編號(hào):

國(guó)家信息安全測(cè)評(píng)

信息安全服務(wù)資質(zhì)申請(qǐng)書(shū)

（安全工程類一級(jí)）

申請(qǐng)單位（公章）：

填表日期：年月日

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全眼務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

目錄

填表須知...........................................................3

申請(qǐng)表.............................................................4

一、申請(qǐng)單位基本情況.............................................5

二、申請(qǐng)單位概況.................................................6

三、申請(qǐng)單位近三年資產(chǎn)運(yùn)營(yíng)情況..................................6

四、申請(qǐng)單位人員情況.............................................8

五、申請(qǐng)單位技術(shù)能力基本情況.....................................13

六、申請(qǐng)單位的信息系統(tǒng)安全工程過(guò)程能力..........................16

6.1評(píng)估系統(tǒng)安全威脅的能力............................................17

6.2評(píng)估系統(tǒng)脆弱性的能力..............................................20

6.3評(píng)估安全對(duì)系統(tǒng)的影響的能力........................................23

6.4評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)的能力............................................26

6.5確定系統(tǒng)的安全需求的能力..........................................29

6.6確定系統(tǒng)的安全輸入的能力..........................................31

6.7進(jìn)行管理安全控制的能力............................................34

6-8進(jìn)行監(jiān)測(cè)系統(tǒng)安全狀況的能力........................................36

6.9進(jìn)行安全性協(xié)調(diào)的能力..............................................39

6.10進(jìn)行檢測(cè)和證實(shí)系統(tǒng)安全性的能力...................................41

6.11進(jìn)行建立系統(tǒng)安全的保證證據(jù)的能力.................................44

七、申請(qǐng)單位的項(xiàng)目和組織過(guò)程能力................................47

7.1實(shí)現(xiàn)質(zhì)量保證的能力................................................48

7.2管理項(xiàng)目風(fēng)險(xiǎn)的能力................................................53

7.3規(guī)劃項(xiàng)目技術(shù)活動(dòng)的能力............................................55

7.4監(jiān)控技術(shù)活動(dòng)的能力................................................57

7.5提供不斷發(fā)展的知識(shí)和技能的能力...................................59

7.6與供應(yīng)商協(xié)調(diào)的能力................................................61

八、申請(qǐng)單位安全服務(wù)項(xiàng)目匯總.....................................63

九、申請(qǐng)單位獲獎(jiǎng)、資格授權(quán)情況..................................65

十、申請(qǐng)單位在安全服務(wù)方面的發(fā)展規(guī)劃............................66

十一、申請(qǐng)單位其他說(shuō)明情況.......................................67

十二、申請(qǐng)單位附加信息...........................................69

申請(qǐng)單位聲明.......................................................76

發(fā)布日期：2011年1月1日第2頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

信息安全眼務(wù)資質(zhì)申詁書(shū)（安全工程類一級(jí)）

填表須知

用戶在正式填寫(xiě)本申請(qǐng)書(shū)前，須認(rèn)真閱讀并理解以下內(nèi)容：

1.中國(guó)信息安全測(cè)評(píng)中心對(duì)下列對(duì)象進(jìn)行測(cè)評(píng)：

?信息技術(shù)產(chǎn)品

?信息系統(tǒng)

?提供信息安全服務(wù)的組織和單位

?信息安全專業(yè)人員

2.申請(qǐng)單位應(yīng)仔細(xì)閱讀《信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全工程類一級(jí)）》，并按照

其要求如實(shí)、詳細(xì)地填寫(xiě)本申請(qǐng)書(shū)所有項(xiàng)目。

3.申請(qǐng)單位應(yīng)按照申請(qǐng)書(shū)原有格式進(jìn)行填寫(xiě)。如填寫(xiě)內(nèi)容較多，可另加附頁(yè)。

4.提交申請(qǐng)書(shū)之前，請(qǐng)仔細(xì)查驗(yàn)申請(qǐng)書(shū)填寫(xiě)是否有誤，須提供的附件以及證明材料

是否完整。

5.申請(qǐng)單位須提交本申請(qǐng)書(shū)（含附件及證明材料）紙版一份，要求蓋章的地方，必

須加蓋公章，同時(shí)提交一份對(duì)應(yīng)的電子文檔。

6.本申請(qǐng)書(shū)要求提供的附件及證明材料須單獨(dú)裝訂成冊(cè)并編目。提供的資料須客觀、

真實(shí)和完整，不要編輯、修改和摘錄，但可以進(jìn)行脫密處理。

7.如有疑問(wèn)，請(qǐng)與中國(guó)信息安全測(cè)評(píng)中心聯(lián)系。

發(fā)布日期：2011年1月1日第3頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

信息安全眼務(wù)資質(zhì)申詁書(shū)（安全工程類一級(jí)）

申請(qǐng)表

中國(guó)信息安全測(cè)評(píng)中心：

我單位正式提出信息安全服務(wù)資質(zhì)申請(qǐng)，并保證將按照信息安全服務(wù)資質(zhì)的要求，

提供所需的所有真實(shí)信息，并配合資質(zhì)審核活動(dòng)。

1.申請(qǐng)服務(wù)類型

JA類（不具有外資背景）口B類（具有外資背景）

2.申請(qǐng)服務(wù)內(nèi)容

J安全工程（安全風(fēng)險(xiǎn)評(píng)估、安全需求分析、安全方案設(shè)計(jì)、安全集成、安

全監(jiān)控和維護(hù)、安全咨詢等）

3.申請(qǐng)類型

J初次申請(qǐng)

□再次申請(qǐng)，第次申請(qǐng)

口級(jí)別變更

（原資質(zhì)級(jí)別：口一級(jí)口二級(jí)口三級(jí)口四級(jí)口五級(jí)）

注意：除第二項(xiàng)外其余各項(xiàng)均為單選。

申請(qǐng)單位（蓋章）：

申請(qǐng)日期：20年月日

發(fā)布日期：2011年1月1日第4頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

信息安全眼務(wù)資質(zhì)申詁書(shū)（安全工程類一級(jí)）

一、申請(qǐng)單位基本情況

申請(qǐng)單位全稱（中文）：

申請(qǐng)單位全稱（英文）：

注冊(cè)地址：

辦公地址：

郵政編碼：

法定代表人姓名：職務(wù)：

聯(lián)系人姓名：職務(wù)：

電子郵箱：

聯(lián)系方式：電話（010）

傳真（010）

手機(jī)（）

工商登記注冊(cè)號(hào)（附申請(qǐng)單位法人營(yíng)業(yè)執(zhí)照副本或上級(jí)主管部門批準(zhǔn)成立文件復(fù)

