信息系統(tǒng)安全服務資質評估適用范圍本標準適用于評估機構對提供信息安全服務的組織進行信息安全服務資質的評估；信息安全服務的需方對服務提供方的選擇依據(jù);作為國家主管部門對評估對象進行管理和檢查的技術規(guī)范。另外，也可為信息安全服務提供組織改進自身能力提供指導。定義信息安全服務信息安全服務是指信息安全工程的設計、實施、測試、運行和維護，以及相關的咨詢和培訓活動。信息安全服務提供者信息安全服務提供者是指信息安全工程方案設計組織、承建信息安全工程的組織以及提供有關信息安全咨詢和培訓的組織。信息安全服務資質等級信息安全服務資質等級是指一個組織提供信息安全服務的綜合能力。包括技術能力、組織結構與管理、資源配置、安全工程過程能力、業(yè)績和質量保證等多個方面。信息安全工程過程能力級別信息安全工程過程能力級別是指提供信息安全服務的組織在完成工程、項目時，執(zhí)行組織已定義過程的能力成熟程度。信息安全服務評估組織信息安全服務評估組織，是指對提供信息安全服務的組織的資質等級進行評估認證的第三方機構。在我國是指中國國家信息安全測評認證中心及其授權分支機構。服務類型與資質評定原則信息安全服務的類型信息安全服務的類型主要指一個組織按照一定的合同或協(xié)議，為另一個組織所履行的安全服務的具體形式，包括：1）安全工程：為信息系統(tǒng)進行安全方案設計（開發(fā)）、施工（安全集成）、驗證（測試）、運行（監(jiān)控）和維護；2）安全咨詢和培訓：從事信息系統(tǒng)安全咨詢、培訓、宣傳和其它安全工程之外服務的業(yè)務。包括書面提出并制訂信息系統(tǒng)安全方案，提供安全管理與操作規(guī)定的服務,提供安全性測試和監(jiān)控，方案（安全方案、信息系統(tǒng)和安全產品等）試驗，在公開場合或媒體宣講傳播安全知識的活動，信息系統(tǒng)安全的專家活動和政策制訂工作,從事信息系統(tǒng)安全教育工作，其它可能影響信息系統(tǒng)安全性能的有償或無償服務或技術活動。信息安全服務資質等級的評判原則信息安全服務資質評估是對信息安全服務提供者的資格狀況、技術實力和實施安全工程過程質量保證能力等方面的具體衡量和評價。資質等級的評定，是在其基本資格和能力水平、安全工程項目的組織管理水平、安全工程基本過程的實施和控制能力等方面的單項評估結果基礎上，針對不同的服務種類，采用一定的權值綜合考慮后確定，并由國家認證機構授予相應的資質級別。信息安全服務的資質等級的劃分遵循以下原則：表7-1安全服務資質等級定義資質等級說明1級達到全部基本資格要求和部分基本能力要求執(zhí)行基本的安全工程過程，安全工程過程能力達到1級。2級達到全部基本資格要求和基本能力要求；執(zhí)行基本的安全工程過程，安全工程過程能力達到2級，使安全工程過程質量得到基本保證。3級達到全部基本資格要求和基本能力要求；執(zhí)行基本的安全工程過程，安全工程過程能力達到3級，使安全工程過程質量得到良好保證。4級達到全部基本資格要求和基本能力要求，?執(zhí)行基本的安全工程過程，安全工程過程能力達到4級，使安全工程過程質量得到良好控制。5級達到全部基本資格要求和基本能力要求，?執(zhí)行基本的安全工程過程，安全工程過程能力達到5級，使安全工程過程質量實現(xiàn)優(yōu)化運作。表7-2提出了實現(xiàn)某級資質所必須達到的基本要求；服務組織根據(jù)自身情況可實現(xiàn)更多或更高的要求。表7-2安全服務資質等級要求資質等級基本資格要求基本能力要求安全工程能力級別其他補充要求1級全部滿足基本滿足不同服務類型可裁剪1級不同服務類型可裁剪無2級全部滿足滿足不同服務類型可裁剪2級不同服務類型可裁剪針對性補充要求3級全部滿足滿足不同服務類型可裁剪3級不同服務類型可裁剪針對性補充要求4級全部滿足滿足不同服務類型可裁剪4級不同服務類型可裁剪針對性補充要求5級全部滿足滿足不同服務類型可裁剪5級不同服務類型可裁剪針對性補充要求7.3不同資質等級可從事的安全服務根據(jù)國家法律、法規(guī)和有關主管部門對具體資質等級要求的規(guī)定執(zhí)行。.