信息安全服务资质认证实施细则(2015版)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

文件编码:ISCCC-SV-001:2015

信息安全服务资质认证实施规则

(第2版)

2015-04-01发布2015-04-01实施

中国信息安全认证中心发布

目录

1.适用范围 (1)

2.规范性引用文件 (1)

3.术语与定义 (1)

3.1.信息安全服务 (1)

3.2.信息安全服务资质 (1)

3.3.信息安全风险评估 (1)

3.4.信息安全应急处理 (1)

3.5.信息系统安全集成 (2)

3.6.信息系统灾难备份与恢复 (2)

3.7.软件安全开发 (2)

3.8.信息系统安全运维 (2)

4.通用评价要求 (2)

4.1.三级评价要求 (2)

4.1.1.法律地位要求 (2)

4.1.2.财务资信要求 (2)

4.1.3.办公场所要求 (2)

4.1.4.人员素质与资质要求 (2)

4.1.5.业绩要求 (3)

4.1.6.服务管理要求 (3)

4.1.7.服务合同要求 (3)

4.1.8.服务安全要求 (3)

4.1.9.服务技术要求 (3)

4.2.二级评价要求 (3)

4.2.1.法律地位要求 (4)

4.2.2.财务资信要求 (4)

4.2.3.办公场所要求 (4)

4.2.4.人员素质与资质要求 (4)

4.2.5.技术工具要求 (4)

4.2.6.业绩要求 (4)

4.2.7.服务管理要求 (4)

4.2.8.服务合同要求 (5)

4.2.9.服务安全要求 (5)

4.2.10.服务技术要求 (5)

4.3.一级评价要求 (5)

4.3.1.申请条件 (5)

4.3.2.法律地位要求 (5)

4.3.3.财务资信要求 (5)

4.3.4.办公场所要求 (5)

4.3.5.人员素质与资质要求 (5)

4.3.6.技术工具要求 (6)

4.3.7.业绩要求 (6)

4.3.8.服务管理要求 (6)

4.3.9.服务合同要求 (6)

4.3.10.服务安全要求 (6)

4.3.11.服务技术要求 (7)

5.专业评价要求 (7)

5.1.风险评估服务资质专业评价要求 (7)

5.2.安全集成服务资质专业评价要求 (7)

5.3.应急处理服务资质专业评价要求 (7)

5.4.灾难备份与恢复服务资质专业评价要求 (7)

5.5.软件安全开发服务资质专业评价要求 (7)

5.6.安全运维服务资质专业评价要求 (7)

6.认证程序 (7)

6.1.自评估 (7)

6.2.认证申请 (7)

6.3.申请材料评审 (7)

6.4.现场评审 (8)

6.5.认证决定 (8)

6.6.证书颁发 (8)

6.7.证后监督 (8)

6.7.1.证后监督频次和方式 (8)

6.7.2.证后监督内容 (8)

6.7.3.证后监督结论 (8)

6.7.4.信息通报 (8)

6.8.认证证书管理 (8)

6.8.1.证书有效期 (8)

6.8.2.暂停认证证书 (8)

6.8.3.撤销认证证书 (9)

6.8.4.注销认证证书 (9)

6.8.5.证书变更 (9)

附录A(规范性附录):信息安全风险评估服务资质专业评价要求 (10)

附录B(规范性附录):信息系统安全集成服务资质专业评价要求 (14)

附录C(规范性附录):信息安全应急处理服务资质专业评价要求 (17)

附录D(规范性附录):信息系统灾难备份与恢复服务资质专业评价要求 (21)

附录E(规范性附录):软件安全开发服务资质专业评价要求 (25)

附录F(规范性附录):安全运维服务资质专业评价要求 (29)

参考文献 (33)

1.适用范围

信息安全服务资质认证是依据国家认证认可法律法规、相关技术标准和规范,对信息安全服务提供者的资质进行评价的合格评定活动。

本规则规定了信息安全服务提供者(以下简称服务提供者)应具备的通用评价要求、专业评价要求以及认证机构开展服务资质认证的程序。

本规则可用于第三方机构对服务提供者进行资信和能力评价,可作为服务提供者开展自我评价的依据,并可为政府及有关社会组织选择服务提供者提供依据。

2.规范性引用文件

下列文件中的条款通过本文件引用而成为本文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本文件,然而,鼓励根据本文件达成协议的各方研究可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本文件。

CNCA/CTS 0052-2007《信息安全服务资质认证技术规范》

YDT1799-2008《网络与信息安全应急处理服务资质评估方法》

ISCCC-SV-002:2010《信息安全风险评估服务资质认证实施规则》

ISCCC-SV-003:2014《信息系统安全集成服务资质认证实施规则》

ISCCC-SV-004:2012《信息系统灾难备份与恢复服务资质认证实施规则》

GB/T 5271.8-2001《信息技术词汇第8部分:安全》中的术语和定义适用于本标准。

3.术语与定义

3.1.信息安全服务

由供应商、组织机构或人员执行的一个安全过程或任务。(ISO/IEC TR 15443-1:2005《信息技术安全技术信息技术安全保障框架第一部分:总揽和框架》)

3.2.信息安全服务资质

信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。

3.3.信息安全风险评估

运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水平。

3.4.信息安全应急处理

制定应急处理计划,组织实施演练,并在出现网络与信息系统安全事故时,及时实施应急处理

相关文档
最新文档