信息安全服务资质认证要求.docx

1、信息安全服务资质认证要求各希号,XXXXXX信息安全服务资质认证要求ISCCC XXX XXX-2007信息安全服务资质认证要求Certification Requirementsfor Qua Ii f i cat i on of Information Security ServiceProvider（备案送审稿）中国信息安全认证中心 发布XXX X-X X-XXXX x-x X-X1刖言本技术规范属于信息安全服务资质认证要求。本技术规范根据我国信息安全服务管理的现状，并参考了相关技术规范而制定。 本技术规范由中国信息安全认证中心（ISCCC）提出并归口。本技术规范主要起草单位：中国信息安

2、全认证中心。1适用范围本要求适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估：信息 安全服务的需方对服务提供方的选择依据：作为国家主管部门对评估对象进行管理和检査的技 术规范。另外，也可为信息安全服务提供组织改进自身能力提供指导。2定义2.1信息安全服务信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培 训活动。2.2信息安全服务提供者信息安全服务提供者是指信息安全工程方案设计组织、承建信息安全工程的组织以及提供 有关信息安全培训的组织。2.3信息安全服务资质等级信息安全服务资质等级是指一个组织提供信息安全服务的综合能力。包括技术能力、组织 结构与管

3、理、资源配置、安全工程过程能力、业绩和质量保证等多个方而。2.4信息安全工程过程能力级别信息安全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目时，执行组织 已定义过程的能力成熟程度。3服务类型与资质评定原则3.1信息安全服务的类型信息安全服务的类型主要指一个组织按照合同或协议，为另一个组织所履行的安全服 务的具体形式，目前我们只针对安全工程服务进行资质认证。安全工程类指为信息系统进行安 全方案设计（开发）、实施（安全集成）、验证（测试）、培训、运行（监控）和维护：3.2信息安全服务资质等级的评判原则信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施安全工程 过程质

4、量保证能力等方而的具体衡量和评价。资质等级的评左，是在其基本资格和能力水平、 安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方而的单项评估结果基 础上，针对不同的服务种类，采用一立的权值综合考虑后确定，并由国家认证机构授予相应的资质级别。信息安全服务的资质等级的划分遵循以下原则：4.2.综合考虑原则：信息安全服务资质等级的划分必须对组织的综合能力进行考察，它主要与组织的资格状 况、技术实力、信息安全工程过程能力等级以及英他要求有关。4.3.与现行国家有关主管部门颁布的法律、法规、规章、制度相一致的原则：安全策略要保持与现行的法律、法规、规章、制度相一致，不能相抵触。4.4.与我

5、国已发布或即将发布的有关信息安全的标准相一致的原则：我国已发布许多与安全服务有关的标准，本评估准则的资质等级划分必须与这些标准相 一致。4.5.与组织的基本能力水平紧密结合的原则：一个组织的基本能力是评估英资质等级的基本要求，有些基本能力要求可能决左一个组 织是否具备参与资质评立的资格。4.6.与信息安全服务工程过程能力等级紧密结合的原则：工程过程能力等级是反映组织实施工程的成熟程度，是评左资质的重要依据。4.7.可裁剪原则：安全服务有多种类型，对不同类型的安全服务可进行适当的裁剪。4.8.可操作性原则具有实际操作的可行性。4认证具体要求对安全工程类的信息安全服务资质认证提出了具体的评估要求。

6、该要求分四个部分：第 一、二部分为管理要求：第三、四部分为资质能力要求。4.1基本资格4.1.1独立法人 申请组织必须是一个独立的实体，具有独立法人资格。4.1.2法律要求申请组织必须遵守国家现行法律、法规的规立。在所有经营活动中没有触犯知识产权保 护等有关法律的行为。4.2基本能力4. 2.1 资产与规模4. 2. 2.1 资产规模：申请组织的注册资本应在100万元以上，资产总额在200万元以上。4. 2. 2. 2 财务状况：申请组织应具有近3年良好的财务状况。4.4.12. 3 安全工程服务利润：申请组织在最近一年安全工程服务方而的利润应在20万以上或占利润总额的10$以上。4. 2.2

