信息安全服務(wù)資質(zhì)認(rèn)證要求.doc

備案號：信息安全服務(wù)資質(zhì)認(rèn)證要求ISCCC XXX XXX-2007信息安全服務(wù)資質(zhì)認(rèn)證要求Certification Requirements for Qualification of Information Security Service Provider (備案送審稿)-發(fā)布-實(shí)施中國信息安全認(rèn)證中心 發(fā)布目錄前 言31適用范圍42定義42.1信息安全服務(wù)42.2信息安全服務(wù)提供者42.3信息安全服務(wù)資質(zhì)等級42.4信息安全工程過程能力級別43服務(wù)類型與資質(zhì)評定原則43.1信息安全服務(wù)的類型43.2信息安全服務(wù)資質(zhì)等級的評判原則44認(rèn)證具體要求54.1基本資格54.1.1獨(dú)立法人54.1.2法律要求64.2基本能力64.2.1資產(chǎn)與規(guī)模64.2.2人員素質(zhì)與構(gòu)成64.2.3設(shè)備、設(shè)施與環(huán)境74.2.4業(yè)績74.3質(zhì)量管理能力74.3.1體系和管理職責(zé)74.3.2資源管理84.3.3項(xiàng)目過程管理104.3.4測量、分析和改進(jìn)124.3.5客戶服務(wù)134.3.6技術(shù)能力更新144.4安全工程過程能力144.4.1風(fēng)險過程144.4.2工程過程164.4.3保證過程195引用標(biāo)準(zhǔn)與參考文獻(xiàn)205.1計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則205.2系統(tǒng)安全工程能力成熟模型205.3系統(tǒng)安全工程能力成熟模型評定方法205.4信息系統(tǒng)安全工程手冊205.5軟件工程能力成熟模型206附錄系統(tǒng)安全工程主要術(shù)語216.1組織216.2項(xiàng)目216.3系統(tǒng)216.4安全工程216.5安全工程生命期216.6工作產(chǎn)品226.7顧客226.8過程226.9過程能力226.10制度化236.11過程管理23前 言本技術(shù)規(guī)范屬于信息安全服務(wù)資質(zhì)認(rèn)證要求。本技術(shù)規(guī)范根據(jù)我國信息安全服務(wù)管理的現(xiàn)狀，并參考了相關(guān)技術(shù)規(guī)范而制定。本技術(shù)規(guī)范由中國信息安全認(rèn)證中心（ISCCC）提出并歸口。本技術(shù)規(guī)范主要起草單位：中國信息安全認(rèn)證中心。中國信息安全認(rèn)證中心 質(zhì)量文件-QP04 信息安全服務(wù)資質(zhì)認(rèn)證具體要求1 適用范圍本要求適用于評估機(jī)構(gòu)對提供信息安全服務(wù)的組織進(jìn)行信息安全服務(wù)資質(zhì)的評估；信息安全服務(wù)的需方對服務(wù)提供方的選擇依據(jù)；作為國家主管部門對評估對象進(jìn)行管理和檢查的技術(shù)規(guī)范。另外，也可為信息安全服務(wù)提供組織改進(jìn)自身能力提供指導(dǎo)。2 定義2.1 信息安全服務(wù)信息安全服務(wù)是指信息安全工程的設(shè)計、實(shí)施、測試、運(yùn)行和維護(hù)，以及相關(guān)的咨詢和培訓(xùn)活動。2.2 信息安全服務(wù)提供者信息安全服務(wù)提供者是指信息安全工程方案設(shè)計組織、承建信息安全工程的組織以及提供有關(guān)信息安全培訓(xùn)的組織。2.3 信息安全服務(wù)資質(zhì)等級信息安全服務(wù)資質(zhì)等級是指一個組織提供信息安全服務(wù)的綜合能力。包括技術(shù)能力、組織結(jié)構(gòu)與管理、資源配置、安全工程過程能力、業(yè)績和質(zhì)量保證等多個方面。2.4 信息安全工程過程能力級別信息安全工程過程能力級別是指提供信息安全服務(wù)的組織在完成工程、項(xiàng)目時，執(zhí)行組織已定義過程的能力成熟程度。3 服務(wù)類型與資質(zhì)評定原則3.1 信息安全服務(wù)的類型信息安全服務(wù)的類型主要指一個組織按照合同或協(xié)議，為另一個組織所履行的安全服務(wù)的具體形式，目前我們只針對安全工程服務(wù)進(jìn)行資質(zhì)認(rèn)證。安全工程類指為信息系統(tǒng)進(jìn)行安全方案設(shè)計（開發(fā)）、實(shí)施（安全集成)、驗(yàn)證（測試）、培訓(xùn)、運(yùn)行（監(jiān)控）和維護(hù)；3.2 信息安全服務(wù)資質(zhì)等級的評判原則信息安全服務(wù)資質(zhì)評估是對信息安全服務(wù)提供者的資格狀況、技術(shù)實(shí)力和實(shí)施安全工程過程質(zhì)量保證能力等方面的具體衡量和評價。