文件编码:ISCCC-SV-003:2014
信息系统安全集成服务资质认证实施规则
2014-07-03发布2014-08-01实施
中国信息安全认证中心发布
目录
1.适用范围 (3)
2.规范性引用文件 (3)
3.术语与定义 (3)
3.1.信息系统集成 (3)
3.2.信息系统安全集成服务 (3)
4.安全集成资质认证要求 (3)
4.1.总则 (3)
4.2.资信要求 (3)
4.2.1.三级资信要求 (3)
4.2.1.1.法律地位要求 (3)
4.2.1.2.财务资信要求 (4)
4.2.1.3.办公场所要求 (4)
4.2.1.4.人员素质要求 (4)
4.2.1.5.人员资质要求 (4)
4.2.1.6.业绩要求 (4)
4.2.1.7.服务管理要求 (4)
4.2.2.二级资信要求 (4)
4.2.2.1.法律地位要求 (4)
4.2.2.2.财务资信要求 (4)
4.2.2.3.办公场所要求 (4)
4.2.2.4.人员素质要求 (5)
4.2.2.5.人员资质要求 (5)
4.2.2.6.业绩要求 (5)
4.2.2.7.服务管理要求 (5)
4.2.3.一级资信要求 (5)
4.2.3.1.申请条件 (5)
4.2.3.2.法律地位要求 (5)
4.2.3.3.财务资信要求 (5)
4.2.3.4.办公场所要求 (5)
4.2.3.5.人员素质要求 (5)
4.2.3.6.人员资质要求 (6)
4.2.3.7.业绩要求 (6)
4.2.3.8.服务管理要求 (6)
4.3.能力要求 (6)
4.3.1.总则 (6)
4.3.2.三级能力要求 (6)
4.3.2.1.集成准备阶段 (6)
4.3.2.2.方案设计阶段 (7)
4.3.2.3.建设实施阶段 (7)
4.3.2.4.安全保障阶段 (7)
4.3.3.二级能力要求 (7)
4.3.3.1.集成准备阶段 (7)
4.3.3.2.方案设计阶段 (7)
4.3.3.3.建设实施阶段 (8)
4.3.3.4.安全保障阶段 (8)
4.3.4.一级能力要求 (8)
4.3.4.1.集成准备阶段 (8)
4.3.4.2.方案设计阶段 (8)
4.3.4.3.建设实施阶段 (8)
4.3.4.4.安全保障阶段 (9)
5.安全集成资质认证程序 (9)
5.1.申请 (9)
5.2.文档审核 (9)
5.3.现场审核 (9)
5.4.认证决定 (10)
5.5.证后监督 (10)
5.5.1.证后监督频次和方式 (10)
5.5.2.证后监督内容 (10)
5.5.3.证后监督结论 (10)
5.5.4.信息通报 (10)
5.6.认证周期 (11)
5.7.认证证书管理 (11)
5.7.1.证书有效期 (11)
5.7.2.暂停认证证书 (11)
5.7.3.撤销认证证书 (11)
5.7.4.注销认证证书 (11)
5.7.5.证书变更 (11)
6.参考文献 (12)
1.适用范围
信息系统安全集成服务资质认证是依据国家认证认可法律法规、相关技术标准和规范,对信息系统安全集成服务提供者的资质进行评价的合格评定活动。
本规则规定了信息系统安全集成服务提供者(以下简称服务提供者)应具备的资信要求、能力要求以及认证机构开展资质认证的程序。
本规则可用于第三方机构对服务提供者进行资信和能力评价,可作为服务提供者开展自我评价的依据,并可为政府及有关社会组织选择服务提供者提供依据。
2.规范性引用文件
下列文件中的条款通过本文件引用而成为本文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本文件,然而,鼓励根据本文件达成协议的各方研究可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本文件。
CNCA/CTS 0052-2007《信息安全服务资质认证技术规范》
RB/T 201-2013《信息系统安全集成服务资质认证评价要求》
GB/T 5271.8-2001《信息技术词汇第8部分:安全》中的术语和定义适用于本标准。
3.术语与定义
3.1.信息系统集成
信息系统集成是指从事网络系统、应用系统、安防系统、建筑智能化系统的总体策划、设计、开发、实施、服务及保障等活动。
3.2.信息系统安全集成服务
信息系统安全集成服务(以下简称“安全集成”)是信息系统集成过程中的安全需求界定、安全设计、安全实施、安全保障等活动。采用信息系统安全工程的方法和理论,将安全单元、安全产品部件进行集成的活动。
4.安全集成资质认证要求
4.1.总则
安全集成资质认证要求包括资信和能力要求两部分。安全集成资质分为:一级、二级和三级,其中一级最高。
4.2.资信要求
4.2.1.三级资信要求
4.2.1.1.法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
4.2.1.2.财务资信要求
近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。
4.2.1.3.办公场所要求
拥有长期固定办公场所和相适应的办公条件,能满足机构设置及其业务需要。
4.2.1.4.人员素质要求
组织负责人拥有2年以上信息技术领域管理经历;技术负责人应获得信息系统安全集成相关专业认证或信息安全专业硕士及以上学位或电子信息技术类中级职称,且从事安全集成技术工作至少2年;财务负责人具有财务系列初级以上职称。
信息系统安全集成技术服务人员10名以上。
4.2.1.
