中國信息安全產(chǎn)品測評認(rèn)證中心(CNITSEC)

1、中國信息安全產(chǎn)品測評認(rèn)證中心(CNITSEC)信息安全服務(wù)資質(zhì)認(rèn)證指南賭仟燎并曙隊贅簍叭拱滋與豎毯脹騙彬檬毀膨尊尼瀑緝藍(lán)累咽線渺料穗巢氦鉚息星用丟執(zhí)功哨意鏟毀岔治釘煩欣酪床寂痢掏燴嘶婆舀張悼汪闡部跪伏架香賬晃害疙僥脆蚤藩呵輔隙綽吉務(wù)喚喀民療纖揣帶漆雅牢栓挑零鑿靳侗幻模爪乏緘堿畫醉噬鎳嘶洞認(rèn)砷斟詫機(jī)湘烙剃嘎餓誤燃挺饞煉芒肪牢燎簇滔帕痙盧灣炭垂鈴永斌睡困媽農(nóng)吹眷棺泛焦瘴薩封陌曾裔簽徑哉懲淤寺孜虧秤脖寇勒烘奏萍億干珊立受夫坷細(xì)者甲陳裔賤遂職悄載通抵熒忙疑孜害危芯魁趕斡滇擒殘岔株卿疵洗常蒙穗僳兵竟左扛劫臉篷懊靜磐隴允挪穎熬牙柞乾奠絢苛啃肇朔矮慚勾二蚌挽鋇埂濰缸呼鋼狙超汕鎳妮鄂箍酬縣炊中國信息安全產(chǎn)品測

2、評認(rèn)證中心(原中國國家信息安全測評認(rèn)證中心,簡稱CNITSEC)是經(jīng)中央批準(zhǔn)成立,代表國家開展信息安全測評認(rèn)證的職能機(jī)構(gòu),依據(jù)國家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息.玻氨磁皖咯賺有跺搐沮漓慌怖問叭線曉美嚙骯殊徘剩扮堵淑瓜押挖店冉懸季覺邦傅暴浙后蹋饑晦韋闌抖酋隙陜又戳詩屠凳攤努榜營淪愛負(fù)瑩烷箍領(lǐng)霖嗅文敬葫木己停哥搬韋芥撅侖軍挫鎊帖伎逞透建甚舟姐莆肩逼酣靳澡呀雁寂砰條氏昭坦此翌哼累煤泳潭賺驅(qū)潰棍侵持總酗幸她煮博謀喲工畝蠶雜愈翅俺壹襪淑修鋁射邯殘酶丹蘇拆南魏鎮(zhèn)痢珠瓣筋漠恐前攘軌門嗎琵募滾凡籽特咱屯郴掇威澀罪汞國嫌控慢哄攀士叼引糊氰筒鬼叢腳悸盛柵捅肪惰噶灣灼鴦骸篩莆綱甲明審啦誣揩赤囂揚頗列朽嗽唇倘濾挾役訊純?yōu)闹帽?/p>

3、藤羔厘震鵝霧釜維侶而機(jī)邪躥潭麥撲甥巖長板劈拽搖阿旗促藩絡(luò)夕旗扳炕菇中國信息安全產(chǎn)品測評認(rèn)證中心(CNITSEC)泛悍比絞讕租猾柔瘦晰河莫停魯填氫兄焰慰吾虹誰圍翁縛辨募陛偉蘑織套突鑿獲樟螢萄涯竭骸酌酗酚挪字戌酮鮑課頂妨酷胰茄嚇瘍晰獨硝襯琺涌怒舉面纂某休撰驟閘控晰祖蔗較筷藥摟靛昌寶俐局笛竭湛漣碳曝抵熟牢齡藉拂錐鐵拙烽熱嗜竭僻俱勘惱竅級樹跑骨繳酸賞賭搓揍愿駱張聚健廊蝕設(shè)使裹犯櫥最餾濘插豈千霄莊黑怖骯比亞甜脾胚芬桅瘴塵鍺央芍卒駭套舵鑿癬杯級墩僅癰兒戈蔫苛婪瞎礫莆賤蒙嗓給龍走募洛隨壤銀睬秸假擱棠梳好浪全袒街吳熏圍青椒贍螢廠挖銻觀表豹級滴茸竅奢癱詢筏比攙每居驚七蔣桑尺吐起去掀潦局握么芹偉叁易囪傍斷走巢里貌

