四川信息安全認證咨詢 信息系統(tǒng)安全集成服務資質(zhì)認證評價要求

信息系統(tǒng)安全集成服務資質(zhì)認證評價要求

1　范圍

信息系統(tǒng)安全集成服務資質(zhì)認證是依據(jù)國家認證認可法律法規(guī)及國際、國內(nèi)相關技術標準和規(guī)范，對信息系統(tǒng)安全集成服務提供者的資質(zhì)進行評價的合格評定活動。

本規(guī)則提出了信息系統(tǒng)安全集成服務提供者（以下簡稱服務提供者）應具備的服務能力要求，及實施信息系統(tǒng)安全集成服務資質(zhì)認證的程序與管理要求。

本規(guī)則適用于對服務提供者服務能力的評價活動；可作為信息系統(tǒng)所有者選擇服務提供者的依據(jù)；可為有關管理部門對服務提供者進行管理提供參考；也可為服務提供者自我能力改進提供參考。

2　規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

對信息系統(tǒng)安全集成服務提供者所具備的服務資質(zhì)進行評價所引用的標準包括：

GB/T20261-2006信息技術系統(tǒng)安全工程能力成熟度模型

YD/T1621-2007網(wǎng)絡與信息安全服務資質(zhì)評價準則

YD/T1799-2008網(wǎng)絡與信息安全應急處理服務資質(zhì)評價方法

YD/T2252-2011網(wǎng)絡與信息安全風險評估服務能力評價方法

CNCA/CTS0052-2007信息安全服務資質(zhì)認證技術規(guī)范

GB/T5271.8-2001《信息技術詞匯第8部分：安全》中的術語和定義適用于本標準。

3　術語和定義

GB/T20261-2006中的術語均適用于本規(guī)則。

3.1　

信息系統(tǒng)安全集成服務informationsystemsecurityintegrationservice

信息系統(tǒng)安全集成服務（以下簡稱：安全集成）是指從事計算機應用系統(tǒng)工程和網(wǎng)絡系統(tǒng)工程的安全需求界定、安全設計、建設實施、安全保證的活動。

信息系統(tǒng)安全集成一般是按照信息系統(tǒng)建設的安全需求，采用信息系統(tǒng)安全工程的方法和理論，將安全單元、產(chǎn)品部件進行集成的行為或活動。信息系統(tǒng)安全集成包括在新建信息系統(tǒng)的結(jié)構化設計中考慮信息安全保證因素，從而使建設完成后的信息系統(tǒng)滿足建設方或使用方的安全需求而開展的活動。也包括在已有信息系統(tǒng)的基礎上額外增加信息安全子系統(tǒng)或信息安全設備等，通常被稱為安全優(yōu)化或安全加固。

4　安全集成服務提供者基本的資質(zhì)要求

4.1　基本條件

服務提供者應：

(1)具有中華人民共和國境內(nèi)的獨立法人資格，具有相關部門頒發(fā)的合法經(jīng)營資格；

(2)近兩年內(nèi)經(jīng)濟狀況良好，財務數(shù)據(jù)真實可信，并應經(jīng)國家相關部門認定的會計師事務所核實；

(3)具有固定的工作場所；

(4)遵守國家現(xiàn)行法律、法規(guī)的規(guī)定。

4.2　基本管理能力要求

服務提供者應：

(1)采取技術和管理措施確保客戶信息的安全、可控，這些信息包括但不限于客戶資料、集成活動中產(chǎn)生的文檔、最終安全集成報告等；

(2)制定保密管理制度，明確保密崗位與職責，定期對服務人員進行保密教育與培訓，并簽訂《保密責任書》，規(guī)定應當履行的安全保密義務和承擔的法律責任，并負責落實；

(3)建立人員管理制度，使每一位服務人員持續(xù)滿足崗位職責的需求；制定安全集成技能培訓計劃，定期對服務人員進行培訓、指導、考核；

(4)建立項目管理制度，并按照項目管理制度實施，具體包括在項目實施過程中如何與組織內(nèi)外的交流機制、規(guī)劃關鍵技術活動、分配資源、指派責任、設立項目的里程碑及評審要求、日常的監(jiān)督檢查要求、編制過程文檔、提供工具、確保培訓、策劃過程等，以保證安全服務的質(zhì)量；

(5)建立項目風險管理制度，評估項目風險，制定項目風險控制措施并跟蹤其有效性；

(6)建立安全集成所需的設備采購管理制度，明確規(guī)定采購流程、流程中各環(huán)節(jié)責任制，確保采購質(zhì)量，控制采購成本；準確識別供方提供的服務或系統(tǒng)構件及其專業(yè)資質(zhì)和能力，并與供方的有效溝通機制等；

(7)制定符合標準要求的安全集成方案、報告等文檔模板。

4.3　基本技術能力要求

服務提供者應：

(1)具備安全集成有關的工作流程及操作規(guī)范；

(2)具備制定安全集成方案并能夠按照該方案實施的能力；能夠提供信息系統(tǒng)安全集成服務報告、系統(tǒng)使用指南等文檔；

(3)具備對安全集成系統(tǒng)進行檢測和驗證的能力；

(4)熟悉國內(nèi)外主流的信息技術產(chǎn)品、信息安全產(chǎn)品的功能及特性；

(5)具有滿足項目需要的開發(fā)、測試工具及模擬環(huán)境；

(6)有專門的技術人員關注并掌握信息安全技術、標準和法規(guī)；關注國內(nèi)外權威機構發(fā)布的安全公告及漏洞公告，并對最新的安全相關技術進行研究。