印件）：

法人機(jī)構(gòu)代碼（附法人機(jī)構(gòu)代碼證副本復(fù)印件）：

已獲的國(guó)家信息安全服務(wù)資質(zhì)證書(shū)號(hào)碼（附資質(zhì)證書(shū)復(fù)印件）：

其他重要的法律文件：

發(fā)布日期：2011年1月1日第5頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

信息安全眼務(wù)資質(zhì)申詁書(shū)（安全工程類一級(jí)）

二、申請(qǐng)單位概況

本項(xiàng)應(yīng)包括以下內(nèi)容：

1.描述單位基本情況（包括單位規(guī)模大小、隸屬關(guān)系、發(fā)展歷史、業(yè)務(wù)結(jié)構(gòu)、

業(yè)績(jī)等）；

2.申請(qǐng)單位組織結(jié)構(gòu)圖；

3.申請(qǐng)單位部門職能文字描述（包括與安全服務(wù)有關(guān)的管理、研發(fā)、安全

服務(wù)實(shí)施、質(zhì)量保證、客戶服務(wù)、人力資源管理與培訓(xùn)、合同管理等）。

2.1公司簡(jiǎn)介

2.2公司組織架構(gòu)

2.3各部門職責(zé)

三、申請(qǐng)單位近三年資產(chǎn)運(yùn)營(yíng)情況

本項(xiàng)應(yīng)包括以下內(nèi)容：

1.申請(qǐng)單位近三年資產(chǎn)運(yùn)營(yíng)情況（加蓋公章）（表

2.近三年審計(jì)報(bào)告與信用等級(jí)證明材料（若無(wú)審計(jì)報(bào)告請(qǐng)?zhí)峁┘由w公章的

資產(chǎn)負(fù)債表和損益表）；

3.安全服務(wù)費(fèi)用包括：涉及安全內(nèi)容的系統(tǒng)設(shè)計(jì)費(fèi)、軟件開(kāi)發(fā)費(fèi)、系統(tǒng)集

成費(fèi)、服務(wù)費(fèi)和培訓(xùn)費(fèi)等；

4.財(cái)務(wù)虧損或其它異常狀況發(fā)生請(qǐng)?zhí)峁┳C明材料。

發(fā)布日期：2011年1月1日第6頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全眼務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

申請(qǐng)單位近三年資產(chǎn)運(yùn)營(yíng)情況表

表3—1

年年年

資產(chǎn)總額負(fù)債與所有都謚魏

近

三流動(dòng)資產(chǎn)負(fù)債總額

年

應(yīng)收帳款其洸動(dòng)負(fù)債

資

產(chǎn)其平均應(yīng)1處繳中長(zhǎng)期負(fù)債

負(fù)

中存貨有者權(quán)益

債

表存貨其實(shí)1攵資本

固定資產(chǎn)原值中耒分配種田

固定資產(chǎn)凈值

年年年

收入總額財(cái)務(wù)費(fèi)用

近

三其業(yè)別然營(yíng)業(yè)利E閏

年

中其中安全服制然投資4媾

損

益銷售成本利潤(rùn)總額

表

銷售費(fèi)用凈利潤(rùn)

銷售利潤(rùn)

^8費(fèi)用

發(fā)布日期:2011年1月1日第7頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

信息安全服務(wù)資歷申請(qǐng)書(shū)（安全工程類?級(jí)）

四、申請(qǐng)單位人員情況

本項(xiàng)應(yīng)包括以下內(nèi)容：

1.申請(qǐng)單位負(fù)責(zé)人情況（表4—1）；

2.申請(qǐng)單位技術(shù)負(fù)責(zé)人情況（表4—2）：

3.申請(qǐng)單位安全服務(wù)負(fù)責(zé)人情況（表4—3）：

4.以上人員的任職、學(xué)歷、職稱、業(yè)績(jī)證明材料復(fù)印件;

5.安全服務(wù)專業(yè)技術(shù)人員名單（表4—4）；

6.提供已有CISP資格人員的CISP證書(shū)復(fù)印件。

發(fā)布日期：2011年1月1日笫8頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

言息安全服務(wù)資旗申請(qǐng)書(shū)（安全工程類一級(jí)）

申請(qǐng)單位負(fù)責(zé)人情況表

表4—1

職

姓名性別出生年月務(wù)

職稱學(xué)歷畢業(yè)時(shí)間

畢業(yè)學(xué)校

畢業(yè)專業(yè)

信息安全技術(shù)領(lǐng)域工作經(jīng)歷（年數(shù)）

學(xué)

習(xí)

和

工

作

簡(jiǎn)

歷

業(yè)

績(jī)

發(fā)布日期：2011年1月1日笫9頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

言息安全服務(wù)資旗申請(qǐng)書(shū)（安全工程類一級(jí)）

申請(qǐng)單位技術(shù)負(fù)責(zé)人情況

表4—2

職

姓名性別出生年月務(wù)

職稱學(xué)歷畢業(yè)時(shí)間

畢業(yè)學(xué)校

畢業(yè)專業(yè)

信息安全技術(shù)領(lǐng)域工作經(jīng)歷（年數(shù)）

學(xué)

習(xí)

和

工

作

簡(jiǎn)

歷

業(yè)

績(jī)

發(fā)布日期：2011年1月1日笫10頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

言息安全服務(wù)資旗申請(qǐng)書(shū)（安全工程類一級(jí)）

申請(qǐng)單位安全服務(wù)負(fù)責(zé)人情況

表4—3

職

姓名性別出生年月務(wù)

職稱學(xué)歷畢業(yè)時(shí)間

畢業(yè)學(xué)校

畢業(yè)專業(yè)

信息安全技術(shù)領(lǐng)域工作經(jīng)歷（年數(shù)）

學(xué)

習(xí)

和

工

作

簡(jiǎn)

歷

業(yè)

績(jī)

發(fā)布日期：2011年1月1日笫11頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全眼務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

安全服務(wù)專業(yè)技術(shù)人員基本情況

表4一4

序號(hào)部門名稱姓名身份證號(hào)畢業(yè)專業(yè)畢業(yè)時(shí)間學(xué)歷職稱從事

安全服務(wù)人員數(shù)量

安全服務(wù)人員數(shù)量占公司總?cè)藬?shù)比例

發(fā)布日期：2011年I月1日第12頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

信息安全服務(wù)資質(zhì)申請(qǐng)書(shū)（安全工程類一級(jí)）

五、申請(qǐng)單位技術(shù)能力基本情況

本項(xiàng)包括以下四項(xiàng)內(nèi)容：

1.自主開(kāi)發(fā)產(chǎn)品情況（表5—1）；

2.工作環(huán)境設(shè)施情況（表5—2）；

3.常用安全服務(wù)工具情況（表5—3）；

4.安全服務(wù)網(wǎng)站情況（表5—4）。

發(fā)布日期：2011年1月I日笫13頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)中請(qǐng)書(shū)(安全工程類一級(jí))