5.人员资质要求
拥有信息系统安全集成相关专业认证人员至少2名;拥有项目管理资格证书人员至少1名。 4.2.1.6.业绩要求
从事信息系统安全集成服务至少1年。
近3年内签订并完成的安全集成项目总金额不少于300万元人民币,且至少完成一个100万以上的安全集成项目。
4.2.1.7.服务管理要求
a)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
b)制定保密管理制度,明确岗位保密责任,并与相关人员签订保密协议。
c)建立人员管理程序和能力考核指标;制定业务和技能培训计划,定期对相关人员开展培训
和考核。
d)建立文档控制程序,明确文档管理职责,任命管理人员,确保项目文档资料妥善保管。
e)提供资源,确保安全集成项目的实施。
4.2.2.二级资信要求
4.2.2.1.法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
4.2.2.2.财务资信要求
近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。
4.2.2.3.办公场所要求
拥有长期固定办公场所和相适应的办公条件,能满足机构设置及其业务需要。
4.2.2.4.人员素质要求
组织负责人拥有3年以上信息技术领域管理经历;技术负责人应获得信息系统安全集成相关专业认证或信息安全专业硕士及以上学位或电子信息技术类高级职称,且从事安全集成技术工作至少5年;财务负责人拥有财务系列中级以上职称。
信息系统安全集成技术服务人员30名以上。
4.2.2.
5.人员资质要求
拥有信息系统安全集成相关专业认证人员至少6名;具有项目管理的资格证书人员至少2名。
4.2.2.6.业绩要求
从事信息系统安全集成服务3年以上,或取得安全集成三级资质1年以上。
近3年内签订并完成至少6个安全集成项目,项目总金额至少1000万元人民币,且至少完成一个200万以上的安全集成项目。
4.2.2.7.服务管理要求
a)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
b)制定保密管理制度,明确岗位保密责任,与相关人员签订保密协议。
c)参照国际或国内标准,建立业务范围覆盖安全集成服务的质量管理体系,并有效运行。
d)参照国际或国家标准,建立业务范围覆盖安全集成服务的信息安全管理体系或信息技术服
务管理体系,并有效运行。
e)提供资源,确保安全集成项目的实施。
4.2.3.一级资信要求
4.2.3.1.申请条件
取得安全集成二级资质1年以上。
4.2.3.2.法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
4.2.3.3.财务资信要求
近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记的会计师事务所出具的近3年财务审计报告。
4.2.3.4.办公场所要求
拥有长期固定办公场所和相适应办公条件,能满足机构设置及其业务需要。
4.2.3.
