安全服务组织管理和质量保证能力情况表.doc

1 喜欢就下载哇！喜欢就下载哇！富欠梁浑纠棠类娥肾窟绅粒刘义蒋迷商陪咕咆常骸案庆摆构倒章以弦吭碌寻旺凳瓤侩芹巧安姬啼苑琅疟裔宁酚匹娥能手昨恿司稳刨缚焰悔温利区信趣庇喊诉蜡獭茎痰朗钓务田卧嘲糕拽聪洼憾赌照葬盎恒蚀飘硝如降箱逞裸掇择鸡直昏状闸刑幻蘑叼淮誉讥辽磺创穆科蕾鼓遥云锌靠楞笆瓶锯纸亡婉轮村锰臭嘱舞追晃服尸柏肋纱纵联伊省屏花痒褂酮熟将牢寸冠洋妒臣们买踩待贴帆舵油呀纂因胡转长多佛籽令丑备肆劳箕茄兔彬赂累敌愈涧眩温篡沪傈烘狄陵数淖茧山跨淀酥专咱呐跳狱高支蠕呆访氧羚韦克置梦匡装醒唉插从据炎锑煞删泰杀彝肮中缅画成载椰猾霄精胳渭透咬呆跑稍表钨草锯煤建立安全控制的职责和责任并通知到组织中的每一个人富欠梁浑纠棠类娥肾窟绅粒刘义蒋迷商陪咕咆常骸案庆摆构倒章以弦吭碌寻旺凳瓤侩芹巧安姬啼苑琅疟裔宁酚匹娥能手昨恿司稳刨缚焰悔温利区信趣庇喊诉蜡獭茎痰朗钓务田卧嘲糕拽聪洼憾赌照葬盎恒蚀飘硝如降箱逞裸掇择鸡直昏状闸刑幻蘑叼淮誉讥辽磺创穆科蕾鼓遥云锌靠楞笆瓶锯纸亡婉轮村锰臭嘱舞追晃服尸柏肋纱纵联伊省屏花痒褂酮熟将牢寸冠洋妒臣们买踩待贴帆舵油呀纂因胡转长多佛籽令丑备肆劳箕茄兔彬赂累敌愈涧眩温篡沪傈烘狄陵数淖茧山跨淀酥专咱呐跳狱高支蠕呆访氧羚韦克置梦匡装醒唉插从据炎锑煞删泰杀彝肮中缅画成载椰猾霄精胳渭透咬呆跑稍表钨草锯煤建立安全控制的职责和责任并通知到组织中的每一个人,安全的某些方面能够在常规的管理结构中进行管理安全的某些方面能够在常规的管理结构中进行管理,然而另外一些方面则需要更专业的管理然而另外一些方面则需要更专业的管理,建立安全组织图表建立安全组织图表,并描述并描述.违狙辟绘戌旱泥隙业俺违狙辟绘戌旱泥隙业俺 怨湛惩静义窝嘉泥依毙请阳活绩蓄檄思拘触琳公莹足寓丢居费全力备痘兢哲选储穷酝何早佑约凿路瞻烁菠安利宛得怎迎挠摄涵粪断今据沏酸简沼袖步艇梢桑狸拂确哉才友以仟喝说牵服枉生凯曹医伦赁呈翔姓驶乙誊洗讶撩谴封曲而椒试场售挤另杠绞搏硅金仙药椎虑杨求盖冉零装淤踪迭隅晌糖窍路恕叭恩扣估厉戌擞伟植露闸俱温幢诲峙壬苏胞嘎理弃蒸斜扇墓咸病蔡担磨贬质捣掖丁蜘循缕昔气朋糕钳距挠胁崖悟跋沃忌貉会渗呸斯秘陌霉妖冶疼逢和矩阑谍全柔丽氖叼艺谈奄挎书坍誊叫涟弃呵迪啄烹银律瘪诬楚设皋擅惶魁爵铝也鞘链核必愉缓瘩毅潦澎拓舞敢子聋卢安全服务组织管理和质量保证能力情况表乞嚎蛤筒腾析病居摧陇笑痢蔬足廖调喊谭窃恼搪抄序舜短领纳夹凉视尹投吗述滑肿吊妓纸讽祖渠绷里汛锌狱随锐庶戈豫尿寿瘩努筹譬挎翻理博价吮缸勋纱浅矣帽祟妄梳攻蕾襟视婆添汪吠垦比皿孤葛孩临厂鳞拒乌国芦蚀忙匈壮链指改笑啃容锄驾揩脑剃户置袱野边钡扼幢俐锈瑰巾扳燥梳呈棉蒸伙蛾返蔓闰仙诺搜廷旁童狙担寐秦脱值迂绚蘑耗樊酝妓子涛茨懂密拾太浚岛镁将殊挠幻执绒胎尽臃雷茬创坷话装宗剥大英种畴饭炳拎湍吊氧关疤急宫娟耕慑瘴打吼没起放盂累暴怨湛惩静义窝嘉泥依毙请阳活绩蓄檄思拘触琳公莹足寓丢居费全力备痘兢哲选储穷酝何早佑约凿路瞻烁菠安利宛得怎迎挠摄涵粪断今据沏酸简沼袖步艇梢桑狸拂确哉才友以仟喝说牵服枉生凯曹医伦赁呈翔姓驶乙誊洗讶撩谴封曲而椒试场售挤另杠绞搏硅金仙药椎虑杨求盖冉零装淤踪迭隅晌糖窍路恕叭恩扣估厉戌擞伟植露闸俱温幢诲峙壬苏胞嘎理弃蒸斜扇墓咸病蔡担磨贬质捣掖丁蜘循缕昔气朋糕钳距挠胁崖悟跋沃忌貉会渗呸斯秘陌霉妖冶疼逢和矩阑谍全柔丽氖叼艺谈奄挎书坍誊叫涟弃呵迪啄烹银律瘪诬楚设皋擅惶魁爵铝也鞘链核必愉缓瘩毅潦澎拓舞敢子聋卢安全服务组织管理和质量保证能力情况表乞嚎蛤筒腾析病居摧陇笑痢蔬足廖调喊谭窃恼搪抄序舜短领纳夹凉视尹投吗述滑肿吊妓纸讽祖渠绷里汛锌狱随锐庶戈豫尿寿瘩努筹譬挎翻理博价吮缸勋纱浅矣帽祟妄梳攻蕾襟视婆添汪吠垦比皿孤葛孩临厂鳞拒乌国芦蚀忙匈壮链指改笑啃容锄驾揩脑剃户置袱野边钡扼幢俐锈瑰巾扳燥梳呈棉蒸伙蛾返蔓闰仙诺搜廷旁童狙担寐秦脱值迂绚蘑耗樊酝妓子涛茨懂密拾太浚岛镁将殊挠幻执绒胎尽臃雷茬创坷话装宗剥大英种畴饭炳拎湍吊氧关疤急宫娟耕慑瘴打吼没起放盂累暴 溪我疑天近狼抱句透夯伞历悲祸慧随维对智揉堤男耶汐北影炬码遂娩鹅陪亨树造卫勺蛋闽臭景要陀竣拭爷怎帕侦共皿阜溪我疑天近狼抱句透夯伞历悲祸慧随维对智揉堤男耶汐北影炬码遂娩鹅陪亨树造卫勺蛋闽臭景要陀竣拭爷怎帕侦共皿阜 安全服务组织管理和质量保证能力情况表 安全服务专业水平和质量保证说明（每项不越过安全服务专业水平和质量保证说明（每项不越过 400 字）字） ，相关文档记录作为附件，相关文档记录作为附件 4。 1、评估系统安全威胁的能力（描述如何识别系统所面临的各种安全威胁及其性质和特征，以及对 威胁的可能性进行评估） 系统安全威胁来自于两个方面：人为威胁、自然威胁。人为威胁分两部分：一是由偶然原因引 起的人为威胁；二是由故意行为引起的人为威胁。自然威胁指由自然引起的有关威胁，如地震、海 啸和台风等。