防火墙、上网行为审计、入侵检测系统、内外网防病毒系统等网络安全产品，产品数量≥台。

）内外网终端情况：法院内网终端数量≥台，外网终端数量≥台。

、预算金额：本项目预算金额为人民币伍拾万圆整（￥,.）二、项目服务要求（一）实施要求对深圳市中级人民法院信息系统进行定期的安全检查。

（二）项目目标依据国家、深圳市信息安全相关政策法规和指引文件，针对深圳市中级人民法院信息系统进行信息安全风险评估、等级保护定级与测评、信息安全制度自查与优化、安全防护措施自查与优化、应急响应机制建设与演练、安全隐患排查与教育培训等安全服务，对安全服务过程中发现的脆弱点和问题进行修复加固，建立符合国家标准的信息安全管理体系，并根据修复加固的结果，建立符合深圳市中级人民法院实际情况的安全保障体系和规划设计方案，并在一年的服务期内，定期对信息系统进行安全检测和修复加固，使系统的安全状况得以长期保持。

国家标准《信息安全技术信息安全风险处理实施指南》（征求意见稿）编制说明一、任务来源根据全国信息安全标准化技术委员会2011年下达的国家信息安全战略研究与标准制定工作专项项目任务（计划号：20120535-T-469），国家标准《信息安全技术信息安全风险处理实施指南》由中国信息协会信息安全专业委员会（秘书处设在国家信息中心）负责主办。

二、任务背景为落实与发展原国务院信息办《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）的文件精神，在国家基本完成对我国基础信息网络和重要信息系统普遍进行信息安全风险评估工作后，规范性指导各被评估单位开展信息安全风险管理，科学控制信息安全风险，提升其信息安全技术与信息安全管理的安全保障能力，全面提高被评估单位信息安全的信息安全风险管理水平。

本标准将在国家标准GB/T20984-2007《信息技术信息安全风险评估规范》、GB/T24364-2009《信息技术信息安全风险管理指南》及国标《信息安全风险评估实施指南》（GB/T XXXXX-XXXX）的基础上，针对风险评估工作中反映出来的各类信息安全风险，形成客观、规范的风险处理方案，用于指导信息安全风险处理工作，促进风险管理工作的完善。

三、编制原则本标准属于信息安全标准，以自主编写的方式完成。

国家标准《信息安全技术信息安全风险处理实施指南》根据我国信息安全风险管理工作的发展，针对风险评估工作中反映出来的各类信息安全风险，形成客观、规范的风险处理方案，用于指导信息安全风险处理工作，促进风险管理工作的完善。

四、主要工作过程1、2012年3月至5月，由国家信息中心牵头，成立了由北京信息安全测评中心、北京数字认证股份有限公司、中国民航大学、东软集团股份有限公司、西安交大捷普网络科技有限公司等单位共同组成的标准编制组，进行课题调研，并形成了《信息安全风险处理指南》标准的基本框架和编制思路。

2、2012年5月17日，标准编制组正式召开国家标准《信息安全技术信息全测评认证中心崔书昆研究员、中国科学院研究生院赵战生教授、中国信息安全认证中心曹雅斌处长、电监会信息中心胡红升副主任、国家税务总局李建彬研究员等专家出席启动会。

中国网络安全审查技术与认证中心（原中国信息安全认证中心）2006年由中央机构编制委员 会办公室批准成立，2018年2月经中编办批准更名，主要承担网络安全审查技术与方法研究，开 展网络安全认证评价及相关标准技术和方法研究，承担网络安全审查人员和网络安全认证人员技 术培训工作。

受中央网信办委托，中心具体组织实施网络安全审查工作，并对相关第三方检验检 测机构进行监督指导。

中心依据国家有关法律法规，实施网络安全相关认证工作，目前已开展产品认证、管理体 系认证、服务认证和人员认证四大类认证业务，涵盖了信息安全认证服务所有门类的业务体系。

产品认证业务方面，开展了国家信息安全产品认证、I T产品信息安全认证、非金融支付系统认证、电子招投标系统认证、物联网产品信息安全认证、工业控制产品信息安全认证等业务，拥有3C 强制认证资格；体系认证方面，开展了信息安全管理体系认证（I S O27001 )、信息技术服务管理体系认证（I S O20000 )、业务连续性管理体系认证（I S O22301 )、质量管理体系认证（I S O9000) 等；服务认证方面，开展了应急处理、风险评估、系统集成、灾难备份与恢复、软件安全开发、安全运维6个方向的认证业务；人员认证方面，开展了安全软件、安全集成、安全管理、安全 运维等11个方向的认证业务。

目前，中心已颁发各类认证证书17 000多张。

中心开展的国家信 息安全产品认证结果在政府采购范围内强制采信，信息安全管理体系和服务资质认证主要服务于国家关键信息基础设施领域。

中心还开展各类网络安全检测服务。

中心建设的信息安全基准实验室，是我国信息安全领域 经过C N A S认可的能力验证提供者，发挥了重要的行业引领作用。

依托中心成立的国家信息安全 产品质量监督检验中心，是我国信息安全领域获得C N A S认可证书、计量认证证书（C M A)和检 验检测机构资质认可证书（C A L)的质检机构。