设为首页 | 加入收藏
认证中心 当前您的位置:软件信息产品认证>>认证中心
风险评估服务资质认证简介

CCRC认证知识★---★信息安全风险评估服务资质认证简介★

 

信息安全风险评估简介

信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平,为网络和信息安全保障提供科学依据。

 

  信息安全风险评估服务资质级别是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。对服务提供方的背景审查主要指客户投诉、违法违纪行为等;服务人员的背景审查主要指行业主管部门或使用单位对从事风险评估服务的人员进行必要的审查。

 

  资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低

 

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★

 

 

适用范围

 

信息安全服务资质认证是依据国家认证认可法律法规、相关技术标准和规范,对信息安全服务

 

提供者的资质进行评价的合格评定活动。

 

本规则规定了信息安全服务提供者(以下简称服务提供者)应具备的通用评价要求、专业评价

 

要求以及认证机构开展服务资质认证的程序。

 

本规则可用于第三方机构对服务提供者进行资信和能力评价,可作为服务提供者开展自我评价

 

 

的依据,并可为政府及有关社会组织选择服务提供者提供依据。

 

规范性引用文件

 

下列文件中的条款通过本文件引用而成为本文件的条款。凡是注日期的引用文件,其随后所有

 

的修改单(不包括勘误的内容)或修订版均不适用于本文件,然而,鼓励根据本文件达成协议的各

 

方研究可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本文件。

 

CNCA/CTS 0052-2007《信息安全服务资质认证技术规范》

 

YDT1799-2008《网络与信息安全应急处理服务资质评估方法》

 

ISCCC-SV-002:2010《信息安全风险评估服务资质认证实施规则》

 

ISCCC-SV-003:2014《信息系统安全集成服务资质认证实施规则》

 

ISCCC-SV-004:2012《信息系统灾难备份与恢复服务资质认证实施规则》

 

GB/T 5271.8-2001《信息技术词汇第8部分:安全》中的术语和定义适用于本标准。

 

术语与定义

 

3.1.   信息安全服务

 

由供应商、组织机构或人员执行的一个安全过程或任务。(ISO/IEC TR 15443-1:2005《信息技术

 

安全技术 信息技术安全保障框架 第一部分:总揽和框架》)

 

3.2.   信息安全服务资质

 

信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、

 

管理水平、 技术能力等方面的要求。

 

3.3.   信息安全风险评估

 

运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安

 

全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范

 

和化解信息安全风险,或将风险控制在可接受的水平。

 

3.4.   信息安全应急处理

 

制定应急处理计划,组织实施演练,并在出现网络与信息系统安全事故时,及时实施应急处理


 

 

 

计划的过程。

 

3.5.   信息系统安全集成

 

在从事网络系统、应用系统、安防系统、建筑智能化系统的集成过程中,所进行的安全需求界

 

定、安全设计、安全实施、安全保障等活动。

 

3.6.   信息系统灾难备份与恢复

 

将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力

 

 

进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将

 

其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动,分为资源服务类(A 类)、技

 

术服务类(B 类)两个类别。

 

3.7.   软件安全开发

 

通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。

 

3.8.   信息系统安全运维

 

通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全

 

运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中

 

所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。

 

通用评价要求

 

通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全

 

运维等类别的信息安全服务认证评价,均分为三个级别,其中一级最高。

 

 

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★


 

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8