第一篇:国家信息安全测评
国家信息安全测评
信息安全服务资质申请指南
(风险评估一级)
©版权2014—中国信息安全测评中心
2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
目录
目录 2 引言 3
一、认定依据................................................................................................................................4
二、级别划分................................................................................................................................4三、一级资质要求........................................................................................................................4
3.1 基本资格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5
3.2.1 组织与管理要求.....................................................................................................5 3.2.2 技术能力要求.........................................................................................................5 3.2.3 人员构成与素质要求.............................................................................................6 3.2.4 设备、设施与环境要求.........................................................................................6 3.2.5 规模与资产要求.....................................................................................................6 3.2.6 业绩要求.................................................................................................................6 3.3 安全风险评估过程能力要求...........................................................................................6 3.4 项目和组织过程能力要求...............................................................................................7
四、资质认定................................................................................................................................8
4.1认定流程图........................................................................................................................8 4.2申请阶段.............................................................................................................................9 4.3资格审查阶段.....................................................................................................................9 4.4能力测评阶段.....................................................................................................................9
4.4.1静态评估..................................................................................................................9 4.4.2现场审核................................................................................................................10 4.4.3综合评定................................................................................................................10 4.4.4资质审定................................................................................................................10 4.5证书发放阶段...................................................................................................................10
五、监督、维持和升级..............................................................................................................11
六、处置......................................................................................................................................11
七、争议、投诉与申诉..............................................................................................................11
八、获证组织档案......................................................................................................................12
九、费用及周期..........................................................................................................................12
十、联系方式..............................................................................................................................13
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
引言
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和风险评估的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:
1.为信息技术安全性提供测评服务; 2.信息安全漏洞分析; 3.信息安全风险评估;
4.信息技术产品、信息系统和风险评估安全测试与评估; 5.信息安全服务和信息安全人员资质测评; 6.信息安全技术咨询、风险评估监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC申请信息安全服务资质(风险评估一级)的境内外组织。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
一、认定依据
信息安全服务(风险评估类)资质认定是对信息安全风险评估服务提供者的资格状况、技术实力和信息安全风险评估实施过程质量保证能力等方面的具体衡量和评价。
信息安全服务(风险评估类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(风险评估类)具体要求,在对申请组织的基本资格、技术实力、信息安全风险评估服务能力以及安全风险评估项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全服务(风险评估类)资质认定是对信息安全风险评估服务提供者的综合实力的客观评价和确认,信息安全服务(风险评估类)资质级别反映了信息安全风险评估服务提供者从事信息安全风险评估服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全风险评估过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级 二级:计划跟踪级 三级:充分定义级 四级:量化控制级 五级:持续改进级三、一级资质要求
申请信息安全服务(风险评估一级)资质的组织需要在基本资格和基本能力、发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
安全风险评估过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(风险评估一级)》的规定。
3.1 基本资格要求
申请信息安全服务(风险评估一级)资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求 3.2.1 组织与管理要求
1.必须拥有健全的组织和管理体系,为持续的信息安全风险评估服务提供保障;