申請(qǐng)單位技術(shù)能力基本情況表

表5—1

自主開(kāi)發(fā)產(chǎn)品情況

產(chǎn)品名稱

產(chǎn)品概述

產(chǎn)品功能和特點(diǎn)

產(chǎn)品認(rèn)證情況

表5—2

工作環(huán)境設(shè)施情況

分類型號(hào)

服務(wù)整

工作站

網(wǎng)絡(luò)設(shè)備

網(wǎng)絡(luò)安全設(shè)備

其他

發(fā)布日期：2011年1月1日第14頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)中請(qǐng)書(shū)(安全工程類一級(jí))

表5—3

常用安全服務(wù)工具

名稱功能描述版

表5—4

安全服務(wù)網(wǎng)站

網(wǎng)址安全服務(wù)內(nèi)容

發(fā)布日期：2011年I月1日第15頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)中請(qǐng)書(shū)(安全工程類?級(jí))

六、申請(qǐng)單位的信息安全工程過(guò)程能力

本項(xiàng)應(yīng)包括以下十一項(xiàng)內(nèi)容：

1.評(píng)估系統(tǒng)安全威脅的能力；

2.評(píng)估系統(tǒng)脆弱性的能力；

3.評(píng)估安全對(duì)系統(tǒng)的影響的能力：

4.評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)的能力；

5.確定系統(tǒng)的安全需求的能力；

6.確定系統(tǒng)的安全輸入的能力；

7.進(jìn)行管理安全控制的能力；

8.進(jìn)行監(jiān)測(cè)系統(tǒng)安全狀況的能力；

9.進(jìn)行安全協(xié)調(diào)的能力；

10.進(jìn)行檢測(cè)和證實(shí)系統(tǒng)安全性的能力；

11.進(jìn)行建立系統(tǒng)安全的保證證據(jù)的能力。

發(fā)布日期：2011年1月1日第16頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)中請(qǐng)書(shū)(安全工程類?級(jí))

6.1評(píng)估系統(tǒng)安全威脅的能力

本項(xiàng)要求：

I.詳細(xì)描述申請(qǐng)單位是如何識(shí)別系統(tǒng)所面臨的各種安全威脅及其性質(zhì)

和特征；

2.詳細(xì)描述申請(qǐng)組織是如何對(duì)威脅的可能性進(jìn)行評(píng)估的；

3.提供一份具體項(xiàng)目中關(guān)于評(píng)估系統(tǒng)安全威脅的相應(yīng)文檔、記錄。

發(fā)布日期：2011年I月I日第17頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

百息安全服務(wù)資質(zhì)申請(qǐng)書(shū)（安全工程類一級(jí)）

表6—1

描述如何對(duì)系統(tǒng)安全威脅進(jìn)行評(píng)估

系統(tǒng)安全威脅是在信息系統(tǒng)中存在的對(duì)機(jī)構(gòu)、組織或部門造成某種

損害的潛在可能性，可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的活動(dòng)，

威脅是利用脆弱性來(lái)造成后果的。系統(tǒng)安全威脅來(lái)自于兩個(gè)方面：人為

威脅和自然威脅。

人為威脅分兩部分：一是意外的人為威脅，由各類不確定因素綜合

在一起時(shí)偶然發(fā)生的；二是有意的人為威脅，由有意的行為所引起的。

自然威脅是不以人的意志為轉(zhuǎn)移的不可抗拒的自然事件，如地震、

海嘯、雷擊和臺(tái)風(fēng)等等。

識(shí)別并評(píng)價(jià)資產(chǎn)之后，我們將進(jìn)行識(shí)別每項(xiàng)（類）資產(chǎn)可能面臨的

威脅源，并描述其性質(zhì)和特征，常見(jiàn)的威脅如下：

1、人員威脅：包括故意破壞（網(wǎng)絡(luò)攻擊、惡意代碼傳播、郵件炸彈、

非授權(quán)訪問(wèn)等）和無(wú)意失誤（比如誤操作、維護(hù)錯(cuò)誤）；

詳

細(xì)2、系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的故障（軟件故障、硬件故障、介

描質(zhì)老化等）

述

3、環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等；

4、自然威脅：洪水、地震、臺(tái)風(fēng)、滑坡、雷電等。

通過(guò)識(shí)別工作，找出合適的自然威脅列表，對(duì)人為威脅應(yīng)描述其威

脅如何發(fā)生的測(cè)試其威脅相關(guān)事件的可能性，同時(shí)進(jìn)行評(píng)估性工作，如

評(píng)估由人為原因引起的威脅作用力的技能和效力。

就威脅本身來(lái)說(shuō)，評(píng)估威脅可能性時(shí)有兩個(gè)關(guān)鍵因素需要考慮，一個(gè)

是威脅源的動(dòng)磯（Motivation）,包括利益趨勢(shì)、報(bào)復(fù)心理、玩笑等，

另一個(gè)是威脅源的能力（Capability）,包括其技能、環(huán)境、機(jī)會(huì)等。

威脅源的能力和動(dòng)機(jī)都用“高”、“中”、“低”這三級(jí)來(lái)衡量。

在評(píng)估威脅事件可能性時(shí)，我們充分考慮多種因素，如一項(xiàng)資產(chǎn)可能面

臨多個(gè)威脅，而一個(gè)威脅也可能對(duì)不同的資產(chǎn)造成影響，同時(shí)也注意在

不同的安全服務(wù)項(xiàng)目中，各因素出現(xiàn)的概率都有所不同。

威脅的可能性非常難以度量，它依賴于具體的資產(chǎn)、弱點(diǎn)。而影響也依

發(fā)布日期：2011年1月1日第18頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

賴于具體資產(chǎn)的價(jià)值、分類屬性。并且，這兩個(gè)屬性都和時(shí)間有關(guān)系，

也就是說(shuō)，具體的威脅評(píng)估結(jié)果會(huì)隨著時(shí)間的變動(dòng)而需要重新審核。所

以在威脅評(píng)估中，評(píng)估者的專家經(jīng)驗(yàn)非常重要。

備注

注：請(qǐng)?jiān)凇霸敿?xì)描述”中進(jìn)行文字描述說(shuō)明，在“備注”中注明附件名稱。

發(fā)布日期：2011年1月1日第19頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)中請(qǐng)書(shū)(安全工程類?級(jí))