7、 人员素质与构成4.4.1.1.2.1技术人员申请组织从事安全工程服务的专业技术人员应不少于15人4. 2. 2. 2人员素质申请组织从事安全工程服务的专业技术人员大学本科以上学历所占比例不小于70%,硕士 要求所占比例不小于10觥4. 2. 2. 3组织负责人申请组织总经理或负责系统安全集成工作的副总经理须具有5年以上从事信息安全领域 企业管理工作经历。4. 2. 2. 4安全技术负责人申请组织的信息安全技术负责人须具有信息安全领域相关专业的中级以上职称（或硕七 以上学历）且从事信息安全服务工作不少于4年，或具有本科以上学历且从事信息安全服务工 作不少于6年，承担的安全项目总额在150万以上

8、。4. 2. 2. 5财务负责人申请组织的财务负责人须是会计师以上职称。4.4.1.2. 6人员背景审査申请组织的主要服务人员需要进行背景审查、备案、管理，包括主要技术负责人、项H 经理等关键人员，其他服务人员需要备案管理。4. 2. 3 设备、设施与环境4. 2. 3.1工作环境申请组织应有固泄的工作场所，工作环境符合信息安全场所环境要求。4. 2. 3. 2测试模拟环境申请组织应有企业具有与所承担项目相适应的测试环境和设备。4.4.1.3. 3安全服务工具申请组织应有满足信息安全服务的技术开发、测试工具。4.4.1.4.3. 4组织与技术队伍具有胜任信息安全服务的专职人员队伍和组织管理体系

9、。4. 2. 4 业绩4. 2. 4.1从业经验申请组织应从事信息安全服务行业的时间在3年以上。4. 2.4. 2工程经验申请组织必须承接过的3个以上的工程，并实践过完整的信息安全工程过程。4.4.1.4.4. 3工程水平在高级别的认证要求中，工程质量需要到客户现场进行真实性审査，与用户进行交流， 是否真正达到他们的安全要求。4. 2.4. 4工程规模申请组织近3年完成的信息安全服务工程项目总值应在200万元以上。4. 2. 4. 5工程状况申请组织所做安全工程项目应没有出现验收未通过的情况。4.3质量管理能力4. 3.1 体系和管理职责4. 3.1.1质量管理体系4. 3.1.1.1质量管理

10、体系的建立申请组织应依据合适的标准建立覆盖信息安全工程服务的质量管理体系，编制相应的体 系文件。4. 3.1.1. 2组织和管理架构申请组织应建立合理的组织架构和管理架构来满足信息安全工程服务的实施和管理，应 建立相对独立的信息安全工程服务技术部门，应建立有效的技术管理、质量管理和组织管理机 制。4. 3.1.1. 3质量管理体系的实施申请组织应实施建立的质量管理体系。4. 3.1. 2管理承诺4. 3.1.1质量方针申请组织应制泄并确左质屋方针。4. 3. 1. 2. 2职责和权限申请组织应配备充足的岗位人员并明确规定各岗位的职责和权限来满足质量管理体系的 有效实施，岗位职责还应包含安全职责

11、。申请组织应指泄一名技术管理者来满足该组织的技术管理要求的实施，应指左一名质量 管理者（或管理者代表）来满足质量管理要求的实施。4. 3. 1. 2. 3内部沟通申请组织应建立适当的机制来满足对质量管理体系有效性的沟通。4. 3.2 资源管理4. 3.2.1文件控制4. 3.2.1.1文件控制程序申请组织应制左有效合理的文件控制程序。4. 3. 2.1. 2文件评审申请组织应在文件批准发布前对文件进行有效的评审，以保证文件是充分的和适宜的。4. 3. 2.1. 3文件批准发布申请组织应对正式使用的文件进行批准和发布，以明确文件的有效性。申请组织应建立有效的文件发放机制，并进行文件的有效发放，以