2.必须具有专业从事信息安全风险评估服务的队伍和相应的质量保证; 3.与安全风险评估服务相关的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求
1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术; 2.具有不断的技术更新能力;
3.具有对信息系统的状况进行调研、分析和描述的能力;
4.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析能力;
5.具有对信息系统的资产及其影响进行识别、分析和评估的能力; 6.具有对信息系统的脆弱性进行识别分析和评估的能力; 7.具有根据信息安全风险的结果提出应对安全措施的能力; 8.具有应用国际国内最新信息安全风险评估方法的能力; 9.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
3.2.3 人员构成与素质要求
1.具有充足的人力资源和合理的人员结构;
2.所有与信息安全服务有关的管理和销售人员应具有基本的信息安全知识;
3.有相对稳定的从事信息安全风险评估服务的技术队伍;
4.技术骨干人员应系统地掌握信息系统安全基础理论和核心技术,并有足够的专业工作经验;
5.必须有2名以上(含2名)专职的注册信息安全专业人员(CISP)。
3.2.4 设备、设施与环境要求
1.具有固定的工作场所和良好的工作环境;
2.具有实施信息安全风险评估服务的相关工具和设备。
3.2.5 规模与资产要求
1.有足够的注册资金和充足的流动资金;
2.具有与所申请安全服务业务范围、承担的安全风险评估规模相适应的服务体系;
3.有足够的人员从事直接与信息安全风险评估服务相关的活动。
3.2.6 业绩要求
1.应有从事信息安全风险评估服务的经验;
2.近3年内在信息安全风险评估服务方面,没有出现验收未通过的情况。
3.3 安全风险评估过程能力要求
安全风险评估过程能力是评价信息安全风险评估服务专业水平高低的标志。申请组织应能实施以下6个安全风险评估过程域: 1.风险评估准备
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
2.评估系统资产的影响; 3.评估系统存在的脆弱性; 4.评估系统面临的安全威胁; 5.评估系统已有的安全措施; 6.评估系统的安全风险。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价信息安全风险评估服务规范性和质量保证成熟度标志。
申请组织应能实施以下6个项目和组织过程域: 1.质量保证; 2.管理项目风险; 3.规划技术活动; 4.监控技术活动;
5.提供不断发展的技能和知识; 6.与供应商协调。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
四、资质认定
4.1认定流程图
申请委托人申请不受理形式化审查申请阶段资格审查阶段受理决定受理静态评估现场审核限期整改综合评定不通过综合评定通过资质审定不通过发证决定抽样检查通过证书发放不予发证能力测评阶段证书发放阶段公告证后监督证后监督阶段
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
4.2申请阶段
申请组织应首先到CNITSEC网站(http://www.xiexiebang.comITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将与申请组织签订合同,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段
当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.4.1静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全风险评估服务能力做出基本判断,初步确定申请组织的信息安全风险评估服务能力水 发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
平状况,为现场审核做准备。如果在静态评估阶段发现申请组织的信息安全风险评估能力不能满足资质要求,将要求申请组织进行整改,待整改完成达到后进入现场审核阶段。
4.4.2现场审核
现场审核是对申请组织从事信息安全风险评估服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定
在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全风险评估服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。逾期未整改的,视作整改不符合。
4.4.4资质审定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全风险评估服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段