資質(zhì)等級的評定，是在其基本資格和能力水平、安全工程項(xiàng)目的組織管理水平、安全工程基本過程的實(shí)施和控制能力等方面的單項(xiàng)評估結(jié)果基礎(chǔ)上，針對不同的服務(wù)種類，采用一定的權(quán)值綜合考慮后確定，并由國家認(rèn)證機(jī)構(gòu)授予相應(yīng)的資質(zhì)級別。信息安全服務(wù)的資質(zhì)等級的劃分遵循以下原則：1) 綜合考慮原則： 信息安全服務(wù)資質(zhì)等級的劃分必須對組織的綜合能力進(jìn)行考察，它主要與組織的資格狀況、技術(shù)實(shí)力、信息安全工程過程能力等級以及其他要求有關(guān)。2) 與現(xiàn)行國家有關(guān)主管部門頒布的法律、法規(guī)、規(guī)章、制度相一致的原則：安全策略要保持與現(xiàn)行的法律、法規(guī)、規(guī)章、制度相一致，不能相抵觸。3) 與我國已發(fā)布或即將發(fā)布的有關(guān)信息安全的標(biāo)準(zhǔn)相一致的原則：我國已發(fā)布許多與安全服務(wù)有關(guān)的標(biāo)準(zhǔn)，本評估準(zhǔn)則的資質(zhì)等級劃分必須與這些標(biāo)準(zhǔn)相一致。4) 與組織的基本能力水平緊密結(jié)合的原則：一個組織的基本能力是評估其資質(zhì)等級的基本要求，有些基本能力要求可能決定一個組織是否具備參與資質(zhì)評定的資格。5) 與信息安全服務(wù)工程過程能力等級緊密結(jié)合的原則：工程過程能力等級是反映組織實(shí)施工程的成熟程度，是評定資質(zhì)的重要依據(jù)。6) 可裁剪原則：安全服務(wù)有多種類型，對不同類型的安全服務(wù)可進(jìn)行適當(dāng)?shù)牟眉簟?) 可操作性原則具有實(shí)際操作的可行性。4 認(rèn)證具體要求對安全工程類的信息安全服務(wù)資質(zhì)認(rèn)證提出了具體的評估要求。該要求分四個部分：第一、二部分為管理要求；第三、四部分為資質(zhì)能力要求。4.1 基本資格4.1.1 獨(dú)立法人申請組織必須是一個獨(dú)立的實(shí)體，具有獨(dú)立法人資格。4.1.2 法律要求申請組織必須遵守國家現(xiàn)行法律、法規(guī)的規(guī)定。在所有經(jīng)營活動中沒有觸犯知識產(chǎn)權(quán)保護(hù)等有關(guān)法律的行為。4.2 基本能力4.2.1 資產(chǎn)與規(guī)模4.2.2.1 資產(chǎn)規(guī)模：申請組織的注冊資本應(yīng)在100 萬元以上，資產(chǎn)總額在200 萬元以上。4.2.2.2 財務(wù)狀況：申請組織應(yīng)具有近3 年良好的財務(wù)狀況。4.2.2.3 安全工程服務(wù)利潤：申請組織在最近一年安全工程服務(wù)方面的利潤應(yīng)在20 萬以上或占利潤總額的10%以上。4.2.2 人員素質(zhì)與構(gòu)成4.2.2.1 技術(shù)人員申請組織從事安全工程服務(wù)的專業(yè)技術(shù)人員應(yīng)不少于15 人。4.2.2.2 人員素質(zhì)申請組織從事安全工程服務(wù)的專業(yè)技術(shù)人員大學(xué)本科以上學(xué)歷所占比例不小于70%，碩士要求所占比例不小于10%。4.2.2.3 組織負(fù)責(zé)人申請組織總經(jīng)理或負(fù)責(zé)系統(tǒng)安全集成工作的副總經(jīng)理須具有5 年以上從事信息安全領(lǐng)域企業(yè)管理工作經(jīng)歷。4.2.2.4 安全技術(shù)負(fù)責(zé)人申請組織的信息安全技術(shù)負(fù)責(zé)人須具有信息安全領(lǐng)域相關(guān)專業(yè)的中級以上職稱(或碩士以上學(xué)歷)且從事信息安全服務(wù)工作不少于4 年，或具有本科以上學(xué)歷且從事信息安全服務(wù)工作不少于6年，承擔(dān)的安全項(xiàng)目總額在150萬以上。4.2.2.5 財務(wù)負(fù)責(zé)人申請組織的財務(wù)負(fù)責(zé)人須是會計師以上職稱。4.2.2.6 人員背景審查申請組織的主要服務(wù)人員需要進(jìn)行背景審查、備案、管理，包括主要技術(shù)負(fù)責(zé)人、項(xiàng)目經(jīng)理等關(guān)鍵人員，其他服務(wù)人員需要備案管理。4.2.3 設(shè)備、設(shè)施與環(huán)境4.2.3.1 工作環(huán)境申請組織應(yīng)有固定的工作場所，工作環(huán)境符合信息安全場所環(huán)境要求。4.2.3.2 測試模擬環(huán)境申請組織應(yīng)有企業(yè)具有與所承擔(dān)項(xiàng)目相適應(yīng)的測試環(huán)境和設(shè)備。4.2.3.3 安全服務(wù)工具申請組織應(yīng)有滿足信息安全服務(wù)的技術(shù)開發(fā)、測試工具。4.2.3.4 組織與技術(shù)隊伍具有勝任信息安全服務(wù)的專職人員隊伍和組織管理體系。4.2.4 業(yè)績4.2.4.1 從業(yè)經(jīng)驗(yàn)申請組織應(yīng)從事信息安全服務(wù)行業(yè)的時間在3年以上。