信息系统安全服务资质认证指南一级资质.docx

信息系统安全服务资质认证指南一级资质.docx

《信息系统安全服务资质认证指南一级资质.docx》由会员分享，可在线阅读，更多相关《信息系统安全服务资质认证指南一级资质.docx（10页珍藏版）》请在冰豆网上搜索。

信息系统安全服务资质认证指南一级资质

国家信息安全测评认证

信息系统安全服务资质认证指南

（试行）

发布日期：

2007年5月

福建省网络与信息安全测评中心

目录

引言3

1认证依据4

2等级划分4

3认证要求4

3.1基本资格要求4

3.2基本能力要求5

3.2.1组织与管理要求5

3.2.2技术能力要求5

3.2.3人员构成与素质要求5

3.2.4设备、设施与环境要求6

3.2.5规模与资产要求6

3.2.6业绩要求6

3.3安全工程过程及能力级别6

4认证流程9

5受理过程10

6申请书10

7评审10

8认证与公布11

9保持认证12

10认证发展12

11处置12

12争议、投诉与申诉12

13认证企业档案13

14费用及认证周期13

15相关文件与表格13

引言

福建省网络与信息安全测评中心（原中国国家信息安全测评认证中心，简称FJTEC）是经中央批准成立、代表国家开展信息安全测评认证的职能机构，依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评认证体系。

福建省网络与信息安全测评中心的主要职能是：

1.对国内外信息安全产品和信息技术进行测评和认证

2.对国内信息系统和工程进行安全性评估和认证

3.对提供信息系统安全服务的组织和单位进行评估和认证

4.对信息安全专业人员的资质进行评估和认证

“中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息系统安全质量以及信息安全服务资质、人员资质的最高认可。

国家信息安全产品测评认证活动的技术依据是由中国国家信息安全测评认证管理委员会确认的有关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技术要求与技术规范。

“信息系统安全服务资质认证”是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行认证。

为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

在我国,信息系统安全服务资质由福建省网络与信息安全测评中心及其授权测评机构进行评估，由福建省网络与信息安全测评中心进行认证。

本指南适用于所有向FJTEC提出信息系统安全服务资质等级评估的境内外组织，试行期只受理一级资质认证申请。

1认证依据

信息系统安全服务资质评估是对信息系统服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。

资质等级的评定，是依据《信息系统安全服务资质评估准则》，在基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上，针对不同的服务种类、对各方面能力进行综合考虑后确定，由福建省网络与信息安全测评中心给予相应的资质级别认证。