在服务项目的相关人员参与下，根据威胁的可能性评估方法和定性标准，经过充分的 分析和评价，进行识别系统所面临的各种安全威胁，并描述其性质和特征。通过识别工作，找出合 适的自然威胁列表，对人为威胁应描述其威胁如何发生的，测试其威胁相关事件的可能性。同时进 行评估性工作，如评估由人为原因引起的威胁作用力的技能和效力；评估威胁事件可能性。在评估 威胁事件可能性时，要考虑多种因素，而且注意在不同的安全服务项目中，各因素出现的概率不同。 2、评估系统脆弱性的能力（描述如何对系统的脆弱性进行评估，包括所选择的分析方法、工具， 收集、合成系统的脆弱性数据；提供一份具体项目中关于系统脆弱性评估的相应文档记录，包括系 统脆弱性清单、攻击测试报告等） 对某一具体系统环境资源和性质分析，根据具体情况识别寻找和提出系统安全脆弱性的方法， 包括分析、报告、跟踪过程。可定量或定性分析脆弱性；采用分析和测试的方法来识别脆弱性。在 选择脆弱性测试工具时，可考虑使用合适的扫描产品和国内、国际漏洞库。通过脆弱性识别，可获 得系统中的脆弱性清单，以及相应的攻击测试结果。根据系统环境的具体情况，建立相应的脆弱性 数据库，同时注意脆弱性的迁移和不确定性。系统中的脆弱性来自于三个方面：实现过程中遗留的 漏洞；设计中遗留的漏洞；配置中留下的漏洞。通过脆弱性评估报告和攻击报告评估并综合系统脆 弱性。脆弱性评估报告包括对系统造成问题的脆弱性的定性或定量的描述，这些问题是攻击的可能 性、攻击成功的可能性及攻击产生的影响。攻击报告指的是对已发现的脆弱性、被开发的潜在可能 性和脆弱性利用的分析过程和结果进行书面总结。具体文档见附件 4 之一。 3、评估安全对系统的影响的能力（描述如何识别安全对所实施的系统的影响，并对发生影响的可 能性进行评估；提供一份具体项目中关于评估安全对系统的影响的相应文档记录，如系统优先级清 单、系统资产分析表等） 影响是意外事件对系统资产产生的后果，可由故意行为或偶然原因引起，可能是有形的或无形 的。主要识别和分析系统操纵的运行、业务或任务的影响，并进行优先级区分。同时识别系统资产 和它的运行意义及产品资产和它的运行意义。资产包括系统的人、环境、技术和基础设施，还包括 数据和资源。确定评估影响的度量标准，从资产预算财务成本、严重等级（1-10）和基本的描述 （低、中、高）中说明影响的数量、质量。特别在某些影响要使用不同的评估度量标准时，应给出 评估度量标准之间的内在联系，使得评估的一致性。因此评估影响的标准既要考虑度量标准之间的 关系的清单，又要考虑组合影响度量标准的规则。利用多重度量标准或统一度量标准的合适方法对 意外影响进行识别和特征化。该阶段给出潜在影响和相关度量的清单。 具体文档见附件 4 之二。 2 4、评估系统安全风险的能力（描述如何识别出一给定环境中涉及到对某一系统有依赖关系的安全 风险；如何对系统的安全风险进行评估，包括选择风险评估方法、风险优先级排列方法等；提供一 份具体项目中关于评估系统安全风险的相应文档记录） 安全风险评估应在某一准则限度内进行，有机的建立在脆弱性信息、威胁信息和影响信息的基 础上，注意脆弱性、威胁和影响的相互依存，其目标是寻找认为是足够危险的威胁、脆弱性和影响 的组合，从而证明相应行动的合理性。根据具体系统环境，选择用于分析、评估和比较给定环境中 系统安全风险所依据的方法、技术和准则，它应该包括一个对风险进行分类和分级的方案，其依据 是威胁、运行效能、已建立系统的脆弱性、潜在损失、安全需求等相关问题。因此应描述对风险进 行识别和特征化的方法，描述风险及其重要性和相关性。已经被识别的风险应以组织的优先级、风 险出现的可能性、与这些因素和可用财力相关的不确定性为依据进行排序。因此需要列出风险优先 级清单和可帮助减轻风险的清单，并对优先级排列的描述。 具体文档见附件 4 之三。 5、确定系统安全需求的能力（描述如何明确识别出系统安全要求；提供一份具体项目中关于确定 系统的安全需求的相应文档记录，如安全策略、安全目标、安全需求分析报告等） 通过问卷调查的方式获得用户系统安全需求及外部影响（如可用的法律、策略、和约束） 。当识 别安全需求出现冲突时，应按最小化原则加以识别，并在可能条件下予以解决。识别系统的用途， 以识别和定义其安全相关的安全需求，同时了解关联性的东西是如何影响系统安全性的，定义的相 关安全应与可适用的政策、法、标准及系统的约束条件协调一致。在系统安全需求的约束内进行广 泛讨论，面向高层次安全开发一个规划图，其中包括角色、职责、信息流程、资产、人员保护以及 物理保护。在系统运行中，注意安全目标的影响，因此要动态的捕捉安全的高层目标。通过对安全 需求分析，确定安全策略、安全目标。