信息安全服务资质评估准则(摘录)
编者按:在本次研讨会召开的同时,中国国家信息安全测评认证中心已经在着手准备接受相关评估的申请。在此,本报特将其评估准则摘录刊出,供读者参考。一、适用范围
本标准适用于:
● 评估机构对提供信息安全服务的组织进行信息安全服务资质的评估;
● 信息安全服务的需方对服务提供方的选择依据;
● 国家主管部门对评估对象进行管理和检查的技术规范。
另外,也可以为提供信息安全服务的组织改进自身能力提供指导。
二、定义
1. 信息安全服务
信息安全服务是指信息安全工程的设计、实施、测试、运行和维护,以及相关的咨询和培训活动。
2. 信息安全服务提供者
信息安全服务提供者是指信息安全工程方案的设计组织、承建信息安全工程的组织以及提供有关信息安全咨询和培训的组织。
3. 信息安全服务资质等级
信息安全服务资质等级是指一个组织提供信息安全服务的综合能力,包括技术能力、组织结构与管理、资源配置、安全工程过程能力、业绩和质量保证等多个方面。
4. 信息安全工程过程能力级别
信息安全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目时,执行组织已经定义的过程的能力成熟程度。
5. 信息安全服务评估组织
信息安全服务评估组织是指对提供信息安全服务的组织的资质等级进行评估认证的法定机构。在我国是指中国国家信息安全测评认证中心及其授权的分支机构。
三、服务类型与资质评定原则
1. 信息安全服务的类型
信息安全服务的类型主要指一个组织按照一定的合同或协议,为另一个组织所履行的安全服务的具体形式,包括:
(1) 安全工程: 为信息系统进行安全方案设计、施工、验证、运行和维护;
(2) 安全测试和监控: 对已有的信息安全系统进行安全性测试和对保护装置总体(包括硬件、软件、固件和负责执行安全策略的组合体等)进行调整、增补与删除,对信息系统进行监控和提出安全承诺;
(3) 安全相关施工: 对信息安全系统外部设施(包括通信线路、链路、信道/隐蔽信道、保护建筑和标记等)进行调整、增补与删除;
(4) 安全咨询和教育: 信息系统安全咨询、培训、宣传等业务,包括书面提出并制订信息系统安全方案或安全管理与操作规定的服务、在公开场合或媒体宣讲或传播安全知识的活动、信息系统安全的专家活动和政策制订工作、信息系统安全教育工作;
(5) 方案试验: 在现有信息安全系统中测试、试验某种安全产品、安全方案(如算法)的有偿或无偿活动;
(6) 其他服务: 其他可能影响信息系统安全性能的有偿或无偿服务或技术活动。
2. 信息安全服务资质等级的评判原则
信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施安全工程过程的质量保证能力等方面的具体衡量和评价。资质等级的评定,是在其基本能力水平、安全工程项目的组织管理水平、安全工程基本过程的控制能力等方面的单项评估结果的基础上,针对不同的服务种类,采用一定的权值综合考虑后确定的,并由国家认证机构授予相应的资质级别。信息安全服务资质等级的划分遵循以下原则:
(1) 综合考虑原则。信息安全服务资质等级的划分必须对组织的综合能力进行考察,它主要与组织的资格状况、技术实力、信息安全工程过程能力等级以及其他要求有关。
(2) 与现行国家有关主管部门颁布的法律、法规、规章、制度相一致的原则。安全策略要保持与现行的法律、法规、规章、制度相一致,不能相抵触。
(3) 与我国已发布或即将发布的有关信息安全的标准相一致的原则。我国已发布许多与安全服务有关的标准,本评估准则的资质等级划分必须与这些标准相一致。
(4) 与组织的基本能力水平紧密结合的原则。一个组织的基本能力是评估其资质等级的基本要求,有些基本能力要求可能会决定一个组织是否具备参与资质评定的资格。
(5) 与信息安全服务工程过程能力等级紧密结合的原则。工程过程能力等级是反映组织实施工程的成熟程度,是评定资质的重要依据。
(6) 可裁剪原则。安全服务有多种类型,对不同类型的安全服务可进行适当的裁剪。
(7) 可操作性原则。
四、提供信息安全服务的基本资格要求
1. 提供信息安全服务的组织必须是一个独立的实体,具有工商行政管理部门颁发的合法的营业执照。