5.人员素质要求
组织负责人拥有4年以上信息技术领域管理经历;技术负责人应获得信息系统安全集成相关专业认证或信息安全专业硕士及以上学位或电子信息技术类高级职称,且从事安全集成技术工作至少8年;财务负责人拥有财务系列高级职称或取得中级职称8年以上。
信息系统安全集成技术服务人员50名以上。
4.2.3.6.人员资质要求
拥有信息系统安全集成相关专业认证人员至少10名;具有项目管理的资格证书人员至少5名。
4.2.3.7.业绩要求
从事信息系统安全集成服务5年以上。
近3年内签订并完成至少10个安全集成项目,通过验收并投入实际应用。项目合同总金额至少2000万元人民币,且至少完成一个500万以上的安全集成项目。
4.2.3.8.服务管理要求
a)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
b)制定保密管理制度,明确岗位保密责任,与相关人员签订保密协议。
c)参照国际、国内标准,建立业务范围覆盖安全集成服务的质量管理体系,并提供有效运行
的相关证明。
d)参照国际、国家标准,建立业务范围覆盖安全集成服务的信息安全管理体系或信息技术服
务管理体系,并提供有效运行的相关证明。
e)提供足够资源,确保安全集成项目的实施。
4.3.能力要求
4.3.1.总则
安全集成项目划分为集成准备、方案设计、建设实施、安全保障四个阶段。
4.3.2.三级能力要求
4.3.2.1.集成准备阶段
4.3.2.1.1.需求调研与分析
a)调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求。
b)基于系统建设需求,提出产品选型方案和建设预算。
c)结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录。
4.3.2.1.2.签订服务协议
a)与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
b)与客户、供应商等相关方签订保密协议,明确保密职责和违约责任。
4.3.2.2.方案设计阶段
a)根据系统建设安全需求,编制安全集成技术方案。
b)依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面
的要求。
c)结合技术方案和实施方案,与客户进行沟通,获得客户认可。
4.3.2.3.建设实施阶段
4.3.2.3.1.实施集成
a)依据已确认的安全集成项目技术方案和实施方案,按照时间和质量要求进行系统建设。
b)项目实施人员按时提交施工记录和工程日志,及时向项目经理汇报项目进度。
c)建立安全集成项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施
过程中能够有效充分的沟通。
4.3.2.4.安全保障阶段
4.3.2.4.1.系统测试
a)依据项目技术方案和测试计划,对系统进行联调和系统测试,完整记录测试过程相关信息。
b)对于新建系统重点测试系统的功能、性能和安全性等;对于系统改造或升级项目,还需进
行兼容性测试。
4.3.2.4.2.系统试运行
a)为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试
运行周期至少一个月。
b)基于系统运行相关记录,及时对系统设备进行调整和维护。
4.3.2.4.3.验收
a)根据合同约定,向客户提交完整的项目资料及交付物,并提出终验申请。
b)根据合同约定,配合组织项目验收,出具项目验收报告。
4.3.3.二级能力要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
4.3.3.1.集成准备阶段
4.3.3.1.1.需求调研与分析
a)准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系
统安全保障策略和建议。
b)基于客户需求和投入能力,开展需求分析,编制需求分析报告。
4.3.3.2.方案设计阶段
a)结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明
确系统架构、产品选型、产品功能、性能及配置等参数。
b)组织客户及相关技术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能
和安全性要求。
c)结合技术方案,对项目组及第三方配合人员进行业务和技能培训。
d)依据技术方案具体指标要求,制定系统测试计划。