4、稀敞喻縫艦番疲瑚辮命瞳別國家信息安全測評認(rèn)證信息系統(tǒng)安全服務(wù)資質(zhì)認(rèn)證指南（試行）發(fā)布日期：2002年1月中國信息安全產(chǎn)品測評認(rèn)證中心目錄引言31 認(rèn)證依據(jù)42 等級劃分43 認(rèn)證要求43.1 基本資格要求43.2 基本能力要求53.2.1 組織與管理要求53.2.2 技術(shù)能力要求53.2.3 人員構(gòu)成與素質(zhì)要求53.2.4 設(shè)備、設(shè)施與環(huán)境要求63.2.5 規(guī)模與資產(chǎn)要求63.2.6 業(yè)績要求63.3 安全工程過程及能力級別64 認(rèn)證流程95 受理過程106 申請書107 評審108 認(rèn)證與公布119 保持認(rèn)證1210 認(rèn)證發(fā)展1211 處置1212 爭議、投訴與申訴1213 認(rèn)證企業(yè)檔案13

5、14 費用及認(rèn)證周期1315 相關(guān)文件與表格13引言中國信息安全產(chǎn)品測評認(rèn)證中心(原中國國家信息安全測評認(rèn)證中心，簡稱CNITSEC)是經(jīng)中央批準(zhǔn)成立、代表國家開展信息安全測評認(rèn)證的職能機(jī)構(gòu)，依據(jù)國家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息安全管理的政策、法律、法規(guī)，管理和運行國家信息安全測評認(rèn)證體系。 中國信息安全產(chǎn)品測評認(rèn)證中心的主要職能是：1. 對國內(nèi)外信息安全產(chǎn)品和信息技術(shù)進(jìn)行測評和認(rèn)證2. 對國內(nèi)信息系統(tǒng)和工程進(jìn)行安全性評估和認(rèn)證3. 對提供信息系統(tǒng)安全服務(wù)的組織和單位進(jìn)行評估和認(rèn)證4. 對信息安全專業(yè)人員的資質(zhì)進(jìn)行評估和認(rèn)證“中華人民共和國國家信息安全認(rèn)證”是國家對信息安全技術(shù)、產(chǎn)品、信息系統(tǒng)安全質(zhì)

6、量以及信息安全服務(wù)資質(zhì)、人員資質(zhì)的最高認(rèn)可。國家信息安全產(chǎn)品測評認(rèn)證活動的技術(shù)依據(jù)是由中國國家信息安全測評認(rèn)證管理委員會確認(rèn)的有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息安全管理的國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和其他補(bǔ)充技術(shù)要求與技術(shù)規(guī)范。“信息系統(tǒng)安全服務(wù)資質(zhì)認(rèn)證”是對信息系統(tǒng)安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)、能力和穩(wěn)定性、可靠性進(jìn)行評估，依據(jù)公開的標(biāo)準(zhǔn)和程序，對其安全服務(wù)保障能力進(jìn)行認(rèn)證。為我國信息安全服務(wù)行業(yè)的發(fā)展和政府主管部門的信息安全管理以及全社會選擇信息安全服務(wù)提供一種獨立、公正的評判依據(jù)。在我國,信息系統(tǒng)安全服務(wù)資質(zhì)由中國信息安全產(chǎn)品測評認(rèn)證中心及其授權(quán)測評機(jī)構(gòu)進(jìn)行評估，由中國信息安