资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全风险评估过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交年度调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。CNITSEC将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合信息安全风险评估服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://www.xiexiebang.comITSEC申请二级资质。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证组织的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上。
九、费用及周期
信息安全服务资质认定收费划分为如下四个部分:
(一)申请费:2000元
(二)测评费:3000元/人日
(三)审定与注册费(含证书费):3000元
(四)年金(含标志使用费):5000元/年
未获得安全工程类服务资质的机构,首次申请风险评估资质(一级)费用: 2000(申请费)+3000×3×2(三人二日测评费)+3000(审定与注册费)+15000(三年年金)=38000元。
未获得安全工程类服务资质的机构,风险评估资质(一级)维持费用: 2000(申请费)+3000×2×2.5(二人二日半测评费)+3000(审定与注册费)+5000(三年年金)=35000元。
已获得安全工程类服务资质的机构,申请风险评估资质(一级)费用(首次申请和维持):
2000(申请费)+3000×3×0.5(三人二日测评费)+3000(审定与注册费)=9500元
已获得安全工程类服务资质的机构申请风险评估资质时不再重复收取年金。
申请组织还应承担因现场审核活动审核组成员所发生的交通和食宿费用。
从受理到颁发证书的周期为四个月,但由于申请方原因(如,资料补充需要的时间等)造成的时间延误不计算在内。发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
十、联系方式
名 称:中国信息安全测评中心 资质评估处 地 址:中国北京市海淀区上地西路8号院1号楼 邮 编:100085 传 真:010-82341100 咨询电话:
资质受理: 010-82341582、010-82341568 证后管理: 010-82341553
发布日期:2014年5月1日
第二篇:信息安全等级测评实施细则(稿)
信息安全等级保护等级测评实施细则
第一章 总则
第一条【目的】为加强信息安全等级测评机构建设和管理,规范等级测评活动,保障信息安全等级保护制度的贯彻落实,根据《信息安全等级保护管理办法》等有关规范制订本实施细则。
第二条【适用范围】本细则适用于等级测评机构、测评人员和测评活动的规范管理。
第三条【等级测评定义】等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
第四条【测评机构定义】测评机构是经有关部门能力认可,经有关部门推荐,在一定范围内从事信息系统安全等级测评等工作的专业技术机构。
第五条【基本原则】测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。
第六条【保密要求】测评机构和测评人员应当遵守《国家保密法》的规定,保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。
第七条【管理体制】测评机构应当接受各级信息安全等级保护协调(领导)小组和公安网安部门的监督管理,并接受有关部门的业务管理和技术指导。
第二章 测评机构
第八条【总体要求】测评机构分为地区性、行业性测评机构,按照属地管理和行业管理相结合的原则进行建设和管理。
第九条【职责分工】国家信息安全等级保护协调小组办公室主管等级测评机构的建设和管理工作,指导行业等级测评机构的建设和管理工作,并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。
各省(区、市)等级保护协调(领导)小组办公室负责本地等级测评机构的建设管理工作。
第十条【基本条件】申请成为等级测评机构的单位(以下简称申请单位)应当具备以下基本条件:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)产权关系明晰,注册资金100万元以上;
(四)从事信息系统检测评估相关工作两年以上;
(五)单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(六)具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于80%。其中测评技术人员不少于10人;
(七)具备必要的办公环境、设备、设施及完备的安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁;
(九)应当具备的其他条件。
第十一条【申请提交】地方申请单位应向属地省(区、市)等级保护协调(领导)小组办公室提交申请,行业申请单位向国家信息安全等级保护工作协调小组办公室提交申请,并填写申请书,申请成为等级测评机构。
第十二条【申请材料】申请单位在申请时应提供以下材料,并对申请材料的真实性负责。
(一)《信息安全等级保护测评机构申请书》;
(二)当地公安网安部门的推荐意见;
(三)营业执照及其他注册证明文件;
(四)《内设组织机构与岗位设置情况表》;
(五)《工作人员基本情况表》、证明材料和声明;
(六)《办公场地、设备与设施情况表》;
(七)《安全测评设备、工具配备情况表》;
(八)信息系统安全测评能力报告;
(九)保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件;