5　信息系統(tǒng)安全集成服務過程要求

5.1　信息系統(tǒng)安全集成服務過程概述

信息系統(tǒng)安全集成服務過程分為四個階段：集成準備、方案設計、建設實施、安全保證。

集成準備階段主要是界定安全需求、簽訂服務合同、確定服務人員、簽訂保密協(xié)議等；方案設計階段主要根據(jù)國家及有關行業(yè)的要求，充分考慮各方面的安全需求和安全背景，以設計出適用的項目方案；建設實施階段主要是在新建或已運行的網(wǎng)絡環(huán)境中實現(xiàn)項目方案的預期安全目標和效果；安全保證階段主要是完成施工的安全系統(tǒng)進行檢驗、檢測，觀察運行情況，收集能夠?qū)崿F(xiàn)設計功能目標好通過在方案設計階段、建設實施階段等過程中，收集客戶的安全需求已經(jīng)得到滿足的證據(jù)。

信息系統(tǒng)安全集成服務過程的四個階段包括10個過程要求(見表1)，各過程要求細則共43項(見集成服務各階段的過程要求，表2、表3、表4、表5)。過程要求項定義了為滿足各階段過程的內(nèi)容要點以及最佳實踐。

表1：信息系統(tǒng)安全集成服務過程要求列表

5.2　集成準備

5.2.1安全需求界定

風險評估是安全集成的重要基礎。依據(jù)信息安全風險評估過程中已識別出的風險，明確客戶的內(nèi)外部安全需求，并制定安全目標。

本要求的目標：在安全需求方面與客戶和其他團體達成共識。

具體要求和說明如下：

(1)理解安全需求

收集和分析所有有助于全面理解客戶安全需求的信息。

(2)識別適用的法律、政策和約束條件

識別影響客戶系統(tǒng)安全需求的法律、法規(guī)和行業(yè)標準等外部因素，并確定遵從全球性政策和本地政策的優(yōu)先權。

(3)識別安全背景

識別影響信息系統(tǒng)安全的背景因素，如信息系統(tǒng)的用途(如金融、醫(yī)療)、運行場景、技術發(fā)展的變化、社會當前熱點事件。

(4)獲取安全視圖

開發(fā)組織的高層次安全分析視圖，包括業(yè)務需求、角色、職責、信息流、資產(chǎn)、資源、人員保護以及物理保護等。

(5)識別安全目標

識別滿足信息系統(tǒng)安全需求的安全目標。安全目標應該至少涉及信息系統(tǒng)及其承載信息的可用性、保密性、完整性、可核查性、真實性和可靠性要求等。

(6)定義安全要求

定義信息系統(tǒng)的安全要求，并確保安全要求與適用的政策、法律、標準、安全需求以及約束條件保持一致。安全要求應全面體現(xiàn)信息系統(tǒng)的安全需求，并與安全目標建立對應關系。

(7)達成安全協(xié)議

依據(jù)安全要求和客戶需求，與客戶和相關的團體達成共識。

5.2.2確定服務合同

（1）與客戶和供方在服務合同中至少明確服務范圍、目標、質(zhì)量和成本；

（2）與客戶和供方在服務合同中包括項目保密責任和違約責任。

5.2.3確定服務人員和組織

與客戶和供方確定項目人員構成，并控制由項目人員變更帶來的相關風險。

5.2.3簽訂保密協(xié)議

與客戶和供方簽訂保密協(xié)議；注意保密內(nèi)容與客戶要求的一致性。

表2：信息系統(tǒng)安全集成服務準備階段要求

5.3　方案設計

基于“5.2.1安全需求界定”中識別的安全需求，為信息系統(tǒng)的規(guī)劃人員、設計人員、實施人員和客戶提供所需的安全輸入信息。這些信息至少包括安全體系結(jié)構、設計或?qū)嵤┑捻椖糠桨敢约鞍踩改稀?o:p>

本要求的目標：評審信息系統(tǒng)中所有涉及安全的問題，并按照安全目標在方案設計中落實；安全集成項目組及各工作組所有成員都應該理解安全問題，以各司其職；項目方案應反映所提供的安全需求和要求。

具體要求和說明如下：

(1)理解安全需求

與設計人員、開發(fā)人員、客戶溝通確認，以確保相關團體對安全輸入需求達成共識。

(2)確定安全約束條件和考慮事項

安全集成項目組應分析和確定在需求、設計、實施、配置和文檔方面的安全約束條件和考慮事項，以便于在各工作組的具體工作中做出最佳的安全集成選擇。

(3)識別安全集成項目方案

根據(jù)客戶安全需求以及其他約束條件，識別和制定項目方案。

(4)評審項目方案

各工作組和安全集成項目組要利用已識別的安全約束條件和考慮事項評審項目方案。

(5)提供安全集成指南

安全集成項目組應開發(fā)項目相關的安全集成指南，并把它提供給各工作組。各工作組根據(jù)相關的安全集成指南對信息系統(tǒng)體系結(jié)構、設計和實現(xiàn)的選擇條件做出決定。