4.2.4.2 工程經(jīng)驗(yàn)申請組織必須承接過的3個以上的工程，并實(shí)踐過完整的信息安全工程過程。4.2.4.3 工程水平在高級別的認(rèn)證要求中，工程質(zhì)量需要到客戶現(xiàn)場進(jìn)行真實(shí)性審查，與用戶進(jìn)行交流，是否真正達(dá)到他們的安全要求。4.2.4.4工程規(guī)模申請組織近年完成的信息安全服務(wù)工程項(xiàng)目總值應(yīng)在200 萬元以上。4.2.4.5工程狀況申請組織所做安全工程項(xiàng)目應(yīng)沒有出現(xiàn)驗(yàn)收未通過的情況。4.3 質(zhì)量管理能力4.3.1 體系和管理職責(zé)4.3.1.1 質(zhì)量管理體系4.3.1.1.1 質(zhì)量管理體系的建立申請組織應(yīng)依據(jù)合適的標(biāo)準(zhǔn)建立覆蓋信息安全工程服務(wù)的質(zhì)量管理體系，編制相應(yīng)的體系文件。4.3.1.1.2 組織和管理架構(gòu)申請組織應(yīng)建立合理的組織架構(gòu)和管理架構(gòu)來滿足信息安全工程服務(wù)的實(shí)施和管理，應(yīng)建立相對獨(dú)立的信息安全工程服務(wù)技術(shù)部門，應(yīng)建立有效的技術(shù)管理、質(zhì)量管理和組織管理機(jī)制。4.3.1.1.3 質(zhì)量管理體系的實(shí)施申請組織應(yīng)實(shí)施建立的質(zhì)量管理體系。4.3.1.2 管理承諾4.3.1.1 質(zhì)量方針申請組織應(yīng)制定并確定質(zhì)量方針。4.3.1.2.2 職責(zé)和權(quán)限申請組織應(yīng)配備充足的崗位人員并明確規(guī)定各崗位的職責(zé)和權(quán)限來滿足質(zhì)量管理體系的有效實(shí)施，崗位職責(zé)還應(yīng)包含安全職責(zé)。申請組織應(yīng)指定一名技術(shù)管理者來滿足該組織的技術(shù)管理要求的實(shí)施，應(yīng)指定一名質(zhì)量管理者（或管理者代表）來滿足質(zhì)量管理要求的實(shí)施。4.3.1.2.3 內(nèi)部溝通申請組織應(yīng)建立適當(dāng)?shù)臋C(jī)制來滿足對質(zhì)量管理體系有效性的溝通。4.3.2 資源管理4.3.2.1 文件控制4.3.2.1.1 文件控制程序申請組織應(yīng)制定有效合理的文件控制程序。4.3.2.1.2 文件評審申請組織應(yīng)在文件批準(zhǔn)發(fā)布前對文件進(jìn)行有效的評審，以保證文件是充分的和適宜的。4.3.2.1.3 文件批準(zhǔn)發(fā)布申請組織應(yīng)對正式使用的文件進(jìn)行批準(zhǔn)和發(fā)布，以明確文件的有效性。4.3.2.1.4 文件分發(fā)申請組織應(yīng)建立有效的文件發(fā)放機(jī)制，并進(jìn)行文件的有效發(fā)放，以保證文件相關(guān)方能及時得到文件的有效版本。4.3.2.1.5文件有效性、唯一性標(biāo)識申請組織應(yīng)對文件進(jìn)行有效性的唯一性標(biāo)識，以防止無效文件的使用或?qū)o效文件的誤用。4.3.2.2 保密與所有權(quán)保護(hù)控制4.3.2.2.1 保密與所有權(quán)保護(hù)程序申請組織應(yīng)對文件進(jìn)行有效性和唯一性標(biāo)識，以防止無效文件的使用或?qū)ξ募恼`用。申請組織應(yīng)建立保密和所有權(quán)保護(hù)程序，以保護(hù)客戶的秘密和保護(hù)客戶所有權(quán)。4.3.2.2.2 保密協(xié)議申請組織應(yīng)與員工簽訂保密協(xié)議，以明確員工在信息保護(hù)和所有權(quán)保護(hù)方面的責(zé)任和義務(wù)。申請組織也應(yīng)與客戶簽訂保密協(xié)議或明確本組織對客戶的保密責(zé)任，以明確雙方在保密和所有權(quán)保護(hù)方面的責(zé)任和義務(wù)。4.3.2.2.3 客戶信息保護(hù)申請組織應(yīng)制定具體措施保護(hù)客戶的秘密和所有權(quán)，并得以執(zhí)行。4.3.2.3 人員控制4.3.2.3.1 人員管理程序申請組織應(yīng)建立人員管理的程序，以使每個員工滿足崗位職責(zé)的要求。4.3.2.3.2 人員能力確認(rèn)申請組織應(yīng)在對每個員工的資格和能力進(jìn)行確認(rèn)，以使所有員工滿足其上崗要求。4.3.2.3.3 人員培訓(xùn)申請組織應(yīng)對員工實(shí)施培訓(xùn)，以使員工能獲得滿足崗位職責(zé)要求和信息安全工程服務(wù)要求的知識、技能。培訓(xùn)還應(yīng)包括員工安全意識和安全職責(zé)的培訓(xùn)。4.3.2.3.4 人員考評申請組織應(yīng)對員工進(jìn)行技術(shù)和能力的考核和評價，以確認(rèn)每個員工獲得了滿足崗位要求、安全工程服務(wù)要求的知識和能力。