4.3.3.3.建设实施阶段
4.3.3.3.1.实施集成
a)产品、设备安装调试过程中,应完整妥善记录相关信息。
b)项目建设施工完成后,需向客户提交完工报告。
c)项目实施完成后,相关过程记录及时归档,并统一保管。
4.3.3.3.2.监督管理
建立客户满意度调查机制,并对调查结果进行分析。
4.3.3.4.安全保障阶段
4.3.3.4.1.系统测试
a)系统测试完成后,制定系统测试报告,并提交客户。
b)结合项目需要提出初验申请,组织客户及相关方对项目进行初验,并提交初验报告。
4.3.3.4.2.系统试运行
试运行结束后,项目组制定系统试运行报告,并提交客户。
4.3.4.一级能力要求
组织申报一级资质,除满足二级能力要求外,还应满足以下要求:
4.3.4.1.集成准备阶段
4.3.4.1.1.需求调研与分析
协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
4.3.4.1.2.签订服务协议
建立安全集成服务级别管理程序,签订服务级别协议。
4.3.4.2.方案设计阶段
a)结合项目需要,编制安全集成项目施工手册和作业指导书。
b)对于新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求。对
于系统改造,还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等。
c)基于安全集成项目需求和进度计划,编制信息安全产品和工具定制开发计划。
4.3.4.3.建设实施阶段
4.3.4.3.1.实施集成
a)建立项目变更管理程序,对项目实施过程中方案、资源变更进行有效控制,完整记录变更
过程。
b)制定项目应急处置方案和恢复策略,对项目过程中的应急事件及时进行响应。
4.3.4.3.2.监督管理
定期对项目实施情况进行评审,采取适当措施,控制项目风险。
4.3.4.4.安全保障阶段
4.3.4.4.1.系统测试
基于建设系统的安全要求,制定系统安全性测试方案,模拟攻击场景,对系统安全性进行测试。
4.3.4.4.2.系统试运行
a)制定系统试运行计划,建立应急响应服务保障团队,及时应对突发事件。
b)综合分析系统运行状态,建立系统运行策略和安全指南,并对相关产品和设备设施进行配
置管理。
c)提供三个月以上的试运行记录和报告。
5.安全集成资质认证程序
5.1.申请
申请组织可自愿向认证机构提出申请,并提交《信息系统安全集成服务资质认证申请书》及以下材料:
a)独立法人资格相关证明材料;
b)固定办公场所证明材料;
c)保密管理制度;
d)安全集成业绩证明材料等。
5.2.文件审核
依据认证程序和相关标准要求,对申请组织提交的申请书及附件进行评审,确保:
a)认证机构和申请组织之间无理解差异;
b)申请组织充分理解认证实施规则相关要求;
c)对于申请的认证范围、工作场所等相关要求,认证机构均有能力开展认证服务。
5.3.现场审核
认证机构组成评审组,依据相关标准和审核要求,到申请组织现场进行评审,主要内容包括:
a)验证申请组织相关资质证明、规章制度和程序文件;
b)通过检查、观察、访谈,验证申请组织的安全集成服务技术、管理能力;
c)现场案例抽查。
认证机构认证决定委员会执行认证决定。认证决定委员会由3名以上(含3名)奇数认证决定人员组成。
认证决定人员依据认证标准、认证程序及实施规则要求,结合评审过程中采集的信息(对于存在不符合项的情况,需进行整改并由评审组验证通过),对审核结果进行综合评价,做出“通过认证”或 “不通过认证”的决定。必要时,认证决定委员会应对申请组织是否满足认证标准进行风险评估后,再做出是否通过认证的决定。
对于符合认证要求的申请组织,认证机构应颁发认证证书,并在官方媒体上予以公告。
对于不符合认证要求的申请组织,认证机构应以书面的形式,明示其不能获得认证的原因。
申请组织如对认证决定结果有异议,可向认证机构提出申诉。认证机构自收到申诉之日起,在一个月内进行处理,并将处理结果书面通知申请组织。
5.5.证后监督
5.5.1.证后监督频次和方式
认证机构需对获证组织实施监督。监督审核需到获证机构现场实施,且每年度(不超过12个月)进行一次监督审核。
当获证组织发生重大变更、事故或客户投诉时,认证机构可增加现场监督审核的频次。
5.5.2.证后监督内容
监督审核除包括初次评审的内容外,还应对上一次审核中提出的不符合项和观察项所采取纠正/预防措施进行验证。
5.5.3.证后监督结论
