信息系统安全服务资质认证指南(一级资质).doc

信息安全服务资质认证指南国家信息安全测评认证信息系统安全服务资质认证指南（试行）发布日期：2007年5月福建省网络与信息安全测评中心目录引言31 认证依据42 等级划分43 认证要求43.1 基本资格要求43.2 基本能力要求53.2.1 组织与管理要求53.2.2 技术能力要求53.2.3 人员构成与素质要求53.2.4 设备、设施与环境要求63.2.5 规模与资产要求63.2.6 业绩要求63.3 安全工程过程及能力级别64 认证流程95 受理过程106 申请书107 评审108 认证与公布119 保持认证1210 认证发展1211 处置1212 争议、投诉与申诉1213 认证企业档案1314 费用及认证周期1315 相关文件与表格13引言福建省网络与信息安全测评中心(原中国国家信息安全测评认证中心，简称FJTEC)是经中央批准成立、代表国家开展信息安全测评认证的职能机构，依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评认证体系。 福建省网络与信息安全测评中心的主要职能是：1. 对国内外信息安全产品和信息技术进行测评和认证2. 对国内信息系统和工程进行安全性评估和认证3. 对提供信息系统安全服务的组织和单位进行评估和认证4. 对信息安全专业人员的资质进行评估和认证“中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息系统安全质量以及信息安全服务资质、人员资质的最高认可。国家信息安全产品测评认证活动的技术依据是由中国国家信息安全测评认证管理委员会确认的有关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技术要求与技术规范。“信息系统安全服务资质认证”是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行认证。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。在我国,信息系统安全服务资质由福建省网络与信息安全测评中心及其授权测评机构进行评估，由福建省网络与信息安全测评中心进行认证 。本指南适用于所有向FJTEC提出信息系统安全服务资质等级评估的境内外组织，试行期只受理一级资质认证申请。1 认证依据信息系统安全服务资质评估是对信息系统服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定，是依据信息系统安全服务资质评估准则，在基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上，针对不同的服务种类、对各方面能力进行综合考虑后确定，由福建省网络与信息安全测评中心给予相应的资质级别认证。2 等级划分信息系统安全服务资质等级是对提供信息系统安全服务组织综合实力的客观评价，反映了组织的信息系统安全服务资格、水平和能力。资质等级划分的主要依据包括：基本资格要求、基本能力要求、安全工程过程能力和其他补充要求等。安全服务资质等级分为五级，由一级到五级依次递增，一级是最基本级别，五级为最高级别。 3 认证要求申请信息系统安全服务资质等级认证的组织需要符合以下几项要求：3.1 基本资格要求申请信息系统安全服务资质等级认证的组织必须是一个独立的实体、具有工商行政管理部门发给的合法营业执照。3.2 基本能力要求3.2.1 组织与管理要求1. 必须拥有健全的组织机构和管理体系，为持续的信息系统安全服务提供保证；2. 必须具有专业从事信息系统安全服务的队伍和相应的质保体系；3. 从事安全服务的所有成员要签订保密合同，并遵守有关法律法规。3.2.2 技术能力要求1. 了解信息系统技术的最新动向，有能力掌握信息系统的最新技术；2. 具有不断的技术更新能力；3. 具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力；4. 能根据对用户信息系统风险的分析，向用户建议有效的安全保护策略及建立完善的安全管理制度；5. 具有对发生的突发性安全事件进行分析和解决的能力；6. 具有对市场上的信息系统产品进行功能分析，提出安全策略和安全解决方案及安全产品的系统集成能力；7. 具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力；8. 具有对集成的信息系统进行检测和验证的能力；9. 有能力对信息系统系统进行有效的维护；10. 有跟踪、了解、掌握、应用国际、国家和行业标准的能力。3.2.3 人员构成与素质要求1. 具有充足的人力资源和合理的人员结构；2. 所有与信息系统安全服务有关的管理和销售人员应具有基本的信息安全知识；3. 有相对稳定的从事信息系统安全服务的技术队伍；4. 技术骨干人员应系统的掌握信息系统安全基础理论和核心技术，并有足够的专业工作经验。5. 必须有2名以上(含2名)注册信息安全专业人员(CISP)。3.2.4 设备、设施与环境要求1. 具有固定的工作场所和良好的工作环境；2. 具有先进的开发、测试或模拟环境；3. 具有先进的开发、生产和测试设备；4. 具有实施相关服务必需的开发、生产和测试工具。3.2.5 规模与资产要求1. 有足够的注册资金和充足的流动资金；2. 申请信息系统安全服务的组织应具有与所申请安全服务业务范围、承担的安全工程规模相适应的服务体系；3. 