信息安全服务资质认证要求

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内部沟通
申请组织应建立适当的机制来满足对质量管理体系有效性的沟通。
资源管理
文件控制
文件控制程序
申请组织应制定有效合理的文件控制程序。
文件评审
申请组织应在文件批准发布前对文件进行有效的评审,以保证文件是充分的和适宜的。
文件批准发布
申请组织应对正式使用的文件进行批准和发布,以明确文件的有效性。
文件分发
申请组织应建立有效的文件发放机制,并进行文件的有效发放,以保证文件相关方能及时得到文件的有效版本。
11)可裁剪原则:
12)
安全服务有多种类型,对不同类型的安全服务可进行适当的裁剪。
13)可操作性原则
14)
具有实际操作的可行性。
7
8
对安全工程类的信息安全服务资质认证提出了具体的评估要求。该要求分四个部分:第一、二部分为管理要求;第三、四部分为资质能力要求。
8.1
8.2
独立法人
申请组织必须是一个独立的实体,具有独立法人资格。
4.7
4.8
信息安全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目时,执行组织已定义过程的能力成熟程度。
5
6
6.1
6.2
信息安全服务的类型主要指一个组织按照合同或协议,为另一个组织所履行的安全服务的具体形式,目前我们只针对安全工程服务进行资质认证。安全工程类指为信息系统进行安全方案设计(开发)、实施(安全集成)、验证(测试)、培训、运行(监控)和维护;
维护配置单元
申请组织应确定的产品基线和配置单元,建立信息知识仓库,实施配置管理,以便及时掌握业务开展的动态。
控制变化状态
申请组织应实时关注项目的进展和业务的变更情况,及时对工作基线和配置单元做出必要的调整,以适应不断变化的工作需要。
重视沟通
申请组织应及时将变化了的配置状态通过有效的渠道通知所有相关的人员,保证版本的正确使用和变更的有效性。
6)
我国已发布许多与安全服务有关的标准,本评估准则的资质等级划分必须与这些标准相一致。
7)与组织的基本能力水平紧密结合的原则:
8)
一个组织的基本能力是评估其资质等级的基本要求,有些基本能力要求可能决定一个组织是否具备参与资质评定的资格。
9)与信息安全服务工程过程能力等级紧密结合的原则:
10)
工程过程能力等级是反映组织实施工程的成熟程度,是评定资质的重要依据。
文件有效性、唯一性标识
申请组织应对文件进行有效性的唯一性标识,以防止无效文件的使用或对无效文件的误用。
保密与所有权保护控制
保密与所有权保护程序
申请组织应对文件进行有效性和唯一性标识,以防止无效文件的使用或对文件的误用。
申请组织应建立保密和所有权保护程序,以保护客户的秘密和保护客户所有权。
保密协议
申请组织应与员工签订保密协议,以明确员工在信息保护和所有权保护方面的责任和义务。
设备、设施与环境
工作环境
申请组织应有固定的工作场所,工作环境符合信息安全场所环境要求。
测试模拟环境
申请组织应有企业具有与所承担项目相适应的测试环境和设备。
安全服务工具
申请组织应有满足信息安全服务的技术开发、测试工具。
组织与技术队伍
具有胜任信息安全服务的专职人员队伍和组织管理体系。
业绩
从业经验
申请组织应从事信息安全服务行业的时间在3年以上。
设备、工具的可用性确认
申请组织应对设备、工具的性能进行确认,以保证设备、工具在使用时的准确性、稳定性和安全性。
采购控制
采购控制程序
申请组织应制定采购产品、工具、设备和服务的控制程序,以确保采购对象满足信息安全工程服务的要求。
确定采购需求
申请组织应在采购前提供并确认采购的需求,包括功能、性能等技术要求。对服务采购需提出服务资格、能力、质量wenku.baidu.com面的要求。
本技术规范根据我国信息安全服务管理的现状,并参考了相关技术规范而制定。
本技术规范由中国信息安全认证中心(ISCCC)提出并归口。
本技术规范主要起草单位:中国信息安全认证中心。
1
2
本要求适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估;信息安全服务的需方对服务提供方的选择依据;作为国家主管部门对评估对象进行管理和检查的技术规范。另外,也可为信息安全服务提供组织改进自身能力提供指导。