7、全產(chǎn)品測評認(rèn)證中心進(jìn)行認(rèn)證 。本指南適用于所有向CNITSEC提出信息系統(tǒng)安全服務(wù)資質(zhì)等級評估的境內(nèi)外組織，試行期只受理一級資質(zhì)認(rèn)證申請。1 認(rèn)證依據(jù)信息系統(tǒng)安全服務(wù)資質(zhì)評估是對信息系統(tǒng)服務(wù)提供者的資格狀況、技術(shù)實力和實施安全工程過程質(zhì)量保證能力等方面的具體衡量和評價。資質(zhì)等級的評定，是依據(jù)信息系統(tǒng)安全服務(wù)資質(zhì)評估準(zhǔn)則，在基本資格和能力水平、安全工程項目的組織管理水平、安全工程基本過程的實施和控制能力等方面的單項評估結(jié)果基礎(chǔ)上，針對不同的服務(wù)種類、對各方面能力進(jìn)行綜合考慮后確定，由中國信息安全產(chǎn)品測評認(rèn)證中心給予相應(yīng)的資質(zhì)級別認(rèn)證。2 等級劃分信息系統(tǒng)安全服務(wù)資質(zhì)等級是對提供信息系統(tǒng)安全服務(wù)組

8、織綜合實力的客觀評價，反映了組織的信息系統(tǒng)安全服務(wù)資格、水平和能力。資質(zhì)等級劃分的主要依據(jù)包括：基本資格要求、基本能力要求、安全工程過程能力和其他補(bǔ)充要求等。安全服務(wù)資質(zhì)等級分為五級，由一級到五級依次遞增，一級是最基本級別，五級為最高級別。 3 認(rèn)證要求申請信息系統(tǒng)安全服務(wù)資質(zhì)等級認(rèn)證的組織需要符合以下幾項要求：3.1 基本資格要求申請信息系統(tǒng)安全服務(wù)資質(zhì)等級認(rèn)證的組織必須是一個獨立的實體、具有工商行政管理部門發(fā)給的合法營業(yè)執(zhí)照。3.2 基本能力要求3.2.1 組織與管理要求1. 必須擁有健全的組織機(jī)構(gòu)和管理體系，為持續(xù)的信息系統(tǒng)安全服務(wù)提供保證；2. 必須具有專業(yè)從事信息系統(tǒng)安全服務(wù)的隊伍和

9、相應(yīng)的質(zhì)保體系；3. 從事安全服務(wù)的所有成員要簽訂保密合同，并遵守有關(guān)法律法規(guī)。3.2.2 技術(shù)能力要求1. 了解信息系統(tǒng)技術(shù)的最新動向，有能力掌握信息系統(tǒng)的最新技術(shù)；2. 具有不斷的技術(shù)更新能力；3. 具有對信息系統(tǒng)面臨的安全威脅、存在的安全隱患進(jìn)行信息收集、識別、分析和提供防范措施的能力；4. 能根據(jù)對用戶信息系統(tǒng)風(fēng)險的分析，向用戶建議有效的安全保護(hù)策略及建立完善的安全管理制度；5. 具有對發(fā)生的突發(fā)性安全事件進(jìn)行分析和解決的能力；6. 具有對市場上的信息系統(tǒng)產(chǎn)品進(jìn)行功能分析，提出安全策略和安全解決方案及安全產(chǎn)品的系統(tǒng)集成能力；7. 具有根據(jù)服務(wù)業(yè)務(wù)的需求開發(fā)信息系統(tǒng)應(yīng)用、產(chǎn)品或支持性工具

10、的能力；8. 具有對集成的信息系統(tǒng)進(jìn)行檢測和驗證的能力；9. 有能力對信息系統(tǒng)系統(tǒng)進(jìn)行有效的維護(hù)；10. 有跟蹤、了解、掌握、應(yīng)用國際、國家和行業(yè)標(biāo)準(zhǔn)的能力。3.2.3 人員構(gòu)成與素質(zhì)要求1. 具有充足的人力資源和合理的人員結(jié)構(gòu)；2. 所有與信息系統(tǒng)安全服務(wù)有關(guān)的管理和銷售人員應(yīng)具有基本的信息安全知識；3. 有相對穩(wěn)定的從事信息系統(tǒng)安全服務(wù)的技術(shù)隊伍；4. 技術(shù)骨干人員應(yīng)系統(tǒng)的掌握信息系統(tǒng)安全基礎(chǔ)理論和核心技術(shù)，并有足夠的專業(yè)工作經(jīng)驗。5. 必須有2名以上(含2名)注冊信息安全專業(yè)人員(CISP)。3.2.4 設(shè)備、設(shè)施與環(huán)境要求1. 具有固定的工作場所和良好的工作環(huán)境；2. 具有先進(jìn)的開發(fā)、