12、保证文件相关方能及 时得到文件的有效版本。4. 3. 2.1. 5文件有效性、唯一性标识申请组织应对文件进行有效性的唯一性标识，以防止无效文件的使用或对无效文件的误 用。4. 3. 2. 2保密与所有权保护控制4. 3. 2. 2.1保密与所有权保护程序申请组织应对文件进行有效性和唯一性标识，以防止无效文件的使用或对文件的误用。申请组织应建立保密和所有权保护程序，以保护客户的秘密和保护客户所有权。4. 3.2. 2. 2保密协议申请组织应与员工签订保密协议，以明确员工在信息保护和所有权保护方而的责任和义 务。申请组织也应与客户签订保密协议或明确本组织对客户的保密责任，以明确双方在保密 和所有权

13、保护方面的责任和义务。4. 3.2. 2. 3客户信息保护申请组织应制泄具体措施保护客户的秘密和所有权，并得以执行。4. 3. 2. 3人员控制4. 3.2. 3.1人员管理程序申请组织应建立人员管理的程序，以使每个员工满足岗位职责的要求。4. 3.2. 3. 2人员能力确认申请组织应在对每个员工的资格和能力进行确认，以使所有员工满足其上岗要求。4. 3. 2. 3. 3人员培训申请组织应对员工实施培训，以使员工能获得满足岗位职责要求和信息安全工程服务要求 的知识、技能。培训还应包括员工安全意识和安全职责的培训。申请组织应对员工进行技术和能力的考核和评价，以确认每个员工获得了满足岗位要求、 安

14、全工程服务要求的知识和能力。4. 3. 2.4设备与工具控制4. 3.2. 4.1设备、设施管理程序申请组织应制泄用于安全工程服务的设备和工具的管理程序，以满足信息安全工程服务 对设备和工具的准确性、稳定性和安全性要求。4. 3.2. 4. 2设备、工具的可用性确认申请组织应对设备、工具的性能进行确认，以保证设备、工具在使用时的准确性、稳左 性和安全性。4. 3. 2. 5采购控制4. 3.2. 5.1采购控制程序申请组织应制泄采购产品、工具、设备和服务的控制程序，以确保采购对象满足信息安 全工程服务的要求。4. 3. 2. 5. 2确定采购需求申请组织应在采购前提供并确认采购的需求，包括功能

15、、性能等技术要求。对服务采购 需提出服务资格、能力、质量方而的要求。4. 3. 2. 5. 3选择合格的供应方申请组织应评价供应方的能力，以确认供应方是否有能力提供符合要求的产品、设备、 工具或服务。申请组织应与合格供应方保持沟通，以确左其供应持续满足要求。4. 3.2. 5.4采购验收申请组织应对采购的产品、设备、工具或服务进行验收，以确定所采购的产品、设备、 工具或服务满足了采购需求。4. 3.3 项目过程管理4. 3. 3.1客户要求评审4. 3. 3.1.1评审客户要求的程序申请组织应制左评审客户要求的管理程序。4. 3. 3.1.2客户要求评审申请组织应在信息安全工程服务项目正式启动

16、前，全面了解客户的需求，并充分评审自 身满足客户需求的能力，尽可能与客户就所有技术或资金、工期或进度等方而达成一致共识， 以确定客户的要求是否能得到充分满足。4. 3. 3. 2规划技术活动4. 3. 3. 2.1规划技术活动规范申请组织应制泄规划技术活动的规范，以便信息安全工程服务中技术规划活动务方而因 素得到充分考虑。4. 3. 3. 2. 2识别关键资源申请组织应识别对项目技术上的成功起关键作用的资源，以便关键资源问题能得到解决。4. 3. 3. 2. 3预算项目费用申请组织应进行项目费用的预算，以便项目能得到充分资金支持。4. 3. 3. 2. 4确定工程技术过程申请组织应确左项目的工