6.2評(píng)估系統(tǒng)脆弱性的能力

木項(xiàng)要求：

1.詳細(xì)描述申請(qǐng)單位是如何對(duì)系統(tǒng)的脆弱性進(jìn)行評(píng)估的，包括所選擇的

分析方法、工具，收集、合成系統(tǒng)的脆弱性數(shù)據(jù)等；

2.提供一份具體項(xiàng)目中關(guān)于系統(tǒng)脆弱性評(píng)估的相應(yīng)文檔、記錄，包括系

統(tǒng)脆弱性清單、攻擊測(cè)試報(bào)告等。

發(fā)布日期：2011年1月1日第20頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

百息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

表6~2

描述如何評(píng)估系統(tǒng)脆弱性

企業(yè)信息系統(tǒng)中光有威脅還構(gòu)不成風(fēng)險(xiǎn)，威脅只有利用了特定的弱點(diǎn)

才可能對(duì)資產(chǎn)造成影響，所以我們針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找

到可被威脅利用的弱點(diǎn)，常見(jiàn)的弱點(diǎn)有三類：

1、技術(shù)性弱點(diǎn)：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷，比如結(jié)構(gòu)

設(shè)計(jì)問(wèn)題和編程漏洞；

2、操作性弱點(diǎn)：軟件和系統(tǒng)在配置、操作、使用中的缺陷，包括人

員日常工作中的不良習(xí)慣，審計(jì)或備份的缺乏；

3、管理性弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方

面的不足。

通過(guò)脆弱性識(shí)別，獲得系統(tǒng)中的脆弱性清單，以及相應(yīng)的測(cè)試分圻結(jié)果

評(píng)估弱點(diǎn)時(shí)充分考慮兩個(gè)因素，一個(gè)是弱點(diǎn)的嚴(yán)重程度，另一個(gè)是弱點(diǎn)的暴

露程度，即被利用的容易程度，這兩個(gè)因素我們也用“高"、'中'、“低”三

詳

個(gè)等級(jí)來(lái)衡量。

細(xì)

描高等級(jí)：可能導(dǎo)致超級(jí)用戶權(quán)限獲取，機(jī)密系統(tǒng)文件讀寫(xiě)，系統(tǒng)崩潰

述

等資產(chǎn)嚴(yán)重?fù)p害的影響，一般為遠(yuǎn)程緩沖區(qū)溢出，超級(jí)用戶弱密碼，嚴(yán)

重拒絕服務(wù)攻擊等。

中等級(jí)：介于高等級(jí)和低等級(jí)之間，一般為不能直接被威脅利月，需

要和其他弱點(diǎn)組合才能造成影響，或可以直接被威脅利用但只能引起中

等的影響。一般為不能直接利用產(chǎn)生超級(jí)用戶權(quán)限獲取、機(jī)密系統(tǒng)文件

讀寫(xiě)、系統(tǒng)崩潰等影響的。

低等級(jí)：可能會(huì)導(dǎo)致一些非機(jī)密信息泄漏、非嚴(yán)重濫用和誤用等不嚴(yán)

重的影響。一般為信息泄漏、配置不規(guī)范、權(quán)限小嚴(yán)格、或如果配置小

當(dāng)可能會(huì)引起危害的弱點(diǎn)。這些弱點(diǎn)即使被威脅利用也不會(huì)引起嚴(yán)重影

響。

參考這些弱點(diǎn)嚴(yán)重性等級(jí)劃分標(biāo)準(zhǔn)，我們采用的等級(jí)劃分標(biāo)準(zhǔn)如下：

將資產(chǎn)的弱點(diǎn)嚴(yán)重性分為5個(gè)等級(jí)，分別是很高、高、中等、低、

可忽略，并且從高到低分別賦值5-1o

發(fā)布日期：2011年1月1日第21頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

百息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

在實(shí)際評(píng)估工作中，技術(shù)類弱點(diǎn)的嚴(yán)重性值一般參考掃描器或CVE標(biāo)

準(zhǔn)中的值，并進(jìn)行修正，從而獲得適用的弱點(diǎn)嚴(yán)重性值。

弱點(diǎn)的識(shí)別和獲取可以有多種方式，例如工具掃描、人工分析、模擬

攻擊測(cè)試、策略文檔分析、安全審計(jì)、網(wǎng)絡(luò)架構(gòu)分析、業(yè)務(wù)流程分析等。

可以根據(jù)具體的評(píng)估對(duì)象、評(píng)估目的來(lái)選擇具體的弱點(diǎn)獲取方式。

在弱點(diǎn)的識(shí)別和獲取中，必須對(duì)應(yīng)前一個(gè)過(guò)程中識(shí)別出的威脅列表，

不能被列表中威脅所利用的弱點(diǎn)在風(fēng)險(xiǎn)評(píng)估中沒(méi)有意義，可以不進(jìn)夕亍識(shí)

別。同時(shí)，因?yàn)橥{來(lái)源可以分為內(nèi)部和外部，所以弱點(diǎn)的獲取方法也

可以根據(jù)威脅的來(lái)源不同而選擇不同的獲取方式，比如從內(nèi)網(wǎng)獲取和從

外網(wǎng)獲取。

備注

注：請(qǐng)?jiān)凇霸敿?xì)描述”中進(jìn)行文字描述說(shuō)明，在“備注”中注明附件名稱。

發(fā)布日期：2011年1月1日第22頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)中請(qǐng)書(shū)(安全工程類?級(jí))