綜合考慮原則：信息安全服務資質等級的劃分必須對組織的綜合能力進行考察，它主要與組織的資格狀況、技術實力、信息安全工程過程能力等級以及其他要求有關。.與現(xiàn)行國家有關主管部門頒布的法律、法規(guī)、規(guī)章、制度相一致的原則：安全策略要保持與現(xiàn)行的法律、法規(guī)、規(guī)章、制度相一致，不能相抵觸。.與我國已發(fā)布或即將發(fā)布的有關信息安全的標準相一致的原則：我國已發(fā)布許多與安全服務有關的的標準，本評估準則的資質等級劃分必須與這些標準相一致。.與組織的基本能力水平緊密結合的原則：一個組織的基本能力是評估其資質等級的基本要求，有些基本能力要求可能決定一個組織是否具備參與資質評定的資格。.與信息安全服務工程過程能力等級緊密結合的原則：工程過程能力等級是反映組織實施工程的成熟程度，是評定資質的重要依據(jù)。.可裁剪原則：安全服務有多種類型，對不同類型的安全服務可進行適當?shù)牟眉簟?可操作性原則具有實際操作的可行性。提供信息安全服務的基本資格要求提供信息安全服務的組織必須是一個獨立的實體，具有工商行政管理部門發(fā)給的合法的營業(yè)執(zhí)照。必須獲得國家有關信息安全主管部門發(fā)給的從事信息安全服務的資格證書。從事涉密（國家秘密）網絡信息系統(tǒng)安全服務的組織必須獲得國家安全主管部門的批準。采用商密信息產品進行安全系統(tǒng)集成的組織必須獲得國家安全主管部門的批準。必須遵守國家現(xiàn)行法律、法規(guī)的規(guī)定。提供信息安全服務的基本能力要求組織與管理要求從事信息安全服務的組織：必須擁有健全的組織結構和管理體系，為持續(xù)的信息安全服務提供保證。應制定符合國家保密機關要求的工作保密制度和相關的組織監(jiān)管體系。所有成員要簽定保密合同，并遵守有關法律法規(guī)。技術能力要求從事信息安全服務的組織，應：了解信息安全技術的最新動向，有能力掌握信息安全的最新技術。具有不斷的技術更新能力。523具有對信息系統(tǒng)所面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析和提供防范措施的能力。須能根據(jù)對用戶信息系統(tǒng)風險的分析，向用戶建議有效的安全保護策略及建立完善的安全管理制度。具有對發(fā)生的突發(fā)性安全事件進行分析和解決的能力。從事安全系統(tǒng)集成和相關咨詢的組織應具有足夠的技術力量，對市場的信息安全產品進行功能分析、提出安全策略和安全解決方案、及安全產品的系統(tǒng)集成的能力。應具有足夠的技術力量，根據(jù)服務業(yè)務的需求開發(fā)信息安全應用、產品或支持性工具的能力。系統(tǒng)集成商應有對集成的系統(tǒng)進行檢測和驗證的能力。有能力對信息安全系統(tǒng)進行有效的維護。有跟蹤、了解、掌握、應用國際、國家和行業(yè)標準的能力。人員構成與素質要求從事信息安全服務的組織應具有充足的人力資源和合理的人員結構。所有與信息安全服務有關的管理和銷售人員等應具有基本的信息安全知識。應有一批相對穩(wěn)定的技術隊伍。技術骨干人員應系統(tǒng)地掌握信息安全基礎理論和核心技術,并有足夠的專業(yè)工作經驗。設備、設施與環(huán)境要求從事信息安全的組織，應：具有固定的工作場所，良好的工作環(huán)境。具有先進的開發(fā)、測試或模擬環(huán)境。具有先進的開發(fā)、生產和測試設備。具有實施相關服務的必需的開發(fā)、生產和測試工具。規(guī)模與資產要求從事信息安全的組織，應：有足夠的注冊資金和充足的流動資金。建立與所承擔的業(yè)務范圍和工程規(guī)模相適應的服務體系。有足夠的人員從事直接與信息安全服務相關的活動。業(yè)績要求從事信息安全的組織，應具有與申請資質相符的從業(yè)經歷，主?？疾椋簭臉I(yè)時間工程或項目規(guī)模工程或項目數(shù)量工程或項目質量合作項目參與程度完成結果評價質量保證要求7.1提供信息系統(tǒng)安全工程服務的組織要求通過“信息系統(tǒng)安全工程質量管理要求”；7.2提供信息系統(tǒng)安全咨詢培訓服務的組織要求通過經裁剪的“信息系統(tǒng)安全工程質量管理要求”；裁剪原則應與業(yè)務范圍和控制環(huán)節(jié)相一致。