有足够的人员从事直接与信息系统安全服务相关的活动。3.2.6 业绩要求1. 从业时间2. 工程或项目规模3. 工程或项目数量4. 工程或项目质量5. 合作项目参与程度6. 完成结果评价3.3 安全工程过程及能力级别安全工程过程能力级别是评定信息系统安全服务组织资质的主要依据，标志着服务组织提供给客户的安全服务专业水平和质量保证程度。信息系统工程的过程能力级别按成熟性排序，表示依次增加的组织能力。信息系统安全服务资质评估准则将信息系统安全服务组织的工程能力分为五个级别：一级：基本执行级二级：计划跟踪级三级：充分定义级四级：量化控制级五级：连续改进级安全工程过程能力以及项目和组织过程能力级别的高低，标志着从事安全服务组织的能力成熟程度，即已完成过程的管理和制度化程度的高低。申请信息系统安全服务资质等级认证的组织需要符合相应安全过程能力以及项目和组织过程能力级别。安全过程能力包括：1. 评估系统面临的安全威胁；2. 评估系统的脆弱性；3. 评估安全对系统的影响；4. 评估系统的安全风险；5. 确定系统的安全需求；6. 为系统提供必要的安全信息；7. 管理系统的安全控制；8. 监测系统的安全状况；9. 安全协调；10. 检验并证实安全性；11. 建立并提供安全性保证证据；项目和组织过程能力包括：1. 质量保证；2. 管理配置；3. 管理项目风险；4. 监控技术活动；5. 规划技术活动；6. 定义组织的系统工程过程；7. 改进组织的系统工程过程；8. 管理产品系列进化；9. 管理系统工程支持环境；10. 提供不短发展的技能和知识；11. 与供应商协调。4 认证流程5 受理过程从事信息系统安全服务的组织要申请信息系统安全服务资质认证，首先到测评认证中心服务网站上下载认证申请书，按要求填写好申请书并送交测评认证中心。FJTEC接到申请组织的申请书，首先由初审人员对申请书进行形式化审查，形式化审查是对申请书的完整性进行初审，如果材料不完整或有填写错误，FJTEC将通知申请组织补充材料或者退回。申请组织的申请被受理后，FJTEC根据评审流程组织力量进行资质评估。 6 申请书申请信息系统安全服务资质等级认证的组织需要向认证受理部门FJTEC递交认证申请书，申请书包括：1. 认证申请表（纸版一式三份、电子版一份）2. 营业执照复印件3. 税务登记证4. 注册信息系统安全专业人员认证证书复印件5. FJTEC要求提供的其他资料7 评审对信息系统安全服务组织的资质等级进行评估认证的工作由福建省网络与信息安全测评中心及其授权测评机构负责。认证申请组织在向FJTEC递交认证申请书前，须逐项检查所填报的材料的完整性和正确性。认证评审将按照下面几个步骤进行：1. 静态评估静态评估的目的是对申请认证组织申请书提供材料的内容进行真实性审查。2. 现场审核现场审核的目的是对申报组织从事信息系统安全服务的综合能力（包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等要素）进行确认。静态评估和现场审核不符合要求的组织，FJTEC会提出限期整改的要求，并书面通知申请组织。评审小组依据静态评估和现场审核的结果，出具评审报告。3. 专家组评审专家组在静态评估和现场审核生成的评审报告的基础上、对申请认证组织的能力进行近一步评审，决定申请组织的资质等级。8 认证与公布对准予认证的组织，FJTEC将公布名录并发放认证证书。认证证书根据申请组织的资产背景分两种类型。FJTEC公布的信息安全服务资质等级认证组织名录，包括以下内容：1) 获得认证组织的名称2) 获得认证的资质级别3) 获得认证的服务范围4) 获得认证的日期和有效期限5) 认证证书编号FJTEC定期出版信息系统安全服务资质认证组织名录，内容包括：1） 获得认证组织名称2） 获得认证的资质级别3） 认证证书编号4） 获得认证的服务范围5） 联系电话，传真，电子邮件地址等6） 通讯地址、邮政编码等7） 获得认证日期若获得资质认证的组织相关资料变动时，须及时通知FJTEC9 保持认证获得资质认证的组织需通过持续发展自身信息系统服务体系以保持基本能力及安全工程过程能力。FJTEC将通过申诉系统、现场见证以及对信息系统安全服务工程进行抽样检查来验证每个获得资质认证的组织的资质能力。认证证书每三年进行一次复查换证，在三年有效期内实行年确认制度。在证书有效期届满前90天内，由获证组织提出复查换证申请。 10 认证发展获得资质等级证书的组织，由于自身条件的改变，可向FJTEC提出升级申请，升级应当按照认证程序重新申请。原则上获得资质等级认证至少半年以上才能申请更高等级的资质认证。FJTEC经抽检或复查发现组织情况已不符合原认证等级要求的，将要求其限期整改，限期整改后仍不合格，FJTEC有权对该组织进行相应处置。 11 处置获证组织存在违规行为时，FJTEC有权视组织违规情节轻重予以处罚。处罚方式包括：警告、限期整改、暂停证书、取消证书。12 争议、投诉与申诉对FJTEC所作的评审、复查、处置等决定有异议时，可向FJTEC提出书面申诉。FJTEC将会责成与所申诉、投诉事项无利益相关的人员进行调查，FJTEC在调查基础上做出结论。每个获证组织都应妥善处理因组织自身行为而发生的投诉，保留记录并采取措施防止问题的再发生。FJTEC将在必要时查阅认证企业的申诉/投诉记录。13 认证企业档案FJTEC将对每个认证企业建立专项档案，所有资料将保存10年以上，升级，年度确认或者复核换证时，只需补交所要求的相应材料，FJTEC实行记录累加制度。14 费用及认证周期根据国家计委和国家质量技术监