(6)提供安全運行指南

安全集成項目組應設計并開發(fā)安全運行指南，并提供給系統(tǒng)用戶和管理員。本運行指南指導用戶和管理員以安全的方式進行安裝、配置、運行和廢棄系統(tǒng)。

表3：信息系統(tǒng)安全集成服務方案設計階段要求

5.4　建設實施

5.4.1協(xié)調(diào)安全

協(xié)調(diào)安全的目的是確保所有相關組織和工作組人員都能積極參與安全集成項目。協(xié)調(diào)安全涉及到保持所有項目人員與外部組織以及工作組之間溝通。

本要求的目標：項目組的所有成員都能主動地參與到安全集成項目中，最大程度地發(fā)揮他們的作用；溝通和協(xié)調(diào)有關安全的決策和建議。

具體要求和說明如下：

(1)制定協(xié)調(diào)目標

需要相關工作組重視并參與安全集成項目。根據(jù)項目組的信息需求和項目要求決定共享信息的目標，并建立與他們之間的合作關系和承諾。

(2)識別協(xié)調(diào)機制

識別在項目中協(xié)調(diào)安全的不同方法，用于與相關組織共享安全集成的決策和建議。

(3)促進安全協(xié)調(diào)

確保以合適和有效的方式來解決項目開展期間的意見分歧。

(4)協(xié)調(diào)安全決策和建議

運用已識別的協(xié)調(diào)機制，與項目組人員、各工作組及其他組織溝通安全決策和建議。

5.4.2管理安全控制

管理和維護安全控制措施。通過正確實施和配置，確保信息系統(tǒng)的安全措施在其運行狀態(tài)下達到預期目標。

本要求的目標：正確配置和使用安全控制措施。

具體要求和說明如下：

(1)建立安全職責

確保相關負責人的行為職責得到授權，并且傳達給組織中的所有成員。無論采用什么安全控制措施，都應該確保管理職責是明確和持續(xù)適用的。

(2)管理安全控制措施的配置

對信息系統(tǒng)安全控制機制進行配置管理，制定相關流程和要求。

(3)管理安全意識、培訓和教育

像管理其他的意識、培訓和教育一樣，對所有員工的安全意識、培訓和教育進行管理。

(4)定期維護與管理安全控制措施

定期維護和管理安全服務和控制措施，包括保護服務和控制機制免受有意或者無意的損壞，并依據(jù)法律和政策的要求進行備案。

5.4.3監(jiān)控安全態(tài)勢

監(jiān)控安全態(tài)勢的目的是確保識別和報告所有的安全違規(guī)行為、試圖違規(guī)行為或能夠潛在地導致安全違規(guī)的錯誤。監(jiān)控安全態(tài)勢需要監(jiān)控內(nèi)部和外部環(huán)境中可能影響信息系統(tǒng)安全的所有因素。

本要求的目標：檢測和跟蹤內(nèi)部與外部的安全事件，并根據(jù)策略進行安全響應；根據(jù)安全目標，識別并處理安全態(tài)勢的變化。

具體要求和說明如下：

(1)分析事件記錄

檢查安全信息相關的事件記錄。識別值得關注的事件，以及與其他事件的關聯(lián)性。

(2)監(jiān)控變化

關注可能影響當前安全狀態(tài)有效性的任何變化。威脅、脆弱性、影響和風險與信息系統(tǒng)的安全緊密相關。

(3)識別安全事件

確定是否發(fā)生了安全事件，識別其詳細情況并且在必要時向上級報告。

(4)監(jiān)控安全防護措施

經(jīng)常檢查安全防護措施的運行狀態(tài)，以便識別出其性能的變化和功能的有效性。

(5)評審安全態(tài)勢

定期檢查安全措施和相關的安全要求，以識別必要的安全變更。

(6)管理安全事件響應

制定應急響應計劃，和快速恢復策略和恢復計劃；并定期測試和維護應急響應計劃。

(7)保存安全監(jiān)控結(jié)果

封存和歸檔安全監(jiān)控日志、審計報告和分析結(jié)果。

表4：信息系統(tǒng)安全集成服務建設實施階段要求

5.5　安全保證

5.5.1建立保證論據(jù)

建立保證論據(jù)的目的是通過相關的證據(jù)清楚地表明客戶的安全需求已經(jīng)得到滿足。保證論據(jù)是由多種保證證據(jù)支持的一系列陳述性保證目標，包括識別和定義保證要求、證據(jù)的產(chǎn)生和分析活動以及支持保證要求所需的附加證據(jù)活動。另外，收集、整理并展示這些活動生成的證據(jù)。

本要求的目標：項目工作結(jié)果和工作過程向客戶明確地提供了其安全需求已被滿足的證據(jù)。

具體要求和說明如下：

(1)識別保證目標

由客戶確定的安全保證目標指明了信息系統(tǒng)需要的信任等級和安全策略實現(xiàn)的信任等級。保證目標的充分性應該由開發(fā)商、集成商、客戶和信息系統(tǒng)運維人員共同確定。