培訓要求提供培訓服務的服務組織應：有獨立的法人資格；有固定的培訓場所，良好的培訓環(huán)境；有相應培訓設備；培訓人員要有培訓資格證書。信息安全工程過程及能力級別概述信息安全工程是一組與信息安全相關的工程過程的集合，在應用到系統(tǒng)和應用的開發(fā)、集成、操作、管理、維護和改進等整個生命期中，應滿足一組安全要求并能在系統(tǒng)中得到體現(xiàn)。信息安全工程至少包括以下11個基本過程，評估安全對系統(tǒng)的影響；評估系統(tǒng)面臨的安全威脅；評估系統(tǒng)的安全弱點；評估系統(tǒng)的安全風險；確定系統(tǒng)的安全需求；為系統(tǒng)提供必要的安全信息；監(jiān)測系統(tǒng)的安全狀況；管理系統(tǒng)的安全控制；安全協(xié)調；檢驗并證實安全性；建立并提供安全性保證證據(jù)。信息安全工程過程的能力級別是用于評價組織完成已定義的安全工程過程的能力，直接反映組織的成熟程度。能力級別按成熟性排序，表示依次增加的組織能力。本標準將信息安全服務組織的工程能力分為五個級別，即：1級：基本執(zhí)行級；2級：計劃跟蹤級；3級：充分定義級；4級：量化控制級；5級：連續(xù)改進級。本標準并不提出執(zhí)行過程的特殊要求。組織可以按所選擇的任何方式和順序，自由地計劃、定義、控制、跟蹤和改進他們的過程。然而高級別能力依賴于低級別能力，因此組織在達到高級別之前必須滿足低級別的要求。信息安全工程過程要求2.1評估安全對系統(tǒng)的影響本過程目的在于確認實施的安全工程對系統(tǒng)造成的影響，并對發(fā)生影響的可能性進行評估。包括以下一些活動：.對在系統(tǒng)中起關鍵作用的運行、商務或任務能力進行確定、分析和按優(yōu)先級排列。.對支持系統(tǒng)的關鍵運行能力或安全目標的系統(tǒng)資產（資源和數(shù)據(jù)）進行確定和特征化。通過對給定環(huán)境中提供這種支持的每項資產的意義進行評估，來定義每項資產。.選擇用于評估影響的度量。.標識所選影響的評估度量以及（若需要）度量轉換因子之間的關系。.利用多重度量或統(tǒng)一度量的合適方法對意外事件的影響進行識別和特征化。.監(jiān)視影響的變化。2.2評估系統(tǒng)面臨的安全威脅本過程的目的在于確定系統(tǒng)面臨的安全威脅及其性質和特征。包括以下活動：.識別由自然原因引起的威脅。.識別由人為原因引起的威脅。.識別特定環(huán)境中適當?shù)臏y量方法和適用范圍。.評估由人為原因引起的威脅的動因和效力。.評估出現(xiàn)威脅事件的可能性。.監(jiān)視各種威脅及其特征的變化趨勢。2.3評估系統(tǒng)的安全弱點本過程的目的在于識別和特征化系統(tǒng)本身的安全脆弱性。其中包括分析系統(tǒng)資產、定義特殊的脆弱性以及提供對整個系統(tǒng)脆弱性的評估。以掌握在確定環(huán)境中系統(tǒng)的安全脆弱性。包括以下活動：.選擇對確定環(huán)境中系統(tǒng)安全脆弱性進行標識和特征化的方法、技術和標準。.識別系統(tǒng)安全脆弱性。.收集與脆弱性相關的數(shù)據(jù)。.評估由特定脆弱性及其組合所產生的系統(tǒng)脆弱性和脆弱性總和。.監(jiān)視脆弱性及其特征的變化趨勢。評估系統(tǒng)的安全風險本過程的目的是確定在給定環(huán)境中，與某一系統(tǒng)有依賴關系的安全風險。尤其是識別和評估出現(xiàn)暴露的可能性，以掌握對給定環(huán)境中運行該系統(tǒng)帶來的安全風險，并按照給定的方法對風險問題進行優(yōu)先級排序。包括以下活動：.選擇用于分析、評估和比較給定環(huán)境中系統(tǒng)安全風險所依據(jù)的方法、技術和準則。.識別威脅/脆弱性/影響三者的組合（暴露），掌握這些威脅和脆弱性的利害關系，確定出現(xiàn)威脅和脆弱性將造成的影響。.評估與每個暴露有關的風險，確定一個暴露出現(xiàn)的可能性。.