信息安全服务资质认证规范.doc

信息安全服务资质认证规范的编制说明（一）制定认证技术规范的必要性；信息安全服务资质认证的对象是一个组织，组织资格、背景、管理、服务技术与人员管理、资产管理、环境管理、财务等方面的管理都需要对其进行评价、认证，组织提供服务的结果是保证被服务信息运行的平台是安全、可信的。信息安全服务结果的好坏、服务组织的综合能力高低、人员的综合能力的高低直接影响到被服务单位的信息安全问题。所以一个服务组织的信息安全服务资质的能力必须经过认证才能从客观上保证其能力是满足的。信息安全服务资质管理可有效防范和控制有不同背景的企业提供信息安全服务给国家安全带来的潜在安全威胁。资质认证将有助于保证用户合法权益、规范和促进信息安全服务市场的发展；有效解决人员流动带来的管理失控等问题。信息安全服务是把双刃剑，由信息安全服务带来的安全问题有时可能比外在的安全问题更加严重，加强信息安全服务资质管理已成当务之急。所以信息安全服务是一个全方位的服务，信息安全服务的结果直接决定信息的传输、储存是否安全，认证信息安全服务能力对组织的发展、行业的发展、国家的安全起到相当重要的作用。所以信息安全服务资质认证的发展对我国整体提高信息安全保障能力起到极大的作用。从产业发展角度看，规范和促进信息安全服务市场有利于信息安全服务商水平和能力的提高，通过资质认证建立技术壁垒，也可以达到扶持国内民族产业发展的目的。（二）与相关法律法规以及国家有关规定的关系；2003年中央颁布了国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号文），提出了建立信息安全认证认可体系的要求。在2006年底的国务院信息化办公室网络与信息安全协调小组会议上决定由国家认证认可监督管理委员会（简称：认监委）牵头建立信息安全服务资质认证认可制度，这项制度是建立统一的信息安全认证认可体系的一个重要组成部分。（三）与现行标准的关系，包括存在的差异及理由；目前没有专门针对信息安全服务资质认证的国家标准和行业标准，可供参考的国际标准主要是ISO/IEC 21827：2002系统安全工程能力成熟度模型。该标准描述了一个组织系统安全过程必须包含的基本特性，这些安全特性是安全工程的保证，也是安全工程度量的标准。此标准包括了11个安全工程过程区，主要覆盖了安全工程所有的主要领域：概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。SSE-CMM是一个评估标准，定义了实现最终安全目标所需要的一系列过程，并对组织这些过程的能力进行等级划分。等级共分为5级：一级-非正式执行级、二级-计划与跟踪级、三级-充分定义级、四-量化控制、五级-持续改进级。（四）参与制定认证技术规范的各方的情况；1. 中国信息安全认证中心中国信息安全认证中心是经中央编制委员会批准于2006年11月正式成立的正局级事业单位，隶属于国家质检总局，由国家认证认可监督管理委员会管理。中国信息安全认证中心是由国务院信息化工作办公室、国家认证认可监督管理委员会、公安部、国家安全部、信息产业部、国家保密局、国家密码局、国家质检总局八部委授权，依据国家有关强制性产品认证、信息安全管理的法律法规，负责实施信息安全认证的专门机构。中国信息安全认证中心依据国家信息安全管理的法律法规、认证认可条例和相关技术标准，对信息安全产品实施认证，开展信息安全有关的管理体系认证、信息安全服务资质认证和人员培训、技术研发等工作。（五）制定原则、确定主要内容的依据和验证情况；1. 制定原则为使技术规范能够满足科学、规范地开展认证工作的需要，客观评价我国信息安全服务产业的现状，并指导技术发展，保证达到信息安全基本要求，以及良好的操作性、可用性、安全性，在认证要求制定过程中，主要遵循了如下几个原则：（1） 要符合国家的有关政策法规要求；（2） 要与已颁布实施的相关标准相协调；（3） 要充分考虑我国信息安全服务整体水平；（4） 要基本覆盖目前市场上主要的信息安全服务类型；（5） 要适度考虑目前处于发展成熟过程中的技术，保持一定的前瞻性。2. 确定主要内容的依据主要内容的确定基于如下几个方面：（1） 以参考ISO/IEC 21827：2002系统安全工程能力成熟度模型的框架和指南。根据该标准提出的安全要求，分析安全工程服务的具体特点，形成有针对性的安全技术要求；（2） 研究、分析了市场上主要的安全工程通用的技术特点、发展趋势，以及应用案例。在此基础上，对提出的安全保证目标要求进行了验证、细化和补充，并提出了持续改进的要求。3. 验证情况通过组织专家和服务提供商代表的研讨会，对认证要求的科学性、可行性等进行了多次论证、研讨，并根据专家、服务提供商代表的意见进行了多次修订、完善。同时，由于认证要求参考了ISO/IEC 17799：2005（信息安全管理体系实践规范），其可行性也在实践中得到了检验。（六）制定过程，包括重大分歧意见的处理经过和依据、征求和处理意见的经过；（1） 2007年3月成立技术规范起草小组；（2） 2007年3-5月起草组组织技术专家研讨会，对国内外信息安服务资质管理的现状进行分析，逐个分析目前国际上盛行的与信息安全服务相关的标准，经专家研讨后决定参考ISO/IEC 21837：2002系统安全工程能力成熟度模型的框架和指南，于2007年5月，确定了信息安全服务认证要求和评测方法。（3） 2007年5月完成“信息安服务资质认证要求”（讨论稿）的起草；（4） 2007年5月21日在北京召开了信息安服务资质认证要求研讨会，共有10家单位的21名专家代表出席了