信息安全服务资质 认证技术规范.doc

信息安全服务资质认证技术规范Technical Specifications of Certification for Qualification of Information Security Service Provider (备案稿)目 录前 言31范围42规范性引用文件43术语和缩略语43.1术语43.2缩略语54认证具体要求54.1基本资格64.1.1独立法人64.1.2法律要求64.2基本能力64.2.1资产与规模64.2.2人员素质与构成64.2.3设备、设施与环境64.2.4业绩74.3信息安全服务管理过程74.3.1建立并实施服务管理体系74.3.2服务等级管理74.3.3保密管理84.3.4服务报告84.3.5服务连续性及可用性管理84.3.6信息安全服务的预算及财务管理84.3.7容量管理84.3.8信息安全管理94.3.9业务关系管理过程94.3.10供方管理94.3.11事故管理104.3.12问题管理104.3.13项目风险管理104.3.14配置管理104.3.15变更管理114.3.16发布管理115信息安全服务类型与资质评定原则115.1信息安全服务的类型115.2信息安全服务资质的评判原则11前 言本技术规范是信息安全服务资质认证技术规范。本技术规范根据我国信息安全服务管理的现状，并参考了相关技术规范而制定。本技术规范由中国信息安全认证中心（ISCCC）提出并归口。本技术规范起草单位：中国信息安全认证中心。31 范围本技术规范适用于认证机构对提供信息安全服务的组织进行信息安全服务资质的评估，也可作为信息安全服务的需方对服务组织的选择依据；或作为国家主管部门对评估对象进行管理和检查的技术规范。另外，也可为信息安全服务提供组织改进自身能力提供指导。2 规范性引用文件下列文件中的条款通过本技术规范的引用而成为本技术规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本技术规范，然而，鼓励根据本技术规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本技术规范。GB 17859-1999 计算机信息系统安全保护等级划分准则；GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型；GB/T 20984-2007 信息安全技术 信息安全风险评估规范；GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范；ISO/IEC 20000-2005 信息技术 服务管理指南。3 术语和缩略语GB/T5271.8-2001确立的术语和定义适用于本技术规范。3.1 术语3.1.1信息安全服务 information security service信息安全服务是由供应商、组织或人员所执行的一个安全过程或任务。3.1.2信息安全服务组织 information security service organization信息安全服务组织是指针对客户要求，从事信息安全服务相关的分析、设计及承建的组织。3.1.3服务等级 service level服务提供组织和客户约定的服务内容和级别。3.1.4信息安全集成 information security integration信息安全集成是为了满足安全需求的一组工程过程的集合，涉及到信息系统和应用的设计、集成、操作、管理、维护和改进等整个生命周期。3.1.5风险评估 risk assessment对各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。3.1.6应急响应 emergency response应急响应指的是对影响计算机系统和网络安全的不当行为（事件）进行标识、记录、分类和处理，直到受影响的服务恢复正常运行的过程。 3.1.7灾难恢复 disaster recovery为了将系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态所设计的活动和流程。3.1.8信息安全外包 information security outsourcing service信息安全外包，指客户将全部或部分信息安全工作指定专业性公司完成的服务模式。整个外包服务过程包括服务等级协议的签订、关系管理、过程管理、问题管理和发布管理等。 3.1.9 安全管理 security management安全管理服务指对接入网络的信息资源的控制。3.1.10 安全工程 security engineering安全工程是一组与安全相关的工程过程的集合，它应满足一组安全要求，并应用到系统和应用的开发、集成、操作、管理、维护和改进以及产品的开发、交付和升级中。3.1.11 系统测评 system testing and evaluation在风险评估的基础上，对在信息系统生命周期中采取的技术类、管理类、过程类的安全保证措施进行测评和检查，确定信息安全保证措施对实施其职能的有效性及其面临安全风险的可接受程度。3.1.12咨询与培训 consultation and training 信息安全培训与咨询是指提供系统安全架构、规划、审计、策略制定和过程开发的服务活动等。