4.3.2.4 設(shè)備與工具控制4.3.2.4.1 設(shè)備、設(shè)施管理程序申請組織應(yīng)制定用于安全工程服務(wù)的設(shè)備和工具的管理程序，以滿足信息安全工程服務(wù)對設(shè)備和工具的準(zhǔn)確性、穩(wěn)定性和安全性要求。4.3.2.4.2 設(shè)備、工具的可用性確認(rèn)申請組織應(yīng)對設(shè)備、工具的性能進(jìn)行確認(rèn)，以保證設(shè)備、工具在使用時的準(zhǔn)確性、穩(wěn)定性和安全性。4.3.2.5 采購控制4.3.2.5.1 采購控制程序申請組織應(yīng)制定采購產(chǎn)品、工具、設(shè)備和服務(wù)的控制程序，以確保采購對象滿足信息安全工程服務(wù)的要求。4.3.2.5.2 確定采購需求申請組織應(yīng)在采購前提供并確認(rèn)采購的需求，包括功能、性能等技術(shù)要求。對服務(wù)采購需提出服務(wù)資格、能力、質(zhì)量方面的要求。4.3.2.5.3 選擇合格的供應(yīng)方申請組織應(yīng)評價供應(yīng)方的能力，以確認(rèn)供應(yīng)方是否有能力提供符合要求的產(chǎn)品、設(shè)備、工具或服務(wù)。申請組織應(yīng)與合格供應(yīng)方保持溝通，以確定其供應(yīng)持續(xù)滿足要求。4.3.2.5.4 采購驗(yàn)收申請組織應(yīng)對采購的產(chǎn)品、設(shè)備、工具或服務(wù)進(jìn)行驗(yàn)收，以確定所采購的產(chǎn)品、設(shè)備、工具或服務(wù)滿足了采購需求。4.3.3 項(xiàng)目過程管理.2.54.3.3.1 客戶要求評審4.3.3.1.1 評審客戶要求的程序申請組織應(yīng)制定評審客戶要求的管理程序。4.3.3.1.2 客戶要求評審申請組織應(yīng)在信息安全工程服務(wù)項(xiàng)目正式啟動前，全面了解客戶的需求，并充分評審自身滿足客戶需求的能力，盡可能與客戶就所有技術(shù)或資金、工期或進(jìn)度等方面達(dá)成一致共識，以確定客戶的要求是否能得到充分滿足。4.3.3.2 規(guī)劃技術(shù)活動4.3.3.2.1 規(guī)劃技術(shù)活動規(guī)范申請組織應(yīng)制定規(guī)劃技術(shù)活動的規(guī)范，以便信息安全工程服務(wù)中技術(shù)規(guī)劃活動各方面因素得到充分考慮。4.3.3.2.2 識別關(guān)鍵資源申請組織應(yīng)識別對項(xiàng)目技術(shù)上的成功起關(guān)鍵作用的資源，以便關(guān)鍵資源問題能得到解決。4.3.3.2.3 預(yù)算項(xiàng)目費(fèi)用申請組織應(yīng)進(jìn)行項(xiàng)目費(fèi)用的預(yù)算，以便項(xiàng)目能得到充分資金支持。4.3.3.2.4 確定工程技術(shù)過程申請組織應(yīng)確定項(xiàng)目的工程技術(shù)過程，并確定整個生命期的技術(shù)活動。4.3.3.2.5 設(shè)立技術(shù)指標(biāo)申請組織應(yīng)設(shè)立項(xiàng)目的技術(shù)指標(biāo)來滿足客戶要求。4.3.3.2.6 制定項(xiàng)目工程計劃申請組織應(yīng)制定項(xiàng)目整個生命期的工程進(jìn)度和技術(shù)開發(fā)管理計劃。4.3.3.2.7 評審并認(rèn)可工程計劃申請組織應(yīng)組織工程相關(guān)方對工程計劃進(jìn)行評審，并獲得工程相關(guān)方的認(rèn)可。4.3.3.3 項(xiàng)目風(fēng)險管理4.3.3.3.1 項(xiàng)目風(fēng)險管理規(guī)范申請組織應(yīng)制定項(xiàng)目風(fēng)險管理的規(guī)范，以便于實(shí)施項(xiàng)目的風(fēng)險管理。4.3.3.3.2 評估項(xiàng)目風(fēng)險申請組織應(yīng)通過有效的識別、分析項(xiàng)目風(fēng)險，并制定出相應(yīng)的風(fēng)險控制措施。4.3.3.3.3 跟蹤風(fēng)險控制活動申請組織應(yīng)實(shí)施制定的風(fēng)險控制措施并及時跟蹤風(fēng)險降低措施的有效性，對發(fā)生的問題及時修正相應(yīng)的風(fēng)險控制措施。4.3.3.4 配置管理4.3.3.4.1 建立配置管理方法申請組織應(yīng)充分理解配置管理在本組織內(nèi)部的意義，根據(jù)組織的規(guī)模、業(yè)務(wù)和特點(diǎn)選擇配置管理的工具，建立配置管理的方法和流程。4.3.3.4.2 管理配置單元申請組織能夠明確信息安全工程服務(wù)的流程并能夠合理地劃分工作基線，識別配置單元。4.3.3.4.3 維護(hù)配置單元申請組織應(yīng)確定的產(chǎn)品基線和配置單元，建立信息知識倉庫，實(shí)施配置管理，以便及時掌握業(yè)務(wù)開展的動態(tài)。4.3.3.4.4 控制變化狀態(tài)申請組織應(yīng)實(shí)時關(guān)注項(xiàng)目的進(jìn)展和業(yè)務(wù)的變更情況，及時對工作基線和配置單元做出必要的調(diào)整，以適應(yīng)不斷變化的工作需要。