还剩11页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
国家信息安全测评认证信息系统安全服务资质认证指南(试行)发布日期2007年5月福建省网络与信息安全测评中心目录TOC\o1-3\h\z引言31认证依据42等级划分43认证要求
43.1基本资格要求
43.2基本能力要求
53.
2.1组织与管理要求
53.
2.2技术能力要求
53.
2.3人员构成与素质要求
53.
2.4设备、设施与环境要求
63.
2.5规模与资产要求
63.
2.6业绩要求
63.3安全工程过程及能力级别64认证流程95受理过程106申请书107评审108认证与公布119保持认证1210认证发展1211处置1212争议、投诉与申诉1213认证企业档案1314费用及认证周期1315相关文件与表格13引言福建省网络与信息安全测评中心原中国国家信息安全测评认证中心,简称FJTEC是经中央批准成立、代表国家开展信息安全测评认证的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评认证体系福建省网络与信息安全测评中心的主要职能是
1.对国内外信息安全产品和信息技术进行测评和认证
2.对国内信息系统和工程进行安全性评估和认证
3.对提供信息系统安全服务的组织和单位进行评估和认证
4.对信息安全专业人员的资质进行评估和认证“中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息系统安全质量以及信息安全服务资质、人员资质的最高认可国家信息安全产品测评认证活动的技术依据是由中国国家信息安全测评认证管理委员会确认的有关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技术要求与技术规范“信息系统安全服务资质认证”是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行认证为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据在我国信息系统安全服务资质由福建省网络与信息安全测评中心及其授权测评机构进行评估,由福建省网络与信息安全测评中心进行认证本指南适用于所有向FJTEC提出信息系统安全服务资质等级评估的境内外组织,试行期只受理一级资质认证申请1认证依据信息系统安全服务资质评估是对信息系统服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价资质等级的评定,是依据《信息系统安全服务资质评估准则》,在基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上,针对不同的服务种类、对各方面能力进行综合考虑后确定,由福建省网络与信息安全测评中心给予相应的资质级别认证2等级划分信息系统安全服务资质等级是对提供信息系统安全服务组织综合实力的客观评价,反映了组织的信息系统安全服务资格、水平和能力资质等级划分的主要依据包括基本资格要求、基本能力要求、安全工程过程能力和其他补充要求等安全服务资质等级分为五级,由一级到五级依次递增,一级是最基本级别,五级为最高级别3认证要求申请信息系统安全服务资质等级认证的组织需要符合以下几项要求
3.1基本资格要求申请信息系统安全服务资质等级认证的组织必须是一个独立的实体、具有工商行政管理部门发给的合法营业执照
3.2基本能力要求
3.
2.1组织与管理要求
1.必须拥有健全的组织机构和管理体系,为持续的信息系统安全服务提供保证;
2.必须具有专业从事信息系统安全服务的队伍和相应的质保体系;
3.从事安全服务的所有成员要签订保密合同,并遵守有关法律法规
3.
2.2技术能力要求
1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术;
2.具有不断的技术更新能力;
3.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
4.能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;
5.具有对发生的突发性安全事件进行分析和解决的能力;
6.具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;
7.具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力;
8.具有对集成的信息系统进行检测和验证的能力;
9.有能力对信息系统系统进行有效的维护;
10.有跟踪、了解、掌握、应用国际、国家和行业标准的能力
3.
2.3人员构成与素质要求
1.具有充足的人力资源和合理的人员结构;
2.所有与信息系统安全服务有关的管理和销售人员应具有基本的信息安全知识;
3.有相对稳定的从事信息系统安全服务的技术队伍;
4.技术骨干人员应系统的掌握信息系统安全基础理论和核心技术,并有足够的专业工作经验
5.必须有2名以上含2名注册信息安全专业人员CISP
3.
2.4设备、设施与环境要求
1.具有固定的工作场所和良好的工作环境;
2.具有先进的开发、测试或模拟环境;
3.具有先进的开发、生产和测试设备;
4.具有实施相关服务必需的开发、生产和测试工具
3.
2.5规模与资产要求
1.有足够的注册资金和充足的流动资金;
2.申请信息系统安全服务的组织应具有与所申请安全服务业务范围、承担的安全工程规模相适应的服务体系;
3.有足够的人员从事直接与信息系统安全服务相关的活动
3.
