信息安全服务资质认证要求

信息安全服务资质

认证要求

ISCCC XXX XXX-2007

信息安全服务资质

认证要求

Certification Requirements

for Qualification of Information Security Service Provider

(备案送审稿)

中国信息安全认证中心 发布

××××-××-××实施

××××-××-××发布

备案号：××××—××××

目录

前言......................................................................................................................... 错误!未定义书签。

1 适用范围 ............................................................................................................. 错误!未定义书签。

2 定义..................................................................................................................... 错误!未定义书签。

信息安全服务 ......................................................................................... 错误!未定义书签。

信息安全服务提供者 ............................................................................. 错误!未定义书签。

信息安全服务资质等级 ......................................................................... 错误!未定义书签。

信息安全工程过程能力级别 ................................................................. 错误!未定义书签。

3 服务类型与资质评定原则 ................................................................................. 错误!未定义书签。

信息安全服务的类型 ............................................................................. 错误!未定义书签。

信息安全服务资质等级的评判原则 ..................................................... 错误!未定义书签。

4 认证具体要求 ..................................................................................................... 错误!未定义书签。

基本资格 ................................................................................................. 错误!未定义书签。

独立法人 ..................................................................................... 错误!未定义书签。

法律要求 ..................................................................................... 错误!未定义书签。

基本能力 ................................................................................................. 错误!未定义书签。

资产与规模 ................................................................................. 错误!未定义书签。

人员素质与构成 ......................................................................... 错误!未定义书签。

设备、设施与环境 ..................................................................... 错误!未定义书签。

业绩 ............................................................................................. 错误!未定义书签。

质量管理能力 ......................................................................................... 错误!未定义书签。

体系和管理职责 ......................................................................... 错误!未定义书签。

资源管理 ..................................................................................... 错误!未定义书签。

项目过程管理 ............................................................................. 错误!未定义书签。

测量、分析和改进 ..................................................................... 错误!未定义书签。

客户服务 ..................................................................................... 错误!未定义书签。

技术能力更新 ............................................................................. 错误!未定义书签。

安全工程过程能力 ................................................................................. 错误!未定义书签。

风险过程 ..................................................................................... 错误!未定义书签。

工程过程 ..................................................................................... 错误!未定义书签。

保证过程 ..................................................................................... 错误!未定义书签。

5 引用标准与参考文献 ......................................................................................... 错误!未定义书签。

计算机信息系统安全保护等级划分准则 ............................................. 错误!未定义书签。

系统安全工程能力成熟模型 ................................................................. 错误!未定义书签。

系统安全工程能力成熟模型—评定方法 ............................................. 错误!未定义书签。

信息系统安全工程手册 ......................................................................... 错误!未定义书签。

软件工程能力成熟模型 ......................................................................... 错误!未定义书签。

6 附录——系统安全工程主要术语 ..................................................................... 错误!未定义书签。

组织 ......................................................................................................... 错误!未定义书签。

项目 ......................................................................................................... 错误!未定义书签。

系统 ......................................................................................................... 错误!未定义书签。

安全工程 ................................................................................................. 错误!未定义书签。

安全工程生命期 ..................................................................................... 错误!未定义书签。

工作产品 ................................................................................................. 错误!未定义书签。

顾客 ......................................................................................................... 错误!未定义书签。

过程 ......................................................................................................... 错误!未定义书签。

过程能力 ................................................................................................. 错误!未定义书签。

制度化 ................................................................................................. 错误!未定义书签。

过程管理 ................................................................................................. 错误!未定义书签。

前言

本技术规范属于信息安全服务资质认证要求。

本技术规范根据我国信息安全服务管理的现状，并参考了相关技术规范而制定。本技术规范由中国信息安全认证中心（ISCCC）提出并归口。

本技术规范主要起草单位：中国信息安全认证中心。

1适用范围

本要求适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估；信息安全服务的需方对服务提供方的选择依据；作为国家主管部门对评估对象进行管理和检查的技术规范。另外，也可为信息安全服务提供组织改进自身能力提供指导。

2定义

2.1信息安全服务

信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。

2.2信息安全服务提供者

信息安全服务提供者是指信息安全工程方案设计组织、承建信息安全工程的组织以及提供有关信息安全培训的组织。

2.3信息安全服务资质等级

信息安全服务资质等级是指一个组织提供信息安全服务的综合能力。包括技术能力、组织结构与管理、资源配置、安全工程过程能力、业绩和质量保证等多个方面。

2.4信息安全工程过程能力级别

信息安全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目时，执行组织已定义过程的能力成熟程度。

3服务类型与资质评定原则

3.1信息安全服务的类型

信息安全服务的类型主要指一个组织按照合同或协议，为另一个组织所履行的安全服务的具体形式，目前我们只针对安全工程服务进行资质认证。安全工程类指为信息系统进行安全方案设计（开发）、实施（安全集成)、验证（测试）、培训、运行（监控）和维护；

3.2信息安全服务资质等级的评判原则

信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定，是在其基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上，针对不同的服务种类，采用一定的权值综合考虑后确定，并由国家认证机构授予相应的

资质级别。信息安全服务的资质等级的划分遵循以下原则：

1)综合考虑原则：

信息安全服务资质等级的划分必须对组织的综合能力进行考察，它主要与组织的资格状况、技术实力、信息安全工程过程能力等级以及其他要求有关。

2)与现行国家有关主管部门颁布的法律、法规、规章、制度相一致的原则：

安全策略要保持与现行的法律、法规、规章、制度相一致，不能相抵触。

3)与我国已发布或即将发布的有关信息安全的标准相一致的原则：

我国已发布许多与安全服务有关的标准，本评估准则的资质等级划分必须与这些标准相一致。

4)与组织的基本能力水平紧密结合的原则：

一个组织的基本能力是评估其资质等级的基本要求，有些基本能力要求可能决定一个组织是否具备参与资质评定的资格。

5)与信息安全服务工程过程能力等级紧密结合的原则：

工程过程能力等级是反映组织实施工程的成熟程度，是评定资质的重要依据。

6)可裁剪原则：

安全服务有多种类型，对不同类型的安全服务可进行适当的裁剪。

7)可操作性原则

具有实际操作的可行性。

4认证具体要求

对安全工程类的信息安全服务资质认证提出了具体的评估要求。该要求分四个部分：第

一、二部分为管理要求；第三、四部分为资质能力要求。

4.1基本资格

4.1.1独立法人

申请组织必须是一个独立的实体，具有独立法人资格。

4.1.2法律要求

申请组织必须遵守国家现行法律、法规的规定。在所有经营活动中没有触犯知识产权保护等有关法律的行为。

4.2基本能力

4.2.1资产与规模

资产规模：

申请组织的注册资本应在100 万元以上，资产总额在200 万元以上。

4.2.2.2财务状况：

申请组织应具有近3 年良好的财务状况。

4.2.2.3安全工程服务利润：

申请组织在最近一年安全工程服务方面的利润应在20 万以上或占利润总额的10%以上。

4.2.2人员素质与构成

技术人员

申请组织从事安全工程服务的专业技术人员应不少于15 人。

人员素质

申请组织从事安全工程服务的专业技术人员大学本科以上学历所占比例不小于70%，硕士要求所占比例不小于10%。

组织负责人

申请组织总经理或负责系统安全集成工作的副总经理须具有5 年以上从事信息安全领域企业管理工作经历。

安全技术负责人

申请组织的信息安全技术负责人须具有信息安全领域相关专业的中级以上职称(或硕士以上学历)且从事信息安全服务工作不少于4 年，或具有本科以上学历且从事信息安全服务工作不少于6年，承担的安全项目总额在150万以上。

