第一篇:中国信息安全测评中心揭牌
深化安全技术测评,维护国家信息安全
来源:明朝万达 作者: 发布时间:2008-12-0
210月31日,中国信息安全测评中心揭牌仪式在北京中关村软件园隆重举行,正式拉开了中国信息安全测评中心启用新名称、履行新职能的重要一幕。
来自国家质检总局、工业和信息化部、国家发改委等近三十个中央国家机关相关部门的领导,和来自信息安全界的知名院士专家,以及信息安全产业界的代表百余人亲临现场表示祝贺。
信息安全测评认证是信息安全保障的基础性工作,特别是在当前我国信息技术与产业的核心竞争力还不强,关键技术、关键设备还受制于人的情况下,严格把住信息技术产品的市场准入关尤为重要。党中央、国务院对信息安全测评认证工作高度重视,早在1997年第一届国务院信息化工作领导小组就授权国家质检总局启动了信息安全产品测评认证体系建设工作。经过几年的筹建和试运行,2001年中央批准在国家质检总局设立了“中国信息安全产品测评认证中心”,负责我国的信息安全测评与认证工作。经过十年的发展,基本建立了对信息安全产品、信息系统安全性、信息安全服务资质和信息安全专业人员资质进行测评认证的能力;形成了较为完备的组织工作体系;对一千多个产品、系统和服务厂商实施了测评认证,对数千名信息安全专业人员进行了认证和国家注册;主持制定了二十多项体现我国特色的测评技术国家标准;为十多个中央和国家部委提供了安全技术测评服务,在保障国家信息安全方面发挥了重要作用。
2004年10月,中国信息安全产品测评认证中心根据国家质检总局等八部委联合下发的《关于建立国家信息安全认证认可体系的通知》中实行测评和认证职能分离的要求,将信息安全产品的认证工作移交给新成立的“中国信息安全认证中心”,并更名为“中国信息安全测评中心”,继续承担信息安全产品的测评工作,为认证工作提供科学、权威、客观、公正的技术依据;与此同时,增加对我国基础信息网络和重要信息系统进行风险评估的新职能。
根据中央领导“加快安全测评中心的建设”的重要指示精神,中国信息安全测评中心在国家质检总局、工业和信息化部、中编办、国家发改委、财政部、科技部等有关部门的大力支持下,先后落实了人员编制、办公条件、科研装备和运行经费,作为国家风险评估专控队伍,近年来承担了对我国基础信息网络和重要信息系统以及奥运
网络信息系统的风险评估与安全检查工作任务,发现了大量安全漏洞和网络失泄密隐患,提出了有效整改建议,及时堵塞了漏洞、消除了隐患,为确保北京奥运会的成功举办和维护国家信息安全发挥了重要作用。
在今天的揭牌仪式上,来自各方的领导在致辞中对乔迁新址、肩负新使命的中国信息安全测评中心寄予了殷切厚望。中国信息安全测评中心的负责人表示,将不负重托,按照中央领导指示要求,继续深化信息安全测评工作,组织科研攻坚,夯实业务基础,实现重点突破,为确保我国信息化建设的健康、和谐、可持续发展恪尽职守,再立新功。
第二篇:国家信息安全测评
国家信息安全测评
信息安全服务资质申请指南
(风险评估一级)
©版权2014—中国信息安全测评中心
2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
目录
目录 2 引言 3
一、认定依据................................................................................................................................4
二、级别划分................................................................................................................................4三、一级资质要求........................................................................................................................4
3.1 基本资格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5
3.2.1 组织与管理要求.....................................................................................................5 3.2.2 技术能力要求.........................................................................................................5 3.2.3 人员构成与素质要求.............................................................................................6 3.2.4 设备、设施与环境要求.........................................................................................6 3.2.5 规模与资产要求.....................................................................................................6 3.2.6 业绩要求.................................................................................................................6 3.3 安全风险评估过程能力要求...........................................................................................6 3.4 项目和组织过程能力要求...............................................................................................7
四、资质认定................................................................................................................................8
4.1认定流程图........................................................................................................................8 4.2申请阶段.............................................................................................................................9 4.3资格审查阶段.....................................................................................................................9 4.4能力测评阶段.....................................................................................................................9
4.4.1静态评估..................................................................................................................9 4.4.2现场审核................................................................................................................10 4.4.3综合评定................................................................................................................10 4.4.4资质审定................................................................................................................10 4.5证书发放阶段...................................................................................................................10
五、监督、维持和升级..............................................................................................................11
六、处置......................................................................................................................................11
七、争议、投诉与申诉..............................................................................................................11
八、获证组织档案......................................................................................................................12
九、费用及周期..........................................................................................................................12
十、联系方式..............................................................................................................................13
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
引言
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和风险评估的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:
1.为信息技术安全性提供测评服务; 2.信息安全漏洞分析; 3.信息安全风险评估;
4.信息技术产品、信息系统和风险评估安全测试与评估; 5.信息安全服务和信息安全人员资质测评; 6.信息安全技术咨询、风险评估监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC申请信息安全服务资质(风险评估一级)的境内外组织。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
一、认定依据
信息安全服务(风险评估类)资质认定是对信息安全风险评估服务提供者的资格状况、技术实力和信息安全风险评估实施过程质量保证能力等方面的具体衡量和评价。
信息安全服务(风险评估类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(风险评估类)具体要求,在对申请组织的基本资格、技术实力、信息安全风险评估服务能力以及安全风险评估项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全服务(风险评估类)资质认定是对信息安全风险评估服务提供者的综合实力的客观评价和确认,信息安全服务(风险评估类)资质级别反映了信息安全风险评估服务提供者从事信息安全风险评估服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全风险评估过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级 二级:计划跟踪级 三级:充分定义级 四级:量化控制级 五级:持续改进级三、一级资质要求
申请信息安全服务(风险评估一级)资质的组织需要在基本资格和基本能力、发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
安全风险评估过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(风险评估一级)》的规定。
3.1 基本资格要求
申请信息安全服务(风险评估一级)资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求 3.2.1 组织与管理要求
1.必须拥有健全的组织和管理体系,为持续的信息安全风险评估服务提供保障;
2.必须具有专业从事信息安全风险评估服务的队伍和相应的质量保证; 3.与安全风险评估服务相关的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求
1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术; 2.具有不断的技术更新能力;
3.具有对信息系统的状况进行调研、分析和描述的能力;
4.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析能力;
5.具有对信息系统的资产及其影响进行识别、分析和评估的能力; 6.具有对信息系统的脆弱性进行识别分析和评估的能力; 7.具有根据信息安全风险的结果提出应对安全措施的能力; 8.具有应用国际国内最新信息安全风险评估方法的能力; 9.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
3.2.3 人员构成与素质要求
1.具有充足的人力资源和合理的人员结构;
2.所有与信息安全服务有关的管理和销售人员应具有基本的信息安全知识;
3.有相对稳定的从事信息安全风险评估服务的技术队伍;
4.技术骨干人员应系统地掌握信息系统安全基础理论和核心技术,并有足够的专业工作经验;
5.必须有2名以上(含2名)专职的注册信息安全专业人员(CISP)。
3.2.4 设备、设施与环境要求
1.具有固定的工作场所和良好的工作环境;
2.具有实施信息安全风险评估服务的相关工具和设备。
3.2.5 规模与资产要求
1.有足够的注册资金和充足的流动资金;
2.具有与所申请安全服务业务范围、承担的安全风险评估规模相适应的服务体系;
3.有足够的人员从事直接与信息安全风险评估服务相关的活动。
3.2.6 业绩要求
1.应有从事信息安全风险评估服务的经验;
2.近3年内在信息安全风险评估服务方面,没有出现验收未通过的情况。
3.3 安全风险评估过程能力要求
安全风险评估过程能力是评价信息安全风险评估服务专业水平高低的标志。申请组织应能实施以下6个安全风险评估过程域: 1.风险评估准备
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
2.评估系统资产的影响; 3.评估系统存在的脆弱性; 4.评估系统面临的安全威胁; 5.评估系统已有的安全措施; 6.评估系统的安全风险。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价信息安全风险评估服务规范性和质量保证成熟度标志。
申请组织应能实施以下6个项目和组织过程域: 1.质量保证; 2.管理项目风险; 3.规划技术活动; 4.监控技术活动;
5.提供不断发展的技能和知识; 6.与供应商协调。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
四、资质认定
4.1认定流程图
申请委托人申请不受理形式化审查申请阶段资格审查阶段受理决定受理静态评估现场审核限期整改综合评定不通过综合评定通过资质审定不通过发证决定抽样检查通过证书发放不予发证能力测评阶段证书发放阶段公告证后监督证后监督阶段
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
4.2申请阶段
申请组织应首先到CNITSEC网站(http://www.xiexiebang.comITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将与申请组织签订合同,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段
当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.4.1静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全风险评估服务能力做出基本判断,初步确定申请组织的信息安全风险评估服务能力水 发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
平状况,为现场审核做准备。如果在静态评估阶段发现申请组织的信息安全风险评估能力不能满足资质要求,将要求申请组织进行整改,待整改完成达到后进入现场审核阶段。
4.4.2现场审核
现场审核是对申请组织从事信息安全风险评估服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定
在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全风险评估服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。逾期未整改的,视作整改不符合。
4.4.4资质审定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全风险评估服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段
资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全风险评估过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。CNITSEC将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合信息安全风险评估服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://www.xiexiebang.comITSEC申请二级资质。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证组织的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上。
九、费用及周期
信息安全服务资质认定收费划分为如下四个部分:
(一)申请费:2000元
(二)测评费:3000元/人日
(三)审定与注册费(含证书费):3000元
(四)年金(含标志使用费):5000元/年
未获得安全工程类服务资质的机构,首次申请风险评估资质(一级)费用: 2000(申请费)+3000×3×2(三人二日测评费)+3000(审定与注册费)+15000(三年年金)=38000元。
未获得安全工程类服务资质的机构,风险评估资质(一级)维持费用: 2000(申请费)+3000×2×2.5(二人二日半测评费)+3000(审定与注册费)+5000(三年年金)=35000元。
已获得安全工程类服务资质的机构,申请风险评估资质(一级)费用(首次申请和维持):
2000(申请费)+3000×3×0.5(三人二日测评费)+3000(审定与注册费)=9500元
已获得安全工程类服务资质的机构申请风险评估资质时不再重复收取年金。
申请组织还应承担因现场审核活动审核组成员所发生的交通和食宿费用。
从受理到颁发证书的周期为四个月,但由于申请方原因(如,资料补充需要的时间等)造成的时间延误不计算在内。发布日期:2014年5月1日
中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全风险评估一级)
十、联系方式
名 称:中国信息安全测评中心 资质评估处 地 址:中国北京市海淀区上地西路8号院1号楼 邮 编:100085 传 真:010-82341100 咨询电话:
资质受理: 010-82341582、010-82341568 证后管理: 010-82341553
发布日期:2014年5月1日
第三篇:山东省网络与信息安全测评中心业务介绍
附件:山东省网络与信息安全测评中心简介
中国赛宝(山东)实验室/山东赛宝电子信息产品监督检测研究院(山东省电子产品监督检验所),始建于1973年,是我省电子信息领域唯一的法定专职电子信息产品监督检验机构。1994年成为信息产业部国家重点实验室的核心成员——“中国赛宝(山东)实验室”。1997年成为中国实验室国家认可委员会按IEC/ISO国际标准认可的校准/检测实验室,同年,成为中国国家进出口商品检验实验室认可委员会认可的国家级实验室。2000年成为国家质检总局、国家工商行政管理总局、国家信息产业部、国家公安部、最高人民法院等五部委授权的微机、视听、家电、频控产品消费争议仲裁实验室和公共安全技术防范以及司法鉴定机构。
近30年来,随着我国电子信息产业的飞速发展,我院(所)的组织管理、环境试验条件、网络环境条件、软件测评认证条件、信息安全测评认证条件、人员素质、仪器设备配置日趋完善,先后取得以下资质和授权:
中国信息安全产品测评认证中心山东测评中心办事处
山东省网络与信息安全测评中心
最高人民法院授权司法鉴定机构
国家公安部山东安全防范工程检测机构
信息产业部授权的山东省计算机信息系统集成资质认证中心
山东省信息产业厅授权的山东省信息系统工程监理评审中心
山东省建设厅智能建筑产品质量监督检验实验室
山东省劳动和社会保障厅计算机专业职业技能鉴定所
山东省电子信息产品例行试验中心
我所现有员工125人,各类专业技术人员110人,其中电子信息科学领域研究员、硕士生导师5名,高级工程师46人,政府各类技术专家库成员30余人。技术业务领域涉及信息网络工程检测、公共安全技术防范系统、技防产品、电子元部件、视听整机产品及视听工程、电教语音及多媒体教学设备、微机系统及应用产品、通讯类产品、电力自动化设备等30余类上千种产品,并涵盖信息化工程、智能化建筑、园区各个系统。
山东省网络与信息安全测评中心于2005年11月经山东省信息化工作领导小组办公室、山东省信息产业厅批准,授权山东省电子产品监督检验所组建,这是我省唯一一家从事网络与信息安全测评业务的职能机构,为山东信息化主管部门及各行业信息化主管部门及企、事业单位提供第三方安全技术服务。
山东省网络与信息安全测评中心依据中国信息安全产品测评认证中心《授权机构管理办法(试行)》和《授权测评机构专业技术能力指南》,建立了中心质量保证体系,形成质量体系相关文件,依据ISO/IEC 17025《测试和校准实验室能力要求的通用要求》建立完整的文件化质量体系和测评技术方法体系。
山东省网络与信息安全测评中心的信息安全测试评估业务通过了山东省质量技术监督局计量认证、中国实验室国家认可委员会(CNAL)的实验室认可。
山东省网络与信息安全测评中心负责对外开展山东省信息产业厅、山东省网络与信息安全协调小组办公室及中国信息安全产品测评认证中心授权的相关业务,主要范围为:
1.遵照国信办[2006]5号文件的要求,对网络与信息系统的设计、验收及运行维护
阶段进行安全性测评与信息系统安全风险评估;
2.山东省信息化工程验收评测;
3.对山东省信息化工作领导小组办公室、山东省网络与信息安全协调小组及其办公
室提供技术支撑和应急救援响应工作。
4.其他经中国信息安全产品测评认证中心批准的相关业务。
5.提供信息安全解决方案、咨询及服务。
第四篇:信息安全等级测评实施细则(稿)
信息安全等级保护等级测评实施细则
第一章 总则
第一条【目的】为加强信息安全等级测评机构建设和管理,规范等级测评活动,保障信息安全等级保护制度的贯彻落实,根据《信息安全等级保护管理办法》等有关规范制订本实施细则。
第二条【适用范围】本细则适用于等级测评机构、测评人员和测评活动的规范管理。
第三条【等级测评定义】等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
第四条【测评机构定义】测评机构是经有关部门能力认可,经有关部门推荐,在一定范围内从事信息系统安全等级测评等工作的专业技术机构。
第五条【基本原则】测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。
第六条【保密要求】测评机构和测评人员应当遵守《国家保密法》的规定,保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。
第七条【管理体制】测评机构应当接受各级信息安全等级保护协调(领导)小组和公安网安部门的监督管理,并接受有关部门的业务管理和技术指导。
第二章 测评机构
第八条【总体要求】测评机构分为地区性、行业性测评机构,按照属地管理和行业管理相结合的原则进行建设和管理。
第九条【职责分工】国家信息安全等级保护协调小组办公室主管等级测评机构的建设和管理工作,指导行业等级测评机构的建设和管理工作,并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。
各省(区、市)等级保护协调(领导)小组办公室负责本地等级测评机构的建设管理工作。
第十条【基本条件】申请成为等级测评机构的单位(以下简称申请单位)应当具备以下基本条件:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)产权关系明晰,注册资金100万元以上;
(四)从事信息系统检测评估相关工作两年以上;
(五)单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(六)具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于80%。其中测评技术人员不少于10人;
(七)具备必要的办公环境、设备、设施及完备的安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁;
(九)应当具备的其他条件。
第十一条【申请提交】地方申请单位应向属地省(区、市)等级保护协调(领导)小组办公室提交申请,行业申请单位向国家信息安全等级保护工作协调小组办公室提交申请,并填写申请书,申请成为等级测评机构。
第十二条【申请材料】申请单位在申请时应提供以下材料,并对申请材料的真实性负责。
(一)《信息安全等级保护测评机构申请书》;
(二)当地公安网安部门的推荐意见;
(三)营业执照及其他注册证明文件;
(四)《内设组织机构与岗位设置情况表》;
(五)《工作人员基本情况表》、证明材料和声明;
(六)《办公场地、设备与设施情况表》;
(七)《安全测评设备、工具配备情况表》;
(八)信息系统安全测评能力报告;
(九)保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件;
(十)需要提供的其他材料。
第十三条【初审】省级(含)以上等级保护协调(领导)小组办公室收到申请材料后,应在30日内完成初审。
第十四条【技术能力审验】初审通过的,由技术能力审验机构评估、审查并确认申请单位的技术能力。
技术能力审验周期最长为一个月。审验期满前,技术能力审验机构应向等级保护协调(领导)小组办公室出具审验意见,并加盖专门印章。
第十五条【核准】省级(含)以上等级保护协调(领导)
小组办公室对通过技术能力审验的申请单位进行复核,并出具核准意见。
第十六条【目录公布】测评机构实行目录管理。各省级信息安全等级保护协调(领导)小组办公室公布本地等级测评机构目录,并向国家信息安全等级保护工作协调小组办公室备案。国家信息安全等级保护工作协调小组办公室公布《全国信息安全等级测评机构目录》。
第十七条【业务范围】测评机构应当在规定的业务范围内开展测评业务。
(一)地方测评机构在本地开展测评业务,行业测评机构在行业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地等级保护协调(领导)小组办公室协调;
(二)承担有关部门委托的安全测评专项任务;
(三)配合当地公安网安部门对信息系统进行监督、检查;
(四)开展风险评估、信息安全培训、咨询服务和信息安全工程监理;
(五)为当地信息安全等级保护工作提供技术支持和服务;
(六)其他有关文件规定的职责任务。
第十八条【禁止行为】测评机构不得从事下列活动:
(一)承担信息系统安全建设整改工作;
(二)将等级测评任务分包、外包;
(三)信息安全产品开发、营销和信息系统集成活动;
(四)限定被测评单位购买、使用其指定的信息安全产品;
(五)未经许可占有、使用有关测评信息、资料及数据文件;
(六)其他可能影响测评客观、公正的活动。第十九条【风险告知】在开展测评过程中,对可能影响信息系统正常运行的,测评机构应当事先告知被测评单位,并协助其采取相应的预防措施。
第二十条【人员管理】测评机构应当建立完备的人员档案,严格履行人员录用、考核、离岗等程序,对进入重要信息系统进行测评的人员,应该进行背景审查,确保人员可靠。
第二十一条【制度管理】测评机构应当建立并落实保密管理、项目管理、质量管理、人员管理、培训教育等管理制度。
第二十二条【能力建设】测评机构要加强技术能力和管理能力建设,应在测评机构推荐目录公布后两年内至少通过一项实验室或检查机构资质认定。
第三章 人员管理
第二十三条【人员要求】测评人员应遵守国家有关法律法规、技术标准和测评人员行为准则,认真履行本细则规定 的责任和义务,为用户提供安全、客观、公正的测评服务,保证测评的质量和效果。
第二十四条【个人声明】测评人员应当提供本人社会背景、工作经历和奖惩情况的证明材料,声明相关材料的真实性并承担法律责任。
第二十五条【持证上岗】测评人员上岗前应接受培训,培训合格的由测评机构颁发上岗证。测评人员持证上岗。
第二十六条【分级管理】测评机构技术人员实行分级管理,由低到高分为初级等级测评师、中级等级测评师和高级等级测评师。
测评技术人员应当接受专门业务培训,考试合格的获得等级测评师证书。
第二十七条【培训与考试】国家信息安全等级保护协调小组办公室制定并公布培训计划,指定专门培训机构具体承担等级测评师的培训、考试工作。专门培训机构向考试合格的人员颁发等级测评师证书。
第二十八条【证书管理】专门培训机构依据等级测评师证书管理办法办理证书的审核、颁发、建档、公布、查询、年审、换发和撤销,并向省级以上等级保护工作协调小组办公室备案。
第二十九条【备案】行业测评机构每年应将本单位等级测评师培训、获证情况向国家信息安全等级保护工作协调小组办公室备案。
地方测评机构每年应将本单位等级测评师培训、获证情况向本省(区市)等级保护协调(领导)小组办公室备案。
各地等级保护协调(领导)小组办公室每年应将本地等级测评师培训、获证情况向国家等级保护协调小组办公室备案。
第三十条【年审管理】等级测评师实行年审制度。专门培训机构对等级测评师每年进行一次年审,并将年审结果报等级保护协调(领导)小组办公室。
对未通过年审的等级测评师,测评机构应暂停其开展测评工作。专门培训机构应对年审不通过的等级测评师开展培训。
第三十一条【变更告知】等级测评机构的主要管理人员和技术人员工作变动的,应及时到等级保护协调(领导)小组办公室变更备案。
第三十二条【人员法律责任】测评人员在测评工作中具有徇私舞弊、收受贿赂等违反有关法律法规行为的,应由专门培训机构撤销违规人员等级测评师证书,并按照有关规定进行处罚。
第四章 测评活动
第三十三条【用户要求】信息系统运营使用单位应当选择《等级测评机构推荐目录》中的等级测评机构,定期对信息系统开展等级测评,并加强对测评过程的监督管理。
第三十四条【整改前测评】信息系统安全建设整改前,信息系统运营使用单位可以选择测评机构进行等级测评,掌握信息系统安全状况,排查系统安全隐患和薄弱环节,明确安全建设整改需求。
第三十五条【整改后测评】信息系统安全建设整改后,信息系统运营使用单位应当再选择测评机构进行等级测评,检测系统安全保护状况与标准要求的符合性,进一步查找安全隐患和问题,并进行风险分析,为进一步整改提供依据。
第三十六条【定期测评】第三级以上(含)信息系统应当每年至少进行一次等级测评,测评完成后,信息系统运营使用单位应及时向受理备案的公安机关提交测评报告。
第三十七条【测评机构规范】测评机构应建立规范的质量管理体系,依据《信息系统安全等级保护测评要求》等标准规范对信息系统进行测评,按照公安部制订的信息系统安全等级测评报告格式编制测评报告。
第三十八条【测评费用】测评机构应当参照国家信息化工程建设项目人工计费标准合理收取测评服务费用。为防止恶意竞争,影响测评质量,测评机构开展测评业务收费应当不低于最低收费限额。
第三十九条【安全责任】测评机构应当针对等级测评工作制定保密管理规范,明确保密岗位与职责,定期对工作人员进行保密教育,与其签订《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第五章 监督管理
第四十条【监管主体】各级等级保护协调(领导)小组办公室对等级测评机构、测评人员、测评活动等进行监督、检查,处理对测评机构的投诉。
第四十一条【年审】各级等级保护工作协调(领导)小组办公室对备案的测评机构及测评人员实施年审管理,每年对测评机构的能力和工作进行审核、审查,并公布审核、审查结果。
第四十二条【机构违规】测评机构违反规定,情节轻微的,由等级保护协调领导机构办公室责令其限期改正或予以通报、警告。
测评机构出现以下情况之一的,按照相应规定和程序,由等级保护协调(领导)机构决定撤销其测评机构资格并及时向社会公告。
(一)违反法律、法规并被起诉的;
(二)发生重大泄密事件的;
(三)运营管理不规范,严重影响测评质量,经整改仍无法达到要求的;
(四)与被测评单位共同隐瞒在安全评估过程中发现的安全漏洞,未按要求写入评估报告的;
(五)在评估过程中弄虚作假,编造安全评估报告的;
(六)不履行规定的责任和义务,经通报批评、警告仍不改正的;
(七)测评机构成立后一年内不开展测评业务的;
(八)由于自身原因主动提出退出的;
(九)连续两次年审未通过的;
(十)违反其他有关规定的。
第四十三条【争议处理】测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。
第四十四条【监督自身要求】各级等级保护协调(领导)小组办公室应严格依照本细则的有关规定,按照公平、公正的原则开展监督检查工作。
第四十五条【变更】测评机构性质、经营(业务)范围、隶属关系、法定代表人等重要事项发生变化的,应在30日内向等级保护协调(领导)机构办理变更手续。
第五篇:信息安全等级保护测评
TopSec可信等级体系 天融信等级保护方案
Hacker.cn 更新时间:08-03-27 09:37 来源:硅谷动力 作者:中安网
1.等级保护概述
1.1为什么要实行等级保护?
信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。
1.2等级保护的政策文件
信息安全等级保护工作非常重要,为此从2003年开始国家发布了一系列政策文件,具体如下:
2003年9月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发[2003]27号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。
2004年11月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字[2004]66号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办[2004]25号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。
2005年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。
2006年1月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字[2006]7号)。
1.3 等级保护的管理结构-北京为例
等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示:
1.4等级保护理论的技术演进
在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示:
1.5等级保护的基本需求
一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组织在这方面就存在如下需求:
(1)政策要求-符合等级保护的要求。系统符合《基本要求》中相应级别的指标,符合《测评准则》中的要求。
(2)实际需求-适应客户实际情况。适应业务特性与安全要求的差异性,可工程化实施。
1.6基本安全要求的结构
对系统进行定级后,需要通过努力达到相应等级的基本安全要求,在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全,在管理要求中又分为安全管理机构、安全管理制度等5项,具体如下图所示:
2.等级保护实施中的困难与出路
由于等级保护制度还处于探讨阶段,目前来看,尚存在如下困难:
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统,否则:
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键要求指标超出《基本要求》规定
针对上述问题,在下面几小节分别给出了坚决办法。
2.1安全体系设计方法
需求分析-1
问题1:标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
需求:从组织整体出发,综合考核所有系统
方法:引入体系设计方法
2.2保护对象框架设计方法
需求分析-2
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
需求:准确地进行大系统的分解和描述,反映实际特性和差异性安全要求
方法:引入保护对象框架设计方法
保护对象框架-政府行业
保护对象框架-电信行业
保护对象框架-银行业
2.3安全平台的设计与建设方法
需求分析-3
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
需求:统一规划,集中建设,避免重复和分散,降低成本,提高建设水平
方法:引入安全平台的设计与建设方法
平台定义:为系统提供互操作性及其服务的环境
2.4建立安全运行体系
需求分析-4
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
需求:建立长效机制,建立可持续运行、发展和完善的体系
方法:建立安全运行体系
2.5安全运维工作过程
需求分析-5
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
需求:需要高水平、自动化的安全管理工具
方法:TSM安全管理平台
2.6 TNA可信网络架构模型
需求分析-6
1.标准中从“单个系统”出发,但实际工作是从组织整体出发,整体考虑所有系统
a)各系统单独保护,将冲突和割裂,形成信息孤岛
b)复杂大系统的分解和差异性安全要求描述很困难
c)各系统安全单独建设,将造成分散、重复和低水平
2.在建立长效机制方面考虑较少,难以做到可持续运行、发展和完善
3.管理难度太大,管理成本高
4.大型客户最关注的关键指标超出《基本要求》规定
需求:在《基本要求》基础上提出更强的措施,满足客户最关注的指标
方法:引入可信计算的理念,提供可信网络架构
3.总体解决方案-TopSec可信等级体系
按照上面解决等级保护目前困难的方法,总体解决方案就是建立TopSec可信等级体系:
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和可信保障相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质:
等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求
整体性:结构化,内容全面,可持续发展和完善,持续运行
针对性:针对实际情况,符合业务特性和发展战略
3.1可信等级体系设计方法
3.2信息安全保障体系总体框架
3.3体系设计的成果
安全组织体系
安全策略体系
安全技术体系
安全运行体系
3.4安全体系的实现
4.成功案例
某国有大型企业已经采用了我们的可信等级体系,取得了良好的效果。
点击咨询 