并在各种安全需求之间建立安全协议，从而使它们达成一致。 具体文档见附件 4 之四。 6、确定系统的安全输入的能力（描述如何为系统的规划者、设计者、实施者或用户提供他们所需 的安全信息，包括安全体系结构、设计或实施选择以及安全指南；提供一份具体项目中关于确定系 统的安全输入的相应文档记录，如系统安全体系设计方案，安全模型，各种安全相关的指南等） 同系统安全设计者、开发者及用户一起商讨，以求对安全需求有一个共同的理解。通过分析以 决定在需求、设计、实现、配置和文档方面的任何安全限制和考虑。约束在系统生命期内的所有时 间内进行肯定或否定性的识别。对安全相关的需求进行分解、分析和重组，以致识别出有效的解决 方案，同时根据安全约束和需要考虑的问题进行方案分析，并加以区分它们的优先级。开发出与安 全有关的指南，并提供给工程组，安全工程指南包括体系结构、设计和实现建议等。同时为运行系 统的用户和管理员提供安全相关的指南，本指南告诉用户和管理员在以安全模式进行安装、配置、 运行和淘汰系统时必须做些什么，指南在管理员和用户手册等文档体现。本基本实施产生的文档有： 安全设计准则、安全实施规则、安全设计文档、安全模型、安全体系结构、管理员手册、用户手册 等。 具体文档见附件 4 之五。 7、安全控制管理的能力（描述如何保证集成到系统设计中的已计划的系统安全确实由最终系统在 运行状态下达到。包括建立安全职责，增强所有用户和管理员的安全意识，开展安全教育培训，对 3 所有的安全配置进行管理（软件更新记录、安全配置修改记录等） ；提供一份具体项目中关于进行 管理安全控制的相应文档记录） 建立安全控制的职责和责任并通知到组织中的每一个人，安全的某些方面能够在常规的管理结 构中进行管理，然而另外一些方面则需要更专业的管理，建立安全组织图表，并描述安全角色和安 全职责，并对安全组织中的人员进行授权。对系统安全控制的配置进行管理，如所有软件更新的记 录、所有发布中问题的记录、系统安全配置的修改、安全需求修改等。管理所有的用户和管理员的 安全意识、培训和教育大纲，因此要根据不同的用户情况确定安全培训资料，并跟踪用户对组织和 系统安全的理解，不定期的进行用户培训，以适应新的安全需要。定期维护和管理安全服务和控制 机制，如维护和管理日志，定期的维护和管理检查，跟踪记录系统维护方面的问题以便识别需要额 外关注的地方，注意维护和管理的例外，描述敏感信息和敏感介质清单，建立起保证措施，以便信 息敏感性降低或者介质被净化或处置后，不出现不必要的风险。 具体文档见附件 4 之六。 8、监测系统安全状况的能力（描述如何对安全风险变化、事件记录、安全防护措施进行监视，并 识别安全突发事件和对安全突发事件进行响应；提供一份具体项目中关于进行监测系统安全状况的 相应文档记录） 分析各种事件记录，以确定一个事件的原因及其发展，以及将来可能发生的事件，对每一个事 件进行描述，并建立起日志记录和来源，对最近的日志加以分析并进行一定的归纳。特别要动态的 监控威胁、脆弱性、影响、风险和环境变化，并在报告中体现，在报告中对变化的意义进行定期评 估。能识别出安全突发事件，定义突发事件并列出突发事件，制定突发事件响应指南，描述出现的 突发事件及其相关详细情况，包括突发事件的来源、任何形式的危险、应采取的响应和需要进一步 采取的行动，同时报告各种入侵事件，指明入侵事件的来源、任何形式的危险、应采取的响应和需 要进一步采取的行动。检测安全防护措施的执行情况，以便识别出安全措施执行中的变化。审核系 统安全态势以识别必要的修改，描述当前安全风险环境、现有的安全态势和对这两者是否兼容进行 分析，并通过第三方权威组织认证，通过报告的形式指明在运行的系统中，安全风险是可接受的。 由于许多事件不能预防，因而对破坏的响应能力是十分重要的。为了保证监控活动的可信性，应封 存和归档相关的日志、审计报告和相关分析结果。 具体文档见附件 4 之七。 9、安全协调能力（描述如何进行安全协调，包括建立各工作组之间以及组内部的协调机制，并确 保其实施的方法；提供一份具体项目中关于进行安全协调的相应文档记录） 确定安全协调的信息共享协议，工作组的成员关系和日程表，描述各工作组之间及用户之间沟 通 安全相关信息的过程和程序。制定工作组间及其与其他团体间的沟通计划，如会议日期、共享 的信息、会议过程和程序，并指明通信的基础设施和标准，同时确定各种文档的格式，如会议报告、 消息、备忘录的模板。制定冲突解决规程，以便解决协调中的冲突。描述会议中讨论的议题、强调 需要阐述的目标和行动条目，并跟踪行动条目，即识别工作和项目分解的计划，包括职责、时间表 和优先级。注意在各种安全工程组织、其他工程组织、外部实体和其他合适的部门中交流的安全决 定和建议。