设为首页 | 加入收藏
认证中心 当前您的位置:软件信息产品认证>>认证中心
安全集成服务资质认证简介

CCRC认证知识★---★安全集成服务资质认证简介★

 

  信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。
信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。
  信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。安全集成服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。

信息系统安全集成服务资质认证介绍
一、工作背景
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。
开展信息安全服务分类分级的资质认证可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
中国信息安全认证中心是国家质检总局直属事业单位,经中央编制委员会批准成立,由国家认证认可监督管理委员会批准,可依据相关标准开展对信息安全服务资质分类分级的认证工作。2011年启动了信息系统安全集成服务资质认证工作,2013年4月,中国信息安全认证中心与辽宁省信息安全与软件测评认证中心签订了信息系统安全集成服务资质认证合作协议,授权测评认证中心为辽宁工作站,在辽宁省(含大连)内推广并实施信息系统安全集成服务资质认证工作。
二、认证简介
信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。
信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。安全集成服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。
信息系统安全集成服务资质认证是依据ISCCC-SV-003:2011《信息系统安全集成服务资质认证规则》开展。评估对象是为信息系统所有者提供安全集成服务的组织。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★

 

 

适用范围

 

信息安全服务资质认证是依据国家认证认可法律法规、相关技术标准和规范,对信息安全服务

 

提供者的资质进行评价的合格评定活动。

 

本规则规定了信息安全服务提供者(以下简称服务提供者)应具备的通用评价要求、专业评价

 

要求以及认证机构开展服务资质认证的程序。

 

本规则可用于第三方机构对服务提供者进行资信和能力评价,可作为服务提供者开展自我评价

 

 

的依据,并可为政府及有关社会组织选择服务提供者提供依据。

 

规范性引用文件

 

下列文件中的条款通过本文件引用而成为本文件的条款。凡是注日期的引用文件,其随后所有

 

的修改单(不包括勘误的内容)或修订版均不适用于本文件,然而,鼓励根据本文件达成协议的各

 

方研究可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本文件。

 

CNCA/CTS 0052-2007《信息安全服务资质认证技术规范》

 

YDT1799-2008《网络与信息安全应急处理服务资质评估方法》

 

ISCCC-SV-002:2010《信息安全风险评估服务资质认证实施规则》

 

ISCCC-SV-003:2014《信息系统安全集成服务资质认证实施规则》

 

ISCCC-SV-004:2012《信息系统灾难备份与恢复服务资质认证实施规则》

 

GB/T 5271.8-2001《信息技术词汇第8部分:安全》中的术语和定义适用于本标准。

 

术语与定义

 

3.1.   信息安全服务

 

由供应商、组织机构或人员执行的一个安全过程或任务。(ISO/IEC TR 15443-1:2005《信息技术

 

安全技术 信息技术安全保障框架 第一部分:总揽和框架》)

 

3.2.   信息安全服务资质

 

信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、

 

管理水平、 技术能力等方面的要求。

 

3.3.   信息安全风险评估

 

运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安

 

全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范

 

和化解信息安全风险,或将风险控制在可接受的水平。

 

3.4.   信息安全应急处理

 

制定应急处理计划,组织实施演练,并在出现网络与信息系统安全事故时,及时实施应急处理


 

 

计划的过程。

 

3.5.   信息系统安全集成

 

在从事网络系统、应用系统、安防系统、建筑智能化系统的集成过程中,所进行的安全需求界

 

定、安全设计、安全实施、安全保障等活动。

 

3.6.   信息系统灾难备份与恢复

 

将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力

 

 

进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将

 

其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动,分为资源服务类(A 类)、技

 

术服务类(B 类)两个类别。

 

3.7.   软件安全开发

 

通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。

 

3.8.   信息系统安全运维

 

通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全

 

运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中

 

所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。

 

通用评价要求

 

通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全

 

运维等类别的信息安全服务认证评价,均分为三个级别,其中一级最高。

 

 

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★


重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8