17、程技术过程，并确左整个生命期的技术活动。4. 3. 3. 2. 5设立技术指标申请组织应设立项目的技术指标来满足客户要求。4. 3. 3. 2. 6制定项目工程计划申请组织应制左项目整个生命期的工程进度和技术开发管理计划。4. 3. 3. 2. 7评审并认可工程计划申请组织应组织工程相关方对工程计划进行评审，并获得工程相关方的认可。4. 3. 3. 3项目风险管理4. 3. 3. 3.1项目风险管理规范申请组织应制立项目风险管理的规范，以便于实施项目的风险管理。4. 3. 3. 3. 2评估项目风险申请组织应通过有效的识別、分析项目风险，并制左岀相应的风险控制措施。4. 3. 3. 3. 3跟

18、踪风险控制活动申请组织应实施制立的风险控制措施并及时跟踪风险降低措施的有效性，对发生的问题及 时修正相应的风险控制措施。4. 3. 3. 4配置管理4. 3. 3. 4.1建立配置管理方法申请组织应充分理解配置管理在本组织内部的意义，根据组织的规模、业务和特点选择 配置管理的工具，建立配置管理的方法和流程。4. 3. 3. 4. 2管理配置单元申请组织能够明确信息安全工程服务的流程并能够合理地划分工作基线，识別配置单元。4. 3. 3. 4. 3维护配置单元申请组织应确泄的产品基线和配苣单元，建立信息知识仓库，实施配苣管理，以便及时 掌握业务开展的动态。4. 3. 3. 4. 4控制变化状态申

19、请组织应实时关注项目的进展和业务的变更情况，及时对工作基线和配置单元做岀必 要的调整，以适应不断变化的工作需要。4. 3. 3. 4. 5重视沟通申请组织应及时将变化了的配置状态通过有效的渠逍通知所有相关的人员，保证版本的正 确使用和变更的有效性。4. 3.4 测量、分析和改进4. 3. 4.1质量保证申请组织应及时将变化了的配置状态通过有效的渠道通知到所有相关的人员，保证版本 的正确使用和变更的有效性。4. 3. 4.1.1质量保证的规范申请组织应该依据本组织的特点和信息安全工程服务的特点制左岀一套适宜的质量保 证规范，以确保组织的服务能力。4. 3. 4.1.2产品检验申请组织应根据产品的

20、质量要求，制泄出产品检验的标准和流程，并严格执行产品检验 规定，保证工作产品能够满足预期的质量要求。4. 3.4.1. 3过程监督申请组织应能够识別信息安全工程服务的过程，并且能够制左出过程监督的方法和流程, 确保信息安全工程过程的受控o4. 3. 4.1. 4不合格处置及验证申请组织应该有办法对不合格进行识别处置，并明确处置的方式、方法、职责和流程， 以最大限度地减小资源浪费、提髙服务质量。申请组织应该对不合格品的处置结果进行验证，以便对不合格进行有效控制。4. 3.4.1. 5追溯不合格品对于已经投入使用的不合格品，申请组织应该制左有效的措施实现对苴的控制，避免 因此而造成对工程服务质量的

21、影响。4. 3.4.1. 6质量信息收集统计和分析申请组织应建立畅通的渠道搜集来自多方的信息反馈，有能力对质量信息和反馈及抱 怨信息进行收集和整理，能够对信息作岀正确的判断并采取适当的处置措施。申请组织应有方法对搜集到的数据进行统汁和分析，有记录对结果提供证据，有条件发现 质疑改进的机会，有结论支持质量改进的建议，有行动发起质量改进活动。4. 3.4.1. 7质量记录申请组织应规圮记录的范吊I,记录的要求和记录的管理，确保记录的客观真实性和可再 现性。4. 3. 4. 2纠正与预防措施4. 3.4. 2.1制定文档化的程序申请组织应制左出纠正措施控制程序，制左出预防措施控制程序，明确职责和流程