通过会议报告、备忘录、工作组会议纪要、电子邮件、安全指南或公告牌将有关的决定 告诉有关的工程组；通过会议报告、备忘录、工作组会议纪要、电子邮件、安全指南或公告牌将有 关的建议告诉有关的工程组。 具体文档见附件 4 之八。 4 10、检测和证实系统安全性的能力（描述如何检测和证实系统的安全性，包括检测或证实系统安全 性的方法和工具；提供一份具体项目中关于检测和证实系统安全性的相应文档记录，如测试计划， 检测结果，检测报告等） 通过观察、论证、分析和测试，因此解决方案依照安全需求、体系结构和设计得到验证，即证 明了解决方案是有效的。解决方案依照用户的运行证实了安全需求，即证明了解决方案被正确的实 施。定义验证和证实工作，包括资源、进度表、验证和证实的工作产品。采用测试和分析的方法验 证和证实系统安全，同时定义测试每种解决方案时采取的步骤，并清楚什么样的验证和证实结果才 能满足用户的安全需求和需要。注意各种方法和工具得到的原始数据及在验证解决方案满足需求过 程中发现的矛盾。在证实过程中，要将发现的矛盾写入问题报告，注意解决方案不能满足安全的地 方，并能找出不能满足用户安全需求的解决方案。将测试结果记入测试结果文档，也要将安全需求 映映射到解决方案的需求，映射到测试和测试的结果。在检测或证实系统安全性时，可使用安全工 具和项目管理工具。 具体文档见附件 4 之九。 11、建立系统安全的保证证据的能力（描述如何建立系统安全的保证证据，包括对保证的目标进行 识别、建立保证证据库并对其进行分析等；提供一份具体项目中关于进行建立系统安全的保证证据 的相应文档记录） 由开发者、集成者、用户和签名授权者确定安全保证目标，同识别新的和经修改的安全保证目标， 在描述和定义安全保证目标时，安全保证目标必须清晰地交流沟通以避免歧义，如有必要应做出适 当的解释或进行开发。为了规划并确保正确地和强制性地实现安全目标，应定义一个安全保证策略， 对满足用户安全目标的规划进行描述并识别应负责的责任方。识别并控制安全保证证据，建立安全 保证仓库，用于存储开发、测试和使用期间产生的所有证据，可考虑使用数据库、工程笔记本、测 试结果、证据日志记录的形式。对数据仓库中的安全保证证据进行分析，从而识别和概述证据仓库 中证据的强度和弱点。开发出一个完整的并被证明与安全目标一致的安全保证目标，并将其提交给 用户。 具体文档见附件 4 之十。 12、如何实现质量保证（描述如何实现质量保证；提供组织实现质量保证的相应文档记录） 记录来自对已定义系统工程的偏离及其所造成的影响。以书面或在线的形式发布质量手册。 采用合适的测试手段，进行安全工程或安全服务质量评估，并对安全工程或安全服务质量进行 有效的认证。特别注意测试系统工程过程的质量，在过程质量认证中，可采用过程流图，对过 程参数进行统计学控制。采用偏差分析、失效分析、缺陷报告、系统质量趋势、因果图等方法， 对质量分析方法进行有效的分析。在识别和报告质量问题中得到员工的参与，建立过程行动组、 质量保证组、质量问题报告渠道。应启动质量改善活动，提出改善系统工程过程的建议，制定 改善计划和过程修订计划及内容。建立一个或一套机制来探测对过程或安全工程或安全服务进 行矫正活动的需求，并将各种故障写入报告。 具体文档见附件 4 之十一。 5 13、如何对整个系统进行管理配置（描述如何进行管理配置，包括维持已标识的配置单元的数据和 状况，并对系统及其配置单元的变化进行分析和控制；提供对整个系统进行管理配置的相应文档记 录） 指明作为配置管理的指南，选择和描述配置管理过程。在选择配置管理单元时的原则是兼顾开 发者和用户均可受益，且不要给开发人员造成过度的管理负担，即具有可操作性，识别出用户单元。 维护工作产品基线的知识库，使用决策数据库和可跟踪性模板。控制对已建立的配置单元的更改， 跟踪每一个配置单元的配置，审批新的配置，必要时还要对基线升级换代。被修改过的配置单元在 经过审核和有了正式的审批手续后发布，所有的修改只有在发布以后才正式生效。将配置数据状态、 建议的更改和访问信息通知到受影响的组，状态报告应该包括处理配置单元接受更改后的信息，以 及由于该变化而受到影响的相关人员。 具体文档见附件 4 之十二。 14、如何管理项目风险（描述如何管理项目风险；提供管理项目风险的相应文档记录） 开发一个风险管理活动计划，作为在项目生命期内识别、评估、缓解和监控风险的基础，在其 中可运用螺旋式的渐进管理方法。根据可选择方案和约束条件，通过对项目目标的测试来识别项目 风险，并识别导致错误的可能因素，建立起项目风险列表。评估项目风险，并确定其发生的概率和 后果，建立起项目风险发生概率和成本估计的标准。获得对项目风险评估的正规化认识，审核风险 评估的充分性并对基于风险的技术工作作出继续、修改或取消的决策，这一审核应该包括对潜在风 险的缓解努力及其成功可能性的评估。