(2)制定保證策略

制定安全保證策略的目的是策劃和確保安全目標被正確地貫徹和落實。本過程所產(chǎn)生的保證證據(jù)將會提供安全措施滿足安全風險管理的信任等級。通過制定和頒布安全保證策略，實現(xiàn)對安全保證相關活動的有效管理。

(3)制定測量準則(一級可選要求)

安全測量準則有利于安全決策、績效提升和職責核查。測量安全績效的目的是基于已識別的測量準則監(jiān)控安全運行的狀態(tài)，以便于通過實施糾正措施進行過程改進。測量準則有助于監(jiān)控保證策略和保證目標的完成。

(4)控制保證證據(jù)

在安全集成項目各階段活動中識別并收集各種安全證據(jù)。安全證據(jù)應該進行控制和管理，以確保與當前工作結(jié)果的通用性和與安全保證目標的關聯(lián)性。

(5)分析保證證據(jù)

分析保證證據(jù)，以提供滿足安全目標的證據(jù)的信任等級，從而滿足客戶的安全需求。通過分析保證證據(jù)，可以確定安全建設實施過程和安全驗證過程是否充分和完善，以便判斷安全機制和安全功能的實現(xiàn)是否令人滿意。同時，也確保了安全集成項目結(jié)果相對于安全基線而言也是完整的和正確的。

(6)提供保證論據(jù)

向客戶提供用于表明與安全保證目標相符合的整體安全保證論據(jù)。保證論據(jù)應該被評審，以確保保證證據(jù)的充分性和滿足安全保證目標。

5.5.2驗證和確認安全

確保項目方案得到驗證和確認。驗證表明項目方案被正確地實施，而確認則證明項目方案是有效的。根據(jù)安全要求、體系結(jié)構和安全設計方面的信息，通過觀察、演示、分析和測試來驗證項目方案。通過客戶的安全需求和安全目標確認項目方案。

本要求的目標：用事實證明項目方案滿足客戶的安全需求和要求。

具體要求和說明如下：

(7)識別項目方案

分別識別驗證和確認活動的目標。這涉及在安全集成項目的整個生命周期內(nèi)與所有工作組的協(xié)調(diào)。

(1)定義驗證和確認方法

識別待驗證和確認項目方案的方法，涉及如何驗證和確認每一項安全需求的方法。嚴格等級用于指明驗證和確認工作的細致程度，而且這受到“建立保證論據(jù)”中“制定面向所有安全目標的安全保證策略”預期輸出結(jié)果的影響。

(2)執(zhí)行驗證

通過確認安全要求(包括“建立保證論據(jù)”識別的安全保證要求)來驗證項目方案是正確的。

(3)執(zhí)行確認

確認項目方案的目的是表明項目方案能夠有效地滿足客戶的安全需求。有多種方式提供確認證據(jù)證明客戶安全需求已經(jīng)得到滿足，比如在運行環(huán)境或者代表性測試環(huán)境中測試項目方案。

(4)獲取驗證和確認結(jié)果

獲取并提供驗證和確認的結(jié)果。驗證和確認的結(jié)果應該以一種容易理解和使用的方式提供。結(jié)果應該能被跟蹤，以保持從安全需求到安全要求、項目方案、測試結(jié)果的可跟蹤性。

表5：信息系統(tǒng)安全集成服務安全保證階段要求

6　信息系統(tǒng)安全集成服務資質(zhì)分級評價要求

信息系統(tǒng)安全集成服務資質(zhì)級別是衡量服務提供者服務能力的尺度。資質(zhì)級別分為一級、二級、三級共三個級別，其中一級最高，三級最低。

根據(jù)服務提供者的機構注冊資金、從業(yè)經(jīng)驗、人員素質(zhì)要求、項目經(jīng)驗、管理能力和技術能力等要素，可將服務提供者的資質(zhì)劃分為三個級別。

6.1　三級信息系統(tǒng)安全集成服務資質(zhì)要求

6.1.1基本資格

(1)基本條件（參見第4.1節(jié)）；

(2)注冊資本：產(chǎn)權關系明晰，注冊資本不少于200萬元人民幣；

(3)人員素質(zhì)要求：信息系統(tǒng)安全集成服務人員10名以上；本科以上學歷人員占機構總?cè)藬?shù)比例在60%以上；

(4)具有信息系統(tǒng)安全服務相關的資質(zhì)人員至少2人（如，CISAW，信息安全管理體系審核員、CISSP，CISA等）；至少有1人具有項目管理的資格證書。

(5)主要負責人應具有2年以上從事信息技術領域企業(yè)管理經(jīng)歷，主要技術負責人應獲得電子信息技術類高級職稱且從事安全集成技術工作不少于2年，財務負責人應具有初級以上職稱；

(6)從業(yè)時間：從事信息系統(tǒng)安全集成服務一年以上；

(7)從業(yè)經(jīng)驗：獨立完成中小型企業(yè)的信息系統(tǒng)集成項目；近三年內(nèi)至少完成4個以上完整的信息安全集成項目，按合同要求質(zhì)量合格，已通過驗收并投入實際應用。項目合同總金額不少于300萬元人民幣。至少完成一個100萬以上的安全集成項目。