2.6业绩要求
1.从业时间
2.工程或项目规模
3.工程或项目数量
4.工程或项目质量
5.合作项目参与程度
6.完成结果评价
3.3安全工程过程及能力级别安全工程过程能力级别是评定信息系统安全服务组织资质的主要依据,标志着服务组织提供给客户的安全服务专业水平和质量保证程度信息系统工程的过程能力级别按成熟性排序,表示依次增加的组织能力《信息系统安全服务资质评估准则》将信息系统安全服务组织的工程能力分为五个级别一级基本执行级二级计划跟踪级三级充分定义级四级量化控制级五级连续改进级安全工程过程能力以及项目和组织过程能力级别的高低,标志着从事安全服务组织的能力成熟程度,即已完成过程的管理和制度化程度的高低申请信息系统安全服务资质等级认证的组织需要符合相应安全过程能力以及项目和组织过程能力级别安全过程能力包括
1.评估系统面临的安全威胁;
2.评估系统的脆弱性;
3.评估安全对系统的影响;
4.评估系统的安全风险;
5.确定系统的安全需求;
6.为系统提供必要的安全信息;
7.管理系统的安全控制;
8.监测系统的安全状况;
9.安全协调;
10.检验并证实安全性;
11.建立并提供安全性保证证据;项目和组织过程能力包括
1.质量保证;
2.管理配置;
3.管理项目风险;
4.监控技术活动;
5.规划技术活动;
6.定义组织的系统工程过程;
7.改进组织的系统工程过程;
8.管理产品系列进化;
9.管理系统工程支持环境;
10.提供不短发展的技能和知识;
11.与供应商协调4认证流程#0;#0;����������#0;������#0;��������#0;��������#0;��������#0;��������#0;��������#0;����������#0;��������#0;����#0;��������#0;����������#0;��������#0;��������#0;��������#0;5受理过程从事信息系统安全服务的组织要申请信息系统安全服务资质认证,首先到测评认证中心服务网站上下载认证申请书,按要求填写好申请书并送交测评认证中心FJTEC接到申请组织的申请书,首先由初审人员对申请书进行形式化审查,形式化审查是对申请书的完整性进行初审,如果材料不完整或有填写错误,FJTEC将通知申请组织补充材料或者退回申请组织的申请被受理后,FJTEC根据评审流程组织力量进行资质评估6申请书申请信息系统安全服务资质等级认证的组织需要向认证受理部门FJTEC递交认证申请书,申请书包括
1.认证申请表(纸版一式三份、电子版一份)
2.营业执照复印件
3.税务登记证
4.注册信息系统安全专业人员认证证书复印件
5.FJTEC要求提供的其他资料7评审对信息系统安全服务组织的资质等级进行评估认证的工作由福建省网络与信息安全测评中心及其授权测评机构负责认证申请组织在向FJTEC递交认证申请书前,须逐项检查所填报的材料的完整性和正确性认证评审将按照下面几个步骤进行
1.静态评估静态评估的目的是对申请认证组织申请书提供材料的内容进行真实性审查
2.现场审核现场审核的目的是对申报组织从事信息系统安全服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等要素)进行确认静态评估和现场审核不符合要求的组织,FJTEC会提出限期整改的要求,并书面通知申请组织评审小组依据静态评估和现场审核的结果,出具评审报告
3.专家组评审专家组在静态评估和现场审核生成的评审报告的基础上、对申请认证组织的能力进行近一步评审,决定申请组织的资质等级8认证与公布对准予认证的组织,FJTEC将公布名录并发放认证证书认证证书根据申请组织的资产背景分两种类型FJTEC公布的《信息安全服务资质等级认证组织名录》,包括以下内容1获得认证组织的名称2获得认证的资质级别3获得认证的服务范围4获得认证的日期和有效期限5认证证书编号FJTEC定期出版《信息系统安全服务资质认证组织名录》,内容包括1)获得认证组织名称2)获得认证的资质级别3)认证证书编号4)获得认证的服务范围5)联系电话,传真,电子邮件地址等6)通讯地址、邮政编码等7)获得认证日期若获得资质认证的组织相关资料变动时,须及时通知FJTEC9保持认证获得资质认证的组织需通过持续发展自身信息系统服务体系以保持基本能力及安全工程过程能力FJTEC将通过申诉系统、现场见证以及对信息系统安全服务工程进行抽样检查来验证每个获得资质认证的组织的资质能力认证证书每三年进行一次复查换证,在三年有效期内实行年确认制度在证书有效期届满前90天内,由获证组织提出复查换证申请10认证发展获得资质等级证书的组织,由于自身条件的改变,可向FJTEC提出升级申请,升级应当按照认证程序重新申请原则上获得资质等级认证至少半年以上才能申请更高等级的资质认证FJTEC经抽检或复查发现组织情况已不符合原认证等级要求的,将要求其限期整改,限期整改后仍不合格,FJTEC有权对该组织进行相应处置11处置获证组织存在违规行为时,FJTEC有权视组织违规情节轻重予以处罚处罚方式包括警告、限期整改、暂停证书、取消证书12争议、投诉与申诉对FJTEC所作的评审、复查、处置等决定有异议时,可向FJTEC提出书面申诉FJTEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,FJTEC在调查基础上做出结论每个获证组织都应妥善处理因组织自身行为而发生的投诉,保留记录并采取措施防止问题的再发生FJTEC将在必要时查阅认证企业的申诉/投诉记录13认证企业档案FJTEC将对每个认证企业建立专项档案,所有资料将保存10年以上,升级,年度确认或者复核换证时,只需补交所要求的相应材料,FJTEC实行记录累加制度14费用及认证周期根据国家计委和国家质量技术监督局《产品质量认证收费管理办法》(计价格
[1999]1610号),信息安全服务资质认证收费划分为如下四个部分
(1)申请费2000元
(2)评定费3000元/人日
(3)审定与注册费(含证书费)3000元
(4)年金(含标志使用费)5000元/年一级认证费用2000+3000×3×2三人二日+3000+5000=28000元从受理到颁发证书的认证周期为三个月15相关文件与表格相关文件1信息系统安全服务资质评估准则2信息系统安全工程质量管理要求。