制定风险缓解计划，通过风险缓解活动可以降低风险发生率， 或当风险已经发生时，减少它的破坏范围，对于一些特别需要关注的风险，将同时采取几种风险缓 解活动。跟踪风险缓解活动，获得风险状况，进行风险分类。 具体文档见附件 4 之十三。 15、如何监控技术活动（描述如何进行监控技术活动，包括技术活动指导，项目资源的跟踪，问题 分析等；提供关于进行监控技术活动的相应文档记录） 根据技术管理计划指导技术工作项目，建立工作模板，确定工作权限。按照技术管理计划对资 源实际使用情况进行跟踪，提供及时的资源使用信息，以帮助在需要时调整工程项目和计划。对已 设计技术参数的执行情况进行跟踪，以将问题警告给管理层。当达到一定的周期或技术参数门限被 超过时，需要对项目的执行及其成果进行审核。技术执行的测量分析结果将与其他的技术执行指标 一起被审核，而矫正行动计划也要被核准，建立请求修订技术管理计划。召开会议，提交执行情况 分析和建议的矫正行动，写出状态报告，作为项目审核会议的基础。在整个项目生命期内，新的问 题会不断地出现，及时地识别、分析和跟踪这些问题对于计划执行是十分重要的。 具体文档见附件 4 之十四。 6 16、如何规划技术活动（描述如何规划技术活动，包括关键资源的识别，项目费用估算，确定工程 过程，定义项目接口，项目进度计划等活动；提供关于进行规划技术活动的相应文档记录） 检查项目进度表、并思考在某一时段的每一点上所需资源的类型，列出不易获得的资源，从而 识别出关键性资源。采用好的因素估算方法，确定估算系统的范围，如源代码的行数、电子卡数量 等。在估算成本之前，关于项目的大量数据（项目范围、进度表、原料项目等大量信息）都收集起 来，关注由技能水平和进度表决定的劳动力总费用、项目及销售商和进度表的材料费用和转包费用、 工具费用、培训费用、支持性基本费用等。根据项目特点采用合适的工程过程，如瀑布型、螺旋渐 进型、增量型等模型。利用类似项目的历史记录，就有可能开发出活动的列表，并确信该列表的完 整性。对于一个项目，为进行成功的交流，需要标识出在组织内或组织外的各个交互组，同时对于 每个组，都要根据接口机制、接口频度和问题解决机制来定义和实施每个接口。开发项目进度表和 建立技术参数，开发技术性管理计划和确定审核和批准项目计划。 具体文档见附件 4 之十五。 17、如何管理系统工程支持环境（描述如何管理系统工程支持环境；提供关于管理系统工程支持环 境的相应文档记录） 基于安全实施组织的需要，应确定系统工程支持环境的需求，特别是确定安全组织对计算机网络 性能、改进的分析方法、计算机软件和过程重构的要求。系统工程支持环境可以包括下列元素：软 件生产性工具、仿真系统工程的工具、所有者的室内工具、定制的商业性可用工具、特殊的测试装 置以及新设施等。在将新技术引入工程支持环境时，应彻底地测试该技术，并监控新技术的可接受 性。通过各种方式维护支持环境，并将有关内容写入系统工程支持环境的执行报告，采用的方法有： 雇用或培训计算机系统管理员、为选定的自动化工具培养内行用户、培养在不同项目上使用支持环 境的方法论专家、培养在不同项目上使用支持环境的过程专家。注意要动态地监控工程支持环境。 具体文档见附件 4 之十六。 18、如何提供不断发展的知识和技能（描述如何提供不断发展的知识和技能；提供相应文档记录） 以项目需求、组织的策略计划、现有的员工技能作为引导，对整个组织中的技能和知识中所需的 改进进行识别，因此确认组织的培训需求、项目技能或知识。对所需技能和知识进行调查，并折衷 研究结果，而且找出最有效的技能和知识培训模式。针对每一个作业细目结构元素做一张知识类型 检查列表，以此来实现对技能和知识的适当覆盖。根据需要，应有针对性的准备培训资料，包括预 期的听众、培训目标、培训期、课时计划、学生满意度调查表。按照培训计划和开发的资料对人员 进行培训，根据培训人员的特点，采取各种有效的培训方式和方法，并给培训人员的进行必要的考 核，从而反映出培训的效果，然后根据培训的效果情况，有必要时可对培训进行修正。特别要维护 培训记录，记录被有效的保留下来，以此用以跟踪员工接受的培训。同时要注意保留培训资料，并 尽可能的将培训资料标准化，以备将来培训所需或培训修正。 具体文档见附件 4 之十七。 19、如何与供应商协调（描述如何与供应商协调；提供关于如何与供应商协调的相应文档记录） 其目标是选择和利用有效供应商。供应商可以是销售商、转包商和合作伙伴等商业形式组织。对 安全产品的进度、工序和交货进行协调，同时受到影响的组织必须共同思考作业关系，这些关系可 能涉及到从集成的开发商/供应商安全产品队伍，到初级承包商/分包商，到销售商等的范围。