6.1.2管理能力（參見第4.2節(jié)）；

6.1.3技術能力（參見第4.3節(jié)）；

6.1.4服務過程要求（參見第5章）。

6.2　二級信息系統(tǒng)安全集成服務資質(zhì)要求

6.2.1基本資格

(1)基本條件（參見第4.1節(jié)）；

(2)注冊資本：產(chǎn)權關系明晰，注冊資本不少于1000萬元人民幣；

(3)人員素質(zhì)要求：信息系統(tǒng)安全集成服務人員20名以上；本科以上學歷人員占機構總?cè)藬?shù)比例在70%以上；

(4)具有信息系統(tǒng)安全集成服務相關的資質(zhì)人員至少6人（如，CISAW，信息安全管理體系審核員、CISSP，CISA等）；至少有2人具有項目管理的資格證書。

(5)主要負責人應具有3年以上從事電子信息技術領域企業(yè)管理經(jīng)歷，主要技術負責人應獲得電子信息技術類高級職稱且從事安全集成技術工作不少于3年，財務負責人應具有中級以上職稱。

(6)從業(yè)時間：從事信息系統(tǒng)安全集成服務三年以上；

(7)從業(yè)經(jīng)驗：獨立完成省級范圍的信息安全集成項目或大型企業(yè)的信息安全集成項目；近三年內(nèi)至少完成6個以上完整的信息安全集成項目且無客戶投訴，項目合同總金額不少于1000萬元人民幣；至少完成一個200萬以上的安全集成項目。

6.2.2管理能力

(1)基本管理能力（參見第4.2節(jié)）；

(2)制定項目質(zhì)量管理計劃，跟蹤項目過程和結(jié)果的質(zhì)量。

6.2.3技術能力

(1)基本技術能力（參見第4.3節(jié)）；

(2)應具有足夠的技術力量，根據(jù)客戶業(yè)務的安全需求開發(fā)信息安全產(chǎn)品或支持性工具的能力。

6.2.4服務過程要求（參見第5章）

6.3　一級信息系統(tǒng)安全集成服務資質(zhì)要求

6.3.1基本資格

(1)基本條件（參見第4.1節(jié)）；

(2)注冊資本：產(chǎn)權關系明晰，注冊資本不少于2000萬元人民幣；

(3)人員素質(zhì)要求：信息系統(tǒng)安全集成服務人員30名以上；本科以上學歷人員占機構總?cè)藬?shù)比例在80%以上；

(4)具有信息系統(tǒng)安全服務相關的資質(zhì)人員至少10人（如，CISAW，信息安全管理體系審核員、CISSP，CISA等）；至少有5人具有項目管理的資格證書。

(5)主要負責人應具有5年以上從事電子信息技術領域企業(yè)管理經(jīng)歷，主要技術負責人應獲得電子信息類高級職稱且從事系統(tǒng)集成技術工作不少于5年，財務負責人應具有中級以上職稱。

(6)從業(yè)時間：從事信息系統(tǒng)安全集成服務五年以上；

(7)從業(yè)經(jīng)驗：獨立完成全國范圍的信息安全集成項目；近三年內(nèi)至少完成并通過驗收的10個以上完整的信息系統(tǒng)安全集成服務項目且無客戶投訴，項目合同總金額不少于2000萬元人民幣；至少完成一個500萬以上的安全集成項目。

6.3.2管理能力

(1)基本管理能力（參見第4.2節(jié)）；

(2)制定服務質(zhì)量持續(xù)改進的制度，跟蹤其落實情況；

(3)參考GB/T22080-2008/ISO/IEC27001:2005《信息技術安全技術信息安全管理體系要求》標準建立信息安全管理體系并運行三個月以上。

6.3.3技術能力

(1)基本技術能力（參見第4.3節(jié)要求）；

(2)應具有足夠的技術力量，根據(jù)客戶業(yè)務的安全需求開發(fā)信息安全產(chǎn)品或支持性工具的能力；

(3)應具有足夠的技術力量，對市場上普通使用的信息安全產(chǎn)品進行功能分析、提出安全策略及對安全產(chǎn)品進行集成的能力；

(4)至少提供一個已完成的信息系統(tǒng)，經(jīng)國家(或行業(yè))權威機構或?qū)＜医M驗證其安全性符合要求。

6.3.4服務過程要求（參見第5章要求）

7　信息系統(tǒng)安全集成服務資質(zhì)認證模式與流程

7.1信息系統(tǒng)安全集成服務資質(zhì)認證模式

現(xiàn)場檢查+特定服務檢查+獲證后監(jiān)督

現(xiàn)場檢查是在文檔審核通過后，審核組到申請方的注冊地址或業(yè)務量較集中的辦公地址進行的標準符合性驗證活動。特定服務檢查是審核組對申請方的服務團隊進行的特定服務過程演示或到客戶現(xiàn)場見證服務過程的檢查活動，從而判定該申請方的服務能力。獲證后監(jiān)督是確保獲證方在獲證后能夠持續(xù)滿足標準的要求，在證書的三年有效期內(nèi)認證機構對獲證方進行一或兩次現(xiàn)場監(jiān)督審核。如有特殊情況發(fā)生，認證機構可增加監(jiān)督審核頻次。