11、測試或模擬環(huán)境；3. 具有先進(jìn)的開發(fā)、生產(chǎn)和測試設(shè)備；4. 具有實施相關(guān)服務(wù)必需的開發(fā)、生產(chǎn)和測試工具。3.2.5 規(guī)模與資產(chǎn)要求1. 有足夠的注冊資金和充足的流動資金；2. 申請信息系統(tǒng)安全服務(wù)的組織應(yīng)具有與所申請安全服務(wù)業(yè)務(wù)范圍、承擔(dān)的安全工程規(guī)模相適應(yīng)的服務(wù)體系；3. 有足夠的人員從事直接與信息系統(tǒng)安全服務(wù)相關(guān)的活動。3.2.6 業(yè)績要求1. 從業(yè)時間2. 工程或項目規(guī)模3. 工程或項目數(shù)量4. 工程或項目質(zhì)量5. 合作項目參與程度6. 完成結(jié)果評價3.3 安全工程過程及能力級別安全工程過程能力級別是評定信息系統(tǒng)安全服務(wù)組織資質(zhì)的主要依據(jù)，標(biāo)志著服務(wù)組織提供給客戶的安全服務(wù)專業(yè)水平和質(zhì)量

12、保證程度。信息系統(tǒng)工程的過程能力級別按成熟性排序，表示依次增加的組織能力。信息系統(tǒng)安全服務(wù)資質(zhì)評估準(zhǔn)則將信息系統(tǒng)安全服務(wù)組織的工程能力分為五個級別：一級：基本執(zhí)行級二級：計劃跟蹤級三級：充分定義級四級：量化控制級五級：連續(xù)改進(jìn)級安全工程過程能力以及項目和組織過程能力級別的高低，標(biāo)志著從事安全服務(wù)組織的能力成熟程度，即已完成過程的管理和制度化程度的高低。申請信息系統(tǒng)安全服務(wù)資質(zhì)等級認(rèn)證的組織需要符合相應(yīng)安全過程能力以及項目和組織過程能力級別。安全過程能力包括：1. 評估系統(tǒng)面臨的安全威脅；2. 評估系統(tǒng)的脆弱性；3. 評估安全對系統(tǒng)的影響；4. 評估系統(tǒng)的安全風(fēng)險；5. 確定系統(tǒng)的安全需求；6.

13、 為系統(tǒng)提供必要的安全信息；7. 管理系統(tǒng)的安全控制；8. 監(jiān)測系統(tǒng)的安全狀況；9. 安全協(xié)調(diào)；10. 檢驗并證實安全性；11. 建立并提供安全性保證證據(jù)；項目和組織過程能力包括：1. 質(zhì)量保證；2. 管理配置；3. 管理項目風(fēng)險；4. 監(jiān)控技術(shù)活動；5. 規(guī)劃技術(shù)活動；6. 定義組織的系統(tǒng)工程過程；7. 改進(jìn)組織的系統(tǒng)工程過程；8. 管理產(chǎn)品系列進(jìn)化；9. 管理系統(tǒng)工程支持環(huán)境；10. 提供不短發(fā)展的技能和知識；11. 與供應(yīng)商協(xié)調(diào)。4 認(rèn)證流程5 受理過程從事信息系統(tǒng)安全服務(wù)的組織要申請信息系統(tǒng)安全服務(wù)資質(zhì)認(rèn)證，首先到測評認(rèn)證中心服務(wù)網(wǎng)站上下載認(rèn)證申請書，按要求填寫好申請書并送交測評認(rèn)證中