3.2 缩略语CISA Certified Information Security Auditor 注册信息安全审核员CISSP Certified Information Systems Security Professional 注册信息系统安全专家NCSE National Certification of Information Security Engineer 国家信息安全技术水平考试4 认证具体要求对信息安全服务资质认证提出了具体的认证要求。4.1 基本资格4.1.1 独立法人申请组织必须是一个独立的实体，具有独立法人资格。4.1.2 法律要求申请组织必须遵守国家现行法律、法规的规定。在所有经营活动中没有触犯知识产权保护等有关法律的行为。4.2 基本能力4.2.1 资产与规模4.2.2.1 资产规模申请组织的注册资本应在100万元以上，资产总额在200万元以上。4.2.2.2 财务状况申请组织近2年的财务状况良好。4.2.2.3 安全服务利润申请组织在最近一年信息安全服务方面的利润应在20万以上或占利润总额的10%以上。4.2.2 人员素质与构成4.2.2.1 技术人员申请组织从事安全服务的专业技术人员应不少于15人。4.2.2.2 人员素质申请组织从事安全服务的专业技术人员大学本科以上学历所占比例不小于70%，硕士学历以上所占比例不小于10%。主要专业技术人员至少有4名取得国际、国内目前承认的信息安全专业证书，例如CISSP，CISA，NCSE。4.2.2.3 组织负责人申请组织总经理或负责安全服务工作的副总经理须具有5年以上从事信息安全领域企业管理工作经历。4.2.2.4 安全技术负责人申请组织的信息安全技术负责人：1) 从事信息安全服务工作不少于4年，且具有信息安全领域相关专业的中级以上职称(或硕士以上学历),或具有本科以上学历且从事信息安全服务工作不少于6年；2) 独立承担过信息安全服务项目；3) 承担的安全项目总额在150万以上。4.2.2.5 财务负责人申请组织的财务负责人须是会计师以上职称,负责财务工作5年以上。4.2.3 设备、设施与环境4.2.3.1 工作环境申请组织应有固定的工作场所，工作环境符合信息安全场所环境要求。4.2.3.2 测试模拟环境申请组织应具有与所承担项目相适应的测试环境和设备。4.2.3.3 安全服务工具申请组织应有满足信息安全服务的技术开发、测试工具。4.2.3.4 组织与技术队伍具有胜任信息安全服务的专职人员队伍。4.2.4 业绩4.2.4.1 从业经验申请组织应从事信息安全服务行业的时间在3年以上。4.2.4.2 安全服务经验申请组织必须完成3个以上成功的信息安全服务项目。4.2.4.3 安全服务规模申请组织近年完成的信息安全服务项目总值应在200万元以上。4.2.4.4 安全服务状况申请组织所做安全服务项目应没有出现验收未通过的情况。4.3 信息安全服务管理过程4.3.1 建立并实施服务管理体系提供管理体系包括有效管理和实施所有信息安全服务所需的方针和框架。信息安全服务组织应考虑以下因素：1) 应有明确的管理职责；2) 应确定一名高层管理者负责服务管理计划及交付；3) 应有明确的服务管理方针、程序和与此相关的活动；4) 应有明确的文件管理程序；5) 针对所有人员进行技能和经验的教育和培训。4.3.2 服务等级管理 信息安全服务组织应在服务等级管理方面考虑以下因素：1) 应协商并记录所有方面：所提供的服务、相应的服务等级目标以及工作量特性；2) 应在一个或多个服务等级协议中书面规定所约定的服务；3) 应组织所有相关方协商并记录服务等级协议、支持服务约定、供方合同和相应的程序；4) 应把服务等级协议处于变更管理过程的控制之下；5) 应通过所有相关方定期评审的方式来保持服务等级协议，以确保服务等级协议的更新和持续有效；6) 应根据目标来监视并报告服务等级，报告中应展示当前的信息以及发展趋势，报告并评审不符合的原因，并记录这一过程中所确定的改进措施，作为服务改进计划的输入。4.3.3 保密管理信息安全服务组织应对相关方信息进行保密，应考虑以下因素：1) 建立保密管理规范；2) 制定保密协议；3) 对所有员工不断进行保密意识与培训教育；4) 对客户的信息进行保密。4.3.4 服务报告每一服务报告应清晰阐明其标识、目的、目标读者以及数据来源。信息安全服务组织应编制服务报告已满足确定的需求和顾客要求。服务报告内容应考虑以下因素：1) 与服务水平目标相比较的业绩；2) 不符合问题；3) 工作量；4) 重大事件发生后测试报告；5) 未来趋势；6) 满意度分析；7) 在服务报告中应考虑到管理决策和纠正措施，并与相关方联系。4.3.5 服务连续性及可用性管理信息安全服务组织应在服务连续性及可用性方面，考虑以下因素：1) 计划每年至少评审一次；2) 业务环境发生重大变化时应重新测试；3) 变更管理程序应评估变更对可用性及服务连续性的影响；4) 应测量并记录可用性。应调查计划外的不可用并采取适当的措施。4.3.6 信息安全服务的预算及财务管理信息安全服务组织应制定预算并说明服务提供成本，考虑以下因素：1) 应为所有的组件制定预算并进行财务管理；2) 分配服务的间接费用和直接成本；3) 有效的财务控制和授权；4) 监控预算的执行。注：根据信息安全服务组织的具体项目而定是否必须采取以上措施。