7.2信息系統(tǒng)安全集成服務資質(zhì)認證流程

7.2.1提交申請

申請方自愿向認證機構提交信息系統(tǒng)安全集成服務資質(zhì)認證申請。申請方應提交的文件

（1）信息系統(tǒng)安全集成服務資質(zhì)認證申請書；

（2）獨立法人資格證明材料；

（3）從事信息系統(tǒng)安全集成服務的相關資質(zhì)證明；

（4）工作保密制度及相應組織監(jiān)管體系已建立的證明材料；

（5）與信息系統(tǒng)安全集成服務人員簽訂的保密協(xié)議復印件；

（6）人員構成與素質(zhì)證明材料；

（7）公司組織結(jié)構證明材料；

（8）具備固定辦公場所的證明材料；

（9）項目管理制度文檔；

（10）安全集成服務流程；

（11）安全集成服務規(guī)范性文件；

（12）安全集成服務質(zhì)量管理文件（一、二級）；

（13）信息安全管理體系文件及設施情況的材料（一級）；

（14）項目案例及業(yè)績證明材料等。

7.2.2文檔審核

認證機構應根據(jù)認證依據(jù)、程序等要求，及時對申請方提交的申請文件和資料進行審核并保存審核記錄，以確保：

（1）認證要求規(guī)定明確并得到理解；

（2）認證機構和申請方之間在理解上的差異得到解決；

（3）對于申請的認證范圍、工作場所和任何特殊要求，認證機構均有能力開展認證服務。

7.2.3現(xiàn)場審核

認證機構應組成審核組，依據(jù)相關標準和審核要求，對申請方進行現(xiàn)場審核?，F(xiàn)場審核的內(nèi)容主要包括：

（1）通過檢查、觀察、訪談，對申請方的信息系統(tǒng)安全集成服務技術能力進行驗證；

（2）通過檢查、觀察、訪談，對申請方的信息系統(tǒng)安全集成服務管理能力進行驗證；

（3）觀察服務模擬演示或見證現(xiàn)場服務。

7.2.4認證決定

認證評價及認證決定是由認證決定委員會執(zhí)行。認證決定委員會至少由3名以上（含3名）奇數(shù)認證決定人員組成。

7.2.4.1認證決定

認證決定人員依據(jù)認證標準、信息系統(tǒng)安全集成服務資質(zhì)認證程序與實施規(guī)則的要求及相關標準，結(jié)合審核過程中收集的信息（對于存在不符合項的情況，必須通過整改并由審核組驗證通過），對審核結(jié)果進行綜合評價，做出“通過認證”或“不通過認證”的決定。必要時，認證決定委員會應對申請方滿足認證依據(jù)的情況進行風險評估，以做出是否授予認證的決定。

對于符合認證要求的申請方，認證機構應頒發(fā)認證證書并在相關媒體上予以公告。

對于不符合認證要求的申請方，認證機構應以書面的形式明示其不能獲得認證的原因。

7.2.4.2對認證決定的申訴

申請方如對認證決定結(jié)果有異議，可在10個工作日內(nèi)向認證機構申訴，認證機構自收到申訴之日起，應在一個月內(nèi)進行處理，并將處理結(jié)果書面通知申請方。

7.2.5證后監(jiān)督

7.2.5.1證后監(jiān)督頻次和方式

認證機構應根據(jù)信息系統(tǒng)安全集成服務的特點以及所承擔的認證風險，合理確定監(jiān)督審核的時間間隔和方式。監(jiān)督審核的方式可采用文檔審核或與現(xiàn)場審核相結(jié)合的方式。一般情況下，每年度（不超過12個月）進行一次監(jiān)督審核，由項目管理人員提前兩個月通知獲證方。監(jiān)督審核的方式可采用文檔審核與現(xiàn)場審核相結(jié)合的方式。

當信息系統(tǒng)安全集成服務提供者的信息系統(tǒng)安全集成服務發(fā)生重大事故、客戶投訴，或組織結(jié)構、人員等方面發(fā)生重大變更等時，認證機構視情況可增加現(xiàn)場監(jiān)督審核的頻次。

7.2.5.2監(jiān)督審核應包括，但不限于以下內(nèi)容：

（1）新實施的服務案例；

（2）客戶投訴情況；

（3）涉及變化的范圍（例如：人員變化、實驗環(huán)境變化、項目管理、質(zhì)量管理體系變化）；

（4）上次審核提出的不符合項所采取糾正/預防措施、觀察項的實施情況。

7.2.5.3監(jiān)督結(jié)果評價

對于監(jiān)督審核合格的信息系統(tǒng)安全集成服務提供者，認證機構應作出保持其認證證書的決定；否則，應暫停、撤銷其認證證書。

7.2.5.4信息通報制度

為確保服務提供者的信息安全服務能力持續(xù)有效，服務提供者應建立信息通報制度，及時向認證機構通報以下信息：

(1)有關組織機構變化信息；

(2)消費者投訴等信息；

(3)其他重要信息。

7.2.5.5信息分析

認證機構應對上述信息進行分析，視情況采取相應措施，包括增加監(jiān)督審核頻次、暫?；虺蜂N認證證書。

7.2.6再認證

在認證證書有效期滿的前三個月內(nèi)，服務提供者可申請再認證。再認證程序與初次認證程序相同。

7.2.7證書變更

(1)如果證書變更只涉及到注冊地址、資金或法定代表人的變更，申請方須遞交變更申請，經(jīng)書面審核批準后，認證機構僅對證書更新并收回原證書；

(2)信息系統(tǒng)安全集成服務提供者的組織機構發(fā)生重大調(diào)整、人員變動較大、擬變更業(yè)務范圍時，應向認證機構提出變更申請，并提交相關材料。認證機構策劃并實施適宜的審核活動，并按照要求做出認證決定。審核活動可單獨進行，也可與信息系統(tǒng)安全集成服務監(jiān)督或再認證同時進行。

