ICS
备案号:DB44
广 东 省 地 方 标 准 DB44/T 1920—2016
计算机信息系统安全服务机构等级评定规范
Classified Assessment Specification
of Computer Information System Security Services
2016-09-30 发布2017-01-01 实施
广 东 省 质 量 技 术 监 督 局 发布
计算机信息系统安全服务机构等级评定规范
1. 范围
本标准规定了广东省内从事计算机信息系统安全服务的机构应具备的服务能力要求及评定方法。
本标准适用于第三方评审机构对在广东省内从事计算机信息系统安全服务的机构进行等级评 定,评定结果可作为政府部门和企事业单位选用安全服务时的参考依据;也可作为从事计算机信息系统安全服务的机构改进自身服务能力的指导。
2. 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本 文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
GB/T 30271-2013 信息安全技术 信息安全服务能力评估准则
3. 术语和定义
GB/T 25069-2010 和 GB/T 30271-2013 界定的以及下列文件中的术语和定义并适用于本文件。
3.1计算机信息系统 computer information system
由计算机及相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 [GB/T 25069-2010,定义2.1.13]
3.2计算机信息系统安全 computer information system security
采取适当措施保护数据和资源,使计算机信息系统免受偶然或恶意的修改、损害、访问、泄露等操作的危害。
3.3信息安全服务 information security service
面向组织或个人的各类信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过程或服务。
3.4安全服务机构 security services
按照服务协议,通过专业计算机信息系统安全服务人员提供信息安全服务的各类组织机构。
3.5第三方评审机构 third-party assessment organization
独立于信息安全服务相关方的专业评估机构。
4. 安全服务机构等级划分
安全服务机构等级评定是衡量安全服务机构服务能力的尺度,依据安全服务机构的基本条件、 基本资格、管理能力、技术服务能力等分为一级、二级、三级、四级,其中一级最高,四级最低。
5. 安全服务机构评定标准
安全服务机构等级评定要求包含基本能力要求、分级能力要求和服务能力过程要求。基本能力 要求包含基本条件、基本管理能力要求、基本技术能力要求,具体要求见第6章。分级能力要求为安 全服务机构各级别的能力要求,包含基本资格、管理能力要求、技术能力要求,具体要求见第7章。 服务能力过程要求包含准备阶段、设计阶段、实施阶段、服务保障阶段等4个阶段,具体要求见第8 章。
6. 安全服务机构基本能力要求
6.1 基本条件
安全服务机构应具备的基本条件包括:
a) 具有中华人民共和国境内注册的独立法人资格,并具有相关部门颁发的合法经营资格; b) 在广东省内拥有长期固定的办公场所,具有能满足业务需求的设备和环境;
c) 有健全的财务制度,财务数据真实可信; d) 遵守国家现行法律、法规,无违法记录。
6.2 基本管理能力要求
安全服务机构应具备的基本管理能力包括:
a) 建立人员管理制度和能力考核指标,制定相关培训计划,定期开展培训;
b) 建立文档管理制度,确保项目文档资料妥善保管;
c) 建立项目管理制度,有健全的监督检查机制;
d) 建立保密管理制度,确保客户信息安全可控;
e) 建立质量管理制度,跟踪服务质量,并能对服务质量进行持续改进。
6.3 基本技术能力要求
安全服务机构应具备的基本技术能力包括:
a) 具备评估系统安全威胁的能力,能够识别系统所面临的各种安全威胁及其性质和特征,以及 对威胁的可能性进行评估;
b) 具备评估系统脆弱性的能力,能够收集、合成系统的脆弱性数据;
c) 具备评估安全对系统的影响的能力,能够识别安全对所实施的系统的影响,并对发生影响的可能性进行评估;
d) 具备评估系统安全风险的能力,识别出给定环境中涉及到对某一系统有依赖关系的安全风 险;
e) 具备确定系统安全需求的能力,能够为客户提供安全策略、安全目标、安全需求分析报告;
f) 具备确定系统的安全输入的能力,能为系统的规划者、设计者、实施者或用户提供他们所需
的安全信息,包括安全体系结构、设计或实施选择以及安全指南;
g) 具备安全控制管理的能力,能建立安全职责,增强所有用户和管理员的安全意识,开展安全教育培训,对所有的安全配置进行管理(如软件更新记录、安全配置修改记录等);
h) 具备监测系统安全状况的能力,能对安全风险变化、事件记录、安全防护措施进行监视,能 识别安全突发事件和对安全突发事件进行响应;
i) 具备检测或证实系统安全性的能力,包括检测或证实系统安全性的方法和工具;
j) 具备建立系统安全的保证数据的能力,包括对保证的目标进行识别、建立保证证据数据库并 对其进行分析;
k) 具备对整个系统进行管理配置的能力,包括维持已标识的配置单元的数据和状况,并对系统及其配置单元的变化进行分析和控制。
7. 安全服务机构分级能力要求
7.1 基本资格分级要求
略:各级别必须同时满足该级别的所有的要求,详见表1。
8. 安全服务机构服务能力过程要求
安全服务机构应具备的服务能力过程要求包括:
a) 制定安全服务流程;
b) 制定安全服务规范,并按照规范实施;
c) 服务过程至少包含准备阶段、设计阶段、实施阶段、服务保障阶段:
1) 准备阶段:
— 服务需求界定:调研客户背景信息,明确客户需求,与客户充分沟通,达成共识并编写需求分析报告。
— 服务合同签订:与客户签订服务协议,明确服务范围、目标、时间、内容、金额、质量和 输出等。
2) 设计阶段:
—服务方案制定:根据客户需求,编制技术方案和实施方案,明确人员、进度、质量、沟通、 风险等方面要求。根据项目需求组织客户及相关技术专家对技术方案和实施方案进行论证,
确认是否满足要求, 编制项目施工手册和作业指导书。
— 人员和工具准备:组建服务团队,服务团队应由管理层、相关业务骨干、技术人员等组成。 应对服务团队及第三方配合人员进行业务和技能培训。
3) 实施阶段:
— 项目实施人员依照实施方案,按时提交工作日志和记录文档,及时向项目经理汇报项目进 度。
— 对项目实施监督管理,建立客户满意度调查机制,并对调查结果进行分析。
— 根据项目需求和项目范围定期对项目实施情况进行评审,采取适当措施,控制项目风险。
4) 服务保障阶段:
— 依照项目需求和项目范围的要求,提出项目初验申请,组织客户和相关方对项目进行初步 验收,并提交项目初验报告。
— 根据合同约定,配合验收组完成项目终审验收,提交项目终验报告。
9. 评定方法
9.1 评定原则
第三方评审机构应按如下原则开展评定工作: a) 公开、公正、公平原则;
b) 定性与定量相结合原则;
c) 实行统一标准、统一程序、统一管理。
9.2 评定模式
对安全服务机构等级评定采取文档审核、现场审核、综合评定的模式进行。
9.2.1 文档审核
申请机构根据评定要求先确定需要申请的等级,提交符合相应等级要求的材料,提交的证明材 料应包含但不限于:
a) 独立法人资格证明;
b) 固定办公场所的证明材料;
c) 人员构成与素质证明材料;
d) 财务制度及反映财务状况的材料;
e) 人员管理制度和培训制度材料;
f) 文档管理制度文档材料;
g) 项目管理制度文档材料;
h) 保密管理制度文档材料;
i) 质量保证制度文档材料;
j) 项目业绩证明材料;
|
)
计算机信息系统安全服务机构等级评定