(十)需要提供的其他材料。
第十三条【初审】省级(含)以上等级保护协调(领导)小组办公室收到申请材料后,应在30日内完成初审。
第十四条【技术能力审验】初审通过的,由技术能力审验机构评估、审查并确认申请单位的技术能力。
技术能力审验周期最长为一个月。审验期满前,技术能力审验机构应向等级保护协调(领导)小组办公室出具审验意见,并加盖专门印章。
第十五条【核准】省级(含)以上等级保护协调(领导)
小组办公室对通过技术能力审验的申请单位进行复核,并出具核准意见。
第十六条【目录公布】测评机构实行目录管理。各省级信息安全等级保护协调(领导)小组办公室公布本地等级测评机构目录,并向国家信息安全等级保护工作协调小组办公室备案。国家信息安全等级保护工作协调小组办公室公布《全国信息安全等级测评机构目录》。
第十七条【业务范围】测评机构应当在规定的业务范围内开展测评业务。
(一)地方测评机构在本地开展测评业务,行业测评机构在行业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地等级保护协调(领导)小组办公室协调;
(二)承担有关部门委托的安全测评专项任务;
(三)配合当地公安网安部门对信息系统进行监督、检查;
(四)开展风险评估、信息安全培训、咨询服务和信息安全工程监理;
(五)为当地信息安全等级保护工作提供技术支持和服务;
(六)其他有关文件规定的职责任务。
第十八条【禁止行为】测评机构不得从事下列活动:
(一)承担信息系统安全建设整改工作;
(二)将等级测评任务分包、外包;
(三)信息安全产品开发、营销和信息系统集成活动;
(四)限定被测评单位购买、使用其指定的信息安全产品;
(五)未经许可占有、使用有关测评信息、资料及数据文件;
(六)其他可能影响测评客观、公正的活动。第十九条【风险告知】在开展测评过程中,对可能影响信息系统正常运行的,测评机构应当事先告知被测评单位,并协助其采取相应的预防措施。
第二十条【人员管理】测评机构应当建立完备的人员档案,严格履行人员录用、考核、离岗等程序,对进入重要信息系统进行测评的人员,应该进行背景审查,确保人员可靠。
第二十一条【制度管理】测评机构应当建立并落实保密管理、项目管理、质量管理、人员管理、培训教育等管理制度。
第二十二条【能力建设】测评机构要加强技术能力和管理能力建设,应在测评机构推荐目录公布后两年内至少通过一项实验室或检查机构资质认定。
第三章 人员管理
第二十三条【人员要求】测评人员应遵守国家有关法律法规、技术标准和测评人员行为准则,认真履行本细则规定 的责任和义务,为用户提供安全、客观、公正的测评服务,保证测评的质量和效果。
第二十四条【个人声明】测评人员应当提供本人社会背景、工作经历和奖惩情况的证明材料,声明相关材料的真实性并承担法律责任。
第二十五条【持证上岗】测评人员上岗前应接受培训,培训合格的由测评机构颁发上岗证。测评人员持证上岗。
第二十六条【分级管理】测评机构技术人员实行分级管理,由低到高分为初级等级测评师、中级等级测评师和高级等级测评师。
测评技术人员应当接受专门业务培训,考试合格的获得等级测评师证书。
第二十七条【培训与考试】国家信息安全等级保护协调小组办公室制定并公布培训计划,指定专门培训机构具体承担等级测评师的培训、考试工作。专门培训机构向考试合格的人员颁发等级测评师证书。
第二十八条【证书管理】专门培训机构依据等级测评师证书管理办法办理证书的审核、颁发、建档、公布、查询、年审、换发和撤销,并向省级以上等级保护工作协调小组办公室备案。
第二十九条【备案】行业测评机构每年应将本单位等级测评师培训、获证情况向国家信息安全等级保护工作协调小组办公室备案。
地方测评机构每年应将本单位等级测评师培训、获证情况向本省(区市)等级保护协调(领导)小组办公室备案。
各地等级保护协调(领导)小组办公室每年应将本地等级测评师培训、获证情况向国家等级保护协调小组办公室备案。
第三十条【年审管理】等级测评师实行年审制度。专门培训机构对等级测评师每年进行一次年审,并将年审结果报等级保护协调(领导)小组办公室。
对未通过年审的等级测评师,测评机构应暂停其开展测评工作。专门培训机构应对年审不通过的等级测评师开展培训。
第三十一条【变更告知】等级测评机构的主要管理人员和技术人员工作变动的,应及时到等级保护协调(领导)小组办公室变更备案。
第三十二条【人员法律责任】测评人员在测评工作中具有徇私舞弊、收受贿赂等违反有关法律法规行为的,应由专门培训机构撤销违规人员等级测评师证书,并按照有关规定进行处罚。
第四章 测评活动
第三十三条【用户要求】信息系统运营使用单位应当选择《等级测评机构推荐目录》中的等级测评机构,定期对信息系统开展等级测评,并加强对测评过程的监督管理。
第三十四条【整改前测评】信息系统安全建设整改前,信息系统运营使用单位可以选择测评机构进行等级测评,掌握信息系统安全状况,排查系统安全隐患和薄弱环节,明确安全建设整改需求。
第三十五条【整改后测评】信息系统安全建设整改后,信息系统运营使用单位应当再选择测评机构进行等级测评,检测系统安全保护状况与标准要求的符合性,进一步查找安全隐患和问题,并进行风险分析,为进一步整改提供依据。
第三十六条【定期测评】第三级以上(含)信息系统应当每年至少进行一次等级测评,测评完成后,信息系统运营使用单位应及时向受理备案的公安机关提交测评报告。
第三十七条【测评机构规范】测评机构应建立规范的质量管理体系,依据《信息系统安全等级保护测评要求》等标准规范对信息系统进行测评,按照公安部制订的信息系统安全等级测评报告格式编制测评报告。