4.3.3.4.5 重視溝通申請組織應(yīng)及時將變化了的配置狀態(tài)通過有效的渠道通知所有相關(guān)的人員，保證版本的正確使用和變更的有效性。4.3.4 測量、分析和改進(jìn)4.3.4.1 質(zhì)量保證申請組織應(yīng)及時將變化了的配置狀態(tài)通過有效的渠道通知到所有相關(guān)的人員， 保證版本的正確使用和變更的有效性。4.3.4.1.1 質(zhì)量保證的規(guī)范申請組織應(yīng)該依據(jù)本組織的特點(diǎn)和信息安全工程服務(wù)的特點(diǎn)制定出一套適宜的質(zhì)量保證規(guī)范，以確保組織的服務(wù)能力。4.3.4.1.2 產(chǎn)品檢驗(yàn)申請組織應(yīng)根據(jù)產(chǎn)品的質(zhì)量要求，制定出產(chǎn)品檢驗(yàn)的標(biāo)準(zhǔn)和流程，并嚴(yán)格執(zhí)行產(chǎn)品檢驗(yàn)規(guī)定，保證工作產(chǎn)品能夠滿足預(yù)期的質(zhì)量要求。4.3.4.1.3 過程監(jiān)督申請組織應(yīng)能夠識別信息安全工程服務(wù)的過程，并且能夠制定出過程監(jiān)督的方法和流程，確保信息安全工程過程的受控。4.3.4.1.4 不合格處置及驗(yàn)證申請組織應(yīng)該有辦法對不合格進(jìn)行識別處置，并明確處置的方式、方法、職責(zé)和流程，以最大限度地減小資源浪費(fèi)、提高服務(wù)質(zhì)量。申請組織應(yīng)該對不合格品的處置結(jié)果進(jìn)行驗(yàn)證，以便對不合格進(jìn)行有效控制。4.3.4.1.5 追溯不合格品對于已經(jīng)投入使用的不合格品，申請組織應(yīng)該制定有效的措施實(shí)現(xiàn)對其的控制，避免因此而造成對工程服務(wù)質(zhì)量的影響。4.3.4.1.6 質(zhì)量信息收集統(tǒng)計和分析申請組織應(yīng)建立暢通的渠道搜集來自多方的信息反饋，有能力對質(zhì)量信息和反饋及抱怨信息進(jìn)行收集和整理，能夠?qū)π畔⒆鞒稣_的判斷并采取適當(dāng)?shù)奶幹么胧?。申請組織應(yīng)有方法對搜集到的數(shù)據(jù)進(jìn)行統(tǒng)計和分析，有記錄對結(jié)果提供證據(jù)，有條件發(fā)現(xiàn)質(zhì)量改進(jìn)的機(jī)會，有結(jié)論支持質(zhì)量改進(jìn)的建議，有行動發(fā)起質(zhì)量改進(jìn)活動。4.3.4.1.7 質(zhì)量記錄申請組織應(yīng)規(guī)定記錄的范圍，記錄的要求和記錄的管理，確保記錄的客觀真實(shí)性和可再現(xiàn)性。4.3.4.2 糾正與預(yù)防措施4.3.4.2.1 制定文檔化的程序申請組織應(yīng)制定出糾正措施控制程序，制定出預(yù)防措施控制程序，明確職責(zé)和流程。4.3.4.2.2 制定糾正和預(yù)防措施并實(shí)施申請組織應(yīng)有能力分析出不合格產(chǎn)生的原因并采取有效的措施消除不合格產(chǎn)生的根源。申請組織應(yīng)有能力發(fā)現(xiàn)潛在的不合格并采取有效的措施杜絕潛在不合格的實(shí)際發(fā)生。4.3.4.2.3 驗(yàn)證糾正和預(yù)防措施的有效性申請組織應(yīng)該對糾正措施的實(shí)施效果進(jìn)行驗(yàn)證。4.3.5 客戶服務(wù)申請組織應(yīng)該對預(yù)防措施的實(shí)施效果進(jìn)行驗(yàn)證。4.3.5.1提供咨詢服務(wù)申請組織應(yīng)就信息安全工程服務(wù)的有關(guān)事項(xiàng)回答客戶的疑問，有義務(wù)向客戶解釋信息安全工程服務(wù)的內(nèi)涵和意義。4.3.5.2 用戶意見的收集申請組織應(yīng)規(guī)定多種渠道和方法，盡可能創(chuàng)造和客戶溝通的機(jī)會，收集客戶的信息反饋，不斷調(diào)整和改進(jìn)自己的工作。4.3.6 技術(shù)能力更新4.3.6.1 建立技術(shù)更新的方法和途徑申請組織應(yīng)有技術(shù)更新的意識，應(yīng)有技術(shù)更新的方法和途徑，以證明組織有能力進(jìn)行技術(shù)更新活動。4.3.6.2 新技術(shù)的信息收集申請組織應(yīng)有能力識別新技術(shù)，并有規(guī)定的渠道搜集新技術(shù)的信息。4.3.6.3 新技術(shù)的應(yīng)用申請組織應(yīng)在新技術(shù)的獲取上進(jìn)行資源投入，為新技術(shù)的應(yīng)用創(chuàng)造充分和適宜的環(huán)境，并應(yīng)用新技術(shù)，以便保持技術(shù)更新能力。4.3.6.4 制定培訓(xùn)計劃申請組織應(yīng)重視培訓(xùn)活動，并將員工在職培訓(xùn)作為技術(shù)更新的重要手段。應(yīng)有技術(shù)的前瞻性和先見性，應(yīng)規(guī)劃組織的技術(shù)培訓(xùn)活動并制定詳細(xì)的技術(shù)培訓(xùn)計劃。