★CCRC認證知識★---★安全集成服務(wù)資質(zhì)認證簡(jiǎn)介★
信息系統安全集成服務(wù)是指從事計算機應用系統工程和網(wǎng)絡(luò )系統工程的安全需求界定、安全設計、建設實(shí)施、安全保證的活動(dòng)。 信息系統安全集成包括在新建信息系統的結構化設計中考慮信息安全保證因素,從而使建設完成后的信息系統滿(mǎn)足建設方或使用方的安全需求而開(kāi)展的活動(dòng)。也包括在已有信息系統的基礎上額外增加信息安全子系統或信息安全設備等,通常被稱(chēng)為安全優(yōu)化或安全加固。 信息系統安全集成服務(wù)資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度。資質(zhì)級別分為一級、二級、三級共三個(gè)級別,其中一級最高,三級最低。安全集成服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現:基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力;服務(wù)人員的能力主要從掌握的知識、安全集成服務(wù)的經(jīng)驗等綜合評定。
信息系統安全集成服務(wù)資質(zhì)認證介紹 一、工作背景 隨著(zhù)我國信息化和信息安全保障工作的不斷深入推進(jìn),以應急處理、風(fēng)險評估、災難恢復、系統測評、安全運維、安全審計、安全培訓和安全咨詢(xún)等為主要內容的信息安全服務(wù)在信息安全保障中的作用日益突出。加強和規范信息安全服務(wù)資質(zhì)管理已成為信息安全管理的重要基礎性工作。 開(kāi)展信息安全服務(wù)分類(lèi)分級的資質(zhì)認證可以對信息安全服務(wù)提供商的基本資格、管理能力、技術(shù)能力和服務(wù)過(guò)程能力等方面進(jìn)行權威、客觀(guān)、公正的評價(jià),證明其服務(wù)能力,滿(mǎn)足社會(huì )對服務(wù)的選擇需求。同時(shí),認證過(guò)程也將有效促進(jìn)服務(wù)提供方完善自身管理體系,提高服務(wù)質(zhì)量和水平,引導行業(yè)健康規范發(fā)展。 中國信息安全認證中心是國家質(zhì)檢總局直屬事業(yè)單位,經(jīng)中央編制委員會(huì )批準成立,由國家認證認可監督管理委員會(huì )批準,可依據相關(guān)標準開(kāi)展對信息安全服務(wù)資質(zhì)分類(lèi)分級的認證工作。2011年啟動(dòng)了信息系統安全集成服務(wù)資質(zhì)認證工作,2013年4月,中國信息安全認證中心與遼寧省信息安全與軟件測評認證中心簽訂了信息系統安全集成服務(wù)資質(zhì)認證合作協(xié)議,授權測評認證中心為遼寧工作站,在遼寧?。ê筮B)內推廣并實(shí)施信息系統安全集成服務(wù)資質(zhì)認證工作。
二、認證簡(jiǎn)介 信息系統安全集成服務(wù)是指從事計算機應用系統工程和網(wǎng)絡(luò )系統工程的安全需求界定、安全設計、建設實(shí)施、安全保證的活動(dòng)。信息系統安全集成包括在新建信息系統的結構化設計中考慮信息安全保證因素,從而使建設完成后的信息系統滿(mǎn)足建設方或使用方的安全需求而開(kāi)展的活動(dòng)。也包括在已有信息系統的基礎上額外增加信息安全子系統或信息安全設備等,通常被稱(chēng)為安全優(yōu)化或安全加固。 信息系統安全集成服務(wù)資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度。資質(zhì)級別分為一級、二級、三級共三個(gè)級別,其中一級最高,三級最低。安全集成服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現:基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力;服務(wù)人員的能力主要從掌握的知識、安全集成服務(wù)的經(jīng)驗等綜合評定。 信息系統安全集成服務(wù)資質(zhì)認證是依據ISCCC-SV-003:2011《信息系統安全集成服務(wù)資質(zhì)認證規則》開(kāi)展。評估對象是為信息系統所有者提供安全集成服務(wù)的組織。
適用范圍
信息安全服務(wù)資質(zhì)認證是依據國家認證認可法律法規、相關(guān)技術(shù)標準和規范,對信息安全服務(wù)
提供者的資質(zhì)進(jìn)行評價(jià)的合格評定活動(dòng)。