第三十八条【测评费用】测评机构应当参照国家信息化工程建设项目人工计费标准合理收取测评服务费用。为防止恶意竞争,影响测评质量,测评机构开展测评业务收费应当不低于最低收费限额。
第三十九条【安全责任】测评机构应当针对等级测评工作制定保密管理规范,明确保密岗位与职责,定期对工作人员进行保密教育,与其签订《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第五章 监督管理
第四十条【监管主体】各级等级保护协调(领导)小组办公室对等级测评机构、测评人员、测评活动等进行监督、检查,处理对测评机构的投诉。
第四十一条【年审】各级等级保护工作协调(领导)小组办公室对备案的测评机构及测评人员实施年审管理,每年对测评机构的能力和工作进行审核、审查,并公布审核、审查结果。
第四十二条【机构违规】测评机构违反规定,情节轻微的,由等级保护协调领导机构办公室责令其限期改正或予以通报、警告。
测评机构出现以下情况之一的,按照相应规定和程序,由等级保护协调(领导)机构决定撤销其测评机构资格并及时向社会公告。
(一)违反法律、法规并被起诉的;
(二)发生重大泄密事件的;
(三)运营管理不规范,严重影响测评质量,经整改仍无法达到要求的;
(四)与被测评单位共同隐瞒在安全评估过程中发现的安全漏洞,未按要求写入评估报告的;
(五)在评估过程中弄虚作假,编造安全评估报告的;
(六)不履行规定的责任和义务,经通报批评、警告仍不改正的;
(七)测评机构成立后一年内不开展测评业务的;
(八)由于自身原因主动提出退出的;
(九)连续两次年审未通过的;
(十)违反其他有关规定的。
第四十三条【争议处理】测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。
第四十四条【监督自身要求】各级等级保护协调(领导)小组办公室应严格依照本细则的有关规定,按照公平、公正的原则开展监督检查工作。
第四十五条【变更】测评机构性质、经营(业务)范围、隶属关系、法定代表人等重要事项发生变化的,应在30日内向等级保护协调(领导)机构办理变更手续。
第三篇:信息安全等级保护测评
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。
第四篇:信息安全测评期末总结
信息安全工程与测评实践报告
(总结报告)
姓 名 班 级 学 号 完成日期
一、实验目的
1. 使用各种工具对目标网页进行漏洞扫描和渗透测试。
2. 了解扫描原来,熟悉扫描操作,掌握各种工具的特点和不足。3. 学会在不同场合使用最适合的工具。
二、实验工具
本学期的实验中,我使用了多种不同风格扫描工具,其中包括了Nmap、PortScan、X-Scan、SuperScan等端口扫描工具,Wireshark等抓包软件以及百度杀毒这种针对本机的保护软件。
三、实验内容
实验中,我更倾向于扫描目标网站的端口信息,其中,我最为喜欢的是Nmap扫描工具,它的功能应当是我所使用的扫描工具中最为强大的,可以使用不同的命令使用不同的扫描方式以得到自己所需要的扫描结果。它的主界面如下所示:
在该图片中,我已经使用了 –sS –sU –T4 –top-ports 61.135.169.125 命令对IP地址61.135.169.125进行端口扫描,也得出了该IP的2个开放端口80和443,以及它们所提供的服务即它们的作用。同时,这个命令中,-sS表示使用TCP SYN方式扫描TCP端口,-sU表示扫描UDP端口。-T4指定扫描过程使用的时序,可以使用的时序共有6个级别即0-5,级别越高,扫描速度越快,但是也容易被防火墙或IDS检测到并屏蔽掉。另外,61.135.169.125即百度。
而在我使用的扫描工具中,有一款老而弥坚的,那就是PortScan,在使用它同样对百度网站进行扫描的过程中,它的操作比Nmap简单了很多。
这是它的主界面:
很明显,这款工具还有其他一些功能,但我们在这里只要使用它的端口扫描功能,也就是Scan Ports标签下的内容。很明显的看出来,只需要输入目标IP就能对其进行扫描。另外提一句,PortScan的默认扫描端口是从1到65535。扫描结果是这样的:
同样可以扫描出2个开放的端口即80和443。然而在实际使用中,我也明显的发现了它的不足,它的扫描速度相对于Nmap而言差距是十分明显的,而且扫描结果的惊喜程度上是远逊于Nmap的。
在实验使用的所有端口扫描工具中,Nmap的表现无疑是十分突出的,但是还有一款扫描工具也是十分的强大,那就是X-Scan。
X-Scan是国内最著名的综合扫描器之一,它完全免费,是不需要安装的绿色软件、界面支持中文和英文两种语言、包括图形界面和命令行方式。主要由国内著名的民间黑客组织“安全焦点”完成,从2000年的内部测试版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了国内众多黑客的心血。最值得一提的是,X-Scan把扫描报告和安全焦点网站相连接,对扫描到的每个漏洞进行“风险等级”评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞。
在实际使用中,它给出的风险评估等级报告是最震撼我的,它把扫描的结果直接进行了分析,并给出了结果,令人一眼就能看懂,下面是我对我自己的电脑进行扫描获得的扫描报告:
而这只是详尽的报告中的一部分,因而我认为,X-Scan是一款十分值得推荐的工具,它强大的性能、多种多样的功能以及详尽的报告分析都决定了它将成为收人欢迎的扫描工具,也更适合网络安全管理员使用。