6.3評(píng)估安全對(duì)系統(tǒng)的影響的能力

木項(xiàng)要求：

1.詳細(xì)描述申請(qǐng)單位是如何識(shí)別系統(tǒng)資產(chǎn)和評(píng)估系統(tǒng)資產(chǎn)影響的；

2.提供一份具體項(xiàng)目中關(guān)于評(píng)估系統(tǒng)資產(chǎn)影響的相應(yīng)文檔、記錄，如系

統(tǒng)優(yōu)先級(jí)清單、系統(tǒng)資產(chǎn)影響分析表等。

發(fā)布日期：2011年1月1日第23頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

百息安全服務(wù)資質(zhì)申請(qǐng)書(shū)（安全工程類一級(jí)）

表6—3

描述如何評(píng)估安全對(duì)系統(tǒng)的影響的

影響是安全事件對(duì)系統(tǒng)產(chǎn)生的后果，可能對(duì)資產(chǎn)造成一定的破壞作

用，如對(duì)信息系統(tǒng)的機(jī)密性、完整性、可用性、可說(shuō)明性、驗(yàn)證性或可

靠性的破壞，也可能引起間接的結(jié)果，如經(jīng)濟(jì)損失、市場(chǎng)占有率損失和

公司形象損失等。

首先和組織相關(guān)人員協(xié)商，界定信息資產(chǎn)和重要性，按照保密等級(jí)和

業(yè)務(wù)類型等因素分成若干資產(chǎn)類。確定資產(chǎn)列表，列出包含在資產(chǎn)類和

子類中的所有重要的信息資產(chǎn)，主要包括幾種資產(chǎn)類型，包括數(shù)據(jù)、主

機(jī)、網(wǎng)絡(luò)和虛斗資產(chǎn)。最后將資產(chǎn)賦值，賦值是對(duì)資產(chǎn)的機(jī)密性、完整

性和可用性方面的價(jià)值分別賦予價(jià)值等級(jí)，分為五個(gè)等級(jí)。

識(shí)別系統(tǒng)資產(chǎn)和它的運(yùn)行意義及產(chǎn)品資產(chǎn)和它的運(yùn)行意義，資產(chǎn)包括

系統(tǒng)的人、環(huán)境、技術(shù)和基礎(chǔ)設(shè)施，還包括數(shù)據(jù)和資源。確定評(píng)估影響

的度量標(biāo)準(zhǔn)，從資產(chǎn)預(yù)算財(cái)務(wù)成本、重要等級(jí)和基本的描述中說(shuō)明影響

詳

細(xì)的數(shù)量、質(zhì)量。

描影響有一人屬性：嚴(yán)重性。此值等同于弱點(diǎn)的嚴(yán)重性，考慮資產(chǎn)的等

述

級(jí)將影響嚴(yán)重性分為5個(gè)等級(jí)，分別是很高、高、中等、低、可忽略，

并且從高到低分別賦值5-1o主耍識(shí)別和分析系統(tǒng)操作的運(yùn)行、業(yè)務(wù)或任

務(wù)的影響，并進(jìn)行優(yōu)先級(jí)區(qū)分。

根據(jù)資產(chǎn)重要程度及脆弱性嚴(yán)重程度，計(jì)算安全事件?旦發(fā)生后的損

失，即：

安全事件的影響=尸（資產(chǎn)重要程度，脆弱性嚴(yán)重程度）

部分安全尋件的發(fā)生造成的影響不僅僅是針對(duì)該資產(chǎn)本身，還可能影

響業(yè)務(wù)的連續(xù)性，不同安全事件的發(fā)生友組織造成的影響也是不一樣的。

在計(jì)算某個(gè)安全事件的損失時(shí)，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。

監(jiān)視影響，影響都是動(dòng)態(tài)的，新的影響可以隨著外界與內(nèi)部環(huán)境的變

化而與此相關(guān)。因此重要的是監(jiān)視現(xiàn)有影響并有規(guī)律地檢查潛在的新影

響。

發(fā)布日期：2011年1月1日第24頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

備注

注：請(qǐng)?jiān)凇霸敿?xì)描述”中進(jìn)行文字描述說(shuō)明，在“備注”中注明附件名稱。

發(fā)布日期：2011年1月1日第25頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

6.4評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)的能力

木項(xiàng)要求：

1.詳細(xì)描述申請(qǐng)單位是如何識(shí)別、分析和評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)的，包括選

擇安全風(fēng)險(xiǎn)評(píng)估方法、安全風(fēng)險(xiǎn)的計(jì)算、安全風(fēng)險(xiǎn)等級(jí)排列、提出安

全風(fēng)險(xiǎn)的應(yīng)對(duì)措施等；

2.提供一份具體項(xiàng)目中關(guān)于評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)的相應(yīng)文檔、記錄。

發(fā)布日期：2011年1月1日第26頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

百息安全服務(wù)資質(zhì)申請(qǐng)書(shū)（安全工程類一級(jí)）

表6—4

描述如何評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)的

安全風(fēng)險(xiǎn)評(píng)估的總體目標(biāo)是認(rèn)清信息安全環(huán)境、信息安全狀況，有助

于達(dá)成共識(shí)，明確責(zé)任，采取或完善安全保障措施，使其更加經(jīng)濟(jì)有效，

并使信息安全策略保持一致性和持續(xù)性。

風(fēng)險(xiǎn)評(píng)估的策略是首先選定某項(xiàng)資產(chǎn)，評(píng)估資產(chǎn)價(jià)值，挖掘并評(píng)估資

產(chǎn)面臨的威脅、弱點(diǎn)，評(píng)估該資產(chǎn)的風(fēng)險(xiǎn)，進(jìn)而得出整個(gè)評(píng)估目標(biāo)的風(fēng)

險(xiǎn)。

風(fēng)險(xiǎn)存在兩個(gè)屬性，后果和可能性。最終風(fēng)險(xiǎn)對(duì)信息系統(tǒng)的影響，也

就是風(fēng)險(xiǎn)兩個(gè)屬性權(quán)衡作用的結(jié)果。不同的資產(chǎn)面臨的主要威脅各不相

同。而隨著威脅可以利用的、資產(chǎn)存在的弱點(diǎn)數(shù)量的增加會(huì)增加風(fēng)險(xiǎn)的

可能性。隨著弱點(diǎn)嚴(yán)重級(jí)別的提高會(huì)增加該資產(chǎn)面臨風(fēng)險(xiǎn)的后果。在許

多情況下，某資產(chǎn)風(fēng)險(xiǎn)的可能性是面臨的威脅的可能性和資產(chǎn)存在的脆

弱性的函數(shù)，而風(fēng)險(xiǎn)的后果是資產(chǎn)的價(jià)值（影響）的函數(shù)。

詳

我們采用如下算式來(lái)得到資產(chǎn)的風(fēng)險(xiǎn)賦值：

細(xì)