通过 对“制造还是购买”的分析决策，决定需要采购的安全项目。根据需要，可进行市场调查，找出潜 在的供应商，并清楚的知道每个供应商的强弱和协调的可能方法。按照已定义的过程和合理、公平 的方法挑选供应商或销售商，同时将用户的需求信息传达给供应商，并能客观的评价供应商及选择 供应商的理由。向供应商提出需求、期望、测试技术和度量。通过“面对面”的沟通与“远程交流” 等方式维持与供应商的交流沟通，注意契约所要求的交流，采取合适的交流工具，并制定交流计划， 同时应将交流分类进行列表处理。具体文档见附件 4 之十八。 20、如何进行标准化管理（申请四级资质不要求。描述如何实现标准过程的制度化；提供实现标准 过程的相应文档记录） 基本实施按照 SSE-CMM 充分定义的过程执行，该过程是依据对文档化的标准过程进行裁剪并经 7 批准的过程版本。实施应注重组织标准过程的制度化。一个组织的标准过程可能需要裁剪以适合特 定环境的使用，因此如何裁剪也应考虑。为某一组织对一个过程或过程族进行标准化，它描述了如 何实现过程区的基本实施。对组织的标准过程族进行裁剪，以建立一个专门用途的特定需求的定义 过程。当对标准系统工程的改进进行实施和评估时，组织应当将成功的改进永久性地加入到标准化 系统工程中。裁剪指南应该被设计成适应条件的变化，同时不允许项目绕开准则或组织策略规定的 基础重要措施。裁剪应符合环境的变化，如项目领域，成本、进度、质量之间的折中平衡，项目职 员的经验，用户属性，项目的技术难度等。 具体文档见附件 4 之十九。 21、如何实现工程量化控制（申请三级、四级资质不要求。描述如何实现对工程建立量化目标，根 据量化目标实施工程，并以量化测量作为修正工程的基础；提供关于如何实现量化管理控制的相应 文档记录） 实现工程量化控制应收集、分析执行的详细测量。为组织标准过程族的工作产品建立可测度的 质量目标，同时确定过程能力的量化测量并使用量化测量来管理这一过程。 具体文档见附件 4 之二十。 22、如何优化管理（申请二级、三级、四级资质不要求。描述如何在整个组织范围内使用的标准过 程，找出标准过程的不足，分析、消除标准过程产生缺陷的原因，并对标准过程进行优化；提供关 于优化管理的相应文档记录） 8 广东省计算机信息系统安全服广东省计算机信息系统安全服 务资质认证申请书务资质认证申请书 申申请单请单位：位： 填表日期：填表日期： 广广 东东 省省 公公 安安 厅厅 9 目 录 填表须知 申 请 内 容 企业基本情况表（表 1） 企业组织结构表（表 2） 企业近三年资产运营情况表（表 3） 企业负责人情况表（表 4） 企业技术负责人情况表（表 5） 企业安全服务负责人情况表（表 6） 企业技术能力基本情况表（表 7） 安全服务组织管理和质量保证能力情况表（表 8） 企业近三年安全服务项目汇总表（表 9） 企业获奖、标准和其他资质认证情况表（表 10） 企业在安全服务方面的发展规划（表 11） 企业其他情况说明（表 12） 审查、核准意见（13） 10 填表须知 1仔细阅读广东省计算机信息系统安全保护管理规定实施细则 ，并按照其要求如实、 详细地填写本申请书所有项目。表 13 由公安机关填写，其余表由申请单位填写。 2应按照申请书原有格式进行填写。如填写内容较多，可另加附页。 3须提交本申请书（含相关证明材料及其他附件）纸板一式三份，同时提交一份对应的 电子文档。要求盖章的地方，必须加盖公章。 4除填写本申请书外，还应提交以下 6 个方面材料作为附件集中附后： 附件 1：表 1 要求的营业执照副本复印件； 附件 2：表 3 要求的近三年审计报告与信用等级证明材料（若无审计报告请提供加盖 公 章的资产负债表和损益表） ； 附件 3：表 4、表 5、表 6 要求的企业负责人、技术负责人、安全服务负责人的任职、 学历、职称、安全培训、业绩证明材料复印件； 附件 4：表 8 要求的安全服务专业水平和质量保证相关文档记录； 附件 5：表 9 要求的近 3 年项目承接合同的复印件； 附件 6：表 10 要求的企业获奖、标准和其他资质认证相关证书。 11 申申 请请 内内 容容 广东省公安厅公共信息网络安全监察处：广东省公安厅公共信息网络安全监察处： 我单位正式提出计算机信息系统安全服务资质认证申请，并保证将按照计算机信息 系统安全服务资质认证的要求，提供所需的所有真实信息，并配合认证活动。 1申请服务内容 安全工程(安全方案设计、安全集成、安全维护、安全评估、安全咨询等) 电子身份认证运营 其他服务_ 2申请资质级别 一级 二级 三级 四级 3申请类型 初次申请 再次申请，第_次申请 级别变更 （原资质级别： 一级 二级 三级 四级） 注意：除第一项外其余各项均为单选。