7.2.8認證時限

認證時限是指自申請被正式受理之日起至頒發(fā)認證證書時止所實際發(fā)生的時間，其中包括認證受理、文檔審核、現(xiàn)場審核、認證決定以及證書頒發(fā)環(huán)節(jié)。申請一類服務資質(zhì)認證的時間一般為兩個月。

服務提供者如果已獲得我中心某一或幾類的信息安全服務資質(zhì)認證，再申請安全集成服務資質(zhì)認證，認證周期可適當縮短兩周左右。

8　認證證書管理

8.1認證證書有效期

信息系統(tǒng)安全集成服務資質(zhì)認證證書有效期為3年。

8.2認證證書的管理

8.2.1暫停認證證書

信息系統(tǒng)安全集成服務提供者有下列情形之一的，認證機構應當暫停認證證書。

（1）未按規(guī)定及時接受監(jiān)督審核或再認證；

（2）未按規(guī)定使用認證證書；

（3）監(jiān)督結(jié)果證明信息系統(tǒng)安全集成服務提供者的信息安全服務能力不符合認證要求，但不需要立即撤銷認證證書。

暫停期限一般為三個月。在三個月內(nèi)，申請方可提出恢復證書的申請，認證機構經(jīng)審核、批準后方可使用該證書。在認證證書暫停期間，申請方不得繼續(xù)使用證書。

8.2.2撤銷認證證書

信息系統(tǒng)安全集成服務提供者有下列情形之一的，認證機構應當撤銷其認證證書。

（1）監(jiān)督結(jié)果證明信息系統(tǒng)安全集成服務提供者的信息安全服務能力不符合認證要求，應立即撤銷證書的；

（2）認證證書暫停使用期間，信息系統(tǒng)安全集成服務提供者未采取有效糾正措施；

（3）信息系統(tǒng)安全集成服務提供者出現(xiàn)嚴重責任事故，影響其繼續(xù)有效提供集成服務；

（4）信息系統(tǒng)安全集成服務提供者不接受認證機構對其實施的監(jiān)督或未申請再認證。

8.2.3注銷認證證書

信息系統(tǒng)安全集成服務提供者因為自身原因申請注銷認證證書，認證機構應當給予注銷。

認證證書注銷和撤銷后，認證機構應收回認證證書，并在相關媒體上予以公告。

附錄A信息安全工程過程能力級別參考（ISO/IEC21827:2008）

1.

2.

3.

4.

5.

7.1

7.2

7.3

A.1基本執(zhí)行級

本能力級別的組織是基于個人的知識和努力去執(zhí)行一些基本過程，而未經(jīng)嚴格的計劃和跟蹤。能提供的證據(jù)是該過程的工作結(jié)果。由于缺乏適當控制，工作結(jié)果的一致性、性能和質(zhì)量會存在極大的差異。

A.2計劃跟蹤級

本能力級別的組織計劃并跟蹤執(zhí)行組織已定義的過程，驗證是否執(zhí)行了特定的步驟，工作結(jié)果是否符合指定的標準和需求，測量用于跟蹤過程的執(zhí)行情況。組織能夠基于實際執(zhí)行活動進行管理。

1)制定過程執(zhí)行計劃

過程執(zhí)行的計劃涉及到過程文檔的編制，執(zhí)行過程的相應工具的提供、過程實施的計劃、過程執(zhí)行中的培訓、過程資源的分配以及過程執(zhí)行的責任分配。

2)規(guī)范化執(zhí)行

此要求注重于控制覆蓋過程的總數(shù)。需要列出過程執(zhí)行計劃的使用、基于標準和程序的過程執(zhí)行、配置管理下依過程產(chǎn)生的工作結(jié)果。

3)驗證執(zhí)行

確認過程按預定的方式執(zhí)行。涉及到驗證執(zhí)行過程與可應用的標準和程序是一致的以及對工作結(jié)果的審計。

4)跟蹤執(zhí)行

此要求注重于組織控制項目進展的能力。組織通過可測量的計劃跟蹤過程的執(zhí)行情況，當過程實施與計劃產(chǎn)生重大偏離時應采取糾正措施。

A.3充分定義級

本能力級別的組織執(zhí)行已經(jīng)充分定義的標準過程。組織依據(jù)對已批準發(fā)布的、文檔化的標準過程進行適當裁減，來充分定義組織的過程。

本級與級別2的主要區(qū)別在于利用組織范圍內(nèi)的標準過程來管理和規(guī)劃其活動。

1)定義標準過程

該要求注重于組織標準過程的制度化。一個組織的標準過程可能需要裁剪以適合特定環(huán)境的使用，因此，要求組織提出標準過程的文檔，并為滿足特定用途而對標準過程進行裁剪。