評估與該暴露風險有關的總體不確定性。.按優(yōu)先級對風險進行排列。.監(jiān)視各種風險及其特征的變化趨勢。2.5確定系統(tǒng)的安全需求本過程的目的在于確定系統(tǒng)的安全需求。涉及到為系統(tǒng)安全定義基本原則，以及有關的法律、策略和組織需求，并實現(xiàn)組織內部以及顧客對安全需求達成共識。包括以下活動：.理解顧客對安全的需求，收集所有用于全面理解顧客安全需求所需的信息。.為給定系統(tǒng)確定法律、策略、標準、外部影響和約束。.確定系統(tǒng)的用途及其與安全的關聯(lián)性。.系統(tǒng)運行安全的高層規(guī)劃。.定義系統(tǒng)的安全性。.定義與安全相關的需求。.達成滿足顧客要求的安全協(xié)議。2.6為系統(tǒng)提供必要的安全信息本過程的目的在于為系統(tǒng)的規(guī)劃者、設計者、實施者或用戶提供他們所需的安全信息。包括安全體系結構、設計或實施選擇以及安全指南。所有具有安全意義的系統(tǒng)問題都應受到檢查，并按照安全目標的要求予以解決，所有項目組成員都理解安全問題，選擇的解決方法應反映出所提供的安全輸入。包括以下活動：.確保設計者、開發(fā)者和用戶對安全信息具有共同的理解。確定有科學依據(jù)的工程選擇所需的安全約束和考慮。確定與安全相關的工程問題的解決辦法。利用安全約束和考慮來分析和區(qū)分工程選項的優(yōu)先級。向其它工程組提供與安全相關的指南。為系統(tǒng)的用戶和管理員提供與安全相關的指南。監(jiān)測系統(tǒng)的安全狀況本過程的目的是保證能確定并報告所有的安全違規(guī),并監(jiān)視外部和內部環(huán)境可能影響系統(tǒng)安全的所有因素。包括以下活動：.分析事件記錄，以確定一個事件的原因。檢測與安全相關的歷史和事件記錄（包括日志記錄）。.監(jiān)視威脅、脆弱性、影響、風險和環(huán)境方面的變化。識別與安全相關的突發(fā)事件。監(jiān)視安全防護措施的性能和有效性。檢查系統(tǒng)安全狀況以進行必要的改正。管理對有關安全突發(fā)事件的響應。保證與安全監(jiān)視有關的設備得到適當?shù)谋Ｗo。2.8管理系統(tǒng)的安全控制本過程的目的在于保證集成到系統(tǒng)設計中的預期的系統(tǒng)安全性確實由最終系統(tǒng)在運行狀態(tài)下達到。管理和維護開發(fā)環(huán)境和運行系統(tǒng)的安全控制機制所需要的活動。保證在整個生命期內不降低安全級別。包括以下活動：.建立安全控制的職責和責任并通知到組織中的每一個人。管理系統(tǒng)安全控制的配置。管理所有用戶和管理員的培訓和教育大綱，提高安全意識。對管理安全服務及控制機制進行定期的維護。2.9安全性協(xié)調本過程的目的在于保證所有部門都有一種參與安全工程的意識。這種協(xié)調涉及到保持安全組織、其他工程組織和外部組織之間的開放交流，使項目組的所有成員都具有并參與安全工程工作的意識，充分發(fā)揮他們的作用。包括以下活動：.定義安全工程協(xié)調目標和相互關系。確定安全工程的協(xié)調機制。促進安全工程的協(xié)調。用確定的機制去協(xié)調有關安全的決定和建議。2.10檢驗并證實安全性本過程的目的在于確保解決安全問題的辦法已得到驗證和證實。通過觀察、示范、分析和測試，依照安全需求、體系結構和設計確認解決辦法，依照顧客的運行安全需求證實解決辦法。確保解決辦法滿足安全需求以及顧客運行安全要求。包括以下活動：.確定待驗證和證實的解決辦法。2,定義驗證和證實每種解決方案的方法和嚴密等級。.通過證明能滿足與上一抽象層相關的要求，最終滿足用戶的運行安全要求，實現(xiàn)對解決辦法的證實。.為其它工程組收集驗證和證實的結果。2.11建立并提供安全性保證證據(jù)本過程的目的是清楚地向顧客提供已滿足其安全需求的證據(jù)。保證證據(jù)是一系列聲明性保證目標。這些目標由多個不同來源和等級的抽象構成的保證證據(jù)組成。