欢迎来到天天文库
浏览记录
ID:32999726
大小:59.17 KB
页数:12页
时间:2019-02-18
《信息安全服务资质评估准则》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、信息安全服务资质评估准则百度文库专用木标准的目的是对提供信息安全服务的组织进行资质评估与认证,为国家有关主管部门的行政管理提供技术依据。本标准的评估对象是提供信息安全服务的组织,包括信息安全工程的设计、施工及其相关的咨询和培训组织。与本标准相关的其它评估标准、评估细则和评估方法包括:信息安全工程质量管理要求信息安全服务资质评估等级划分细则信息安全服务资质等级评估方法本标准起草单位:中国国家信息安全测评认证中心,中国国家信息安全测评认证中心系统工程实验室,信息产业部电子第30研究所,四川大学信息安全研究所,中国国防
2、科技信息中心,解放军总装备部,北京普方德信息技术有限公司,北京天融信公司。木标准主要起草人:关义章、叶征、崔玉华、任卫红、唐海波、龙毅宏、刘炳华、满林松、周恩志等本标准于200X年X刀X日起实施。本标准委托中国国家信息安全测评认证中心负责解释。目录1适用范围12定义12.1信息安全服务12.2信息安全服务提供者12.3信息安全服务资质等级12.4信息安全工程过程能力级别12.5信息安全服务评估组织13服务类型与资质评定原则13.1信息安全服务的类型13.2信息安全服务资质等级的评判原则14提供信息安全服务的基本资
3、格要求25提供信息安全服务的基本能力要求25.1组织与管理要求25.2技术能力要求25.3人员构成与素质要求35.4设备、设施与环境要求35.5规模与资产要求35.6业绩要求35.7质量保证要求45.8培训要求46信息安全工程过程及能力级别45.1概述45.2信息安全工程过程要求5评估安全对系统的影响5评估系统而临的安全威胁5评估系统的安全弱点5评估系统的安全风险5确定系统的安全需求6为系统提供必要的安全信息6监测系统的安全状况6管理系统的安全控制7安全性协调7检验并证实安全性7建立并提供安全性保证证据75.3信
4、息安全工程过程能力级别8基木执行级8・1执行过程8计划跟踪级8•1制定过程执行计划8・2规范化执行8•3验证执行8・4跟踪执行8充分定义级8.1定义标准过程8.2执行己定义过程8.3协调项目和组织活动9定量控制级9.1建立可测量的质量目标9.2客观地管理执行9连续改进级9.1改进组织能力9.2改进过程有效性97信息安全服务资质等级划分95.1概述95.2信息安全服务资质等级划分95.3不同资质等级可从事的安全服务118引用标准与参考文献128.1计算机信息系统安全保护等级划分准则12&2系统工程能力成熟模型126
5、.3系统安全工程能力成熟模型12&4系统安全工程能力成熟模型一评定方法126.5信息系统安全工程手册125.5软件工程能力成熟模型12&7信息安全工程质量管理要求129附录一一系统安全工程主要术语136.1组织139.2项目139.3系统139.4安全工程139.5安全工程牛命期139.6工作产品149.7顾客149.8过程149.9过程能力149.10制度化149.11过程管理14适用范圉木标准适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估;信息安全服务的需方对服务提供方的选择依据;作为国家主
6、管部门对评估对象进行管理和检查的技术规范。另外,也可为信息安全服务提供组织改进自身能力提供指导。定义信息安全服务信息安全服务是指信息安全工程的设计、实施、测试、运行和维护,以及相关的咨询和培训活动。信息安全服务提供者信息安全服务提供者是指信息安全工程方案设计组织、承建信息安全工程的组织以及提供有关信息安全咨询和培训的组织。信息安全服务资质等级信息安全服务资质等级是指一个组织提供信息安全服务的综合能力。包括技术能力、组织结构与管理、资源配置、安全工程过程能力、业绩和质量保证等多个方面。信息安全工程过程能力级别信息安
7、全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目时,执行组织已定义过程的能力成熟程度。信息安全服务评估组织信息安全服务评估组织,是指对提供信息安全服务的组织的资质等级进行评估认证的第三方机构。在我国是指中国国家信息安全测评认证中心及其授权分支机构。服务类型与资质评定原则信息安全服务的类型信息安全服务的类型主要指一个组织按照一定的合同或协议,为另一个组织所履行的安全服务的具体形式,包括:安全工程:为信息系统进行安全方案设计(开发)、施工(安全集成)、验证(测试)、运行(监控)和维护;安全咨询和培训:从事
8、信息系统安全咨询、培训、宣传和其它安全工程之外服务的业务。包括书而提出并制订信息系统安全方案,提供安全管理与操作规定的服务,提供安全性测试和监控,方案(安全方案、信息系统和安全产品等)试验,在公开场合或媒体宣讲传播安全知识的活动,信息系统安全的专家活动和政策制订工作,从事信息系统安全教育工作,其它可能影响信息系统安全性能的有偿或无偿服务或技术活动。信息安全服务资质等级的评
此文档下载收益归作者所有