4.3.6.5 維護(hù)培訓(xùn)材料申請組織應(yīng)對培訓(xùn)的教材進(jìn)行更新和維護(hù)，以此作為技術(shù)更新的證據(jù)。4.3.6.6 驗(yàn)證技術(shù)更新的效果申請組織應(yīng)對各種技術(shù)更新措施的實(shí)施效果進(jìn)行評價和驗(yàn)證，以便從中發(fā)現(xiàn)不斷改進(jìn)的機(jī)會。4.4 安全工程過程能力4.4.1 風(fēng)險過程4.4.1.1 評估系統(tǒng)面臨的安全威脅4.4.1.1.1 安全威脅評估的規(guī)范申請組織應(yīng)有信息安全威脅分析的規(guī)范，規(guī)定安全威脅分析的依據(jù)、步驟和方法。4.4.1.1.2 確定系統(tǒng)面臨的安全威脅申請組織應(yīng)能通過一定的方法、手段確定系統(tǒng)面臨的所有自然威脅和人為威脅。4.4.1.1.3 分析系統(tǒng)面臨的安全威脅申請組織應(yīng)能依據(jù)一定的測量、分析方法，分析系統(tǒng)面臨的安全威脅，并能明確描述。4.4.1.1.4 監(jiān)視安全威脅的變化申請組織應(yīng)監(jiān)視安全威脅的變化情況，當(dāng)安全威脅變化時能有效處理。4.4.1.2 評估系統(tǒng)的脆弱性4.4.1.2.1 安全脆弱性評估的規(guī)范申請組織應(yīng)有信息安全脆弱性分析的規(guī)范，規(guī)定安全脆弱性分析的依據(jù)、步驟和方法。4.4.1.2.2 分析安全機(jī)制方面的脆弱性申請組織應(yīng)能通過一定的方法、手段確定安全機(jī)制方面的脆弱性，并進(jìn)行分析。4.4.1.2.3 分析技術(shù)性的安全脆弱性申請組織應(yīng)能通過工具和人工分析，得出系統(tǒng)的技術(shù)性安全脆弱性。4.4.1.2.4 綜合分析安全脆弱性申請組織應(yīng)能綜合分析技術(shù)性和非技術(shù)性的安全脆弱性，以及特定脆弱性的組合，并產(chǎn)生分析結(jié)果。4.4.1.2.5 監(jiān)視安全脆弱性的變化申請組織應(yīng)監(jiān)視安全脆弱性的變化，當(dāng)安全脆弱性變化時，應(yīng)能有效處理。4.4.1.3 評估安全對系統(tǒng)的影響4.4.1.3.1 評估安全對系統(tǒng)影響的規(guī)范申請組織應(yīng)有評估安全對系統(tǒng)影響的規(guī)范，規(guī)定資產(chǎn)分類和重要性劃分的原則和依據(jù)，分析和描述影響的后果和可能性的方式、方法。4.4.1.3.2 確定關(guān)鍵資產(chǎn)申請組織應(yīng)能識別、分析、確定關(guān)鍵資產(chǎn)。4.4.1.3.3 分析影響申請組織應(yīng)能用有效的度量和權(quán)重分析影響，能對它作明確的描述，并依據(jù)一定的原則進(jìn)行優(yōu)先級排列。4.4.1.3.4 監(jiān)視影響的變化申請組織應(yīng)監(jiān)視影響的變化，當(dāng)影響發(fā)生變化時，應(yīng)能有效處理。4.4.1.4 評估系統(tǒng)的安全風(fēng)險4.4.1.4.1 安全風(fēng)險評估的規(guī)范申請組織應(yīng)該建立安全評估的規(guī)范，規(guī)范包括應(yīng)有明確的風(fēng)險分析方法指導(dǎo)實(shí)施，規(guī)定安全風(fēng)險評估的流程、步驟及各步驟的方法等。4.4.1.4.2 對暴露的識別和分析申請組織應(yīng)能識別威脅、脆弱性和影響組合產(chǎn)生的暴露，分析暴露發(fā)生的可能性。（“暴露”指可能對系統(tǒng)造成重大傷害的威脅、脆弱性和影響的組合。）4.4.1.4.3 安全風(fēng)險評估申請組織應(yīng)根據(jù)暴露分析情況，依據(jù)一定的評估方法確定系統(tǒng)在特定環(huán)境下的安全風(fēng)險，并根據(jù)安全風(fēng)險分析的理論對既定的安全風(fēng)險進(jìn)行優(yōu)先級排列。另外，還應(yīng)進(jìn)行安全風(fēng)險不確定的分析，通過建立安全保證證據(jù)來降低風(fēng)險的不確定性。4.4.1.4.4 制定安全保護(hù)措施和風(fēng)險降低的指導(dǎo)申請組織應(yīng)根據(jù)風(fēng)險評估的結(jié)果制定安全保護(hù)措施和風(fēng)險降低的指導(dǎo)。4.4.1.4.5 監(jiān)視風(fēng)險及特征變化申請組織應(yīng)監(jiān)視風(fēng)險的變化，當(dāng)風(fēng)險發(fā)生變化時，應(yīng)能有效處理。4.4.2 工程過程4.4.2.1 確定安全需求4.4.2.1.1 安全需求確定的規(guī)范申請組織應(yīng)制定確定安全需求的規(guī)范。4.4.2.1.2 獲取客戶對安全需求的理解申請組織應(yīng)該通過特定的方式收集所有用于全面理解顧客安全需求所需的信息，并經(jīng)過加工整理，得到客戶所需安全的描述。