本過程包括對與需求有關的保證進行的識別和定義；證據(jù)的產生和分析；支持保證需求所需的附加證據(jù)；對所生成的證據(jù)進行收集、打包并準備隨時遞交。包括以下活動：.確定安全保證目標。.所有保證目標定義一個安全保證策略。.確定并控制安全保證證據(jù)。.對安全保證證據(jù)進行分析。.提供證明顧客安全需求得到滿足的安全保證性論據(jù)。6.3信息安全工程過程能力級別6.3.1基本執(zhí)行級處于本能力級別的組織是基于個人的知識和努力去執(zhí)行一些基本過程，而未經嚴格的計劃和跟蹤。能提供的證據(jù)是該過程的工作產品（輸出）。由于缺乏適當控制，工作產品的一致性、性能和質量會存在極大的差異。6.3.1.1執(zhí)行過程此要求保證組織以某種方式執(zhí)行一些基本過程，從而為顧客提供工作產品和/或服務。6.3.2計劃跟蹤級處于本能力級別的組織計劃并跟蹤執(zhí)行本組織已定義的過程，驗證是否執(zhí)行了特定的步驟,工作產品是否符合指定的標準和需求，測量用于跟蹤過程的執(zhí)行情況。組織能夠基于實際執(zhí)行活動進行管理。6.3.2.1制定過程執(zhí)行計劃過程執(zhí)行的計劃涉及到過程文檔的編制，執(zhí)行過程的相應工具的提供、過程實施的計劃、過程執(zhí)行中的培訓、過程資源的分配以及過程執(zhí)行的責任分配。6.3.2.2規(guī)范化執(zhí)行此要求注重于控制覆蓋過程的總數(shù)。需要列出過程執(zhí)行計劃的使用、基于標準和程序的過程執(zhí)行、配置管理下依過程產生的工作產品。6.3.2.3驗證執(zhí)行確認過程按預定的方式執(zhí)行。涉及到驗證執(zhí)行過程與可應用的標準和程序是一致的以及對工作產品的審計。6.3.2.4跟蹤執(zhí)行此要求注重于組織控制項目進展的能力。組織通過可測量的計劃跟蹤過程的執(zhí)行情況，當過程實施與計劃產生重大偏離時應采取糾正措施。6.3.3充分定義級處于本能力級別的組織執(zhí)行充分定義的過程。組織依據(jù)對已批準發(fā)布的、文檔化的標準過程進行適當裁減，來充分定義組織的過程。本級與級別2的主要區(qū)別在于利用組織范圍內的標準過程來管理和規(guī)劃。6.3.3.1定義標準過程該要求注重于組織標準過程的制度化。一個組織的標準過程可能需要裁剪以適合特定環(huán)境的使用，因此，要求組織提出標準過程的文檔，并為滿足特定用途而對標準過程進行裁剪。6.3.3.2執(zhí)行已定義過程該要求注重于執(zhí)行充分定義過程的可重復性。要求組織使用制度化過程，并對有缺陷的過程結果和工作產品進行復查，執(zhí)行過程并使用結果數(shù)據(jù)。6.3.3.3協(xié)調項目和組織活動該要求注重項目和組織活動的協(xié)調。大的工程通常由多個組協(xié)作完成，缺乏協(xié)調將會導致延誤和不可比對的結果。因此應確定組內、組間、組外活動的協(xié)調。6.3.4定量控制級處于本能力級別的組織應收集和分析執(zhí)行的詳細測量，獲得對過程能力和改進能力的量化理解以預測執(zhí)行情況。這個級執(zhí)行的管理是客觀的，工作產品的質量是量化的。這一級與充分定義級的主要區(qū)別在于定義的過程是定量的表示和控制。6.3.4.1建立可測量的質量目標該要求注重對組織所開發(fā)的產品（包括工作產品）建立可測量的質量目標。6.3.4.2客觀地管理執(zhí)行該要求注重于確定過程能力的量化測量并使用量化測量來管理這一過程。提出了確定量化過程能力和以量化測量作為修正行動的基礎。6.3.5連續(xù)改進級處于本能力級別的組織基于組織的商務目標，并針對過程有效性和效率建立量化執(zhí)行目標。通過執(zhí)行已定義的過程和有創(chuàng)見的新概念、新技術的量化反饋來保證對這些目標進行連續(xù)的過程改進。這一級與定量控制級的主要區(qū)別在于已定義的過程和標準過程基于對這些過程變化效果的量化理解，進行連續(xù)調整和改進,。6.3.5.1改進組織能力該要求注重在整個組織范圍內使用標準過程，并在同的使用中進行比較。在使用這些過程時,尋找改進標準過程的機會，分析產生的缺陷以識別對標準過程的進行改進的可能