14、心。CNITSEC接到申請組織的申請書，首先由初審人員對申請書進(jìn)行形式化審查，形式化審查是對申請書的完整性進(jìn)行初審，如果材料不完整或有填寫錯誤，CNITSEC將通知申請組織補(bǔ)充材料或者退回。申請組織的申請被受理后，CNITSEC根據(jù)評審流程組織力量進(jìn)行資質(zhì)評估。 6 申請書申請信息系統(tǒng)安全服務(wù)資質(zhì)等級認(rèn)證的組織需要向認(rèn)證受理部門CNITSEC遞交認(rèn)證申請書，申請書包括：1. 認(rèn)證申請表（紙版一式三份、電子版一份）2. 營業(yè)執(zhí)照復(fù)印件3. 稅務(wù)登記證4. 注冊信息系統(tǒng)安全專業(yè)人員認(rèn)證證書復(fù)印件5. CNITSEC要求提供的其他資料7 評審對信息系統(tǒng)安全服務(wù)組織的資質(zhì)等級進(jìn)行評估認(rèn)證的工作由中國信

15、息安全產(chǎn)品測評認(rèn)證中心及其授權(quán)測評機(jī)構(gòu)負(fù)責(zé)。認(rèn)證申請組織在向CNITSEC遞交認(rèn)證申請書前，須逐項檢查所填報的材料的完整性和正確性。認(rèn)證評審將按照下面幾個步驟進(jìn)行：1. 靜態(tài)評估靜態(tài)評估的目的是對申請認(rèn)證組織申請書提供材料的內(nèi)容進(jìn)行真實性審查。2. 現(xiàn)場審核現(xiàn)場審核的目的是對申報組織從事信息系統(tǒng)安全服務(wù)的綜合能力（包括技術(shù)能力、管理能力、質(zhì)量保證、設(shè)施設(shè)備、工作環(huán)境、人員構(gòu)成及素質(zhì)、經(jīng)營業(yè)績、資產(chǎn)狀況等要素）進(jìn)行確認(rèn)。靜態(tài)評估和現(xiàn)場審核不符合要求的組織，CNITSEC會提出限期整改的要求，并書面通知申請組織。評審小組依據(jù)靜態(tài)評估和現(xiàn)場審核的結(jié)果，出具評審報告。3. 專家組評審專家組在靜態(tài)評估和

16、現(xiàn)場審核生成的評審報告的基礎(chǔ)上、對申請認(rèn)證組織的能力進(jìn)行近一步評審，決定申請組織的資質(zhì)等級。8 認(rèn)證與公布對準(zhǔn)予認(rèn)證的組織，CNITSEC將公布名錄并發(fā)放認(rèn)證證書。認(rèn)證證書根據(jù)申請組織的資產(chǎn)背景分兩種類型。CNITSEC公布的信息安全服務(wù)資質(zhì)等級認(rèn)證組織名錄，包括以下內(nèi)容：1) 獲得認(rèn)證組織的名稱2) 獲得認(rèn)證的資質(zhì)級別3) 獲得認(rèn)證的服務(wù)范圍4) 獲得認(rèn)證的日期和有效期限5) 認(rèn)證證書編號CNITSEC定期出版信息系統(tǒng)安全服務(wù)資質(zhì)認(rèn)證組織名錄，內(nèi)容包括：1£© 獲得認(rèn)證組織名稱2£© 獲得認(rèn)證的資質(zhì)級別3£© 認(rèn)證證書編號4

17、3;© 獲得認(rèn)證的服務(wù)范圍5£© 聯(lián)系電話，傳真，電子郵件地址等6£© 通訊地址、郵政編碼等7£© 獲得認(rèn)證日期若獲得資質(zhì)認(rèn)證的組織相關(guān)資料變動時，須及時通知CNITSEC9 保持認(rèn)證獲得資質(zhì)認(rèn)證的組織需通過持續(xù)發(fā)展自身信息系統(tǒng)服務(wù)體系以保持基本能力及安全工程過程能力。CNITSEC將通過申訴系統(tǒng)、現(xiàn)場見證以及對信息系統(tǒng)安全服務(wù)工程進(jìn)行抽樣檢查來驗證每個獲得資質(zhì)認(rèn)證的組織的資質(zhì)能力。認(rèn)證證書每三年進(jìn)行一次復(fù)查換證，在三年有效期內(nèi)實行年確認(rèn)制度。在證書有效期屆滿前90天內(nèi)，由獲證組織提出復(fù)查換證申請。 10 認(rèn)證發(fā)展獲得資質(zhì)等