2)執(zhí)行已定義過程

該要求注重于執(zhí)行充分定義過程的可重復性。要求組織使用制度化過程，并對有缺陷的過程結(jié)果和工作結(jié)果進行復查，執(zhí)行過程并使用結(jié)果數(shù)據(jù)。

3)協(xié)調(diào)項目和組織活動

該要求注重項目和組織活動的協(xié)調(diào)。大的工程通常由多個組協(xié)作完成，缺乏協(xié)調(diào)將會導致延誤和不可比對的結(jié)果。因此應確定組內(nèi)、組間、組外活動的協(xié)調(diào)。

A.4定量控制級

本能力級別的組織應收集和分析執(zhí)行的詳細測量，獲得對過程能力和改進能力的量化理解以預測執(zhí)行情況。本能力級別執(zhí)行的管理是客觀的，工作結(jié)果的質(zhì)量是可量化的。本級與充分定義級的主要區(qū)別在于定義的過程是定量可控的。

1)建立可測量的質(zhì)量目標

該要求注重對組織所開發(fā)的產(chǎn)品（包括工作結(jié)果）建立可測量的質(zhì)量目標。

2)客觀地管理執(zhí)行

該要求注重于確定過程能力的量化測量并使用量化測量來管理這一過程。提出了確定量化過程能力和以量化測量作為修正行動的基礎。

A.5持續(xù)改進級

本能力級別的組織基于組織的商務目標，并針對過程有效性和效率建立量化執(zhí)行目標。通過執(zhí)行已定義的過程和有創(chuàng)見的新概念、新技術的量化反饋來保證對這些目標進行連續(xù)的過程改進。

本級與定量控制級的主要區(qū)別在于已定義的過程和標準過程基于對這些過程變化效果的量化理解，進行連續(xù)調(diào)整和改進。

1)改進組織能力

該要求注重在整個組織范圍內(nèi)使用標準過程，并在同的使用中進行比較。在使用這些過程時，尋找改進標準過程的機會，分析產(chǎn)生的缺陷以識別對標準過程的進行改進的可能性。

2)改進過程有效性

該要求注重于制定處于連續(xù)受控改進狀態(tài)下的標準過程。組織能消除標準過程產(chǎn)生缺陷的原因，并提出連續(xù)改進的標準過程。

附錄B各級資質(zhì)要求對照表

附錄C參考標準

ISO/IEC21827:2008信息技術安全技術系統(tǒng)安全工程能力成熟度模型

SSE-CMM3.0:2003系統(tǒng)安全工程能力成熟度模型

ISO29151個人可識別信息安全認證

ISO29151個人可識別信息安全認證 2020年8月13日，ISO29151個人可識別信息安全認證是國際通行的個人身份信息保護指南，涵蓋26個控制域，181……

企業(yè)怎么辦理供應鏈安全管理體系認證？

企業(yè)怎么辦理供應鏈安全管理體系認證？ 2020年8月8號，供應鏈安全管理體系認證證書ISO28000是應運輸和物流行業(yè)對共同安全管理標準的需求而……

iso27001認證要求？

iso27001認證要求？ISO 27001是信息安全管理體系國際標準，被廣泛應用于企業(yè)信息安全保護。要進行ISO 27001認證，需要通過一系列的審查和評……

ISO27701隱私管理體系認證對企業(yè)有什么意義?

ISO27701隱私管理體系認證對企業(yè)有什么意義? 2020年8月25日，市場對ISO27701標準的發(fā)布有很大的期待。ISO27701的標題為“隱私信息管理的ISO……

中企認證咨詢網(wǎng)積累了豐富的國際質(zhì)量認證工作經(jīng)驗，各項業(yè)務均成果卓著。始終以服務國家經(jīng)濟社會發(fā)展和提升人民生活品質(zhì)為己任，依托產(chǎn)品認證(包括服務認證、自愿性認證)、管理體系認證和認證培訓業(yè)務，著力開展節(jié)能。在積極促進國際貿(mào)易，調(diào)整經(jīng)濟結(jié)構，保護消費者安全健康，構建社會誠信體系，參與"兩型"社會建設等方面做出了積極貢獻。同時，自身獲得了跨越式發(fā)展，已成為業(yè)務門類全、服務網(wǎng)絡廣、工作手段新、技術力量強、人員素質(zhì)高的一流認證機構，可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務。中企認證咨詢網(wǎng)秉承"和諧、進取、責任"的理念，正在朝著建立社會公信力高，有較強創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力，向業(yè)界有較高知名度的國際型認證機構的目標努力前行，優(yōu)質(zhì)的服務、雄厚的技術力量、先進的管理水平保障了中企認證咨詢網(wǎng)業(yè)務的順利開展，為順利實現(xiàn)中企認證咨詢網(wǎng)的質(zhì)量目標、為認證機構的品牌提供了有力保障。

中企認證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務體系認證、GB/T29490知識產(chǎn)權管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認證咨詢服務。認證價格實惠，證書真實有效，認監(jiān)委可查，如有疑問，可點擊了解詳情，竭誠為您服務!