2. 必须获得国家有关信息安全主管部门发给的从事信息安全服务的资格证书。
3. 从事涉密(国家秘密)网络信息系统安全服务的组织必须获得国家安全主管部门的批准。
4. 采用商密信息产品进行安全系统集成的组织必须获得国家安全主管部门的批准。
5. 必须遵守国家现行法律、法规的规定。
五、提供信息安全服务的基本能力要求
1. 组织与管理要求
提供信息安全服务的组织:
(1) 必须拥有健全的组织结构和管理体系,为持续的信息安全服务提供保证;
(2) 应制订符合国家保密机关要求的工作保密制度和相关的组织监管体系;
(3) 所有成员要签订保密合同,并遵守有关法律法规。
2. 技术能力要求
从事信息安全服务的组织应:
(1) 了解信息安全技术的最新动向,有能力掌握信息安全的最新技术;
(2) 具有不断更新技术的能力;
(3) 具有对信息系统所面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
(4) 须能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;
(5) 具有对发生的突发性安全事件进行分析和解决的能力;
(6) 从事安全系统集成和相关咨询的组织应具有足够的技术力量,以及对市场的信息安全产品进行功能分析、提出安全策略和安全解决方案和对安全产品进行系统集成的能力;
(7) 应具有足够的技术力量,根据服务业务的需求开发信息安全应用、产品或支持性工具的能力;
(8) 系统集成商应有对集成的系统进行检测和验证的能力;
(9) 有能力对信息安全系统进行有效的维护;
(10) 有跟踪、了解、掌握和应用国际、国家和行业标准的能力。
4. 设备、设施与环境要求
从事信息安全的组织应该具有:
(1) 固定的工作场所,良好的工作环境;
(2) 先进的开发、测试或模拟环境;
(3) 先进的开发、生产和测试设备;
(4) 实施相关服务所必需的开发、生产和测试工具。
5. 规模与资产要求
从事信息安全的组织应该:
(1) 有足够的注册资金和充足的流动资金;
(2) 建立与所承担的业务范围和工程规模相适应的服务体系;
(3) 有足够的人员从事直接与信息安全服务相关的活动。
6. 业绩要求
从事信息安全的组织,应具有与申请资质相符的从业经历,主要的考查内容有:
(1) 从业时间;
(2) 工程规模;
(3) 工程数量;
(4) 工程质量;
(5) 合作项目参与程度;
(6) 完成结果评价。
7. 质量保证要求
(1) 提供信息系统安全工程服务的组织要求通过“信息系统安全工程质量管理要求”;
(2) 提供信息系统安全咨询培训服务的组织要求通过经裁剪的“信息系统安全工程质量管理要求”,裁剪原则应与业务范围和控制环节相一致。
8. 培训要求
提供培训服务的服务组织应:
(1) 有独立的法人资格;
(2) 有固定的培训场所、良好的培训环境;
(3) 有相应的培训设备;
(4) 培训人员要有培训资格证书。
六、信息安全工程过程及能力级别
信息安全工程是一组与信息安全相关的工程过程的集合,在应用到系统和应用的开发、集成、操作、管理、维护和改进等整个生命期中,应满足一组安全要求并能在系统中得到体现。信息安全工程至少包括以下11个基本过程:
● 评估安全对系统的影响;
● 评估系统面临的安全威胁;
● 评估系统的安全弱点;
● 评估系统的安全风险;
● 确定系统的安全需求;
● 为系统提供必要的安全信息;
● 监测系统的安全状况;
● 管理系统的安全控制;
● 安全协调;
● 检验并证实安全性;
● 建立并提供安全性保证证据。
信息安全工程过程的能力级别是用于评价组织完成已定义的安全工程过程的能力,直接反映组织的成熟程度。能力级别按成熟性排序,表示依次增加的组织能力。
本标准将信息安全服务组织的工程能力分为五个级别,即:
● 1级:基本执行级;
● 2级:计划跟踪级;
● 3级:充分定义级;
● 4级:量化控制级;
● 5级:连续改进级。
本标准并不提出执行过程的特殊要求。组织可以按所选择的任何方式和顺序,自由地计划、定义、控制、跟踪和改进它们的过程。然而高级别能力依赖于低级别能力,因此组织在达到高级别之前必须满足低级别的要求。
页:
[1]