6.3
6.4
信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定,是在其基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上,针对不同的服务种类,采用一定的权值综合考虑后确定,并由国家认证机构授予相应的资质级别。信息安全服务的资质等级的划分遵循以下原则:
选择合格的供应方
申请组织应评价供应方的能力,以确认供应方是否有能力提供符合要求的产品、设备、工具或服务。
申请组织应与合格供应方保持沟通,以确定其供应持续满足要求。
采购验收
申请组织应对采购的产品、设备、工具或服务进行验收,以确定所采购的产品、设备、工具或服务满足了采购需求。
项目过程管理
客户要求评审
评审客户要求的程序
人员培训
申请组织应对员工实施培训,以使员工能获得满足岗位职责要求和信息安全工程服务要求的知识、技能。
培训还应包括员工安全意识和安全职责的培训。
人员考评
申请组织应对员工进行技术和能力的考核和评价,以确认每个员工获得了满足岗位要求、安全工程服务要求的知识和能力。
设备与工具控制
设备、设施管理程序
申请组织应制定用于安全工程服务的设备和工具的管理程序,以满足信息安全工程服务对设备和工具的准确性、稳定性和安全性要求。
质量管理体系的实施
申请组织应实施建立的质量管理体系。
管理承诺
质量方针
申请组织应制定并确定质量方针。
职责和权限
申请组织应配备充足的岗位人员并明确规定各岗位的职责和权限来满足质量管理体系的有效实施,岗位职责还应包含安全职责。
申请组织应指定一名技术管理者来满足该组织的技术管理要求的实施,应指定一名质量管理者(或管理者代表)来满足质量管理要求的实施。
法律要求
申请组织必须遵守国家现行法律、法规的规定。在所有经营活动中没有触犯知识产权保护等有关法律的行为。
8.3
8.4
资产规模:
申请组织的注册资本应在100万元以上,资产总额在200万元以上。
4.2.2.2财务状况:
4.2.2.3
申请组织应具有近3年良好的财务状况。
4.2.2.4安全工程服务利润:
4.2.2.5
测量、分析和改进
质量保证
申请组织应及时将变化了的配置状态通过有效的渠道通知到所有相关的人员,保证版本的正确使用和变更的有效性。
质量保证的规范
申请组织应该依据本组织的特点和信息安全工程服务的特点制定出一套适宜的质量保证规范,以确保组织的服务能力。
产品检验
申请组织应根据产品的质量要求,制定出产品检验的标准和流程,并严格执行产品检验规定,保证工作产品能够满足预期的质量要求。
过程监督
申请组织应能够识别信息安全工程服务的过程,并且能够制定出过程监督的方法和流程,确保信息安全工程过程的受控。
不合格处置及验证
申请组织应该有办法对不合格进行识别处置,并明确处置的方式、方法、职责和流程,以最大限度地减小资源浪费、提高服务质量。
申请组织应该对不合格品的处置结果进行验证,以便对不合格进行有效控制。
识别关键资源
申请组织应识别对项目技术上的成功起关键作用的资源,以便关键资源问题能得到解决。
预算项目费用
申请组织应进行项目费用的预算,以便项目能得到充分资金支持。
确定工程技术过程
申请组织应确定项目的工程技术过程,并确定整个生命期的技术活动。
设立技术指标
申请组织应设立项目的技术指标来满足客户要求。
制定项目工程计划
跟踪风险控制活动
申请组织应实施制定的风险控制措施并及时跟踪风险降低措施的有效性,对发生的问题及时修正相应的风险控制措施。
配置管理
建立配置管理方法
申请组织应充分理解配置管理在本组织内部的意义,根据组织的规模、业务和特点选择配置管理的工具,建立配置管理的方法和流程。
管理配置单元
申请组织能够明确信息安全工程服务的流程并能够合理地划分工作基线,识别配置单元。
安全技术负责人
申请组织的信息安全技术负责人须具有信息安全领域相关专业的中级以上职称(或硕士以上学历)且从事信息安全服务工作不少于4年,或具有本科以上学历且从事信息安全服务工作不少于6年,承担的安全项目总额在150万以上。
财务负责人
申请组织的财务负责人须是会计师以上职称。
人员背景审查