22、。4. 3. 4. 2. 2制定纠正和预防措施并实施申请组织应有能力分析出不合格产生的原因并采取有效的措施消除不合格产生的根源。申请组织应有能力发现潜在的不合格并采取有效的措施杜绝潜在不合格的实际发生。4. 3. 4. 2. 3验证纠正和预防措施的有效性申请组织应该对纠正措施的实施效果进行验证。4. 3.5 客户服务申请组织应该对预防措施的实施效果进行验证。4. 3. 5.1提供咨询服务申请组织应就信息安全工程服务的有关事项回答客户的疑问，有义务向客户解释信息安全工程服务的内涵和意义。4. 3. 5. 2用户意见的收集申请组织应规左多种渠道和方法，尽可能创造和客户沟通的机会，收集客户的信息反馈

23、, 不断调整和改进自己的工作。4. 3. 6 技术能力更新4. 3. 6.1建立技术更新的方法和途径申请组织应有技术更新的意识，应有技术更新的方法和途径，以证明组织有能力进行技 术更新活动。4. 3. 6. 2新技术的信息收集申请组织应有能力识别新技术，并有规泄的渠道搜集新技术的信息。4. 3. 6. 3新技术的应用申请组织应在新技术的获取上进行资源投入，为新技术的应用创造充分和适宜的环境， 并应用新技术，以便保持技术更新能力。4. 3. 6. 4制定培训计划申请组织应重视培训活动，并将员工在职培训作为技术更新的重要手段。应有技术的前 瞻性和先见性，应规划组织的技术培训活动并制迫详细的技术培训

24、计划。4. 3. 6. 5维护培训材料申请组织应对培训的教材进行更新和维护，以此作为技术更新的证据。4. 3. 6. 6验证技术更新的效果申请组织应对各种技术更新措施的实施效果进行评价和验证，以便从中发现不断改进的 机会。4.4 安全工程过程能力4.4.风险过程4.4.1.1评估系统面临的安全威胁4. 4.1.1.1安全威胁评估的规范申请组织应有信息安全威胁分析的规范，规左安全威胁分析的依据、步骤和方法。申请组织应能通过一左的方法、手段确定系统而临的所有自然威胁和人为威胁。4. 4.1.1. 3分析系统面临的安全威胁申请组织应能依据一立的测量、分析方法，分析系统而临的安全威胁，并能明确描述。4

25、监视安全威胁的变化申请组织应监视安全威胁的变化情况，当安全威胁变化时能有效处理。4. 4. 1. 2评估系统的脆弱性4. 4.1. 2.1安全脆弱性评估的规范申请组织应有信息安全脆弱性分析的规范，规定安全脆弱性分析的依据、步骤和方法。4.4.1.2.2分析安全机制方面的脆弱性申请组织应能通过一泄的方法、手段确定安全机制方而的脆弱性，并进行分析。4. 4.1. 2. 3分析技术性的安全脆弱性申请组织应能通过工具和人工分析，得出系统的技术性安全脆弱性。4.4.1.2.4综合分析安全脆弱性申请组织应能综合分析技术性和非技术性的安全脆弱性，以及特泄脆弱性的组合，并产 生分析结果。5监视安全脆弱性的变化

26、申请组织应监视安全脆弱性的变化，当安全脆弱性变化时，应能有效处理。4. 4. 1. 3评估安全对系统的影响4. 4.1. 3.1评估安全对系统影响的规范申请组织应有评估安全对系统影响的规范，规定资产分类和重要性划分的原则和依据， 分析和描述影响的后果和可能性的方式、方法。32确定关键资产申请组织应能识別、分析、确定关键资产。4. 4.1. 3. 3分析影响申请组织应能用有效的度量和权重分析影响，能对它作明确的描述，并依据一泄的原则 进行优先级排列。申请组织应监视影响的变化，当影响发生变化时，应能有效处理。4. 4. 1. 4评估系统的安全风险4.4.4.1安全风险评估的规范申请组织应该建立安全