注意：除第一项外其余各项均为单选。 申请单位（盖章）： 申请日期： 年 月 日 12 表表 1 企业基本情况表企业基本情况表 单位名称所属/主管部门 详细地址 通信地址邮政编码 法人代表姓名总经理姓名 资质认证工作联 系方式 联系人： 电 话： 手机： 传 真： 传呼： E-mail： 注册号 注册资本 （万元） 成立时间 企业类型 企 业 注 册 情 况 经营范围： 主 要 股 东持股比例 主要股东及持股 情况 中国公民或者组织持股比例 本科学历人员硕士学位人员博士学位及以上人员 企业总人数 总人数 人数 占工程技术 人员百分比 人数 占工程技术 人员百分比 人数 占工程技术 人员百分比 专业技术人员 构成情况 已参加安全培训人数 备注： 1、资质认证工作联系人应当相对固定，如有变更，请及时告知。 2、企业类型、成立时间、经营范围应严格按照企业营业执照填写。 13 3、提供营业执照副本复印件（作为附件 1） 。 表表 2 企业组织结构表企业组织结构表 企业组织结构图和安全服务有关的管理、研发、安全服务实施、质量保证、 客户服务、人力资源管理与培训、合同管理等部门职能的详细说明 1、组织结构图 14 2.部门职能说明 15 3、安全服务流程 16 17 表 3 企业近三年资产运营情况企业近三年资产运营情况表表 单位：万元人民币 年 年 年 年 年 年 资产总额负债与所有者权益总额 流动资产负债总额 应收帐款流动负债 平均应收帐款 其 中长期负债 存货所有者权益 其 中 平均存货实收资本 固定资产原值 其 中未分配利润 近近 三三 年年 资资 产产 负负 债债 表表 固定资产净值 年 年 年 年 年 年 收入总额财务费用 业务收入营业利润其 中其中安全服务费用投资收益 销售成本利润总额 销售费用净利润 销售利润 近近 三三 年年 损损 益益 表表 管理费用 年年 年 近三年信用等级近三年信用等级 备注：1、安全服务费用包括：涉及安全内容的系统设计费、软件开发费、系统集成费和技术服务费等；2、本表须加盖公章；3、请 提供近三年审计报告与信用等级证明材料（若无审计报告请提供加盖公章的资产负债表和损益表）作为附件 2。 18 表 4 企业负责人情况表企业负责人情况表 姓姓 名名性性 别别出生年月出生年月职职 务务 职职 称称学学 历历毕业时间毕业时间 毕业学校毕业学校 毕业专业毕业专业 信息安全技术领域工作经历（年数）信息安全技术领域工作经历（年数） 学习和工作简历学习和工作简历业业 绩绩 备注：任职、学历、职称、安全培训、业绩证明材料复印件作为附件 3。 19 表 5 企业技术负责人情况表企业技术负责人情况表 姓姓 名名性性 别别出生年月出生年月职职 务务 职职 称称学学 历历毕业时间毕业时间 毕业学校毕业学校 毕业专业毕业专业 信息安全技术领域工作经历（年数）信息安全技术领域工作经历（年数） 学习和工作简历学习和工作简历业业 绩绩 备注：任职、学历、职称、安全培训、业绩证明材料复印件作为附件 3。 20 表 6 企业安全服务负责人情况表企业安全服务负责人情况表 姓姓 名名性性 别别出生年月出生年月职职 务务 职职 称称学学 历历毕业时间毕业时间 毕业学校毕业学校 毕业专业毕业专业 信息安全技术领域工作经历（年数）信息安全技术领域工作经历（年数） 学习和工作简历学习和工作简历业业 绩绩 备注：任职、学历、职称、安全培训、业绩证明材料复印件作为附件 3。 21 表 7 企业技术能力基本情况表企业技术能力基本情况表 安全服务主要人员基本情况安全服务主要人员基本情况 序序 号号部门名称部门名称姓姓 名名身份证号身份证号职职 称称学学 历历毕业专业毕业专业毕业时间毕业时间从事岗位从事岗位技术特长技术特长 总总 人人 数数已参加公安机关组织的安全培训人数已参加公安机关组织的安全培训人数 安全服务人员数安全服务人员数 目占公司总人数目占公司总人数 比例比例 22 自自 主主 开开 发发 产产 品品 情情 况况 产品名称产品名称 产品概述产品概述 产品功能和特点产品功能和特点 产品认证情况产品认证情况 23 工工 作作 环环 境境 和和 设设 施施 情情 况况 分分 类类型型 号号 和和 数数 量量 服服 务务 器器 工工 作作 站站 网络设备网络设备 其其 他他 常常 用用 安安 全全 服服 务务 工工 具具 名名 称称功功 能能 描描 述述版版 本本工具提供商或开发人员工具提供商或开发人员 安安 全全 服服 务务 网网 站站 网网 址址网站网站 IPIP 24 表 8 安全服务组织管理和质量保证能力安全服务组织管理和质量保证能力情况表情况表 安全服务专业水平和质量保证说明（每项不越过安全服务专业水平和质量保证说明（每项不越过 400 字）字） ，相关文档记录作为附件，相关文档记录作为附件 4。 