2等级划分

信息系统安全服务资质等级是对提供信息系统安全服务组织综合实力的客观评价，反映了组织的信息系统安全服务资格、水平和能力。

资质等级划分的主要依据包括：

基本资格要求、基本能力要求、安全工程过程能力和其他补充要求等。

安全服务资质等级分为五级，由一级到五级依次递增，一级是最基本级别，五级为最高级别。

3认证要求

申请信息系统安全服务资质等级认证的组织需要符合以下几项要求：

3.1基本资格要求

申请信息系统安全服务资质等级认证的组织必须是一个独立的实体、具有工商行政管理部门发给的合法营业执照。

3.2基本能力要求

3.2.1组织与管理要求

1.必须拥有健全的组织机构和管理体系，为持续的信息系统安全服务提供保证；

2.必须具有专业从事信息系统安全服务的队伍和相应的质保体系；

3.从事安全服务的所有成员要签订保密合同，并遵守有关法律法规。

3.2.2技术能力要求

1.了解信息系统技术的最新动向，有能力掌握信息系统的最新技术；

2.具有不断的技术更新能力；

3.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力；

4.能根据对用户信息系统风险的分析，向用户建议有效的安全保护策略及建立完善的安全管理制度；

5.具有对发生的突发性安全事件进行分析和解决的能力；

6.具有对市场上的信息系统产品进行功能分析，提出安全策略和安全解决方案及安全产品的系统集成能力；

7.具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力；

8.具有对集成的信息系统进行检测和验证的能力；

9.有能力对信息系统系统进行有效的维护；

10.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。

3.2.3人员构成与素质要求

1.具有充足的人力资源和合理的人员结构；

2.所有与信息系统安全服务有关的管理和销售人员应具有基本的信息安全知识；

3.有相对稳定的从事信息系统安全服务的技术队伍；

4.技术骨干人员应系统的掌握信息系统安全基础理论和核心技术，并有足够的专业工作经验。

5.必须有2名以上（含2名）注册信息安全专业人员（CISP）。

3.2.4设备、设施与环境要求

1.具有固定的工作场所和良好的工作环境；

2.具有先进的开发、测试或模拟环境；

3.具有先进的开发、生产和测试设备；

4.具有实施相关服务必需的开发、生产和测试工具。

3.2.5规模与资产要求

1.有足够的注册资金和充足的流动资金；

2.申请信息系统安全服务的组织应具有与所申请安全服务业务范围、承担的安全工程规模相适应的服务体系；

3.有足够的人员从事直接与信息系统安全服务相关的活动。

3.2.6业绩要求

1.从业时间

2.工程或项目规模

3.工程或项目数量

4.工程或项目质量

5.合作项目参与程度

6.完成结果评价

3.3安全工程过程及能力级别

安全工程过程能力级别是评定信息系统安全服务组织资质的主要依据，标志着服务组织提供给客户的安全服务专业水平和质量保证程度。

信息系统工程的过程能力级别按成熟性排序，表示依次增加的组织能力。

《信息系统安全服务资质评估准则》将信息系统安全服务组织的工程能力分为五个级别：

一级：

基本执行级

二级：

计划跟踪级

三级：

充分定义级

四级：

量化控制级

五级：

连续改进级

安全工程过程能力以及项目和组织过程能力级别的高低，标志着从事安全服务组织的能力成熟程度，即已完成过程的管理和制度化程度的高低。

申请信息系统安全服务资质等级认证的组织需要符合相应安全过程能力以及项目和组织过程能力级别。

安全过程能力包括：

1.评估系统面临的安全威胁；

2.评估系统的脆弱性；

3.评估安全对系统的影响；

4.评估系统的安全风险；

5.确定系统的安全需求；

6.为系统提供必要的安全信息；

7.管理系统的安全控制；

8.监测系统的安全状况；

9.安全协调；

10.检验并证实安全性；

11.建立并提供安全性保证证据；

项目和组织过程能力包括：

1.质量保证；

2.管理配置；

3.管理项目风险；

4.监控技术活动；

5.规划技术活动；

6.定义组织的系统工程过程；

7.改进组织的系统工程过程；

8.管理产品系列进化；

9.管理系统工程支持环境；

10.提供不短发展的技能和知识；

11.与供应商协调。

4认证流程

5受理过程

从事信息系统安全服务的组织要申请信息系统安全服务资质认证，首先到测评认证中心服务网站上下载认证申请书，按要求填写好申请书并送交测评认证中心。

FJTEC接到申请组织的申请书，首先由初审人员对申请书进行形式化审查，形式化审查是对申请书的完整性进行初审，如果材料不完整或有填写错误，FJTEC将通知申请组织补充材料或者退回。

申请组织的申请被受理后，FJTEC根据评审流程组织力量进行资质评估。

6申请书

申请信息系统安全服务资质等级认证的组织需要向认证受理部门FJTEC递交认证申请书，申请书包括：

1.认证申请表（纸版一式三份、电子版一份）

2.营业执照复印件

3.税务登记证

4.注册信息系统安全专业人员认证证书复印件

5.FJTEC要求提供的其他资料

7评审

对信息系统安全服务组织的资质等级进行评估认证的工作由福建省网络与信息安全测评中心及其授权测评机构负责。

认证申请组织在向FJTEC递交认证申请书前，须逐项检查所填报的材料的完整性和正确性。

认证评审将按照下面几个步骤进行：

1.静态评估

静态评估的目的是对申请认证组织申请书提供材料的内容进行真实性审查。

2.现场审核

现场审核的目的是对申报组织从事信息系统安全服务的综合能力（包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等要素）进行确认。

静态评估和现场审核不符合要求的组织，FJTEC会提出限期整改的要求，并书面通知申请组织。

评审小组依据静态评估和现场审核的结果，出具评审报告。

3.专家组评审

专家组在静态评估和现场审核生成的评审报告的基础上、对申请认证组织的能力进行近一步评审，决定申请组织的资质等级。

8认证与公布

对准予认证的组织，FJTEC将公布名录并发放认证证书。

认证证书根据申请组织的资产背景分两种类型。

FJTEC公布的《信息安全服务资质等级认证组织名录》，包括以下内容：

1）获得认证组织的名称

2）获得认证的资质级别

3）获得认证的服务范围

4）获得认证的日期和有效期限

5）认证证书编号

FJTEC定期出版《信息系统安全服务资质认证组织名录》，内容包括：

1）获得认证组织名称

2）获得认证的资质级别

3）认证证书编号

4）获得认证的服务范围

5）联系电话，传真，电子邮件地址等

6）通讯地址、邮政编码等

7）获得认证日期

若获得资质认证的组织相关资料变动时，须及时通知FJTEC

9保持认证

获得资质认证的组织需通过持续发展自身信息系统服务体系以保持基本能力及安全工程过程能力。

FJTEC将通过申诉系统、现场见证以及对信息系统安全服务工程进行抽样检查来验证每个获得资质认证的组织的资质能力。

认证证书每三年进行一次复查换证，在三年有效期内实行年确认制度。

在证书有效期届满前90天内，由获证组织提出复查换证申请。

10认证发展

获得资质等级证书的组织，由于自身条件的改变，可向FJTEC提出升级申请，升级应当按照认证程序重新申请。

原则上获得资质等级认证至少半年以上才能申请更高等级的资质认证。

FJTEC经抽检或复查发现组织情况已不符合原认证等级要求的，将要求其限期整改，限期整改后仍不合格，FJTEC有权对该组织进行相应处置。

11处置

获证组织存在违规行为时，FJTEC有权视组织违规情节轻重予以处罚。

处罚方式包括：

警告、限期整改、暂停证书、取消证书。

12争议、投诉与申诉

对FJTEC所作的评审、复查、处置等决定有异议时，可向FJTEC提出书面申诉。

FJTEC将会责成与所申诉、投诉事项无利益相关的人员进行调查，FJTEC在调查基础上做出结论。

每个获证组织都应妥善处理因组织自身行为而发生的投诉，保留记录并采取措施防止问题的再发生。

FJTEC将在必要时查阅认证企业的申诉/投诉记录。

13认证企业档案

FJTEC将对每个认证企业建立专项档案，所有资料将保存10年以上，升级，年度确认或者复核换证时，只需补交所要求的相应材料，FJTEC实行记录累加制度。

14费用及认证周期

根据国家计委和国家质量技术监督局《产品质量认证收费管理办法》（计价格[1999]1610号），信息安全服务资质认证收费划分为如下四个部分：

（一）申请费：

2000元

（二）评定费：

3000元/人日

（三）审定与注册费（含证书费）：

3000元

（四）年金（含标志使用费）：

5000元/年。

一级认证费用：

2000＋3000×3×2（三人二日）+3000+5000＝28000元。

从受理到颁发证书的认证周期为三个月。

15相关文件与表格

相关文件

1）信息系统安全服务资质评估准则

2）信息系统安全工程质量管理要求