此项要求不作为基本要求。4.3.7 容量管理信息安全服务组织实施容量管理，应编制并保持容量计划。容量管理应阐述业务需求并考虑以下因素：1) 当前和预测的能力和绩效要求；2) 识别服务升级的时间表、限度和成本；3) 评价预期的服务升级、变更请求、关于容量的新技术和方法的影响；4) 预测外部变更的影响；5) 数据和程序满足未来的预测分析能力。4.3.8 信息安全管理信息安全服务组织本身建立适合的安全管理体系，应考虑以下因素：1) 建立明确的信息安全服务策略；2) 具有专门的信息安全组织或部门，具有满足信息安全服务项目要求的专业人员队伍；3) 具有资产管理的能力，能够识别资产并了解如何保护资产；4) 具有人员管理的能力，在人员雇用前、雇用中、雇用后具有不同的措施，保证人员具有足够的能力胜任本职工作、并能够不断学习新的技术与知识，达到与客户的要求相匹配。签署相应的保密协议，保证对组织、客户的信息保密；5) 进行物理和环境的保护。针对关键或敏感的信息处理设施放置在安全区域内，并受到确定的安全周边的保护，包括适当的安全屏障和入口控制，所有关键设施在物理上避免未授权访问、损坏和干扰；6) 应实施通信和操作管理。对所有的信息处理设施的管理和操作管理；实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准；作出对未来容量需求的推测，以减少系统过载的风险；要求有预防措施，以防范和检测恶意代码和未授权的移动代码的引入；保护网络中信息的安全性并保护支持性的基础设施、移动介质；7) 对信息、信息处理设施和业务过程的访问宜在业务和安全要求的基础上予以控制；建立规范控制对信息系统和服务的访问权的分配；8) 针对信息系统的获取、开发和维护，信息系统包括操作系统、基础设施、业务应用、非定制产品、服务和用户开发的应用。支持业务过程的信息系统的设计和实施对安全是非常关键的，识别并商定安全要求，根据要求制定一系列控制措施并实施；9) 针对业务活动进行持续性管理，制定一系列预防和恢复控制措施，将对组织的影响减少到最低，并从信息资产的损失中恢复到可接受的程度；10) 针对符合性管理，业务活动必须符合法律、法规、标准、审计的要求。4.3.9 业务关系管理过程对于长期客户，服务提供组织应考虑以下因素：1) 每年至少进行一次服务评审，包括服务范围、服务等级协议、合同或业务需求的变更；2) 对于合同变更，应讨论服务等级协议变更问题，使客户了解需求及变更；3) 建立并实施抱怨程序。4.3.10 供方管理对于组织的供方，信息安全服务提供组织应考虑以下因素：1) 制定针对供方的管理规范；2) 对每一个供方，应指定一个供方合同管理者；3) 应协商并书面规定所有方面使用的过程接口；4) 与供方签订的服务等级协议应与具体业务的服务等级协议一致；5) 应建立合同或正式协议的重要评审规程；6) 建立解决合同争议的正式规程；7) 应建立程序关于管理服务的预期或提前终结或将服务转嫁给其他方；8) 根据服务等级目标来监视和评审业绩。4.3.11 事故管理信息安全服务组织针对事故管理应考虑以下因素：1) 建立事故管理程序；2) 记录所有事故；3) 通知客户发生的事故及解决事故的进展情况；4) 根据过程对重大事故进行分类和管理。4.3.12 问题管理信息安全服务组织在问题管理方面应考虑以下因素：1) 建立问题管理程序；2) 记录已识别的所有问题；3) 应制定相应的纠正措施并实施，以减少潜在的问题；4) 纠正潜在问题原因的变更需求应提交变更管理程序；5) 监视、评审已解决的问题及其有效性；6) 应记录这一过程中采取的改进措施，作为服务改进计划的输入。4.3.13 项目风险管理信息安全服务组织应在项目风险管理方面考虑以下因素：1) 建立项目风险管理程序；2) 记录、跟踪已识别的项目风险；3) 应制定相应的纠正措施并实施；4) 应记录这一过程中采取的改进措施，作为服务改进计划的输入。4.3.14 配置管理信息安全服务组织应在配置管理方面考虑以下因素：1) 建立配置管理程序；2) 识别配置项；3) 建立配置审计程序，应包括记录偏差、发起纠正措施和结果报告的内容。4.3.15 变更管理信息安全服务组织应在变更管理方面考虑以下因素：1) 制定变更管理程序，其中包括恢复和补救失败变更的方法；2) 清楚规定服务和基础设施变更的范围，并形成文件；3) 评审所有变更，确保变更实施后所采取的措施；4) 定期分析变更记录；5) 记录由变更管理所确定的改进措施，作为服务改进计划的输入。4.3.16 发布管理信息安全服务组织应在发布管理方面考虑以下因素：1) 制定发布管理程序；2) 制定发布失败情况下的返回或补救的方式；3) 评估变更要求对发布计划的影响；4) 建立受控的测试环境；5) 设计并实施发布和分发，确保在安装、处理、包装及交付过程的软硬件的完整性；6) 测量成功或失败的发布。5 信息安全服务类型与资质评定原则5.1 信息安全服务的类型信息安全服务的类型主要指一个组织按照合同或协议，为另一个组织所履行的安全服务的具体形式，目前我们针对目前市场上存在的安全服务类别进行资质认证。根据目前的信息安全服务资质认证范围可分为以下几种：安全集成、风险评估、系统测评、安全管理、外包、应急响应、灾难恢复、培训和咨询等。可以参考国内外相关的标准，例如：GB/T 20261-2006系统工程安全能力成熟度模