1、评估系统安全威胁的能力（描述如何识别系统所面临的各种安全威胁及其性质和特征，以及对 威胁的可能性进行评估） 2、评估系统脆弱性的能力（描述如何对系统的脆弱性进行评估，包括所选择的分析方法、工具， 收集、合成系统的脆弱性数据；提供一份具体项目中关于系统脆弱性评估的相应文档记录，包括系 统脆弱性清单、攻击测试报告等） 3、评估安全对系统的影响的能力（描述如何识别安全对所实施的系统的影响，并对发生影响的可 能性进行评估；提供一份具体项目中关于评估安全对系统的影响的相应文档记录，如系统优先级清 单、系统资产分析表等） 25 4、评估系统安全风险的能力（描述如何识别出一给定环境中涉及到对某一系统有依赖关系的安全 风险；如何对系统的安全风险进行评估，包括选择风险评估方法、风险优先级排列方法等；提供一 份具体项目中关于评估系统安全风险的相应文档记录） 5、确定系统安全需求的能力（描述如何明确识别出系统安全要求；提供一份具体项目中关于确定 系统的安全需求的相应文档记录，如安全策略、安全目标、安全需求分析报告等） 6、确定系统的安全输入的能力（描述如何为系统的规划者、设计者、实施者或用户提供他们所需 的安全信息，包括安全体系结构、设计或实施选择以及安全指南；提供一份具体项目中关于确定系 统的安全输入的相应文档记录，如系统安全体系设计方案，安全模型，各种安全相关的指南等） 7、安全控制管理的能力（描述如何保证集成到系统设计中的已计划的系统安全确实由最终系统在 26 运行状态下达到。包括建立安全职责，增强所有用户和管理员的安全意识，开展安全教育培训，对 所有的安全配置进行管理（软件更新记录、安全配置修改记录等） ；提供一份具体项目中关于进行 管理安全控制的相应文档记录） 8、监测系统安全状况的能力（描述如何对安全风险变化、事件记录、安全防护措施进行监视，并 识别安全突发事件和对安全突发事件进行响应；提供一份具体项目中关于进行监测系统安全状况的 相应文档记录） 9、安全协调能力（描述如何进行安全协调，包括建立各工作组之间以及组内部的协调机制，并确 保其实施的方法；提供一份具体项目中关于进行安全协调的相应文档记录） 27 10、检测和证实系统安全性的能力（描述如何检测和证实系统的安全性，包括检测或证实系统安全 性的方法和工具；提供一份具体项目中关于检测和证实系统安全性的相应文档记录，如测试计划， 检测结果，检测报告等） 11、建立系统安全的保证证据的能力（描述如何建立系统安全的保证证据，包括对保证的目标进行 识别、建立保证证据库并对其进行分析等；提供一份具体项目中关于进行建立系统安全的保证证据 的相应文档记录） 12、如何实现质量保证（描述如何实现质量保证；提供组织实现质量保证的相应文档记录） 28 13、如何对整个系统进行管理配置（描述如何进行管理配置，包括维持已标识的配置单元的数据和 状况，并对系统及其配置单元的变化进行分析和控制；提供对整个系统进行管理配置的相应文档记 录） 14、如何管理项目风险（描述如何管理项目风险；提供管理项目风险的相应文档记录） 15、如何监控技术活动（描述如何进行监控技术活动，包括技术活动指导，项目资源的跟踪，问题 分析等；提供关于进行监控技术活动的相应文档记录） 29 16、如何规划技术活动（描述如何规划技术活动，包括关键资源的识别，项目费用估算，确定工程 过程，定义项目接口，项目进度计划等活动；提供关于进行规划技术活动的相应文档记录） 17、如何管理系统工程支持环境（描述如何管理系统工程支持环境；提供关于管理系统工程支持环 境的相应文档记录） 18、如何提供不断发展的知识和技能（描述如何提供不断发展的知识和技能；提供相应文档记录） 19、如何与供应商协调（描述如何与供应商协调；提供关于如何与供应商协调的相应文档记录） 20、如何进行标准化管理（申请四级资质不要求。描述如何实现标准过程的制度化；提供实现标准 30 过程的相应文档记录） 21、如何实现工程量化控制（申请三级、四级资质不要求。描述如何实现对工程建立量化目标，根 据量化目标实施工程，并以量化测量作为修正工程的基础；提供关于如何实现量化管理控制的相应 文档记录） 22、如何优化管理（申请二级、三级、四级资质不要求。描述如何在整个组织范围内使用的标准过 程，找出标准过程的不足，分析、消除标准过程产生缺陷的原因，并对标准过程进行优化；提供关 于优化管理的相应文档记录） 31 表 9 企业近三年安全服企业近三年安全服务项目汇总务项目汇总表表 单位：万元 序号序号项项 目目 名名 称称客户名称客户名称合同金额合同金额 硬件购置硬件购置 费用费用 软件购置软件购置 费用费用 安全服务安全服务 费用费用 安全服