申请组织的主要服务人员需要进行背景审查、备案、管理,包括主要技术负责人、项目经理等关键人员,其他服务人员需要备案管理。
申请组织在最近一年安全工程服务方面的利润应在20万以上或占利润总额的10%以上。
技术人员
申请组织从事安全工程服务的专业技术人员应不少于15人。
人员素质
申请组织从事安全工程服务的专业技术人员大学本科以上学历所占比例不小于70%,硕士要求所占比例不小于10%。
组织负责人
申请组织总经理或负责系统安全集成工作的副总经理须具有5年以上从事信息安全领域企业管理工作经历。
3
4
4.1
4.2
信息安全服务是指信息安全工程的设计、实施、测试、运行和维护,以及相关的咨询和培训活动。
4.3
4.4
信息安全服务提供者是指信息安全工程方案设计组织、承建信息安全工程的组织以及提供有关信息安全培训的组织。
4.5
4.6
信息安全服务资质等级是指一个组织提供信息安全服务的综合能力。包括技术能力、组织结构与管理、资源配置、安全工程过程能力、业绩和质量保证等多个方面。
1)综合考虑原则:
2)
信息安全服务资质等级的划分必须对组织的综合能力进行考察,它主要与组织的资格状况、技术实力、信息安全工程过程能力等级以及其他要求有关。
3)与现行国家有关主管部门颁布的法律、法规、规章、制度相一致的原则:
4)
安全策略要保持与现行的法律、法规、规章、制度相一致,不能相抵触。
5)与我国已发布或即将发布的有关信息安全的标准相一致的原则:
工程经验
申请组织必须承接过的3个以上的工程,并实践过完整的信息安全工程过程。
工程水平
在高级别的认证要求中,工程质量需要到客户现场进行真实性审查,与用户进行交流,是否真正达到他们的安全要求。
工程规模
申请组织近3年完成的信息安全服务工程项目总值应在200万元以上。
工程状况
申请组织所做安全工程项目应没有出现验收未通过的情况。
8.5
8.6
体系和管理职责
质量管理体系
质量管理体系的建立
申请组织应依据合适的标准建立覆盖信息安全工程服务的质量管理体系,编制相应的体系文件。
组织和管理架构
申请组织应建立合理的组织架构和管理架构来满足信息安全工程服务的实施和管理,应建立相对独立的信息安全工程服务技术部门,应建立有效的技术管理、质量管理和组织管理机制。
信息安全服务资质
认证要求
ISCCC XXX XXX-2007
信息安全服务资质
认证要求
Certification Requirements
forQualificationof Information Security Service Provider
(备案送审稿)
中国信息安全认证中心发布
前 言
本技术规范属于信息安全服务资质认证要求。
追溯不合格品
对于已经投入使用的不合格品,申请组织应该制定有效的措施实现对其的控制,避免因此而造成对工程服务质量的影响。
质量信息收集统计和分析
申请组织应建立畅通的渠道搜集来自多方的信息反馈,有能力对质量信息和反馈及抱怨信息进行收集和整理,能够对信息作出正确的判断并采取适当的处置措施。
申请组织应制定评审客户要求的管理程序。
客户要求评审
申请组织应在信息安全工程服务项目正式启动前,全面了解客户的需求,并充分评审自身满足客户需求的能力,尽可能与客户就所有技术或资金、工期或进度等方面达成一致共识,以确定客户的要求是否能得到充分满足。
规划技术活动
规划技术活动规范
申请组织应制定规划技术活动的规范,以便信息安全工程服务中技术规划活动各方面因素得到充分考虑。
申请组织应制定项目整个生命期的工程进度和技术开发管理计划。
评审并认可工程计划
申请组织应组织工程相关方对工程计划进行评审,并获得工程相关方的认可。
项目风险管理
项目风险管理规范
申请组织应制定项目风险管理的规范,以便于实施项目的风险管理。
评估项目风险
申请组织应通过有效的识别、分析项目风险,并制定出相应的风险控制措施。
申请组织也应与客户签订保密协议或明确本组织对客户的保密责任,以明确双方在保密和所有权保护方面的责任和义务。
客户信息保护
申请组织应制定具体措施保护客户的秘密和所有权,并得以执行。
人员控制
人员管理程序
申请组织应建立人员管理的程序,以使每个员工满足岗位职责的要求。
人员能力确认
申请组织应在对每个员工的资格和能力进行确认,以使所有员工满足其上岗要求。
相关文档
最新文档