描風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值X威脅可能性X資產(chǎn)脆弱性

述

上述公式主要考慮到各參數(shù)的取值并不是特別精確的數(shù)據(jù)，加入了顧

問(wèn)的經(jīng)驗(yàn)和判斷，在國(guó)際中對(duì)此類數(shù)據(jù)常采用的數(shù)據(jù)主耍使用乘法或矩

陣等方法?？紤]到便于運(yùn)算，故我們采用線性的相乘。根據(jù)風(fēng)險(xiǎn)信息和

數(shù)據(jù)，對(duì)風(fēng)險(xiǎn)分析予以不同程度的改進(jìn)。采用下面的賦值矩陣來(lái)獲得最

終的風(fēng)險(xiǎn)等級(jí)：

等級(jí)標(biāo)識(shí)含義數(shù)值

5很高風(fēng)險(xiǎn)很高，導(dǎo)致系統(tǒng)受到非常嚴(yán)重影響的101-125

可能性很大

4高風(fēng)險(xiǎn)高，導(dǎo)致系統(tǒng)受到嚴(yán)重影響的可能性76-100

較大

3中風(fēng)險(xiǎn)中，導(dǎo)致系統(tǒng)受到影響的可能性較大51-75

2低風(fēng)險(xiǎn)低，導(dǎo)致系統(tǒng)受到影響的可能性小26-50

1很低風(fēng)險(xiǎn)很低，導(dǎo)致系統(tǒng)受到影響的可能性很0-25

發(fā)布日期：2011年1月1日第27頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

小

風(fēng)險(xiǎn)等級(jí)對(duì)照表

備注

注：請(qǐng)?jiān)凇霸敿?xì)描述”中進(jìn)行文字描述說(shuō)明，在“備注”中注明附件名稱。

發(fā)布日期：2011年1月1日第28頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

6.5確定系統(tǒng)的安全需求的能力

木項(xiàng)要求：

1.詳細(xì)描述申請(qǐng)單位是如何進(jìn)行系統(tǒng)安全需求分析并提出系統(tǒng)安全要

求的；

2.提供一份具體項(xiàng)目中關(guān)于確定系統(tǒng)的安全需求的相應(yīng)文檔、記錄，如

安全需求調(diào)查表、安全策略定義，安全目標(biāo)定義，安全需求分析報(bào)告

等。

發(fā)布日期：2011年1月1日第29頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

百息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

表6—5

描述如何確定系統(tǒng)的安全需求的

安全需求有三個(gè)主要來(lái)源：

第一個(gè)來(lái)源是對(duì)機(jī)構(gòu)面臨的風(fēng)險(xiǎn)的評(píng)估。經(jīng)過(guò)評(píng)估風(fēng)險(xiǎn)后，便可以找

出對(duì)機(jī)構(gòu)資產(chǎn)安全的威脅，對(duì)漏洞及其出現(xiàn)的可能性以及造成多大次失

有個(gè)估計(jì)。

第二個(gè)來(lái)源是機(jī)構(gòu)與合作伙伴、供應(yīng)商及服務(wù)提供者共同遵守的法

律、法令、規(guī)例及合約條文的要求。

第三個(gè)來(lái)源是機(jī)構(gòu)為業(yè)務(wù)正常運(yùn)作所特別制定的原則、目標(biāo)及信息處

理的規(guī)定。

詳通過(guò)與用戶相關(guān)人員充分交流、問(wèn)卷調(diào)查的方式獲得用戶系統(tǒng)安全需求

細(xì)

及外部影響，如可用的法律、策略、和約束。當(dāng)識(shí)別安全需求出現(xiàn)沖突時(shí)

描

述應(yīng)按最小化原則加以識(shí)別，并在可能條件下予以解決。識(shí)別系統(tǒng)的月途，

以識(shí)別和定義其安全相關(guān)的安全需求，同時(shí)了解關(guān)聯(lián)性的因素，監(jiān)視和定

期評(píng)估這些因素是如何影響系統(tǒng)安全性的，定義的相關(guān)安全應(yīng)與可適用

的政策、法律法規(guī)、標(biāo)準(zhǔn)及系統(tǒng)的約束條件協(xié)調(diào)一致。

在系統(tǒng)安全需求的約束內(nèi)進(jìn)行廣泛討論，面向高層次安全開(kāi)發(fā)一個(gè)規(guī)

劃圖，其中包括角色、職責(zé)、信息流程、資產(chǎn)、人員保護(hù)以及物理保護(hù)。

在系統(tǒng)運(yùn)行中，注意安全目標(biāo)的影響，因此要?jiǎng)討B(tài)的捕捉安全的高層目

標(biāo)。通過(guò)對(duì)安全需求分析，確定安全策略、安全目標(biāo)。并在各種安全需

求之間建立安全協(xié)議，從而使它們達(dá)成一致。

備

注

注：請(qǐng)?jiān)凇霸敿?xì)描述”中進(jìn)行文字描述說(shuō)明，在“備注”中注明附件名稱。

發(fā)布日期：2011年1月1日第30頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)中請(qǐng)書(shū)(安全工程類?級(jí))

6.6確定系統(tǒng)的安全輸入的能力

木項(xiàng)要求：

1.詳細(xì)描述申請(qǐng)單位是如何為系統(tǒng)的規(guī)劃者、設(shè)計(jì)者、實(shí)施者或用戶提

供他們所需的安全輸入的，包括對(duì)系統(tǒng)安全體系進(jìn)行設(shè)計(jì)、編制安全

工程實(shí)施指南、系統(tǒng)安全運(yùn)行操作指南和有關(guān)安全管理制度等文檔、

進(jìn)行安全培訓(xùn)等；

2.提供一份具體項(xiàng)目中關(guān)于確定系統(tǒng)的安全輸入的相應(yīng)文檔、記錄，如

系統(tǒng)安全體系設(shè)計(jì)方案，各種安全相關(guān)的指南等。

發(fā)布日期：2011年1月1日第31頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

百息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

表6—6

描述如何確定系統(tǒng)的安全輸入的

同用戶、系統(tǒng)安全規(guī)劃者、系統(tǒng)安全設(shè)計(jì)者進(jìn)行充分交流與溝通，為

他們提供所需的安全信息必須建立的組織的信息安全的整體框架，再輔

之以文檔、備忘錄、培訓(xùn)、咨詢等多種形式的輸入,最終形成安全信息的

一個(gè)共同理解。組織信息安全的框架基于企業(yè)安全需求分析所確定的需

求，對(duì)于企業(yè)的安全架構(gòu)模型、策略、程序、組織、運(yùn)行管理、項(xiàng)目的

選擇、設(shè)計(jì)、實(shí)施等方面提供詳細(xì)的描述，對(duì)采取的技術(shù)手段與方法提供

明確的描述，并對(duì)以后的安全規(guī)劃提供建議。

根據(jù)國(guó)際國(guó)內(nèi)信息安全的標(biāo)準(zhǔn)，相關(guān)的資料、工程經(jīng)驗(yàn)對(duì)安全工程的

可能約束進(jìn)行仔細(xì)分析，以決定在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置和文檔方面

的任何安全限制與約束。約束在系統(tǒng)生命期內(nèi)的所有時(shí)間內(nèi)進(jìn)行肯定或

詳否定性的識(shí)別。也考慮在不同抽象層次上進(jìn)行約束的識(shí)別。這些約束與

細(xì)