4.4.2.1.3 識別可用的法律、策略和約束申請組織應(yīng)考慮到適用于系統(tǒng)目標(biāo)的法律、法規(guī)、標(biāo)準(zhǔn)、外部的影響和約束。4.4.2.1.4 定義安全需求申請組織應(yīng)根據(jù)可適用的法律、法規(guī)、標(biāo)準(zhǔn)、客戶安全需求以及系統(tǒng)的約束條件定義出系統(tǒng)的安全需求，包括那些通過非技術(shù)手段提供的需求。4.4.2.1.5 達(dá)成安全共識申請組織應(yīng)與各個相關(guān)方面溝通，并針對存在的問題對安全需求進(jìn)行修改，直到達(dá)成一個完整的、一致的滿足策略、法律和用戶需求的安全需求。4.4.2.2 安全設(shè)計4.4.2.2.1 安全設(shè)計的規(guī)范申請組織要制定安全設(shè)計的規(guī)范，明確安全設(shè)計的流程，方法等。4.4.2.2.2 高層設(shè)計申請組織應(yīng)考慮系統(tǒng)的體系結(jié)構(gòu)、設(shè)計和實(shí)現(xiàn)的需求，制定相應(yīng)的設(shè)計原則和建議、安全體系結(jié)構(gòu)建議、保護(hù)的原則，得到安全模型、安全體系結(jié)構(gòu)，進(jìn)行信任分析。4.4.2.2.3 安全機(jī)制分配申請組織應(yīng)確定所有的安全機(jī)制都能對應(yīng)到高層安全設(shè)計，并且所有的高層安全設(shè)計都有具體的安全機(jī)制來保證。4.4.2.2.4 確定安全產(chǎn)品申請組織應(yīng)根據(jù)系統(tǒng)的需求，按照一定的依據(jù)給出候選產(chǎn)品列表。根據(jù)系統(tǒng)的需求，確定需要定制的安全產(chǎn)品列表和他們的技術(shù)指標(biāo)和功能要求。4.4.2.2.5 接口限定申請組織應(yīng)設(shè)計出安全系統(tǒng)與其它系統(tǒng)之間的接口并進(jìn)行優(yōu)化。4.4.2.2.6 提供安全工程指南4.4.2.3 工程實(shí)施4.4.2.3.1 工程實(shí)施的規(guī)范申請組織應(yīng)提供安全工程指南。申請組織應(yīng)制定指導(dǎo)安全工程實(shí)施的規(guī)范。4.4.2.3.2 工程的實(shí)施申請組織應(yīng)制定實(shí)施建議（包括指導(dǎo)系統(tǒng)實(shí)現(xiàn)的規(guī)則或約束），申請組織應(yīng)根據(jù)實(shí)施建議和系統(tǒng)的詳細(xì)安全設(shè)計文檔制定工程實(shí)施計劃，并按照預(yù)定的經(jīng)用戶和有關(guān)方同意后的計劃進(jìn)行工程實(shí)施，給出實(shí)施情況描述文檔。4.4.2.3.3 系統(tǒng)的試運(yùn)行申請組織應(yīng)對系統(tǒng)進(jìn)行試運(yùn)行，檢查系統(tǒng)的穩(wěn)定性和可靠性，并對試運(yùn)行過程中出現(xiàn)的問題進(jìn)行整改，給出工程整改報告和試運(yùn)行情況報告。4.4.2.3.4 工程的驗(yàn)收申請組織應(yīng)與客戶和相關(guān)參與者一道按照合同的要求對實(shí)施好的工程進(jìn)行驗(yàn)收，給出工程驗(yàn)收報告。4.4.2.3.5 工程的交付申請組織應(yīng)給用戶提交相應(yīng)文檔以確保用戶擁有系統(tǒng)安全運(yùn)行所需的相關(guān)知識。這些文檔包括管理員手冊、用戶手冊、安全輪廓、系統(tǒng)配置指令和系統(tǒng)安全服務(wù)條款等。4.4.2.4 安全管理控制4.4.2.4.1 安全管理控制的規(guī)范申請組織應(yīng)制定安全管理控制的規(guī)范。4.4.2.4.2 建立安全職責(zé)申請組織應(yīng)為系統(tǒng)的安全運(yùn)行制定出相應(yīng)的安全職責(zé)。4.4.2.4.3 管理安全配置申請組織應(yīng)對與系統(tǒng)相關(guān)的各個組件的安全配置進(jìn)行管理，以達(dá)到整體的安全。4.4.2.4.4 安全意識和培訓(xùn)申請組織應(yīng)實(shí)施對系統(tǒng)使用者和管理員安全意識的教育和培訓(xùn)。4.4.2.5 監(jiān)視安全狀況4.4.2.5.1 監(jiān)視安全狀況的規(guī)范申請組織應(yīng)制定監(jiān)視安全狀態(tài)的規(guī)范。4.4.2.5.2 監(jiān)視變化申請組織應(yīng)監(jiān)視威脅、脆弱性、影響、風(fēng)險和環(huán)境方面的變化，及時寫出變化報告，并對變化的影響進(jìn)行定期評估。4.4.2.5.3 檢查安全狀況申請組織應(yīng)分析安全相關(guān)性信息的歷史和事件記錄，并標(biāo)明他們的來源，然后對其進(jìn)行分析和歸納，得出事件記錄的分析描述。按照一定的策略檢測安全防護(hù)措施的執(zhí)行情況，以便得出安全防護(hù)措施執(zhí)行中的變化。申請組織應(yīng)對威脅環(huán)境、運(yùn)行要求和系統(tǒng)配置的變化進(jìn)行綜合考慮，得出檢查報告。