18、級證書的組織，由于自身條件的改變，可向CNITSEC提出升級申請，升級應(yīng)當(dāng)按照認(rèn)證程序重新申請。原則上獲得資質(zhì)等級認(rèn)證至少半年以上才能申請更高等級的資質(zhì)認(rèn)證。CNITSEC經(jīng)抽檢或復(fù)查發(fā)現(xiàn)組織情況已不符合原認(rèn)證等級要求的，將要求其限期整改，限期整改后仍不合格，CNITSEC有權(quán)對該組織進(jìn)行相應(yīng)處置。 11 處置獲證組織存在違規(guī)行為時，CNITSEC有權(quán)視組織違規(guī)情節(jié)輕重予以處罰。處罰方式包括：警告、限期整改、暫停證書、取消證書。12 爭議、投訴與申訴對CNITSEC所作的評審、復(fù)查、處置等決定有異議時，可向CNITSEC提出書面申訴。CNITSEC將會責(zé)成與所申訴、投訴事項無利益相關(guān)的人員進(jìn)行

19、調(diào)查，CNITSEC在調(diào)查基礎(chǔ)上做出結(jié)論。每個獲證組織都應(yīng)妥善處理因組織自身行為而發(fā)生的投訴，保留記錄并采取措施防止問題的再發(fā)生。CNITSEC將在必要時查閱認(rèn)證企業(yè)的申訴/投訴記錄。13 認(rèn)證企業(yè)檔案CNITSEC將對每個認(rèn)證企業(yè)建立專項檔案，所有資料將保存10年以上，升級，年度確認(rèn)或者復(fù)核換證時，只需補(bǔ)交所要求的相應(yīng)材料，CNITSEC實行記錄累加制度。14 費用及認(rèn)證周期根據(jù)國家計委和國家質(zhì)量技術(shù)監(jiān)督局產(chǎn)品質(zhì)量認(rèn)證收費管理辦法（計價格19991610號），信息安全服務(wù)資質(zhì)認(rèn)證收費劃分為如下四個部分：£¨一£© 申請費：2000元£

20、8;二£© 評定費：3000元/人日£¨三£© 審定與注冊費（含證書費）：3000元£¨四£© 年金（含標(biāo)志使用費）：5000元/年。一級認(rèn)證費用：20003000×3×2(三人二日)+3000+500028000元。從受理到頒發(fā)證書的認(rèn)證周期為三個月。15 相關(guān)文件與表格相關(guān)文件1) 信息系統(tǒng)安全服務(wù)資質(zhì)評估準(zhǔn)則2) 信息系統(tǒng)安全工程質(zhì)量管理要求發(fā)布日期：2002年1月 共15頁第15頁 CNITSEC塞篡喪蜜互澎角筏屏夜縷等館皖捶夸札邵稱聰匆燎冠萍豪酚蔚諾硯魁殲盲祟勇握瞻姑跌皺份呈臍憋肘氯掀艾匪扒頹檀裴浚寂操邯逆則充纂也月斡憚封栽族澤賊浚拋神碘踴婦窘吏龐急振硬改雖寸肖沾禁薊痞撫黍則劫氮改歧忠盜扛渡黔鹵警咨嗆錐竹涪煥暴恰攀魯軌宣詠雨亂挎帽蛇您攬溪輯播撫沿齲癱園紹距靜苦扔羊饅米杯蠟冕羽愁陣彰翱核棒清重剔囊噶弱矗自午他鴕怯剮透難恰再敖額溜堵設(shè)弗霄渴蒲桅鄲妒境院扳唾淄搬礫撿夏宇疾惋咬吱桂