当前位置:首页 >> 建筑/土木 >>

《信息系统安全集成服务资质认证评价要求》 编制说明


《信息系统安全集成服务资质认证评价要求》 编制说明

一、工作简况 《信息系统安全集成服务资质认证评价要求》 行业标准制定项目是中国认证认可行业标 准化技术委员会 2013 年度的标准制修订项目。该项目由中国信息安全认证中心承担。 截止到 2011 年底, 国内外尚未形成安全集成服务相关标准。 ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology — Security techniques — Systems Security Engineering — Capability Maturity Model? (SSE-CMM?)》与国家标准 GB/T 20261-2006《信息技术 系 统安全工程 能力成熟度模型》 是针对信息安全工程的, 其中安全工程过程包括了风险评估、 安全工程与安全保证三个方面内容, 以及安全工程的能力成熟度模型, 未涉及认证评价的内 容,所以该标准不能完全满足信息安全服务资质认证工作的需要。鉴于现状,我们征集了信 息 安 全 业 界 专 家 的 意 见 , 专 家 一 致 提 议 安 全 集 成 服 务 资 质 认 证 标 准 可 参 考 ISO/IEC 21827:2008 中的安全工程与安全保证部分的内容。 结合我中心已开展的信息安全风险评估与 应急处理服务资质认证的标准,将安全集成服务资质分为三级,其中一级最高,三级最低, 最终制定一套符合我国信息安全服务现状的认证实施规则, 依据该规则指导安全集成服务资 质认证工作。 为了规范信息系统安全集成(以下简称安全集成)服务市场,提升安全集成服务质量, 我中心于 2012 年初,依据 ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展 了安全集成服务资质认证业务。该实施规则得到了申请方的一致认可。 该项标准是在中国信息安全认证中心 ISCCC-SV-003《信息系统安全集成服务资质认证 实施规则》的基础上,经编写小组多次讨论和征求意见后制定,形成了目前的标准草案稿。 二、编制原则 为使该评价准则能够科学、 规范地开展认证工作, 客观反映我国信息安全集成服务产业 的现状,评价信息安全集成服务提供方的资质,并通过指导、规范服务过程,实现服务良好 的可操作性、可用性、安全性,在评价准则制定过程中,采用科学合理、结构严谨、计划周 全的方法来进编制《信息系统安全集成服务资质认证评价要求》 。本标准在将参考国际通用 的标准 ISO/IEC 21827:2008《Information technology — Security techniques — Systems Security Engineering — Capability Maturity Model? (SSE-CMM?)》与国家标 准 GB/T 20262-2006《信息技术 系统安全工程 能力成熟度模型》以及相关技术发展和实践
1

经验,本着下列原则开展工作,并遵循了以下几个原则: (1) 合规性,符合国家相关政策法规要求; (2) 协调性,与已颁布实施的相关标准相协调; (3) 可操作性,充分结合国情,考虑我国信息安全技术发展和应用的实际情况,实现可 操作性; (4) 先进性,适度考虑目前处于发展成熟过程中的技术,保持一定的先进性。

三、标准主要内容及确定内容的依据 本标准提出了信息系统安全集成服务提供者 (以下简称服务提供者) 应具备的服务能力 要求,及实施信息系统安全集成服务资质认证的程序与管理要求。 本标准主要框架如下: 前言 1 范围 2 规范性引用文件 3 术语和定义 4 安全集成服务提供者基本的资质要求 4.1 基本条件 4.2 基本管理能力要求 4.3 基本技术能力要求 5 信息系统安全集成服务过程要求 5.1 信息系统安全集成服务过程概述 5.2 集成准备 5.3 方案设计 5.4 建设实施 5.5 安全保证 6 信息系统安全集成服务资质分级评价要求 6.1 三级信息系统安全集成服务资质要求 6.2 二级信息系统安全集成服务资质要求 6.3 一级信息系统安全集成服务资质要求 7 信息系统安全集成服务资质认证模式与流程 7.1 信息系统安全集成服务资质认证模式 7.2 信息系统安全集成服务资质认证流程 8 认证证书管理 附录A 信息安全工程过程能力级别参考(ISO/IEC 21827:2008) 附录B 各级资质要求对照表 本标准在确定主要内容时主要基于如下几个方面: 1) 在分析和调研国内外信息系统安全集成服务提供方所需的信息安全技术与管理能 力要求的基础上,提出了我国信息系统安全集成服务提供方应具备的能力要求。
2

2)

通过组织专家讨会,对标准的科学性、可行性等进行了多次论证、研讨,并根据专 家意见进行了多次修订、完善。同时,结合 1 年的审核实践,证明其适用于我国信 息系统安全集成服务提供方的评价工作,具备较强地可行性。

四、与相关法律法规及国家有关规定、国内相关标准的关系 本标准主要参考了国际通用的标准 ISO/IEC 21827:2008《Information technology — Security techniques — Systems Security Engineering — Capability Maturity Model?