4.4.2.5.4 安全突發(fā)事件響應(yīng)申請組織應(yīng)利用歷史事件的數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)和其它系統(tǒng)信息以及完整性工具診斷出安全突發(fā)事件，制定突發(fā)事件的響應(yīng)計劃，并報告安全突發(fā)事件。4.4.2.5.5 保護(hù)安全監(jiān)視的記錄數(shù)據(jù)申請組織應(yīng)通過對歸檔日志的定期檢查和對歸檔日志使用進(jìn)行記錄來確保安全監(jiān)視記錄數(shù)據(jù)的安全性。4.4.2.6 安全協(xié)調(diào)4.4.2.6.1 安全協(xié)調(diào)的規(guī)范申請組織應(yīng)制定安全協(xié)調(diào)的規(guī)范。4.4.2.6.2 定義協(xié)調(diào)目標(biāo)申請組織應(yīng)通過制定信息共享協(xié)議、工作組的成員關(guān)系和日程表、工作組之間及用戶之間溝通安全相關(guān)信息的過程和程序來建立組織內(nèi)部或與其他組織之間的聯(lián)系和義務(wù)關(guān)系。4.4.2.6.3 確定協(xié)調(diào)機(jī)制申請組織應(yīng)通過制定溝通計劃，列出通信基礎(chǔ)設(shè)施的要求，共享會議報告、報文、備忘錄的模板的方式來進(jìn)行協(xié)調(diào)。4.4.2.6.4 協(xié)調(diào)的促進(jìn)申請組織應(yīng)有處理沖突的程序，協(xié)調(diào)會議的議程安排等具體的文檔來提高協(xié)調(diào)的質(zhì)量。申請組織應(yīng)按照協(xié)調(diào)安全的規(guī)范得出的有關(guān)安全的決定和建議。4.4.3 保證過程4.4.3.1 檢驗(yàn)并證實(shí)安全性4.4.3.1.1 檢驗(yàn)和證實(shí)安全性的規(guī)范申請組織應(yīng)建立檢驗(yàn)和證實(shí)系統(tǒng)安全性的規(guī)范。4.4.3.1.2 執(zhí)行安全性檢驗(yàn)和證實(shí)申請組織應(yīng)檢查所做的安全工程實(shí)施情況，工程實(shí)施應(yīng)滿足安全需求/安全目標(biāo)。申請組織應(yīng)對檢驗(yàn)的結(jié)果進(jìn)行證實(shí)，確保達(dá)到安全需求/安全目標(biāo)的要求。4.4.3.1.3 收集檢驗(yàn)和證實(shí)的記錄作為證據(jù)申請組織應(yīng)為其他工程組收集檢驗(yàn)和證實(shí)的結(jié)果。4.4.3.2 建立安全保證論據(jù)4.4.3.2.1 建立安全保證論據(jù)的規(guī)范申請組織應(yīng)有建立安全保證論據(jù)的規(guī)范。4.4.3.2.2 確定安全保證目標(biāo)申請組織應(yīng)同用戶方、服務(wù)方、進(jìn)行安全保證認(rèn)定/認(rèn)證方確定安全保證目標(biāo)。申請組織應(yīng)定義安全保證策略來描述如何滿足用戶安全保證目標(biāo)的計劃，確定相關(guān)責(zé)任方。4.4.3.2.3 收集和分析安全保證的證據(jù)申請組織應(yīng)按照安全保證策略收集并分析安全保證證據(jù)以及支持安全保證所需的附加證據(jù)。4.4.3.2.4 提供安全保證論據(jù)申請組織應(yīng)分析所有安全保證證據(jù)，提供論據(jù)說明用戶的安全需求已得到滿足。5 引用標(biāo)準(zhǔn)與參考文獻(xiàn)5.1 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859-1999，國家質(zhì)量技術(shù)監(jiān)督局）；5.2 系統(tǒng)安全工程能力成熟模型（SSE-CMM，V2.0）5.3 系統(tǒng)安全工程能力成熟模型評定方法（SSAM，V2.0）；5.4 信息系統(tǒng)安全工程手冊5.5 軟件工程能力成熟模型（SW-CMM，V1.1）6 附錄系統(tǒng)安全工程主要術(shù)語6.1 組織組織定義為：公司內(nèi)部的單位、整個公司或其它實(shí)體(如政府機(jī)構(gòu)或服務(wù)分支機(jī)構(gòu))。組織中通常存在許多項(xiàng)目，并作為一個整體加以管理。組織內(nèi)的所有項(xiàng)目一般遵循上層管理的公共策略。一個組織機(jī)構(gòu)可能由同一地方分布的或地理上分布的項(xiàng)目與基礎(chǔ)支持設(shè)施所組成。術(shù)語“組織”的使用意味著一個支持共同戰(zhàn)略、商務(wù)和過程相關(guān)功能的基礎(chǔ)設(shè)施。為了服務(wù)提供的有效性，必須存在一個基礎(chǔ)設(shè)施并對其加以維護(hù)。6.2 項(xiàng)目項(xiàng)目是各種實(shí)施活動和資源的總和，這些實(shí)施活動和資源用于開發(fā)或維護(hù)一個特定的產(chǎn)品或提供一種服務(wù)。產(chǎn)品可能包括硬件、軟件及其它部件。一個項(xiàng)目往往有自己的資金，成本帳目和交付時