本規則規定了信息安全服務(wù)提供者(以下簡(jiǎn)稱(chēng)服務(wù)提供者)應具備的通用評價(jià)要求、專(zhuān)業(yè)評價(jià)
要求以及認證機構開(kāi)展服務(wù)資質(zhì)認證的程序。
本規則可用于第三方機構對服務(wù)提供者進(jìn)行資信和能力評價(jià),可作為服務(wù)提供者開(kāi)展自我評價(jià)
的依據,并可為政府及有關(guān)社會(huì )組織選擇服務(wù)提供者提供依據。
規范性引用文件
下列文件中的條款通過(guò)本文件引用而成為本文件的條款。凡是注日期的引用文件,其隨后所有
的修改單(不包括勘誤的內容)或修訂版均不適用于本文件,然而,鼓勵根據本文件達成協(xié)議的各
方研究可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本文件。
CNCA/CTS 0052-2007《信息安全服務(wù)資質(zhì)認證技術(shù)規范》
YDT1799-2008《網(wǎng)絡(luò )與信息安全應急處理服務(wù)資質(zhì)評估方法》
ISCCC-SV-002:2010《信息安全風(fēng)險評估服務(wù)資質(zhì)認證實(shí)施規則》
ISCCC-SV-003:2014《信息系統安全集成服務(wù)資質(zhì)認證實(shí)施規則》
ISCCC-SV-004:2012《信息系統災難備份與恢復服務(wù)資質(zhì)認證實(shí)施規則》
GB/T 5271.8-2001《信息技術(shù)詞匯第8部分:安全》中的術(shù)語(yǔ)和定義適用于本標準。
術(shù)語(yǔ)與定義
3.1. 信息安全服務(wù)
由供應商、組織機構或人員執行的一個(gè)安全過(guò)程或任務(wù)。(ISO/IEC TR 15443-1:2005《信息技術(shù)
安全技術(shù) 信息技術(shù)安全保障框架 第一部分:總攬和框架》)
3.2. 信息安全服務(wù)資質(zhì)
信息安全服務(wù)資質(zhì)是信息安全服務(wù)機構提供安全服務(wù)的一種資格,包括法律地位、資源狀況、
管理水平、 技術(shù)能力等方面的要求。
3.3. 信息安全風(fēng)險評估
運用科學(xué)的方法和手段,系統地分析網(wǎng)絡(luò )與信息系統所面臨的威脅及其存在的脆弱性,評估安
全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以求防范
和化解信息安全風(fēng)險,或將風(fēng)險控制在可接受的水平。
3.4. 信息安全應急處理
制定應急處理計劃,組織實(shí)施演練,并在出現網(wǎng)絡(luò )與信息系統安全事故時(shí),及時(shí)實(shí)施應急處理
計劃的過(guò)程。
3.5. 信息系統安全集成
在從事網(wǎng)絡(luò )系統、應用系統、安防系統、建筑智能化系統的集成過(guò)程中,所進(jìn)行的安全需求界
定、安全設計、安全實(shí)施、安全保障等活動(dòng)。
3.6. 信息系統災難備份與恢復
將信息系統的數據、數據處理系統、網(wǎng)絡(luò )系統、基礎設施、專(zhuān)業(yè)技術(shù)支持能力和運行管理能力
進(jìn)行備份,并在災難發(fā)生時(shí),將信息系統從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài)、將
其支持的業(yè)務(wù)功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài)的活動(dòng),分為資源服務(wù)類(lèi)(A 類(lèi))、技
術(shù)服務(wù)類(lèi)(B 類(lèi))兩個(gè)類(lèi)別。
3.7. 軟件安全開(kāi)發(fā)
通過(guò)對軟件開(kāi)發(fā)過(guò)程的控制,將開(kāi)發(fā)的軟件存在的風(fēng)險控制在可接受的水平。
3.8. 信息系統安全運維
通過(guò)技術(shù)設施安全評估,技術(shù)設施安全加固,安全漏洞補丁通告、安全事件響應以及信息安全
運維咨詢(xún),協(xié)助組織的信息系統管理人員進(jìn)行信息系統的安全運維工作,以發(fā)現并修復信息系統中
所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時(shí)加以響應。
★CRCC認證★AS9100認證★重慶CRCC認證★重慶AS9100認證★重慶CURC認證★重慶ISO39001認證★重慶CCS認證★重慶IATF16949認證★ |