中国信息安全评测中心信息系统安全服务资质评估准则.doc

信息系统安全服务资质评估准则 Evaluation Criteria for Competence of Information System Security Service Provider 适用范围 本标准适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估；信息安全服务的需方对服务提供方的选择依据；作为国家主管部门对评估对象进行管理和检查的技术规范。另外，也可为信息安全服务提供组织改进自身能力提供指导。 定义 信息安全服务 信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。 信息安全服务提供者 信息安全服务提供者是指信息安全工程方案设计组织、承建信息安全工程的组织以及提供有关信息安全咨询和培训的组织。 信息安全服务资质等级 信息安全服务资质等级是指一个组织提供信息安全服务的综合能力。包括技术能力、组织结构与管理、资源配置、安全工程过程能力、业绩和质量保证等多个方面。 信息安全工程过程能力级别 信息安全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目时，执行组织已定义过程的能力成熟程度。 信息安全服务评估组织 信息安全服务评估组织，是指对提供信息安全服务的组织的资质等级进行评估认证的第三方机构。在我国是指中国国家信息安全测评认证中心及其授权分支机构。 服务类型与资质评定原则 信息安全服务的类型 信息安全服务的类型主要指一个组织按照一定的合同或协议，为另一个组织所履行的安全服务的具体形式，包括： 安全工程：为信息系统进行安全方案设计（开发）、施工（安全集成)、验证（测试）、运行（监控）和维护； 安全咨询和培训：从事信息系统安全咨询、培训、宣传和其它安全工程之外服务的业务。包括书面提出并制订信息系统安全方案，提供安全管理与操作规定的服务，提供安全性测试和监控，方案（安全方案、信息系统和安全产品等）试验，在公开场合或媒体宣讲传播安全知识的活动，信息系统安全的专家活动和政策制订工作，从事信息系统安全教育工作，其它可能影响信息系统安全性能的有偿或无偿服务或技术活动。 信息安全服务资质等级的评判原则 信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定，是在其基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上，针对不同的服务种类，采用一定的权值综合考虑后确定，并由国家认证机构授予相应的资质级别。信息安全服务的资质等级的划分遵循以下原则： 综合考虑原则： 信息安全服务资质等级的划分必须对组织的综合能力进行考察，它主要与组织的资格状况、技术实力、信息安全工程过程能力等级以及其他要求有关。 与现行国家有关主管部门颁布的法律、法规、规章、制度相一致的原则： 安全策略要保持与现行的法律、法规、规章、制度相一致，不能相抵触。 与我国已发布或即将发布的有关信息安全的标准相一致的原则： 我国已发布许多与安全服务有关的的标准，本评估准则的资质等级划分必须与这些标准相一致。 与组织的基本能力水平紧密结合的原则： 一个组织的基本能力是评估其资质等级的基本要求，有些基本能力要求可能决定一个组织是否具备参与资质评定的资格。 与信息安全服务工程过程能力等级紧密结合的原则： 工程过程能力等级是反映组织实施工程的成熟程度，是评定资质的重要依据。 可裁剪原则： 安全服务有多种类型，对不同类型的安全服务可进行适当的裁剪。 可操作性原则 具有实际操作的可行性。 提供信息安全服务的基本资格要求 4.1 提供信息安全服务的组织必须是一个独立的实体，具有工商行政管理部门发给的合法的营业执照。 4.2 必须获得国家有关信息安全主管部门发给的从事信息安全服务的资格证书。 4.3 从事涉密（国家秘密）网络信息系统安全服务的组织必须获得国家安全主管部门的批准。 4.4 采用商密信息产品进行安全系统集成的组织必须获得国家安全主管部门的批准。 4.5 必须遵守国家现行法律、法规的规定。 提供信息安全服务的基本能力要求 组织与管理要求 从事信息安全服务的组织： 5.1.1 必须拥有健全的组织结构和管理体系，为持续的信息安全服务提供保证。 5.1.2 应制定符合国家保密机关要求的工作保密制度和相关的组织监管体系。 5.1.3 所有成员要签定保密合同，并遵守有关法律法规。 技术能力要求 从事信息安全服务的组织，应： 5.2.1 了解信息安全技术的最新动向，有能力掌握信息安全的最新技术。 5.2.2 具有不断的技术更新能力。 5.2.3 具有对信息系统所面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力。 5.2.4 须能根据对用户信息系统风险的分析，向用户建议有效的安全保护