考慮用于安全選擇和提供安全工程指南。

描

述通過(guò)對(duì)安全相關(guān)的需求進(jìn)行分解、分析和重組，這一過(guò)程是反復(fù)進(jìn)行

的，最終把安全相關(guān)的需求轉(zhuǎn)化到實(shí)現(xiàn)中，形成有效的解決方案，解決方

案包括：系統(tǒng)體系結(jié)構(gòu)、設(shè)計(jì)、實(shí)現(xiàn)方法。同時(shí)根據(jù)安全約束和需要考慮

的問(wèn)題進(jìn)行方案分析，并對(duì)安全約束和需要考慮的問(wèn)題定義它們的優(yōu)先級(jí)

開(kāi)發(fā)出與安全有關(guān)的指南，并提供給工程組，安全工程指南包括體系結(jié)構(gòu)

設(shè)計(jì)和實(shí)現(xiàn)建議等。同時(shí)為運(yùn)行系統(tǒng)的用戶和管理員提供安全相關(guān)的指南

本指南告訴用戶和管理員以安全模式進(jìn)行安裝、配置、運(yùn)行和淘汰系統(tǒng)時(shí)

必須做些什么、需要注意的事項(xiàng)。本指南的開(kāi)發(fā)應(yīng)在項(xiàng)目生命期內(nèi)提早

開(kāi)始，為用戶和管理員提供標(biāo)準(zhǔn)的和系統(tǒng)詳細(xì)的文檔資料，包括：項(xiàng)目

說(shuō)明書(shū)，項(xiàng)目開(kāi)發(fā)文檔、接口說(shuō)明、管理員和用戶手冊(cè)等文檔。

備注

發(fā)布日期：2011年1月1日第32頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

注：請(qǐng)?jiān)凇霸敿?xì)描述”中進(jìn)行文字描述說(shuō)明，在“備注”中注明附件名稱。

發(fā)布日期：2011年1月1日第33頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)中請(qǐng)書(shū)(安全工程類?級(jí))

6.7進(jìn)行管理安全控制的能力

木項(xiàng)要求：

1.詳細(xì)描述申請(qǐng)單位是如何對(duì)系統(tǒng)的安全控制進(jìn)行管理的，包括控制系

統(tǒng)在運(yùn)行狀態(tài)最終實(shí)現(xiàn)所設(shè)計(jì)的安全程度，建立安全職責(zé)，對(duì)所有用

戶和管理員實(shí)施安全意識(shí)教育和培訓(xùn)，制定和維護(hù)教育大綱，木?系統(tǒng)

進(jìn)行合理配置等；

2.提供一份具體項(xiàng)目中關(guān)于進(jìn)行管理安全控制的相應(yīng)文檔、記錄。

發(fā)布日期：2011年1月1日第34頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

百息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

表.6—7

描述如何進(jìn)行管理安全控制的能力

通過(guò)協(xié)助月戶建立安全控制策略，完善安全控制的職責(zé)和責(zé)任，將安

全控制的職責(zé)和責(zé)任通知到組織中的每一個(gè)人。通過(guò)建立安全組織圖表，

描述安全角色和安全職責(zé)，并對(duì)安全織織中的人員進(jìn)行授權(quán)和培訓(xùn)。

對(duì)系統(tǒng)安全控制進(jìn)行配置管理：如操作系統(tǒng)的更新、軟件的更新、系

統(tǒng)安全配置的修改等進(jìn)行記錄。并且安全控制的配置管理應(yīng)該是可知的

和可維護(hù)的。

根據(jù)所有的用戶和管理員的安全意識(shí)、受培訓(xùn)的程度制定相關(guān)安全意

詳

細(xì)識(shí)、培訓(xùn)大綱與培訓(xùn)教材。對(duì)于一個(gè)特定的安全機(jī)制和控制來(lái)說(shuō)，用戶

描對(duì)該安全所處的位置與重要性的原因的明確是最重要的，所以需要跟蹤

述

用戶對(duì)組織和系統(tǒng)安全的理解，不定期的進(jìn)行用戶安全培訓(xùn)，以調(diào)整用

戶適應(yīng)新的安全需要。

定期維護(hù)和管理安全服務(wù)與控制機(jī)制：如維護(hù)和管理日志，定期根據(jù)

安全策略對(duì)企業(yè)和系統(tǒng)進(jìn)行安全檢查。跟蹤記錄系統(tǒng)維護(hù)與檢查方面的

問(wèn)題，以便識(shí)別需要額外關(guān)注的地方，注意維護(hù)、管理與檢查的例外，

描述敏感信息和敏感介質(zhì)清單，建立起保證措施，以降低敏感信息與介

質(zhì)可能出現(xiàn)的不必要風(fēng)險(xiǎn)。

備注

注：請(qǐng)?jiān)凇霸敿?xì)描述”中進(jìn)行文字描述說(shuō)明，在“備注”中注明附件名稱。

發(fā)布日期：2011年1月1日第35頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)中請(qǐng)書(shū)(安全工程類?級(jí))

6.8進(jìn)行監(jiān)測(cè)系統(tǒng)安全狀況的能力

木項(xiàng)要求：

1.詳細(xì)描述申請(qǐng)單位是如何監(jiān)測(cè)系統(tǒng)的安全狀態(tài)并處理安全突發(fā)事件

的；

2.提供一份具體項(xiàng)目中關(guān)于進(jìn)行監(jiān)測(cè)系統(tǒng)安全狀況的相應(yīng)文檔、記錄。

發(fā)布日期：2011年1月1日第36頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）

百息安全服務(wù)資質(zhì)申請(qǐng)書(shū)（安全工程類一級(jí)）

表6—8

描述如何進(jìn)行監(jiān)測(cè)系統(tǒng)安全狀況的

分析各種事件記錄，事件日志記錄至少應(yīng)包括：用戶身份標(biāo)識(shí)符、登

陸與退出系統(tǒng)的日期和時(shí)間以及對(duì)終端的身份和位置，成功的和被拒絕

的系統(tǒng)訪問(wèn)嘗試的記錄，成功的和被拒絕的數(shù)據(jù)和其它資源的訪問(wèn)嘗試

的記錄（包括m志記錄）。通過(guò)對(duì)相關(guān)事件的綜合分析，以確定一個(gè)事件

的原因及其發(fā)展，以及將來(lái)可能發(fā)生的事件，對(duì)每一個(gè)事件進(jìn)行描述，

并建立起日志汜錄和來(lái)源，對(duì)最近的日志加以分析并進(jìn)行一定的歸納。

特別要?jiǎng)討B(tài)的監(jiān)控威脅、脆弱性、影響、風(fēng)險(xiǎn)和環(huán)境變化，并在報(bào)告中

體現(xiàn)，在報(bào)告中對(duì)變化的意義進(jìn)行定期評(píng)估。

查找可能影響當(dāng)前安全狀態(tài)有效性的任何變化，不管這種影響是正面

的還是負(fù)面的.任何系統(tǒng)實(shí)現(xiàn)的安全應(yīng)該與威脅、脆弱性、影響和風(fēng)險(xiǎn)