财务负责人

申请组织的财务负责人须是会计师以上职称。

人员背景审查

申请组织的主要服务人员需要进行背景审查、备案、管理，包括主要技术负责人、项目经理等关键人员，其他服务人员需要备案管理。

4.2.3设备、设施与环境

工作环境

申请组织应有固定的工作场所，工作环境符合信息安全场所环境要求。

测试模拟环境

申请组织应有企业具有与所承担项目相适应的测试环境和设备。

安全服务工具

申请组织应有满足信息安全服务的技术开发、测试工具。

组织与技术队伍

具有胜任信息安全服务的专职人员队伍和组织管理体系。

4.2.4业绩

从业经验

申请组织应从事信息安全服务行业的时间在3年以上。

工程经验

申请组织必须承接过的3个以上的工程，并实践过完整的信息安全工程过程。

工程水平

在高级别的认证要求中，工程质量需要到客户现场进行真实性审查，与用户进行交流，是否真正达到他们的安全要求。

工程规模

申请组织近３年完成的信息安全服务工程项目总值应在200 万元以上。

工程状况

申请组织所做安全工程项目应没有出现验收未通过的情况。

4.3质量管理能力

4.3.1体系和管理职责

质量管理体系

质量管理体系的建立

申请组织应依据合适的标准建立覆盖信息安全工程服务的质量管理体系，编制相应的体系文件。

组织和管理架构

申请组织应建立合理的组织架构和管理架构来满足信息安全工程服务的实施和管理，应建立相对独立的信息安全工程服务技术部门，应建立有效的技术管理、质量管理和组织管理机制。

质量管理体系的实施

申请组织应实施建立的质量管理体系。

管理承诺

质量方针

申请组织应制定并确定质量方针。

职责和权限

申请组织应配备充足的岗位人员并明确规定各岗位的职责和权限来满足质量管理体系的有效实施，岗位职责还应包含安全职责。

申请组织应指定一名技术管理者来满足该组织的技术管理要求的实施，应指定一名质量管理者（或管理者代表）来满足质量管理要求的实施。

内部沟通

申请组织应建立适当的机制来满足对质量管理体系有效性的沟通。

4.3.2资源管理

文件控制

文件控制程序

申请组织应制定有效合理的文件控制程序。

文件评审

申请组织应在文件批准发布前对文件进行有效的评审，以保证文件是充分的和适宜的。

文件批准发布

申请组织应对正式使用的文件进行批准和发布，以明确文件的有效性。

文件分发

申请组织应建立有效的文件发放机制，并进行文件的有效发放，以保证文件相关方能及时得到文件的有效版本。

文件有效性、唯一性标识

申请组织应对文件进行有效性的唯一性标识，以防止无效文件的使用或对无效文件的误用。

保密与所有权保护控制

保密与所有权保护程序

申请组织应对文件进行有效性和唯一性标识，以防止无效文件的使用或对文件的误用。

申请组织应建立保密和所有权保护程序，以保护客户的秘密和保护客户所有权。

保密协议

申请组织应与员工签订保密协议，以明确员工在信息保护和所有权保护方面的责任和义务。

申请组织也应与客户签订保密协议或明确本组织对客户的保密责任，以明确双方在保密和所有权保护方面的责任和义务。

客户信息保护

申请组织应制定具体措施保护客户的秘密和所有权，并得以执行。

人员控制

人员管理程序

申请组织应建立人员管理的程序，以使每个员工满足岗位职责的要求。

人员能力确认

申请组织应在对每个员工的资格和能力进行确认，以使所有员工满足其上岗要求。

人员培训

申请组织应对员工实施培训，以使员工能获得满足岗位职责要求和信息安全工程服务要求

的知识、技能。

培训还应包括员工安全意识和安全职责的培训。

人员考评

申请组织应对员工进行技术和能力的考核和评价，以确认每个员工获得了满足岗位要求、安全工程服务要求的知识和能力。

设备与工具控制

设备、设施管理程序

申请组织应制定用于安全工程服务的设备和工具的管理程序，以满足信息安全工程服务对设备和工具的准确性、稳定性和安全性要求。

设备、工具的可用性确认

申请组织应对设备、工具的性能进行确认，以保证设备、工具在使用时的准确性、稳定性和安全性。

采购控制

采购控制程序

申请组织应制定采购产品、工具、设备和服务的控制程序，以确保采购对象满足信息安全工程服务的要求。

确定采购需求

申请组织应在采购前提供并确认采购的需求，包括功能、性能等技术要求。对服务采购需提出服务资格、能力、质量方面的要求。

选择合格的供应方

申请组织应评价供应方的能力，以确认供应方是否有能力提供符合要求的产品、设备、工具或服务。

申请组织应与合格供应方保持沟通，以确定其供应持续满足要求。

采购验收

申请组织应对采购的产品、设备、工具或服务进行验收，以确定所采购的产品、设备、工具或服务满足了采购需求。

4.3.3项目过程管理

客户要求评审

评审客户要求的程序

申请组织应制定评审客户要求的管理程序。

客户要求评审

申请组织应在信息安全工程服务项目正式启动前，全面了解客户的需求，并充分评审自身满足客户需求的能力，尽可能与客户就所有技术或资金、工期或进度等方面达成一致共识，以确定客户的要求是否能得到充分满足。

规划技术活动

规划技术活动规范

申请组织应制定规划技术活动的规范，以便信息安全工程服务中技术规划活动各方面因素得到充分考虑。

识别关键资源

申请组织应识别对项目技术上的成功起关键作用的资源，以便关键资源问题能得到解决。

预算项目费用

申请组织应进行项目费用的预算，以便项目能得到充分资金支持。

确定工程技术过程

申请组织应确定项目的工程技术过程，并确定整个生命期的技术活动。

设立技术指标

申请组织应设立项目的技术指标来满足客户要求。

制定项目工程计划

申请组织应制定项目整个生命期的工程进度和技术开发管理计划。

评审并认可工程计划

申请组织应组织工程相关方对工程计划进行评审，并获得工程相关方的认可。

项目风险管理

项目风险管理规范

申请组织应制定项目风险管理的规范，以便于实施项目的风险管理。

评估项目风险

申请组织应通过有效的识别、分析项目风险，并制定出相应的风险控制措施。

跟踪风险控制活动

申请组织应实施制定的风险控制措施并及时跟踪风险降低措施的有效性，对发生的问题及时修正相应的风险控制措施。

配置管理

建立配置管理方法

申请组织应充分理解配置管理在本组织内部的意义，根据组织的规模、业务和特点选择配置管理的工具，建立配置管理的方法和流程。

管理配置单元

申请组织能够明确信息安全工程服务的流程并能够合理地划分工作基线，识别配置单元。

维护配置单元

申请组织应确定的产品基线和配置单元，建立信息知识仓库，实施配置管理，以便及时掌握业务开展的动态。

控制变化状态

申请组织应实时关注项目的进展和业务的变更情况，及时对工作基线和配置单元做出必要的调整，以适应不断变化的工作需要。

重视沟通

申请组织应及时将变化了的配置状态通过有效的渠道通知所有相关的人员，保证版本的正确使用和变更的有效性。

4.3.4测量、分析和改进

质量保证

申请组织应及时将变化了的配置状态通过有效的渠道通知到所有相关的人员，保证版本的正确使用和变更的有效性。

质量保证的规范

申请组织应该依据本组织的特点和信息安全工程服务的特点制定出一套适宜的质量保证规范，以确保组织的服务能力。

产品检验

申请组织应根据产品的质量要求，制定出产品检验的标准和流程，并严格执行产品检验规定，保证工作产品能够满足预期的质量要求。

过程监督

申请组织应能够识别信息安全工程服务的过程，并且能够制定出过程监督的方法和流程，确保信息安全工程过程的受控。

不合格处置及验证

申请组织应该有办法对不合格进行识别处置，并明确处置的方式、方法、职责和流程，以最大限度地减小资源浪费、提高服务质量。

申请组织应该对不合格品的处置结果进行验证，以便对不合格进行有效控制。

追溯不合格品

对于已经投入使用的不合格品，申请组织应该制定有效的措施实现对其的控制，避免因此而造成对工程服务质量的影响。

质量信息收集统计和分析

申请组织应建立畅通的渠道搜集来自多方的信息反馈，有能力对质量信息和反馈及抱怨信息进行收集和整理，能够对信息作出正确的判断并采取适当的处置措施。

申请组织应有方法对搜集到的数据进行统计和分析，有记录对结果提供证据，有条件发现质量改进的机会，有结论支持质量改进的建议，有行动发起质量改进活动。

质量记录

申请组织应规定记录的范围，记录的要求和记录的管理，确保记录的客观真实性和可再现性。

纠正与预防措施

制定文档化的程序

申请组织应制定出纠正措施控制程序，制定出预防措施控制程序，明确职责和流程。

制定纠正和预防措施并实施

申请组织应有能力分析出不合格产生的原因并采取有效的措施消除不合格产生的根源。

申请组织应有能力发现潜在的不合格并采取有效的措施杜绝潜在不合格的实际发生。

验证纠正和预防措施的有效性

申请组织应该对纠正措施的实施效果进行验证。

4.3.5客户服务

申请组织应该对预防措施的实施效果进行验证。

提供咨询服务

申请组织应就信息安全工程服务的有关事项回答客户的疑问，有义务向客户解释信息安全工程服务的内涵和意义。

用户意见的收集

申请组织应规定多种渠道和方法，尽可能创造和客户沟通的机会，收集客户的信息反馈，不断调整和改进自己的工作。

4.3.6技术能力更新

建立技术更新的方法和途径

申请组织应有技术更新的意识，应有技术更新的方法和途径，以证明组织有能力进行技术更新活动。

新技术的信息收集

申请组织应有能力识别新技术，并有规定的渠道搜集新技术的信息。

新技术的应用

申请组织应在新技术的获取上进行资源投入，为新技术的应用创造充分和适宜的环境，并应用新技术，以便保持技术更新能力。

制定培训计划

申请组织应重视培训活动，并将员工在职培训作为技术更新的重要手段。应有技术的前瞻性和先见性，应规划组织的技术培训活动并制定详细的技术培训计划。

维护培训材料

申请组织应对培训的教材进行更新和维护，以此作为技术更新的证据。

验证技术更新的效果

申请组织应对各种技术更新措施的实施效果进行评价和验证，以便从中发现不断改进的机会。

4.4安全工程过程能力

4.4.1风险过程

评估系统面临的安全威胁

安全威胁评估的规范

申请组织应有信息安全威胁分析的规范，规定安全威胁分析的依据、步骤和方法。

确定系统面临的安全威胁

申请组织应能通过一定的方法、手段确定系统面临的所有自然威胁和人为威胁。

分析系统面临的安全威胁

申请组织应能依据一定的测量、分析方法，分析系统面临的安全威胁，并能明确描述。

监视安全威胁的变化

申请组织应监视安全威胁的变化情况，当安全威胁变化时能有效处理。

评估系统的脆弱性

安全脆弱性评估的规范

申请组织应有信息安全脆弱性分析的规范，规定安全脆弱性分析的依据、步骤和方法。

分析安全机制方面的脆弱性

申请组织应能通过一定的方法、手段确定安全机制方面的脆弱性，并进行分析。

分析技术性的安全脆弱性

申请组织应能通过工具和人工分析，得出系统的技术性安全脆弱性。

综合分析安全脆弱性

申请组织应能综合分析技术性和非技术性的安全脆弱性，以及特定脆弱性的组合，并产生分析结果。

监视安全脆弱性的变化

申请组织应监视安全脆弱性的变化，当安全脆弱性变化时，应能有效处理。

评估安全对系统的影响

评估安全对系统影响的规范

申请组织应有评估安全对系统影响的规范，规定资产分类和重要性划分的原则和依据，分析和描述影响的后果和可能性的方式、方法。

确定关键资产

申请组织应能识别、分析、确定关键资产。

分析影响

申请组织应能用有效的度量和权重分析影响，能对它作明确的描述，并依据一定的原则进行优先级排列。

监视影响的变化

申请组织应监视影响的变化，当影响发生变化时，应能有效处理。

评估系统的安全风险

安全风险评估的规范

申请组织应该建立安全评估的规范，规范包括应有明确的风险分析方法指导实施，规定安全风险评估的流程、步骤及各步骤的方法等。

对暴露的识别和分析

申请组织应能识别威胁、脆弱性和影响组合产生的暴露，分析暴露发生的可能性。

（“暴露”指可能对系统造成重大伤害的威胁、脆弱性和影响的组合。）

安全风险评估

申请组织应根据暴露分析情况，依据一定的评估方法确定系统在特定环境下的安全风险，并根据安全风险分析的理论对既定的安全风险进行优先级排列。

另外，还应进行安全风险不确定的分析，通过建立安全保证证据来降低风险的不确定性。

制定安全保护措施和风险降低的指导

申请组织应根据风险评估的结果制定安全保护措施和风险降低的指导。

监视风险及特征变化

申请组织应监视风险的变化，当风险发生变化时，应能有效处理。

4.4.2工程过程

确定安全需求

安全需求确定的规范

申请组织应制定确定安全需求的规范。

获取客户对安全需求的理解

申请组织应该通过特定的方式收集所有用于全面理解顾客安全需求所需的信息，并经过加工整理，得到客户所需安全的描述。

识别可用的法律、策略和约束

申请组织应考虑到适用于系统目标的法律、法规、标准、外部的影响和约束。

定义安全需求

申请组织应根据可适用的法律、法规、标准、客户安全需求以及系统的约束条件定义出系统的安全需求，包括那些通过非技术手段提供的需求。

达成安全共识

申请组织应与各个相关方面沟通，并针对存在的问题对安全需求进行修改，直到达成一个完整的、一致的满足策略、法律和用户需求的安全需求。

安全设计

安全设计的规范

申请组织要制定安全设计的规范，明确安全设计的流程，方法等。

高层设计

申请组织应考虑系统的体系结构、设计和实现的需求，制定相应的设计原则和建议、安全体系结构建议、保护的原则，得到安全模型、安全体系结构，进行信任分析。

安全机制分配

申请组织应确定所有的安全机制都能对应到高层安全设计，并且所有的高层安全设计都有具体的安全机制来保证。

确定安全产品

申请组织应根据系统的需求，按照一定的依据给出候选产品列表。根据系统的需求，确定需要定制的安全产品列表和他们的技术指标和功能要求。

接口限定

申请组织应设计出安全系统与其它系统之间的接口并进行优化。

提供安全工程指南

工程实施

工程实施的规范

申请组织应提供安全工程指南。申请组织应制定指导安全工程实施的规范。

工程的实施

申请组织应制定实施建议（包括指导系统实现的规则或约束），申请组织应根据实施建议和系统的详细安全设计文档制定工程实施计划，并按照预定的经用户和有关方同意后的计划进行工程实施，给出实施情况描述文档。

系统的试运行

申请组织应对系统进行试运行，检查系统的稳定性和可靠性，并对试运行过程中出现的问题进行整改，给出工程整改报告和试运行情况报告。

工程的验收

申请组织应与客户和相关参与者一道按照合同的要求对实施好的工程进行验收，给出工程验收报告。

工程的交付

申请组织应给用户提交相应文档以确保用户拥有系统安全运行所需的相关知识。这些文档包括管理员手册、用户手册、安全轮廓、系统配置指令和系统安全服务条款等。

安全管理控制

安全管理控制的规范

申请组织应制定安全管理控制的规范。

建立安全职责

申请组织应为系统的安全运行制定出相应的安全职责。

管理安全配置

申请组织应对与系统相关的各个组件的安全配置进行管理，以达到整体的安全。

安全意识和培训

申请组织应实施对系统使用者和管理员安全意识的教育和培训。

监视安全状况

监视安全状况的规范

申请组织应制定监视安全状态的规范。

监视变化

申请组织应监视威胁、脆弱性、影响、风险和环境方面的变化，及时写出变化报告，并对变化的影响进行定期评估。

检查安全状况

申请组织应分析安全相关性信息的历史和事件记录，并标明他们的来源，然后对其进行分析和归纳，得出事件记录的分析描述。

按照一定的策略检测安全防护措施的执行情况，以便得出安全防护措施执行中的变化。

申请组织应对威胁环境、运行要求和系统配置的变化进行综合考虑，得出检查报告。

安全突发事件响应

申请组织应利用历史事件的数据、系统配置数据和其它系统信息以及完整性工具诊断出安全突发事件，制定突发事件的响应计划，并报告安全突发事件。

保护安全监视的记录数据

申请组织应通过对归档日志的定期检查和对归档日志使用进行记录来确保安全监视记录数据的安全性。

安全协调

安全协调的规范

申请组织应制定安全协调的规范。

定义协调目标

申请组织应通过制定信息共享协议、工作组的成员关系和日程表、工作组之间及用户之间沟通安全相关信息的过程和程序来建立组织内部或与其他组织之间的联系和义务关系。

确定协调机制

申请组织应通过制定沟通计划，列出通信基础设施的要求，共享会议报告、报文、备忘录的模板的方式来进行协调。

协调的促进

申请组织应有处理冲突的程序，协调会议的议程安排等具体的文档来提高协调的质量。

申请组织应按照协调安全的规范得出的有关安全的决定和建议。

4.4.3保证过程

检验并证实安全性

检验和证实安全性的规范

申请组织应建立检验和证实系统安全性的规范。

执行安全性检验和证实

申请组织应检查所做的安全工程实施情况，工程实施应满足安全需求/安全目标。

申请组织应对检验的结果进行证实，确保达到安全需求/安全目标的要求。

收集检验和证实的记录作为证据

申请组织应为其他工程组收集检验和证实的结果。

建立安全保证论据

建立安全保证论据的规范

申请组织应有建立安全保证论据的规范。

确定安全保证目标

申请组织应同用户方、服务方、进行安全保证认定/认证方确定安全保证目标。

申请组织应定义安全保证策略来描述如何满足用户安全保证目标的计划，确定相关责任方。

收集和分析安全保证的证据

申请组织应按照安全保证策略收集并分析安全保证证据以及支持安全保证所需的附加证据。

提供安全保证论据

申请组织应分析所有安全保证证据，提供论据说明用户的安全需求已得到满

足。

5引用标准与参考文献

5.1计算机信息系统安全保护等级划分准则

（GB17859-1999，国家质量技术监督局）；

5.2系统安全工程能力成熟模型

（SSE-CMM，）

5.3系统安全工程能力成熟模型—评定方法

（SSAM，）；

信息安全管理制度..

信息工作管理制度 第一章总则 第一条为了加强信息管理，规范信息安全操作行为，提高信息安全保障能力和水平，维护信息安全，促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等规定，以《环境信息网络管理维护规范》（环保部制定）等标准为基本管理操作准则，制订本管理制度。 第二条本制度适用范围为信息与监控中心，其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员（包括监控与信息中心技术人员及机关业务系统管理人员）、机房运维人员（包括外包机构人员），应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 （一）系统管理员 系统管理员是从事服务器及存储设备运行管理的人

员，业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立，正式运行后的服务器系统软硬件操作的监管，执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 （二）业务管理员（业务联系人） 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员，业务上应具备业务系统安装及基本调试操作的能力（业务软件厂家负责培训），业务系统及部署操作系统故障分析的能力，预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 （三）网络管理员

信息安全服务资质申请书(安全开发类一级)

编号： 国家信息安全测评 信息安全服务资质申请书 (安全开发类一级) 申请单位（公章）： 填表日期： ?2011—中国信息安全测评中心 2011年1月1日

目录 填表须知 (3) 申请表 (4) 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位近三年资产运营情况 (7) 四、申请单位人员情况 (8) 五、申请单位技术能力基本情况 (8) 六、申请单位安全开发过程能力 (8) 6.1安全意识和安全教育 (8) 6.2启动安全开发过程 (8) 6.3产品风险评估和分析 (8) 6.4定义安全设计原则 (8) 6.5提供安全文档和安全配置工具 (8) 6.6进行安全编码 (8) 6.7进行安全测试 (8) 6.8安全最终评审与产品发布 (8) 6.9安全响应服务 (8) 七、申请单位的项目和组织过程能力 (8) 7.1实现质量保证的能力 (8) 7.2实现配置管理的能力 (8) 7.3管理项目风险的能力 (8) 7.4规划项目技术活动的能力 (8) 7.5监控技术活动的能力 (8) 7.6提供不断发展的知识和技能的能力 (8) 7.7与供应商协调的能力 (8) 八、申请单位安全服务项目汇总 (8) 九、申请单位获奖、资格授权情况 (8) 十、申请单位在安全开发服务方面的发展规划 (8) 十一、申请单位其他说明情况 (8) 十二、申请单位附加信息 (8) 申请单位声明 (8)

填表须知 用户在正式填写本申请书前，须认真阅读并理解以下容： 1．中国信息安全测评中心对下列对象进行测评： ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2．申请单位应仔细阅读《信息安全服务资质申请指南（安全开发类一级）》，并按照其要求如实、详细地填写本申请书所有项目。 3．申请单位应按照申请书原有格式进行填写。如填写容较多，可另加附页。 4．提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。 5．申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。 6．本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。 7．如有疑问，请与中国信息安全测评中心联系。 中国信息安全测评中心 地址：市海淀区上地西路8号院1号楼 邮编：100085 ：（010）82341188或82341118 传真：82341100 网址：https://www.sodocs.net/doc/ab12465343.html, 电子：https://www.sodocs.net/doc/ab12465343.html,

企业信息安全规范

信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理，促进信息安全管理工作体系化、规范化，提高信息系统和网络服务质量，提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平，特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向，阐明信息安全建设和管理的重要原则，阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据，信息安全相关人员必须认真执行本规程，并根据工作实际情况，制定并遵守相应的安全标准、流程和安全制度实施细则，做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视，大力支持信息安全工作，并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员，它适用于本公司全部员工，集成商，软件开发商，产品提供商，商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则：信息安全不是单纯的技术问题，在采用安全技术和产品的同时，应重视管理，不断积累完善各个信息安全管理章程与规定，全面提高信息安全管理水平。

第八条全过程原则：信息安全是一个系统工程，应将它落实在系统建设、运行、维护、管理的全过程中，安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则，在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则：应进行安全风险管理和风险控制，以可以接受的成本或最小成本，确认、控制、排除可能影响公司信息系统的安全风险，并将其带来的危害最小化。 第十条分级保护原则：应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表，在表中明确资产类别，同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则：信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划，负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下，负责具体实施。 第十二条平衡原则：在公司信息安全管理过程中，应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则：在公司信息安全管理过程中，应遵循动态管理原则，要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织，设立由高层领导组成的信息安全领导小组，对于信息安全方面的重大问题做出决策，协调信息安全相关各部门之间的关系，并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构，负责信息系统的信息安全管理工作，配备专职安全管理员，由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下： 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序；

国家信息安全服务资质

国家信息安全服务资质 灾难恢复服务资质（一级）认证指南 （试行） ?版权2008—中国信息全安全测评中心 2008年5月1日

目录 目录................................................................................................................... I 一、认证依据 (1) 二、级别划分 (2) 三、认证要求 (3) （一）基本资格要求 (3) （二）基本能力要求 (3) 1、组织与管理要求 (3) 2、技术能力要求 (3) 3、人员构成与素质要求 (4) 4、设备、设施与环境要求 (4) 5、规模与资产要求 (4) 6、业绩要求 (4) （三）灾难恢复服务过程能力 (4) 四、申请流程 (6) （一）申请流程图 (6) （二）申请阶段 (6) （三）资格审查阶段 (6) （四）能力测评阶段 (6) 1、静态评估 (6) 2、现场审核 (6) 3、综合评定 (7) 4、认证审核 (7) （五）证书发放阶段 (7) 五、监督、维持和升级 (8) 六、处置 (9) 七、争议、投诉与申诉 (10) 八、认证企业档案 (11) 九、认证费用及周期 (12)

一、认证依据 信息安全灾难恢复服务资质评估是对信息系统灾难恢复服务提供者的资格状况、技术实力和实施灾难恢复服务过程能力等方面的具体衡量和评价。 信息安全灾难恢复服务资质，是依据《信息安全服务资质评估准则》、《信息安全灾难恢复服务能力评估准则》等相关要求，在对申请组织的基本资格、技术实力、信息安全灾难恢复服务能力以及工程项目的组织管理水平等方面的评估结果基础上的综合评定后，由中国信息全安全测评中心给予的资质认证。

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

关于信息安全服务资质认证

一体化认证审核/评价记录表 自评价及评审表-QMS 中国网络安全审查技术与认证中心第 1 页共 11 页

填表说明： 1、规范化方式为组织为规范条款相关活动而采取的具体行动的方式，如果通过制度文件提出要求规范化方式为“文件规定”，如果没有制度文件采用工具进行约束规范 化方式为“工具实现”，组织可以同时采用两种方式。如果组织未针对标准要求建立任务规范要求，则选无，但需注意没有进行规范并不意味组织未执行相关活动，组织可能采用约定俗成的方式开展活动，这可能与组织的文档化粗细程度有关。确定了规范化方式要记录原因、文件名称或工具名称。 2、“规范关键要求”为组织文件关键要求或工具的规范方式，“资源要求”是执行该活动需要的资源，包括人、财、技术和信息。 3、“规范执行证据”要填写活动执行的证据，如果为文档证据，需要填写抽样的文档的名称和或编号，如果是工具实现，可通过记录或图片的方式。本文件可以附证据 附件，需要在证据内容一栏填写附件名称。资源保障证据类似。 4、“执行绩效评价”为活动设定的绩效目标与实际执行结果。 5、如果相关条款即存在不符合也存在观察项，评价一栏可以多选。 6、请在“证据内容”中体现审核范围的相关信息，例如物理环境审核应体现地址，抽样记录应体现涉及的业务和部门。 中国网络安全审查技术与认证中心第 2 页共 11 页

中国网络安全审查技术与认证中心第 3 页共 11 页

中国网络安全审查技术与认证中心第 4 页共 11 页

中国网络安全审查技术与认证中心第 5 页共 11 页

中国网络安全审查技术与认证中心第 6 页共 11 页

信息安全事件管理规范

信息安全管理部 信息安全事件管理规范 V1.0

文档信息： 文档修改历史: 评审人员：

信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程，以便及时地对信息安全事件做出响应，启动适当的事件防护措施来预防和降低事件影响，并能从事件影响中快速恢复； 2．0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3．0 相关角色和职责 ●信息安全总监：负责制定《信息安全事件管理规范》，并督促制度的落实和执行； ●信息安全部经理： ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行； ?负责对各类信息安全事件进行第一时间响应，区分信息安全事件的类别及后续 处理流程； ?负责跟踪各类信息安全事件的后续处理，确保公司能从中汲取教训，不再发生 类似问题； ●信息安全事件发起人：在具体工作中发现异常后应及时上报，并协助完成后续处理 工作。 4．0 信息资产 信息安全管理部负责以下信息资产的安全运行： ●机房环境、硬件设备正常运行： ?互联机房； ?北京办公室机房； ?上海办公室机房； ?机房内的所有硬件设备，包括网络设备、服务器和其它设备； ●办公室网络环境正常运行 ?互联机房内网/外网环境； ?北京办公室内网/外网环境； ?上海办公室内网/外网环境； ●机房内系统工作正常； ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时，均属于信息安全事件处理的范畴。 5．0 信息安全事件分级、分类

对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5．1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素，对信息安全事件分为以下几个级别： 1级：本级信息安全事件对公司业务造成了重大影响，例如机密数据丢失，重大考试项目考中异常等； 2级：本级信息安全事件对公司业务造成了一定影响，例如短时间的设备宕机、大规模的网站异常造成客户投拆等； 3级：本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件，例如在日常维护工作中发现的各类异常事件等； 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释： ●常规工作：指影响超出单点范围，可能/己经造成了部门/小组级的工作异常，但未造成 实质性损害的信息事件； 5．2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为： ●环境灾害： ?自然/人为灾害：水灾、火灾、地震、恐怖袭击、战争等； ?外围保障设施故障： ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障：由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障：例如拖管机房的服务器、服务器故障等； ●常规事故： ?软硬件自身故障： ◆软件自身故障：由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障：由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故： ◆硬件设备、软件遗失；与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失：系统中的重要数据遗失 ◆误操作破坏硬件；

CCRC-ISV-C01：2018信息安全服务规范

文件编码：CCRC-ISV-C01:2018 信息安全服务规范 2018-05-25发布 2018-06-01实施 中国网络安全审查技术与认证中心发布

目录 1. 适用范围 (1) 2. 规范性引用文件 (1) 3. 术语与定义 (1) 3.1. 信息安全服务 (1) 3.2. 信息安全风险评估 (1) 3.3. 信息安全应急处理 (1) 3.4. 信息系统安全集成 (1) 3.5. 信息系统灾难备份与恢复 (1) 3.6. 软件安全开发 (2) 3.7. 信息系统安全运维 (2) 3.8. 网络安全审计 .................................................................................. 错误!未定义书签。 3.9. 工业控制系统安全 (2) 4. 通用评价要求 (2) 4.1. 三级评价要求 (2) 4.1.1. 法律地位要求 (2) 4.1.2. 财务资信要求 (2) 4.1.3. 办公场所要求 (2) 4.1.4. 人员能力要求 (3) 4.1.5. 业绩要求 (3) 4.1.6. 服务管理要求 (3) 4.1.7. 服务技术要求 (3) 4.2. 二级评价要求 (3) 4.2.1. 法律地位要求 (4) 4.2.2. 财务资信要求 (4) 4.2.3. 办公场所要求 (4) 4.2.4. 人员能力要求 (4) 4.2.5. 业绩要求 (4) 4.2.6. 服务管理要求 (4) 4.2.7. 技术工具要求 (5) 4.2.8. 服务技术要求 (5) 4.3. 一级评价要求 (5) 4.3.1. 法律地位要求 (5) 4.3.2. 财务资信要求 (5)

信息安全管理规范 通用版

信息安全管理规范及保密制度(通用版) ****年**月**日*****部制定 第一章总则 第1条为明确岗位职责,规范操作流程,确保公司信息资产的安全,特制订本制度。 第2条本制度适用于公司所有员工。 第二章电子邮件管理制度 第3条行政人力部必须在员工入职三天内,向员工分配企业邮箱的个人用户名和密码。 第4条公司邮箱账户限本人使用,禁止将本人账户转借或借用他人账户。员工必须及时修改初始密码,并且在使用中定期(最多3个月)修改邮箱的密码,以防他人利用。密码至少为8位,且需是字母、数字、特殊符号等至少两个的组合。因邮箱密码泄露造成的损失,由用户自行承担责任。 第5条员工的对外往来的公务邮件,原则上必须使用公司统一后缀的邮箱;对外往来的私人邮件则不允许使用公司统一后缀的邮箱。禁止非工作用途将邮箱账户公布在外部INTERNET网上。公务用邮件时,必须使用含有以下字样的个人签名: 声明:您有义务对本邮件内容进行保密,未经书面允许不可私自复制、转发、散布。 第6条收到危害社会安定的邮件,应及时删除,严禁转发或点击相应链接,若因此造成不良影响或损失的,由用户个人承担责任,管理员发现类似现象的有权封锁相

关邮件账户。发现邮件感染病毒,立刻将计算机断开公司网络,并使用相应软件进行杀毒。 第7条发送带有公司涉密信息的邮件,发件人必须先经部门领导同意, (若是绝密级别,需经公司领导同意),并将涉密信息加密处理后方可发送;否则视情节严重程度予以处理。 第8条员工离职时,根据需要交由部门专人监管一个月,后由行政人 力部注销。 第9条违反以上电子邮件管理规定,视情节轻重,最低经济处罚50元,并交行政人力部处理;情节特别严重的将移交国家司法机关,追究法律责任。 第三章数据安全管理制度 第10条为保证存储商业机密的计算机、文件、光盘等不会轻易泄露,公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的制度;同时储存涉及技术及商业机密的计算机均应进行CMOS加密及屏幕保护加密。此两项密码除使用者本人拥有外,应向本部门经理备份,不得泄密给其它部门或个人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。如有因密码泄露而导致严重后果者,其行为等同于故意泄密,公司将按照人力资源奖惩制度予以严肃查处。 第11条计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘以外的的硬盘分区。计算机系统发生故障时,应及时与管理员联系并采取保护数据安全的措施。 第12条计算机终端用户未做好备份前不得删除任何硬盘数据,对重要的数据应保存双份,存放在不同位置,并进行定期检查,防止数据丢失。

信息安全服务资质认证要求

信息安全服务资质 认证要求 ISCCC XXX XXX-2007 信息安全服务资质 认证要求 Certification Requirements for Qualification of Information Security Service Provider (备案送审稿) 中国信息安全认证中心 发布 ××××-××-××实施 ××××-××-××发布 备案号：××××—××××

目录 前言............................................................ 错误!未定义书签。 1 适用范围...................................................... 错误!未定义书签。 2 定义.......................................................... 错误!未定义书签。 信息安全服务............................................ 错误!未定义书签。 信息安全服务提供者 ...................................... 错误!未定义书签。 信息安全服务资质等级 .................................... 错误!未定义书签。 信息安全工程过程能力级别 ................................ 错误!未定义书签。 3 服务类型与资质评定原则 ........................................ 错误!未定义书签。 信息安全服务的类型 ...................................... 错误!未定义书签。 信息安全服务资质等级的评判原则 .......................... 错误!未定义书签。 4 认证具体要求.................................................. 错误!未定义书签。 基本资格................................................ 错误!未定义书签。 独立法人 .......................................... 错误!未定义书签。 法律要求 .......................................... 错误!未定义书签。 基本能力................................................ 错误!未定义书签。 资产与规模 ........................................ 错误!未定义书签。 人员素质与构成 .................................... 错误!未定义书签。 设备、设施与环境 .................................. 错误!未定义书签。 业绩 .............................................. 错误!未定义书签。 质量管理能力............................................ 错误!未定义书签。 体系和管理职责 .................................... 错误!未定义书签。 资源管理 .......................................... 错误!未定义书签。 项目过程管理 ...................................... 错误!未定义书签。 测量、分析和改进 .................................. 错误!未定义书签。 客户服务 .......................................... 错误!未定义书签。 技术能力更新 ...................................... 错误!未定义书签。 安全工程过程能力 ........................................ 错误!未定义书签。 风险过程 .......................................... 错误!未定义书签。 工程过程 .......................................... 错误!未定义书签。 保证过程 .......................................... 错误!未定义书签。 5 引用标准与参考文献 ............................................ 错误!未定义书签。 计算机信息系统安全保护等级划分准则 ...................... 错误!未定义书签。 系统安全工程能力成熟模型 ................................ 错误!未定义书签。 系统安全工程能力成熟模型—评定方法 ...................... 错误!未定义书签。 信息系统安全工程手册 .................................... 错误!未定义书签。 软件工程能力成熟模型 .................................... 错误!未定义书签。 6 附录——系统安全工程主要术语 .................................. 错误!未定义书签。 组织.................................................... 错误!未定义书签。 项目.................................................... 错误!未定义书签。 系统.................................................... 错误!未定义书签。 安全工程................................................ 错误!未定义书签。 安全工程生命期 .......................................... 错误!未定义书签。 工作产品................................................ 错误!未定义书签。 顾客.................................................... 错误!未定义书签。 过程.................................................... 错误!未定义书签。 过程能力................................................ 错误!未定义书签。 制度化................................................ 错误!未定义书签。 过程管理................................................ 错误!未定义书签。

信息安全管理规定建议

信息安全管理规定建议文件编码（GHTU-UITID-GGBKT-POIU-WUUI-8968）

信息安全管理制度 1．总则：为了切实有效的保证公司信息系统安全，提高信息系统为公司生产经营的服务能力，特制定信息系统相关管理制度，设定管理部门及专业管理人员对公司整体信息系统进行管理，以保证公司信息系统的正常运行。 2．范围 计算机网络系统由基础线路、计算机硬件设备、软件及各种终端设备的网络系统配置组成。 软件包括：PC操作系统、数据库及应用软件、有关专业的网络应用软件等。 终端机的网络系统配置包括终端机在网络上的名称，IP地址分配，用户登录名称、用户密码、U8设置、OA地址设置及Internet的配置等。 系统软件是指: 操作系统（如 WINDOWS XP等）软件。 平台软件是指:设计平台工具（如AUTOCAD等）、办公用软件（如OFFICE）等平台软件。 管理软件是指：生产和财务管理用软件（如用友U8软件）。 基础线路是指：联系整个信息系统的所有基础线路，包括公司内部的局域网线路及相关管路。 3．职责

公司设立信息管理部门，直接隶属于分管生产副总经理，设部门经理一名。信息管理部门为网络安全运行的归口部门，负责计算机网络系统的日常维护和管理。 负责系统软件的调研、采购、安装、升级、保管工作。 负责软件有效版本的管理。 信息管理部门为计算机系统、网络、数据库安全管理的归口管理部门。信息管理人员负责计算机网络、办公自动化、生产经营各类应用软件的安全运行；服务器安全运行和数据备份；internet对外接口安全以及计算机系统防病毒管理；各种软件的用户密码及权限管理；协助职能科室进行数据备份和数据归档（如财务、生产、设计、采购、销售等）。 信息管理人员执行企业保密制度，严守企业商业机密。 员工执行计算机安全管理制度，遵守企业保密制度。 系统管理员的密码必须由信息管理部门相关人员掌握。 负责公司网络系统基础线路的实施及维护。 4．管理 网络系统维护 4.1.1 系统管理员每日定时对机房内的网络服务器、各类生产经营应用的数据库服务器及相关网络设备进行日常巡视，并填写《网络运行日志》〔附录A〕记录各类设备的运行状况及相关事件。 4.1.2 对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析，制定处理方案，采取积极措施，并如实将异常现象记录在

网络数据和信息安全管理规范

网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人： XXX 审核人： XXX 批准人： XXX 20XX年X月X日发布 20XX年X月X日实施

目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行，充分发挥信息服务方面的重要作用，更好的为公司运营提供服务，依据国家有关法律、法规的规定，结合公司实际情况制定本规定。 术语 本规范中的名词术语（比如“计算机信息安全”等）符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全，是指防止有害信息在计算机网络上的传播和扩散，防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏，防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全，是指保护计算机网络的正常运行，防止网络被入侵、攻击等，保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员，是指从事的保障计算机信息及网络安全工作的人员。 普通用户，是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统，指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务，包含通过开放端口提供的网络服务，如WWW、Email、FTP、Telnet、DNS等。有害信息，参见国家现在法律法规的定义。

国家信息安全测评 .doc

国家信息安全测评 信息安全服务资质申请指南（安全开发类二级） ?版权2017—中国信息安全测评中心 2017年10月

一、认定依据4 二、级别划分4 三、二级资质要求5 3.1 基本资格要求5 3.2 基本能力要求5 3.3质量管理能力要求 6 3.4安全开发过程能力要求 6 四、资质认定7 4.1认定流程图7 4.2申请阶段 8 4.3资格审查阶段 8 4.4能力测评阶段 8 4.4.1静态评估8 4.4.2现场审核9 4.4.3综合评定9 4.4.4资质审定9 4.5证书发放阶段 9 五、监督、维持和升级10 六、处置10 七、争议、投诉与申诉10 八、获证组织档案11 九、费用及周期11 十、联系方式12

中国信息安全测评中心（以下简称CNITSEC）是经中央批准成立、代表国家开展信息安全测评的职能机构，依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评体系。 中国信息安全测评中心的主要职能是： 1.对国内外信息安全产品和信息技术进行测评； 2.对国内信息系统和工程进行安全性评估； 3.对提供信息系统安全服务的组织和单位进行评估； 4.对信息安全专业人员的资质进行评估。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。 本指南适用于所有向CNITSEC申请信息安全服务资质（安全开发类二级）的境内外组织。

终端信息安全管理规定

XXXX信息中心 终端信息安全管理规定 信息中心 年月

XXXX信息中心 终端信息安全管理规定 注：XXXX代表单位名称，XX代表单位简称，xxxx代表系统名称，**代表部门名称。 第一章总则 第一条为规范XXXX信息中心（以下简称“中心”）员工在使用计算机终端过程中的行为，提高计算机终端的安全性，确保员工安全使用计算机终端，特制定本规定。 第二条本规定适用于在XX使用计算机终端的所有员工，包括内部终端和外部终端，信息中心及其他部门员工。 第三条本规定所指的计算机终端包括员工在XX网络中用于办公用途的台式计算机、便携式计算机。 第二章台式计算机安全管理 第一节硬件使用相关规定 第四条台式计算机由XX(单位简称)**（部门名称）部门统一配发，员工领到台式计算机后，应妥善保管台式计算机的主机、显示器以及附带的所有附件（包括各种线缆、 光盘、说明书等）。 第五条质保期内员工不得自行拆卸台式计算机，以免影响台式计算机厂商的售后服务。第六条未经许可，严禁将非XX配发的台式计算机接入XX局域网。 第七条未经员工所在部门批准，员工不得自行变更台式计算机的硬件配置。 第八条因工作岗位变动不再需要使用台式计算机时，应及时办理资产转移或清退手续。台式计算机做资产转移或清退时，应删除机内的敏感和重要数据。 第二节系统使用相关规定 第九条台式计算机的IP地址由XX统一分配，员工不得自行变更，否则会造成台式计算机无法正常连接网络。 第十条各部门应记录和管理IP地址相关的设备使用情况，对打印机、复印机等设备应及

时记录设备使用情况。 第十一条接收来自外部的软件或资料时，应首先进行防病毒处理。 第十二条禁止在没有采用安全保护机制的台式计算机上存储重要数据，在存储重要数据的台式计算机至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护 措施。 第十三条员工应设置台式计算机的开机密码，有关密码设置按照《帐号口令权限安全管理规定》执行。 第十四条员工离开自己台式计算机时，应将台式计算机屏幕锁定；员工完成应用系统的操作或离开工位时，应及时退出系统。 第十五条所有的台式计算机系统设备必须有一个台式计算机可读的设备属性标签，以便于查询和统计。 第十六条存放台式计算机系统设备的区域必须保持适当的工作温度和湿度，相关要求参见产品说明。 第十七条必须明确所有台式计算机的使用者，台式计算机上不得放盛有饮料等液体的容器。 第十八条根据信息安全管理员的通知进行所使用台式计算机的病毒防治产品的升级版本检查，是否升级完成。 第十九条定期对所使用台式计算机进行病毒的检测和清除。如果发现病毒，将检测和清除的结果报安全管理员进行备案。 第二十条对于外来的（例如从网络上下载）程序和文档，在运行或打开前必须进行计算机病毒的检测和清除。 第二十一条对于电子邮件附件所带的程序和文档在确认来自可信的发件人之前不得运行或打开，并且在运行或打开前必须进行计算机病毒的检测和清除。 第二十二条不得进行计算机病毒的制作和传播。 第三章便携式计算机安全管理 第二十三条便携式计算机的硬件使用、系统使用安全管理规定参照台式计算机相关条款执行。

信息安全服务资质认证实施规则

信息安全服务资质认证实施规则 CCRC-ISV-R01:2018 2018-05-25发布 2018-06-01实施 中国网络安全审查技术与认证中心

ISCCC-ISV-R01:2017 信息安全服务资质认证实施规则 目录 1 适用范围 (2) 2 认证依据 (2) 3 术语与定义 (2) 3.1 信息安全服务 (2) 3.2 自评估 ...................................................................................................... 错误!未定义书签。 3.3 现场审核 (2) 3.4 非现场审核 (2) 3.5 现场见证 .................................................................................................. 错误!未定义书签。 3.6 特殊审核 (2) 4 审核人员及审核组要求 (2) 5 认证信息公开 (3) 6 认证程序 (3) 6.1 初次认证 (3) 6.1.1 认证申请 (3) 6.1.2 申请评审 (3) 6.1.3 建立审核方案 (4) 6.1.4 确定审核组 (5) 6.1.5 非现场审核 (5) 6.1.6 现场审核 (6) 6.1.7 现场见证（必要时） (7) 6.1.8 认证决定 (8) 6.1.9 证书颁发 (8) 6.2 监督审核 (8) 6.2.1 频次和方式 (8) 6.2.2 信息收集 (8) 6.2.3 信息评审与审核方案维护 (9) 6.2.4 制定审核计划 (9) 6.2.5 审核实施 (10) 6.2.6 监督审核结论 (10) 6.2.7 认证决定 (10) 6.2.8 审核方案记录与变更 (10) 6.3 特殊审核 (10) 6.3.1 变更或扩大认证范围 (10) 6.3.2 审核方案记录与变更 (11) 7 信息通报 (11) 8 认证证书管理 (11) 8.1 证书有效期 (11) 8.2 暂停认证证书 (12) 8.3 撤销认证证书 (12) 8.4 证书变更 (12)

信息安全管理制度

信息安全管理制度 目录 1.安全管理制度要求 1.1总则：为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务能力，特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信息安全进行管理，以确保网络与信息安全。 1.1.1建立文件化的安全管理制度，安全管理制度文件应包括： a)安全岗位管理制度； b)系统操作权限管理； c)安全培训制度； d)用户管理制度； e)新服务、新功能安全评估； f)用户投诉举报处理； g)信息发布审核、合法资质查验和公共信息巡查； h)个人电子信息安全保护； i)安全事件的监测、报告和应急处置制度； j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准，并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度，明确主办人、主要负责人、安全责任人的职责：岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行，包括： 1.个人身份核查： 2.个人履历的核查： 3.学历、学位、专业资质证明： 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度，定期对所有工作人员进行信息安全培训，提高全员的信息安全意识，包括： 1.上岗前的培训； 2.安全制度及其修订后的培训； 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程： a)及时终止离岗员工的所有访问权限； b)关键岗位人员须承诺调离后的保密义务后方可离开； c)配合公安机关工作的人员变动应通报公安机关。

中国信息安全认证中心-信息安全服务资质认证流程图

信息安全服务资质认证流程图

流程说明： 1、自评估 组织在中国信息安全认证中心网站下载《信息安全服务资质认证自评估表-管理》+对应的技术自评估表，并实施自评估。 2、认证申请 组织依据信息安全服务资质认证程序、认证实施规则中相关要求，确定申请服务资质类别，并填写《信息安全服务资质认证申请书》。 组织向中国信息安全认证中心提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。 3、申请材料评审 中心依据认证程序和相关标准要求，对申请组织提交的认证相关材料进行评审，并确定申报资质类别和级别，签订认证合同。 4、现场评审 认证机构组成评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。特别，对申请一级资质认证的组织，必要时选择申请组织的客户进行项目实施现场见证。 现场验证符合要求后，认证机构组成评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。 5、认证决定 认证决定委员会由3名以上（含3名）奇数认证决定人员组成，作出认证决定。 6、证书颁发 对于符合认证要求的申请组织，颁发认证证书，并予以公示。 7、证后监督 （1）证后监督频次和方式 对获证组织实施监督，每年度（不超过12个月）进行一次监督评审。 当获证组织发生重大变更、事故或客户投诉时，可增加现场监督评审的频次。 （2）证后监督内容 监督评审除包括初次评审的内容外，还应对上一次审核中提出的观察项所采取纠正/预防措施进行验证。 （3）证后监督结论

对于通过监督评审的获证组织，做出维持认证证书有效的决定；否则，暂停或撤销其认证证书。 （4）信息通报 为确保获证组织的安全服务能力持续有效，获证组织应建立信息通报渠道，及时报告以下信息： a)组织机构变更信息； b)安全事故、客户投诉信息； c)其他重要信息。