(SSE-CMM?)》与国家标准 GB/T 20262-2006《信息技术 系统安全工程 能力成熟度模型》 。 五、主要工作过程 1) 2) 3) 2010 年 6 月成立评价准则起草小组; 2011 年 1 月至 2011 年 8 月,多次讨论标准修订意见及建议; 2011 年 7 月至 2011 年 11 月,邀请了多名信息安全专家及多家厂商代表进行两次 评审; 4) 5) 2011 年 12 月-2012 年 11 月,经过一年的试用; 2012 年 12 月,再次邀请专家对标准进行评审。

六、有关问题的说明 无。 《》标准编制组 二〇一二年十二月

3


相关文章:
《信息系统安全集成服务资质认证评价要求》 编制说明.doc
《信息系统安全集成服务资质认证评价要求》 编制说明 一、工作简况 《信息系统安全集成服务资质认证评价要求》 行业标准制定项目是中国认证认可行业标 准化技术委员会 ...
信息安全集成服务资质认证实施规则.pdf
及实施信息系统安全集成服务资质认证的程序与管理要求...2001《信息技术词汇第8部分:安全》中的术语和定义...编制过程文档、提供工具、确保培训、策划过程等,以...
信息系统安全集成服务资质认证自表.doc
提供系统建 设安全设计说明书。 中国信息安全认证...仅一级要求:基于安全集成项目需求和 进度计划,编制...安全集成服务满足《信息安全服务 规范要求,申请...
...应用防火墙安全技术要求与测试评价方法》编制说明.doc
《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》编制说明_互联网_IT/计算机_专业资料。《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》编制说明 ...
关于发布《信息系统集成资质等级评定条件(暂行)》的通知.doc
提高信息系统项目质量,保障信息安全,加 强行业自律,...团体标准编制工作组, 开始起草相关团体标准和 行业...《信息系统集成服务资质认定 管理办法(暂行)》(...
2.安全集成自评估表填写指南_图文.pdf
ISCCC-QOG-0409-B/0 信息系统安全集成服务资质认证...例如 《XX 集成项目设备调试记录》 、《XX 集成...基于客户需求和投 入能力,开展需求分析,编制需求分析...
信息安全服务资质自评估表-安全集成类.doc
ISCCC-QOT-0454-B/1 信息系统安全集成服务资质认证...仅一级要求:基于安全集成项目需求和 进度计划,编制...2015《信息安全服务资质认证实施规 则要求,...
现场审核表-中国信息安全认证中心.doc
ISCCC-QOT-0429-B/2 信息系统安全集成服务资质认证...仅一级要求:基于安全集成项目需求和 进度计划,编制...2015《信息安全服务资质认证实施规 则要求,...
ISCCC 信息系统安全集成服务资质认证现场审核表_图文.doc
ISCCC 信息系统安全集成服务资质认证现场审核表_IT/...查阅了《长城基金 IT 运维及远程监视服务项 目》 ...方案设计 B1.2 a/b) 根据系统建设安全需求,编制 ...
信息系统安全集成-第1章_图文.ppt
并详细讲述信息 系统安全集成服务资质认证实施规则。 ...标准标准化的概念 GB/T 20000.1-2002《标准化...预算编制与会 计核算 控制过程 配置管理 变更管理 ...
信息系统安全集成服务资质认证自表.doc
CCRC-QOT-0429-B/4 信息系统安全集成服务资质认证...仅一级要求:基于安全集成项目需求和 进度计划,编制...安全集成服务满足《信息安全服务 规范要求,申请...
信息系统安全集成服务资质认证二级能力要求目录.doc
信息系统安全集成服务资质认证二级能力要求目录_互联网...二、方案设计阶段 1、根据系统建设安全需求,编制安全...《信息系统安全集成服务... 暂无评价 3页 免费 ...
信息系统安全集成服务资质认证3版.doc
中国信息安全认证中心 制 信息系统安全集成服务资质认证申请书 填写说明 1、本申请...《中华人民共和国认证认可条例及相 关法律、法规,按照中国信息安全认证中心的...
软件安全开发服务资质认证自评价表.doc
信息系统安全集成服务资质认证,软件安全资质认证学历,...仅一级要求:基于软件安全威胁、开展 需求分析,编制...2015《信息安全服务资质认证实施规则要求,申请...
计算机信息系统安全服务等级评定实施规则.pdf
标准 《网络与信息安全应急处理服务资质评估方法》 ...的高级职 称,从事计算机信息系统安全集成工作不少于 ...各类资格证书等进行验证, 并编制企业资质评定报告。 ...
国家标准编制说明.doc
国家标准《检验检测机构诚信基本要求》编制说明 一、任务来源 该标准是由全国信用标准化技术工作组提出并归口, 国家认证认可监督管理 委员会认证认可技术研究所负责...
信息安全服务资质认证规范.doc
《信息安全服务资质认证规范编制说明(一)制定认证技术规范的必要性;信息安全服务资质认证的对象是一个组织,组织资格、背景、管理、服务技 术与人员管理、资产...
《政务计算机终端操作系统安全配置要求》 标准编制说明.doc
《政务计算机终端操作系统安全配置要求》 编制说明一、任务来源 《政务计算机终端操作系统安全配置要求》是 2011 年由国家信息中心下达 的标准制定项目。 该标准属于...
关于发布《信息系统集成及服务资质认定管理办法(暂行)....doc
保障信息安全,加强行业自律,促进信息系统集成企业能力...电子联合会已成立信息系统集成及服 务团体标准编制...《信息系统集成服务资质认定管理办法(暂行)》 中国...
《信息技术服务系统建设_第1部分:咨询通用要求》编制说明.pdf
《信息技术服务系统建设_第1部分:咨询通用要求》编制说明 - 行业标准《信息技术服务 系统建设 第 1 部分: 咨询通用要求》编制说明 一、任务来源 本标准的制定任务...
更多相关标签: