《信息系统安全集成服务资质认证评价要求》(征求意见稿)
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由国家认证认可监督管理委员会提出并归口。
本标准起草单位:中国信息安全认证中心。
本标准主要起草人:。
信息系统安全集成服务资质认证评价要求
1 范围
信息系统安全集成服务资质认证是依据国家认证认可法律法规及国际、国内相关技术标准和规范,对信息系统安全集成服务提供者的资质进行评价的合格评定活动。
本规则提出了信息系统安全集成服务提供者(以下简称服务提供者)应具备的服务能力要求,及实施信息系统安全集成服务资质认证的程序与管理要求。
本规则适用于对服务提供者服务能力的评价活动;可作为信息系统所有者选择服务提供者的依据;可为有关管理部门对服务提供者进行管理提供参考;也可为服务提供者自我能力改进提供参考。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
对信息系统安全集成服务提供者所具备的服务资质进行评价所引用的标准包括:
GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型
YD/T 1621-2007 网络与信息安全服务资质评价准则
YD/T 1799-2008 网络与信息安全应急处理服务资质评价方法
YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法
CNCA/CTS 0052-2007 信息安全服务资质认证技术规范
GB/T 5271.8-2001《信息技术词汇第8部分:安全》中的术语和定义适用于本标准。
3 术语和定义
GB/T 20261-2006中的术语均适用于本规则。
3.1
信息系统安全集成服务information system security integration service
信息系统安全集成服务(以下简称:安全集成)是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。
信息系统安全集成一般是按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行集成的行为或活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。
4 安全集成服务提供者基本的资质要求
4.1 基本条件
服务提供者应:
(1) 具有中华人民共和国境内的独立法人资格,具有相关部门颁发的合法经营资格;
(2) 近两年内经济状况良好,财务数据真实可信,并应经国家相关部门认定的会计师事务所核实;
(3) 具有固定的工作场所;
(4) 遵守国家现行法律、法规的规定。
4.2 基本管理能力要求
服务提供者应:
(1) 采取技术和管理措施确保客户信息的安全、可控,这些信息包括但不限于客户资料、集成活动中产生的文档、最终安全集成报告等;
(2) 制定保密管理制度,明确保密岗位与职责,定期对服务人员进行保密教育与培训,并签订《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责落实;
(3) 建立人员管理制度,使每一位服务人员持续满足岗位职责的需求;制定安全集成技能培训计划,定期对服务人员进行培训、指导、考核;
(4) 建立项目管理制度,并按照项目管理制度实施,具体包括在项目实施过程中如何与组织内外的交流机制、规划关键技术活动、分配资源、指派责任、设立项目的里程碑及评审要求、日常的监督检查要求、编制过程文档、提供工具、确保培训、策划过程等,以保证安全服务的质量;
(5) 建立项目风险管理制度,评估项目风险,制定项目风险控制措施并跟踪其有效性;
(6) 建立安全集成所需的设备采购管理制度,明确规定采购流程、流程中各环节责任制,确保采购质量,控制采购成本;准确识别供方提供的服务或系统构件及其专业资质和能力,并与供方的有效沟通机制等;
(7) 制定符合标准要求的安全集成方案、报告等文档模板。
4.3 基本技术能力要求
服务提供者应:
(1) 具备安全集成有关的工作流程及操作规范;
(2) 具备制定安全集成方案并能够按照该方案实施的能力;能够提供信息系统安全集成服务报告、系统使用指南等文档;
(3) 具备对安全集成系统进行检测和验证的能力;
(4) 熟悉国内外主流的信息技术产品、信息安全产品的功能及特性;
(5) 具有满足项目需要的开发、测试工具及模拟环境;
(6) 有专门的技术人员关注并掌握信息安全技术、标准和法规;关注国内外权威机构发布的安全公告及漏洞公告,并对最新的安全相关技术进行研究。
5 信息系统安全集成服务过程要求
5.1 信息系统安全集成服务过程概述
信息系统安全集成服务过程分为四个阶段:集成准备、方案设计、建设实施、安全保证。
集成准备阶段主要是界定安全需求、签订服务合同、确定服务人员、签订保密协议等;方案设计阶段主要根据国家及有关行业的要求,充分考虑各方面的安全需求和安全背景,以设计出适用的项目方案;建设实施阶段主要是在新建或已运行的网络环境中实现项目方案的预期安全目标和效果;安全保证阶段主要是完成施工的安全系统进行检验、检测,观察运行情况,收集能够实现设计功能目标好通过在方案设计阶段、建设实施阶段等过程中,收集客户的安全需求已经得到满足的证据。
信息系统安全集成服务过程的四个阶段包括10个过程要求(见表1),各过程要求细则共43项(见集成服务各阶段的过程要求,表2、表3、表4、表5)。过程要求项定义了为满足各阶段过程的内容要点以及最佳实践。
表1:信息系统安全集成服务过程要求列表
阶段名称 过程要求
集成准备
界定安全需求
签定服务合同
确定服务人员
签订保密协议
方案设计 安全方案设计
建设实施 协调安全
管理安全控制
安全监控
安全保证 建立保证论据
验证和确认安全
5.2 集成准备
5.2.1安全需求界定
风险评估是安全集成的重要基础。依据信息安全风险评估过程中已识别出的风险,明确客户的内外部安全需求,并制定安全目标。
本要求的目标:在安全需求方面与客户和其他团体达成共识。
具体要求和说明如下:
(1) 理解安全需求
收集和分析所有有助于全面理解客户安全需求的信息。
(2) 识别适用的法律、政策和约束条件
识别影响客户系统安全需求的法律、法规和行业标准等外部因素,并确定遵从全球性政策和本地政策的优先权。
(3) 识别安全背景
识别影响信息系统安全的背景因素,如信息系统的用途(如金融、医疗)、运行场景、技术发展的变化、社会当前热点事件。
(4) 获取安全视图
开发组织的高层次安全分析视图,包括业务需求、角色、职责、信息流、资产、资源、人员保护以及物理保护等。
(5) 识别安全目标
识别满足信息系统安全需求的安全目标。安全目标应该至少涉及信息系统及其承载信息的可用性、保密性、完整性、可核查性、真实性和可靠性要求等。
(6) 定义安全要求
定义信息系统的安全要求,并确保安全要求与适用的政策、法律、标准、安全需求以及约束条件保持一致。安全要求应全面体现信息系统的安全需求,并与安全目标建立对应关系。
(7) 达成安全协议
依据安全要求和客户需求,与客户和相关的团体达成共识。
5.2.2 确定服务合同
(1)与客户和供方在服务合同中至少明确服务范围、目标、质量和成本;
(2)与客户和供方在服务合同中包括项目保密责任和违约责任。
5.2.3确定服务人员和组织
与客户和供方确定项目人员构成,并控制由项目人员变更带来的相关风险。
5.2.3签订保密协议
与客户和供方签订保密协议;注意保密内容与客户要求的一致性。
表2:信息系统安全集成服务准备阶段要求
集成准备阶段的要求 必备 可选
安全需求界定 1)理解安全需求 √
2)识别法律、政策和约束条件 √
3)识别安全背景 √
4)获取安全视图 √
5)获取安全目标 √
6)定义安全要求 √
7)达成安全协议 √
确定服务合同 1)明确服务范围、目标、质量和成本 √
2)明确项目保密责任和违约责任 √
确定服务人员和组织 确定项目人员构成 √
签订保密协议 签订保密协议 √
5.3 方案设计
基于“5.2.1安全需求界定”中识别的安全需求,为信息系统的规划人员、设计人员、实施人员和客户提供所需的安全输入信息。这些信息至少包括安全体系结构、设计或实施的项目方案以及安全指南。
本要求的目标:评审信息系统中所有涉及安全的问题,并按照安全目标在方案设计中落实;安全集成项目组及各工作组所有成员都应该理解安全问题,以各司其职;项目方案应反映所提供的安全需求和要求。
具体要求和说明如下:
(1) 理解安全需求
与设计人员、开发人员、客户沟通确认,以确保相关团体对安全输入需求达成共识。
(2) 确定安全约束条件和考虑事项
安全集成项目组应分析和确定在需求、设计、实施、配置和文档方面的安全约束条件和考虑事项,以便于在各工作组的具体工作中做出最佳的安全集成选择。
(3) 识别安全集成项目方案
根据客户安全需求以及其他约束条件,识别和制定项目方案。
(4) 评审项目方案
各工作组和安全集成项目组要利用已识别的安全约束条件和考虑事项评审项目方案。
(5) 提供安全集成指南
安全集成项目组应开发项目相关的安全集成指南,并把它提供给各工作组。各工作组根据相关的安全集成指南对信息系统体系结构、设计和实现的选择条件做出决定。
(6) 提供安全运行指南
安全集成项目组应设计并开发安全运行指南,并提供给系统用户和管理员。本运行指南指导用户和管理员以安全的方式进行安装、配置、运行和废弃系统。
表3:信息系统安全集成服务方案设计阶段要求
方案设计阶段要求 必备 可选
方案设计 1)理解安全需求 √
2)确定安全约束条件和考虑事项 √
3)识别安全集成项目方案 √
4)评审项目方案 √
5) 提供安全集成指南 √
6) 提供安全运行指南 √
5.4 建设实施
5.4.1协调安全
协调安全的目的是确保所有相关组织和工作组人员都能积极参与安全集成项目。协调安全涉及到保持所有项目人员与外部组织以及工作组之间沟通。
本要求的目标:项目组的所有成员都能主动地参与到安全集成项目中,最大程度地发挥他们的作用;沟通和协调有关安全的决策和建议。
具体要求和说明如下:
(1) 制定协调目标
需要相关工作组重视并参与安全集成项目。根据项目组的信息需求和项目要求决定共享信息的目标,并建立与他们之间的合作关系和承诺。
(2) 识别协调机制
识别在项目中协调安全的不同方法,用于与相关组织共享安全集成的决策和建议。
(3) 促进安全协调
确保以合适和有效的方式来解决项目开展期间的意见分歧。
(4) 协调安全决策和建议
运用已识别的协调机制,与项目组人员、各工作组及其他组织沟通安全决策和建议。
5.4.2 管理安全控制
管理和维护安全控制措施。通过正确实施和配置,确保信息系统的安全措施在其运行状态下达到预期目标。
本要求的目标:正确配置和使用安全控制措施。
具体要求和说明如下:
(1) 建立安全职责
确保相关负责人的行为职责得到授权,并且传达给组织中的所有成员。无论采用什么安全控制措施,都应该确保管理职责是明确和持续适用的。
(2) 管理安全控制措施的配置
对信息系统安全控制机制进行配置管理,制定相关流程和要求。
(3) 管理安全意识、培训和教育
像管理其他的意识、培训和教育一样,对所有员工的安全意识、培训和教育进行管理。
(4) 定期维护与管理安全控制措施
定期维护和管理安全服务和控制措施,包括保护服务和控制机制免受有意或者无意的损坏,并依据法律和政策的要求进行备案。
5.4.3 监控安全态势
监控安全态势的目的是确保识别和报告所有的安全违规行为、试图违规行为或能够潜在地导致安全违规的错误。监控安全态势需要监控内部和外部环境中可能影响信息系统安全的所有因素。
本要求的目标:检测和跟踪内部与外部的安全事件,并根据策略进行安全响应;根据安全目标,识别并处理安全态势的变化。
具体要求和说明如下:
(1) 分析事件记录
检查安全信息相关的事件记录。识别值得关注的事件,以及与其他事件的关联性。
(2) 监控变化
关注可能影响当前安全状态有效性的任何变化。威胁、脆弱性、影响和风险与信息系统的安全紧密相关。
(3) 识别安全事件
确定是否发生了安全事件,识别其详细情况并且在必要时向上级报告。
(4) 监控安全防护措施
经常检查安全防护措施的运行状态,以便识别出其性能的变化和功能的有效性。
(5) 评审安全态势
定期检查安全措施和相关的安全要求,以识别必要的安全变更。
(6) 管理安全事件响应
制定应急响应计划,和快速恢复策略和恢复计划;并定期测试和维护应急响应计划。
(7) 保存安全监控结果
封存和归档安全监控日志、审计报告和分析结果。
表4:信息系统安全集成服务建设实施阶段要求
建设实施阶段要求 必备 可选
协调安全 1)建立安全职责 √
2)识别安全集成协调机制 √
3)促进安全集成协调 √
4)协调安全决策和建议 √
管理安全控制 1)建立安全职责 √
2)管理安全控制机制的配置 √
3)管理安全意识、培训和教育 √
4)定期维护和管理安全控制机制 √
安全监控 1)分析事件记录 √
2)监控变化 √
3)识别安全事件 √
4)监控安全防护措施 √
5)评审安全态势 √
6)管理安全事件响应 √
7)保存安全监控结果 √
5.5 安全保证
5.5.1 建立保证论据
建立保证论据的目的是通过相关的证据清楚地表明客户的安全需求已经得到满足。保证论据是由多种保证证据支持的一系列陈述性保证目标,包括识别和定义保证要求、证据的产生和分析活动以及支持保证要求所需的附加证据活动。另外,收集、整理并展示这些活动生成的证据。
本要求的目标:项目工作结果和工作过程向客户明确地提供了其安全需求已被满足的证据。
具体要求和说明如下:
(1) 识别保证目标
由客户确定的安全保证目标指明了信息系统需要的信任等级和安全策略实现的信任等级。保证目标的充分性应该由开发商、集成商、客户和信息系统运维人员共同确定。
(2) 制定保证策略
制定安全保证策略的目的是策划和确保安全目标被正确地贯彻和落实。本过程所产生的保证证据将会提供安全措施满足安全风险管理的信任等级。通过制定和颁布安全保证策略,实现对安全保证相关活动的有效管理。
(3) 制定测量准则 (一级可选要求)
安全测量准则有利于安全决策、绩效提升和职责核查。测量安全绩效的目的是基于已识别的测量准则监控安全运行的状态,以便于通过实施纠正措施进行过程改进。测量准则有助于监控保证策略和保证目标的完成。
(4) 控制保证证据
在安全集成项目各阶段活动中识别并收集各种安全证据。安全证据应该进行控制和管理,以确保与当前工作结果的通用性和与安全保证目标的关联性。
(5) 分析保证证据
分析保证证据,以提供满足安全目标的证据的信任等级,从而满足客户的安全需求。通过分析保证证据,可以确定安全建设实施过程和安全验证过程是否充分和完善,以便判断安全机制和安全功能的实现是否令人满意。同时,也确保了安全集成项目结果相对于安全基线而言也是完整的和正确的。
(6) 提供保证论据
向客户提供用于表明与安全保证目标相符合的整体安全保证论据。保证论据应该被评审,以确保保证证据的充分性和满足安全保证目标。
5.5.2 验证和确认安全
确保项目方案得到验证和确认。验证表明项目方案被正确地实施,而确认则证明项目方案是有效的。根据安全要求、体系结构和安全设计方面的信息,通过观察、演示、分析和测试来验证项目方案。通过客户的安全需求和安全目标确认项目方案。
本要求的目标:用事实证明项目方案满足客户的安全需求和要求。
具体要求和说明如下:
(7) 识别项目方案
分别识别验证和确认活动的目标。这涉及在安全集成项目的整个生命周期内与所有工作组的协调。
(1) 定义验证和确认方法
识别待验证和确认项目方案的方法,涉及如何验证和确认每一项安全需求的方法。严格等级用于指明验证和确认工作的细致程度,而且这受到“建立保证论据”中“制定面向所有安全目标的安全保证策略”预期输出结果的影响。
(2) 执行验证
通过确认安全要求(包括“建立保证论据”识别的安全保证要求)来验证项目方案是正确的。
(3) 执行确认
确认项目方案的目的是表明项目方案能够有效地满足客户的安全需求。有多种方式提供确认证据证明客户安全需求已经得到满足,比如在运行环境或者代表性测试环境中测试项目方案。
(4) 获取验证和确认结果
获取并提供验证和确认的结果。验证和确认的结果应该以一种容易理解和使用的方式提供。结果应该能被跟踪,以保持从安全需求到安全要求、项目方案、测试结果的可跟踪性。
表5:信息系统安全集成服务安全保证阶段要求
安全保证阶段要求 必备 可选
建立保证论据 1)识别保证目标 √
2)制定保证策略 √
3)制定测量准则(一级要求) √
4)控制保证证据 √
5)分析保证证据 √
6)提供保证论据 √
验证和确认安全 1)识别待验证和确认的目标 √
2)制定验证和确认的方法 √
3)执行验证 √
4)执行确认 √
5)获取验证和确认结果 √
6 信息系统安全集成服务资质分级评价要求
信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。
根据服务提供者的机构注册资金、从业经验、人员素质要求、项目经验、管理能力和技术能力等要素,可将服务提供者的资质划分为三个级别。
6.1 三级信息系统安全集成服务资质要求
6.1.1 基本资格
(1) 基本条件(参见第4.1节);
(2) 注册资本:产权关系明晰,注册资本不少于200万元人民币;
(3) 人员素质要求:信息系统安全集成服务人员10名以上;本科以上学历人员占机构总人数比例在60%以上;
(4) 具有信息系统安全服务相关的资质人员至少2人(如,CISAW,信息安全管理体系审核员、CISSP,CISA等);至少有1人具有项目管理的资格证书。
(5) 主要负责人应具有2年以上从事信息技术领域企业管理经历,主要技术负责人应获得电子信息技术类高级职称且从事安全集成技术工作不少于2年,财务负责人应具有初级以上职称;
(6) 从业时间:从事信息系统安全集成服务一年以上;
(7) 从业经验:独立完成中小型企业的信息系统集成项目;近三年内至少完成4个以上完整的信息安全集成项目,按合同要求质量合格,已通过验收并投入实际应用。项目合同总金额不少于300万元人民币。至少完成一个100万以上的安全集成项目。
6.1.2 管理能力(参见第4.2节);
6.1.3 技术能力(参见第4.3节);
6.1.4 服务过程要求(参见第5章)。
6.2 二级信息系统安全集成服务资质要求
6.2.1 基本资格
(1) 基本条件(参见第4.1节);
(2) 注册资本:产权关系明晰,注册资本不少于1000万元人民币;
(3) 人员素质要求:信息系统安全集成服务人员20名以上;本科以上学历人员占机构总人数比例在70%以上;
(4) 具有信息系统安全集成服务相关的资质人员至少6人(如,CISAW,信息安全管理体系审核员、CISSP,CISA等);至少有2人具有项目管理的资格证书。
(5) 主要负责人应具有3年以上从事电子信息技术领域企业管理经历,主要技术负责人应获得电子信息技术类高级职称且从事安全集成技术工作不少于3年,财务负责人应具有中级以上职称。
(6) 从业时间:从事信息系统安全集成服务三年以上;
(7) 从业经验:独立完成省级范围的信息安全集成项目或大型企业的信息安全集成项目;近三年内至少完成6个以上完整的信息安全集成项目且无客户投诉,项目合同总金额不少于1000万元人民币;至少完成一个200万以上的安全集成项目。
6.2.2 管理能力
(1) 基本管理能力(参见第4.2节);
(2) 制定项目质量管理计划,跟踪项目过程和结果的质量。
6.2.3 技术能力
(1) 基本技术能力(参见第4.3节);
(2) 应具有足够的技术力量,根据客户业务的安全需求开发信息安全产品或支持性工具的能力。
6.2.4 服务过程要求(参见第5章)
6.3 一级信息系统安全集成服务资质要求
6.3.1 基本资格
(1) 基本条件(参见第4.1节);
(2) 注册资本:产权关系明晰,注册资本不少于2000万元人民币;
(3) 人员素质要求:信息系统安全集成服务人员30名以上;本科以上学历人员占机构总人数比例在80%以上;
(4) 具有信息系统安全服务相关的资质人员至少10人(如,CISAW,信息安全管理体系审核员、CISSP,CISA等);至少有5人具有项目管理的资格证书。
(5) 主要负责人应具有5年以上从事电子信息技术领域企业管理经历,主要技术负责人应获得电子信息类高级职称且从事系统集成技术工作不少于5年,财务负责人应具有中级以上职称。
(6) 从业时间:从事信息系统安全集成服务五年以上;
(7) 从业经验:独立完成全国范围的信息安全集成项目;近三年内至少完成并通过验收的10个以上完整的信息系统安全集成服务项目且无客户投诉,项目合同总金额不少于2000万元人民币;至少完成一个500万以上的安全集成项目。
6.3.2 管理能力
(1) 基本管理能力(参见第4.2节);
(2) 制定服务质量持续改进的制度,跟踪其落实情况;
(3) 参考GB/T 22080-2008/ISO/IEC 27001:2005《信息技术 安全技术 信息安全管理体系要求》标准建立信息安全管理体系并运行三个月以上。
6.3.3 技术能力
(1) 基本技术能力(参见第4.3节要求);
(2) 应具有足够的技术力量,根据客户业务的安全需求开发信息安全产品或支持性工具的能力;
(3) 应具有足够的技术力量,对市场上普通使用的信息安全产品进行功能分析、提出安全策略及对安全产品进行集成的能力;
(4) 至少提供一个已完成的信息系统,经国家(或行业)权威机构或专家组验证其安全性符合要求。
6.3.4 服务过程要求(参见第5章要求)
7 信息系统安全集成服务资质认证模式与流程
7.1 信息系统安全集成服务资质认证模式
现场检查 + 特定服务检查 + 获证后监督
现场检查是在文档审核通过后,审核组到申请方的注册地址或业务量较集中的办公地址进行的标准符合性验证活动。特定服务检查是审核组对申请方的服务团队进行的特定服务过程演示或到客户现场见证服务过程的检查活动,从而判定该申请方的服务能力。获证后监督是确保获证方在获证后能够持续满足标准的要求,在证书的三年有效期内认证机构对获证方进行一或两次现场监督审核。如有特殊情况发生,认证机构可增加监督审核频次。
7.2 信息系统安全集成服务资质认证流程
7.2.1 提交申请
申请方自愿向认证机构提交信息系统安全集成服务资质认证申请。申请方应提交的文件
(1) 信息系统安全集成服务资质认证申请书;
(2) 独立法人资格证明材料;
(3) 从事信息系统安全集成服务的相关资质证明;
(4) 工作保密制度及相应组织监管体系已建立的证明材料;
(5) 与信息系统安全集成服务人员签订的保密协议复印件;
(6) 人员构成与素质证明材料;
(7) 公司组织结构证明材料;
(8) 具备固定办公场所的证明材料;
(9) 项目管理制度文档;
(10) 安全集成服务流程;
(11) 安全集成服务规范性文件;
(12) 安全集成服务质量管理文件(一、二级);
(13) 信息安全管理体系文件及设施情况的材料(一级);
(14) 项目案例及业绩证明材料等。
7.2.2文档审核
认证机构应根据认证依据、程序等要求,及时对申请方提交的申请文件和资料进行审核并保存审核记录,以确保:
(1) 认证要求规定明确并得到理解;
(2) 认证机构和申请方之间在理解上的差异得到解决;
(3) 对于申请的认证范围、工作场所和任何特殊要求,认证机构均有能力开展认证服务。
7.2.3 现场审核
认证机构应组成审核组,依据相关标准和审核要求,对申请方进行现场审核。现场审核的内容主要包括:
(1) 通过检查、观察、访谈,对申请方的信息系统安全集成服务技术能力进行验证;
(2) 通过检查、观察、访谈,对申请方的信息系统安全集成服务管理能力进行验证;
(3) 观察服务模拟演示或见证现场服务。
7.2.4认证决定
认证评价及认证决定是由认证决定委员会执行。认证决定委员会至少由3名以上(含3名)奇数认证决定人员组成。
7.2.4.1 认证决定
认证决定人员依据认证标准、信息系统安全集成服务资质认证程序与实施规则的要求及相关标准,结合审核过程中收集的信息(对于存在不符合项的情况,必须通过整改并由审核组验证通过),对审核结果进行综合评价,做出“通过认证”或 “不通过认证”的决定。必要时,认证决定委员会应对申请方满足认证依据的情况进行风险评估,以做出是否授予认证的决定。
对于符合认证要求的申请方,认证机构应颁发认证证书并在相关媒体上予以公告。
对于不符合认证要求的申请方,认证机构应以书面的形式明示其不能获得认证的原因。
7.2.4.2对认证决定的申诉
申请方如对认证决定结果有异议,可在10个工作日内向认证机构申诉,认证机构自收到申诉之日起,应在一个月内进行处理,并将处理结果书面通知申请方。
7.2.5 证后监督
7.2.5.1 证后监督频次和方式
认证机构应根据信息系统安全集成服务的特点以及所承担的认证风险,合理确定监督审核的时间间隔和方式。监督审核的方式可采用文档审核或与现场审核相结合的方式。一般情况下,每年度(不超过12个月)进行一次监督审核,由项目管理人员提前两个月通知获证方。监督审核的方式可采用文档审核与现场审核相结合的方式。
当信息系统安全集成服务提供者的信息系统安全集成服务发生重大事故、客户投诉,或组织结构、人员等方面发生重大变更等时,认证机构视情况可增加现场监督审核的频次。
7.2.5.2 监督审核应包括,但不限于以下内容:
(1) 新实施的服务案例;
(2) 客户投诉情况;
(3) 涉及变化的范围(例如:人员变化、实验环境变化、项目管理、质量管理体系变化);
(4) 上次审核提出的不符合项所采取纠正/预防措施、观察项的实施情况。
7.2.5.3 监督结果评价
对于监督审核合格的信息系统安全集成服务提供者,认证机构应作出保持其认证证书的决定;否则,应暂停、撤销其认证证书。
7.2.5.4 信息通报制度
为确保服务提供者的信息安全服务能力持续有效,服务提供者应建立信息通报制度,及时向认证机构通报以下信息:
(1) 有关组织机构变化信息;
(2) 消费者投诉等信息;
(3) 其他重要信息。
7.2.5.5 信息分析
认证机构应对上述信息进行分析,视情况采取相应措施,包括增加监督审核频次、暂停或撤销认证证书。
7.2.6 再认证
在认证证书有效期满的前三个月内,服务提供者可申请再认证。再认证程序与初次认证程序相同。
7.2.7 证书变更
(1) 如果证书变更只涉及到注册地址、资金或法定代表人的变更,申请方须递交变更申请,经书面审核批准后,认证机构仅对证书更新并收回原证书;
(2) 信息系统安全集成服务提供者的组织机构发生重大调整、人员变动较大、拟变更业务范围时,应向认证机构提出变更申请,并提交相关材料。认证机构策划并实施适宜的审核活动,并按照要求做出认证决定。审核活动可单独进行,也可与信息系统安全集成服务监督或再认证同时进行。
7.2.8 认证时限
认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的时间,其中包括认证受理、文档审核、现场审核、认证决定以及证书颁发环节。 申请一类服务资质认证的时间一般为两个月。
服务提供者如果已获得我中心某一或几类的信息安全服务资质认证,再申请安全集成服务资质认证,认证周期可适当缩短两周左右。
8 认证证书管理
8.1认证证书有效期
信息系统安全集成服务资质认证证书有效期为3年。
8.2认证证书的管理
8.2.1暂停认证证书
信息系统安全集成服务提供者有下列情形之一的,认证机构应当暂停认证证书。
(1) 未按规定及时接受监督审核或再认证;
(2) 未按规定使用认证证书;
(3) 监督结果证明信息系统安全集成服务提供者的信息安全服务能力不符合认证要求,但不需要立即撤销认证证书。
暂停期限一般为三个月。在三个月内,申请方可提出恢复证书的申请,认证机构经审核、批准后方可使用该证书。在认证证书暂停期间,申请方不得继续使用证书。
8.2.2 撤销认证证书
信息系统安全集成服务提供者有下列情形之一的,认证机构应当撤销其认证证书。
(1) 监督结果证明信息系统安全集成服务提供者的信息安全服务能力不符合认证要求,应立即撤销证书的;
(2) 认证证书暂停使用期间,信息系统安全集成服务提供者未采取有效纠正措施;
(3) 信息系统安全集成服务提供者出现严重责任事故,影响其继续有效提供集成服务;
(4) 信息系统安全集成服务提供者不接受认证机构对其实施的监督或未申请再认证。
8.2.3注销认证证书
信息系统安全集成服务提供者因为自身原因申请注销认证证书,认证机构应当给予注销。
认证证书注销和撤销后,认证机构应收回认证证书,并在相关媒体上予以公告。
附录A 信息安全工程过程能力级别参考(ISO/IEC 21827:2008)
A.1基本执行级
本能力级别的组织是基于个人的知识和努力去执行一些基本过程,而未经严格的计划和跟踪。能提供的证据是该过程的工作结果。由于缺乏适当控制,工作结果的一致性、性能和质量会存在极大的差异。
A.2计划跟踪级
本能力级别的组织计划并跟踪执行组织已定义的过程,验证是否执行了特定的步骤,工作结果是否符合指定的标准和需求,测量用于跟踪过程的执行情况。组织能够基于实际执行活动进行管理。
1) 制定过程执行计划
过程执行的计划涉及到过程文档的编制,执行过程的相应工具的提供、过程实施的计划、过程执行中的培训、过程资源的分配以及过程执行的责任分配。
2) 规范化执行
此要求注重于控制覆盖过程的总数。需要列出过程执行计划的使用、基于标准和程序的过程执行、配置管理下依过程产生的工作结果。
3) 验证执行
确认过程按预定的方式执行。涉及到验证执行过程与可应用的标准和程序是一致的以及对工作结果的审计。
4) 跟踪执行
此要求注重于组织控制项目进展的能力。组织通过可测量的计划跟踪过程的执行情况,当过程实施与计划产生重大偏离时应采取纠正措施。
A.3充分定义级
本能力级别的组织执行已经充分定义的标准过程。组织依据对已批准发布的、文档化的标准过程进行适当裁减,来充分定义组织的过程。
本级与级别2的主要区别在于利用组织范围内的标准过程来管理和规划其活动。
1) 定义标准过程
该要求注重于组织标准过程的制度化。一个组织的标准过程可能需要裁剪以适合特定环境的使用,因此,要求组织提出标准过程的文档,并为满足特定用途而对标准过程进行裁剪。
2) 执行已定义过程
该要求注重于执行充分定义过程的可重复性。要求组织使用制度化过程,并对有缺陷的过程结果和工作结果进行复查,执行过程并使用结果数据。
3) 协调项目和组织活动
该要求注重项目和组织活动的协调。大的工程通常由多个组协作完成,缺乏协调将会导致延误和不可比对的结果。因此应确定组内、组间、组外活动的协调。
A.4定量控制级
本能力级别的组织应收集和分析执行的详细测量,获得对过程能力和改进能力的量化理解以预测执行情况。本能力级别执行的管理是客观的,工作结果的质量是可量化的。本级与充分定义级的主要区别在于定义的过程是定量可控的。
1) 建立可测量的质量目标
该要求注重对组织所开发的产品(包括工作结果)建立可测量的质量目标。
2) 客观地管理执行
该要求注重于确定过程能力的量化测量并使用量化测量来管理这一过程。提出了确定量化过程能力和以量化测量作为修正行动的基础。
A.5持续改进级
本能力级别的组织基于组织的商务目标,并针对过程有效性和效率建立量化执行目标。通过执行已定义的过程和有创见的新概念、新技术的量化反馈来保证对这些目标进行连续的过程改进。
本级与定量控制级的主要区别在于已定义的过程和标准过程基于对这些过程变化效果的量化理解,进行连续调整和改进。
1) 改进组织能力
该要求注重在整个组织范围内使用标准过程,并在同的使用中进行比较。在使用这些过程时,寻找改进标准过程的机会,分析产生的缺陷以识别对标准过程的进行改进的可能性。
2) 改进过程有效性
该要求注重于制定处于连续受控改进状态下的标准过程。组织能消除标准过程产生缺陷的原因,并提出连续改进的标准过程。