27、评估的规范，规范包括应有明确的风险分析方法指导实施，规左 安全风险评估的流程、步骤及各步骤的方法等。2对暴露的识别和分析申请组织应能识别威胁、脆弱性和影响组合产生的址露，分析疑露发生的可能性。（“暴露”指可能对系统造成重大伤害的威胁、脆弱性和影响的组合。）4. 4.1. 4. 3安全风险评估申请组织应根据暴露分析情况，依拯一左的评估方法确定系统在特定环境下的安全风险, 并根据安全风险分析的理论对既立的安全风险进行优先级排列。另外，还应进行安全风险不确左的分析，通过建立安全保证证据来降低风险的不确定性。4.4.1.4.4制定安全保护措施和风险降低的指导申请组织应根拯风险评估的结果制定安全保护措施

28、和风险降低的指导O4.4.5监视风险及特征变化申请组织应监视风险的变化，当风险发生变化时，应能有效处理。4.5.工程过程4. 4. 2.1确定安全需求4. 4. 2.1.1安全需求确定的规范申请组织应制左确定安全需求的规范。4. 4. 2.1. 2获取客户对安全需求的理解申请组织应该通过特泄的方式收集所有用于全面理解顾客安全需求所需的信息，并经过 加工整理，得到客户所需安全的描述。4. 4. 2. 1. 3识别可用的法律、策略和约束申请组织应考虑到适用于系统目标的法律、法规、标准、外部的影响和约束。2.1. 4定义安全需求申请组织应根据可适用的法律、法规、标准、客户安全需求以及系统的约束条件左

29、义岀系统的安全需求，包括那些通过非技术手段提供的需求。4.1.2.1. 5达成安全共识申请组织应与各个相关方而沟通，并针对存在的问题对安全需求进行修改，直到达成一 个完整的、一致的满足策略、法律和用户需求的安全需求。1.4.2安全设计4.4.2.2. 2.1安全设计的规范申请组织要制泄安全设讣的规范，明确安全设计的流程，方法等。4.4.2.2. 2. 2高层设计申请组织应考虑系统的体系结构、设计和实现的需求，制定相应的设讣原则和建议、安 全体系结构建议、保护的原则，得到安全模型、安全体系结构，进行信任分析。2. 2. 3安全机制分配申请组织应确定所有的安全机制都能对应到高层安全设计，并且所有的

30、髙层安全设汁都 有具体的安全机制来保证。4.1.2. 2. 4确定安全产品申请组织应根拯系统的需求，按照一左的依据给出候选产品列表。根拯系统的需求，确 定需要定制的安全产品列表和他们的技术指标和功能要求。2. 2. 5 接口限定申请组织应设计出安全系统与英它系统之间的接口并进行优化。2. 2. 6提供安全工程指南4. 4. 2. 3工程实施4. 4. 2. 3.1工程实施的规范申请组织应提供安全工程指南。申请组织应制左指导安全工程实施的规范。2. 3. 2工程的实施申请组织应制泄实施建议（包括指导系统实现的规则或约朿）,申请组织应根据实施建 议和系统的详细安全设汁文档制龙工程实施汁划，并按照预

31、泄的经用户和有关方同意后的讣划 进行工程实施，给岀实施情况描述文档。申请组织应对系统进行试运行，检查系统的稳泄性和可靠性，并对试运行过程中岀现的 问题进行整改，给岀工程整改报告和试运行情况报告。2. 3. 4工程的验收申请组织应与客户和相关参与者一道按照合同的要求对实施好的工程进行验收，给出工 程验收报告。3. 5工程的交付申请组织应给用户提交相应文档以确保用户拥有系统安全运行所需的相关知识。这些文 档包括管理员手册、用户手册、安全轮廓、系统配垃指令和系统安全服务条款等。4. 4. 2. 4安全管理控制4. 4.2. 4.1安全管理控制的规范申请组织应制左安全管理控制的规范。4.5.4. 2建立安全职责申请组织应为系统的安全运行制左出相应的安全职责。4. 3管理安全配置