相關(guān)聯(lián)，這些因素與系統(tǒng)的內(nèi)部和外部環(huán)境有關(guān)，它們沒(méi)有一個(gè)是靜態(tài)

的，而變化既影響有效性，也影響適應(yīng)性。必須監(jiān)視所有因素的變化，

詳

細(xì)并分析并評(píng)估這些變化對(duì)安全有效性的影響。對(duì)變化進(jìn)行周期性的安全

描評(píng)估，可以對(duì)安全狀態(tài)的變化進(jìn)行分析，確定它們的影響和做出響應(yīng)的

述

需求。安全風(fēng)險(xiǎn)評(píng)估包括但不限于以下這象：物理環(huán)境，網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)

絡(luò)服務(wù)，主機(jī)系統(tǒng)，數(shù)據(jù)，應(yīng)用系統(tǒng)，安全系統(tǒng)，安全相關(guān)人員，處理

流程，安全管理制度，安全策略。通過(guò)安全風(fēng)險(xiǎn)評(píng)估也可以識(shí)別出任何

可能影響系統(tǒng)安全狀態(tài)的內(nèi)部或外部變化。

制定安全突發(fā)事件響應(yīng)指南，包括：制定安全突發(fā)事件提交策略，定

義安全突發(fā)事件響應(yīng)的優(yōu)先級(jí)，對(duì)安全突發(fā)的調(diào)查與評(píng)估，制定安全突

發(fā)事件有關(guān)的補(bǔ)救措施，成立安全突發(fā)事件響應(yīng)小組。確定是否發(fā)生了

一個(gè)有關(guān)安全的突發(fā)事件，識(shí)別出事件詳細(xì)情況并根據(jù)突發(fā)事件響應(yīng)指

南進(jìn)行處理。有關(guān)安全的突發(fā)事件可利用歷史事件的數(shù)據(jù)、系統(tǒng)配置數(shù)

據(jù)、完整性工具和其它系統(tǒng)信息診斷出來(lái)。由于某些突發(fā)事件會(huì)經(jīng)過(guò)一

個(gè)長(zhǎng)周期時(shí)間后才出現(xiàn)，因此這種分析可能涉及到與前系統(tǒng)狀態(tài)進(jìn)行比

較。檢測(cè)安全防護(hù)措施的執(zhí)行情況，以識(shí)別出安全防護(hù)措施執(zhí)行中的變

化。不使安全防護(hù)措施在使用后處于不恰當(dāng)?shù)幕驘o(wú)效的狀態(tài)。許多安全

發(fā)布日期：2011年1月1日第37頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

防護(hù)措施提供它們的當(dāng)前狀態(tài)、有效性和維護(hù)要求的指南，也需要根據(jù)

這些指南確認(rèn)防護(hù)措施的有效性。審核系統(tǒng)安全態(tài)勢(shì)以識(shí)別必要的修改,

描述當(dāng)前安全風(fēng)險(xiǎn)環(huán)境、現(xiàn)有的安全態(tài)勢(shì)和對(duì)這兩者是否兼容進(jìn)行分析,

并通過(guò)第三方權(quán)威組織認(rèn)證，通過(guò)報(bào)告的形式指明在運(yùn)行的系統(tǒng)中，安

全風(fēng)險(xiǎn)是可接受的。由于許多事件不能預(yù)防，因而對(duì)破壞的響應(yīng)能力是

十分重要的。為了保證監(jiān)控活動(dòng)的可信性，應(yīng)封存和歸檔相關(guān)的日志、

審計(jì)報(bào)告和相關(guān)分析結(jié)果。

備注

注：請(qǐng)?jiān)凇霸敿?xì)描述”中進(jìn)行文字描述說(shuō)明，在“備注”中注明附件名稱。

發(fā)布日期：2011年1月1日第38頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)中請(qǐng)書(shū)(安全工程類?級(jí))

6.9進(jìn)行安全性協(xié)調(diào)的能力

木項(xiàng)要求：

1.詳細(xì)描述申請(qǐng)單位是如何進(jìn)行系統(tǒng)安全協(xié)調(diào)的，包括建立的協(xié)調(diào)機(jī)制,

系統(tǒng)安全協(xié)調(diào)的技術(shù)方法、具體措施等；

2.提供一份具體項(xiàng)目中關(guān)于進(jìn)行安全性協(xié)調(diào)的相應(yīng)文檔、記錄。

發(fā)布日期：2011年1月1日第39頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

百息安全服務(wù)資質(zhì)申請(qǐng)書(shū)(安全工程類一級(jí))

表6一9

描述如何進(jìn)行安全協(xié)調(diào)的

制定安全協(xié)調(diào)的流程，信息共享協(xié)議、工作組的成員關(guān)系、協(xié)調(diào)日程

表。描述定義各工作組之間及用戶之間溝通安全相關(guān)信息的過(guò)程和程序。

制定工作組間及其與其他團(tuán)體間的溝通計(jì)劃與流程，指明通信的基礎(chǔ)

設(shè)施和標(biāo)準(zhǔn)，同時(shí)確定各種文檔的格式,制定工作組間及與其他團(tuán)體間的

溝通計(jì)劃，如會(huì)議日期、共享的信息、會(huì)議過(guò)程、會(huì)議紀(jì)要、消息、、備

詳忘錄的模板。

細(xì)制定沖突解決的流程，以便協(xié)調(diào)解決沖突。

描

述描述協(xié)調(diào)的議題、強(qiáng)調(diào)需要闡述的目標(biāo)和行動(dòng)條目，并跟蹤行動(dòng)條目

的實(shí)際情況：WBS工作分解、項(xiàng)目分解的計(jì)劃作組職責(zé)、進(jìn)度表、相關(guān)

工作事項(xiàng)的優(yōu)先級(jí)。在各種安全工程組織、其他工程組織、外部實(shí)體和

其他相關(guān)部門中交流的安全決定與建議。通過(guò)會(huì)議報(bào)告、備忘錄、工作

組會(huì)議紀(jì)要、電子郵件、安全指南或公告牌將有關(guān)的決定或建議通知相

關(guān)的工作組或人員。

備注

注：請(qǐng)?jiān)凇霸敿?xì)描述”中進(jìn)行文字描述說(shuō)明，在“備注”中注明附件名稱。

發(fā)布日期：2011年1月1日第40頁(yè)共76頁(yè)

中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)

信息安全服務(wù)資質(zhì)中請(qǐng)書(shū)(安全工程類?級(jí))

6J0進(jìn)行檢測(cè)和證實(shí)系