另外,SuperScan也是一款性能强大的扫描工具,但是它的主界面的确是有点复杂了:
幸好在执行简单的扫描任务时,所需要使用到的模块并不太多,只要IP、Scan type模块就可以了,在无视其他模块的情况下,它的操作还是毕竟简单的。就同样对百度进行扫描而言,在IP模块输入IP地址后,再在Scan type模块下改变扫描模式到All list ports from 1 65535。最后单击Start也就可以开始扫描了,当然了,这只是这款软件的简单使用,在今后若有需要也应当对它进行更深入的了解和学习。
总而言之,SuperScan功能强大,但是,在扫描的时候,一定要考虑到网络的承受能力和对目标计算机的影响。
最后在这里介绍下对百度杀毒的使用感觉,总而言之就是傻瓜式操作,它只会告诉你存在什么危险,并提供选择是否解决这个问题。虽然这十分的方便,也非常适合电脑小白的使用,也能完成它应当完成的任务,但是对于我们这些从事或者正在学习这方面的人而言,是不适合的,我们应当去了解而非傻瓜式的解决。
这也就说明上面这些扫描工具的强大性,毕竟它们还能对本机进行扫描,能加深对自己电脑的了解,并及时了解存在的安全隐患并通过自己的努力去解决这些安全隐患,也能完善自己在这方面的技巧。
四、实验总结
在使用过这么多的扫描软件完成作业之后,我也用他们对自己的电脑进行了扫描,主要是使用X-Scan,通过它给出的风险评估报告上看到的结果真的是吓了我一跳,平常使用360安全卫士等进行扫描时给出的结果总是不存在风险,但是通过专业扫描软件的所扫描出来的危险因素真是多到吓人。这也展现了这些扫描软件的强大之处,然而我们应当使用它们进行安全测试,防范于未然,而非将它们当作一种工具手段。也就是正确的使用它们。
第五篇:信息测评方案
河刘初中教师信息技术应用能力发展测评工作实施方案
为了贯彻落实《安徽省教育厅关于组织开展全省中小学幼儿园教师信息技术应用能力发展测评工作的通知》(皖教秘师〔2016〕12 号)和《含教秘[2016]80号层安徽省教育厅关于组织开展全省中小学幼儿园教师信息技术应用能力发展测评工作的通知》的要求,全面提升我校教师信息技术应用能力,促进教师转变教育教学方式,推动广大教师在课堂教学和日常工作中有效应用信息技术,实现信息技术与教育教学的深度融合,决定组织开展河刘初中教师信息技术应用能力发展测评工作。依据我校实际,特制定此方案。
一、目标任务
开展中小学幼儿园教师信息技术应用能力发展测评是我省组织实施信息技术应用能力提升工程的重点工作,按照“以评促学、以评促用”原则,重在评价教师应用能力发展水平,发展测评分为初级水平、中级水平和高级水平三个等级。通过发展测评,检验我省实施信息技术应用能力提升工程的成效,提升教师信息技术应用能力、学科教学能力和专业自主发展能力,强化生成性资源建设,建立优质资源库,促进优质资源共建共享,逐步建立教师主动应用机制,激发教师应用信息技术开展课堂教学、进行日常工作的主动性。
二、组织机构
为了做好我校信息技术应用能力发展测评工作,学校成立测评工作领导小组。
组长:张孟前
成员:胡之红、黄凌华、童良骏、李开权 下设专家组,成员: 龚剑利、季益强、徐克清
三、测评对象
国培计划(2014)——安徽省中小学幼儿园教师信息技术应用能力提升工程项目、2014省电教馆组织的信息技术应用培训、2014乐高培训和国培计划(2015)--安徽省乡村教师网络研修项目、国培计划(2015)——安徽省中小学幼儿园教师信息技术应用能力提升工程项目、2015年乐高培训。结合我校实际,参加以上培训项目且成绩合格的老师必须参加测评工作。
四、测评内容
中小学教师信息技术应用能力发展测评,主要了解教师信息技术应用能力提升程度,依据能力评价标准,科学评价能力发展的等级水平。测评内容注重联系教师教育教学和专业发展实际,反映教师应用信息技术优化课堂教学、转变学生学习方式、促进自身专业发展的程度。
五、测评形式
中小学教师信息技术应用能力发展测评采用情境作品评审和相应的教学设计审查的方式进行。情境作品是指参评教师提交的反映其教学实践过程中运用信息技术进行课堂教学的视频,教学设计是教师组织课堂教学的方案(文本)。
六、测评实施
1、时间安排
发展测评工作将于4月份启动,6月底结束。全程分为四个阶段实施:
第一阶段(3月底-4月15日),宣传布置,以教研组为单位宣传、学习《安徽省中小学教师信息技术应用能力发展测评评价标准(试行)》主要内容,学校将组织一期教师沙龙,学习信息技术应用能力测评工作相关文件及如何准备情境作品;
第二阶段(4月15日-5月1日),各学科老师提交情境作品和相应的教学设计,或提交免测材料;
第三阶段(5月1日-5月中下旬),学校组织专家评审教师作品,各学科老师在打磨提交作品基础上上传到安徽省中小学教师继续教育选学平台测评系统;
第四阶段(6月中旬-6月下旬),省教育厅组织抽查,发展测评工作总结评估,发放发展测评证书。
2、情境作品提交和教学设计的提交
所有参加测评的老师作品首先要经过学校初审打磨,最终提交方式参照《含教秘[2016]80号转发安徽省教育厅关于组织开展全省中小学幼儿园教师信息技术应用能力发展测评工作的通知》执行。
3、免试条件及申报
参照《含教秘[2016]80号转发安徽省教育厅关于组织开展全省中小学幼儿园教师信息技术应用能力发展测评工作的通知》执行。
七、测评管理
领导组负责全校教师信息技术应用能力发展测评的统筹规划、协调指导和测评监管等工作。组织参评教师按时提交情境作品,组织专家对本校申报初级等次的参评教师提交的情境作品进行评审,对申请免试初级等次的获奖证书进行审核。负责本校申请免测教师提供的获奖证书的真实性进行审核。
含山县河刘初中 2016年4月18日
点击咨询 