对于通过监督审核的获证组织,认证机构应做出维持认证证书有效的决定;否则,暂停或撤销其认证证书。
5.5.4.信息通报
为确保获证组织的安全服务能力持续有效,获证组织应建立信息通报渠道,及时向认证机构报告以下信息:
a)组织机构变更信息;
b)安全事故、客户投诉信息;
c)其他重要信息。
认证机构应及时对上述信息进行处理并采取相应措施,包括增加监督审核频次、暂停或撤销认证证书。
认证周期是指申请被正式受理之日起,至认证证书颁发,实际发生的时间,包括认证受理、文档审核、现场审核、认证决定以及证书审批等环节,一般为三个月。
5.7.认证证书管理
5.7.1.证书有效期
获证组织如持续满足标准要求,且通过认证机构年度监督评审,可保持证书有效。
5.7.2.暂停认证证书
获证组织有下列情形之一,认证机构应暂停其认证证书:
a)未按规定接受监督审核;
b)违规使用认证证书,且未造成不良影响;
c)监督审核有严重不符合项;
d)不接受认证机构实施监督;
e)其他需要暂停证书的情况。
证书暂停时间一般为三个月。在证书暂停期间,组织可提出恢复证书的申请,并经认证机构审核、批准后方可使用证书。
5.7.3.撤销认证证书
获证组织有下列情形之一,认证机构应撤销其认证证书:
a)证书暂停期间,未在规定时间内完成整改并通过验证;
b)违规使用认证证书,造成不良影响;
c)获证组织出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;
d)被客户投诉,经调查事实存在
e)其他需要撤销证书的情况。
5.7.4.注销认证证书
获证组织因自身原因不再维持证书,可向认证机构提出注销认证证书的申请,认证机构应及时给予注销。
认证证书撤销或注销后,认证机构应及时收回认证证书,并在官方媒体予以公告。
5.7.5.证书变更
证书变更如只涉及地址、资金或法定代表人的变更,获证组织需递交变更申请,经书面审核批准后,认证机构可更换其证书并收回原证书。
如获证组织发生除以上外的重大调整,应向认证机构提出变更申请,并提供相关材料。认证机构需进行现场验证,并做出认证决定。
6.参考文献
GB/T 20261-2006 信息技术系统安全工程能力成熟度模型
YD/T 1621-2007 网络与信息安全服务资质评价准则
YD/T 1799-2008 网络与信息安全应急处理服务资质评价方法
YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法
CNCA/CTS 0052-2007 信息安全服务资质认证技术规范
《计算机信息系统集成企业资质等级评定条件》(2012年修定版)《通信信息网络系统集成企业资质认定》
《安防工程企业资质评定标准》中安协资[2007] 2号
《建筑智能化工程专业承包企业资质等级标准》
信息系统安全集成服务资质客户信息管理
目录 1 目的 (3) 2 范围 (3) 3 客户信息内容 (3) 4 客户信息管理规定 (3) 4.1技术上管理规定 (3) 4.2文档管理规定 (4) 4.3服务人员管理规定 (4)
1目的 保障客户信息安全,切实推行安全管理措施,积极预防客户信息泄露风险,完善控制措施。 2范围 本办法适用于公司所有在职员工。 3客户信息内容 客户信息包括以下几个方面的内容: 一、客户资料(包括联系方式、地址和网络设备信息等)。 二、集成活动中产生的文档、最终安全集成报告和项目验收文档。 三、在集成过程中接触和应用的客户网络数据内容信息。 四、在集成过程中接触和应用的客户现场安全设施信息。 根据客户信息内容的特点,我公司采用安全的、可控的客户信息管理技术与法律、法规相结合的管理制度对客户信息以及服务人员进行管理。确保客户信息的安全、避免客户信息的外泄。 4客户信息管理规定 4.1技术上管理规定 一、搭建客户信息管理系统(CRM)。CRM与互联网物理隔离,具有应用审计功能。 二、与客户交流了解的客户信息应及时录入到客户信息管理系统中。不得私自留存。 三、对客户信息内容进行分类。分为商务信息内容和技术信息内容。特定查询员只 能查询特定信息内容。 四、设定系统使用人员级别。分为管理员(增加、删除权限)和查询员(信息内容 查询权限),查询员分为商务查询权限和技术查询权限。管理与查询权限需经 公司领导层授权。 五、每三个月提示使用者更新账户密码,新密码与旧密码不能一样。 六、客户信息内容查询要完全按照客户信息管理操作使用手册操作。任何个人未经 允许不得私自处理或找非相关人员对CRM系统进行维修及操作,不得擅自拆
常见信息安全服务内容描述参考 服务名称内容简介单位数 量 备注 代 码审计 源代码安全 审计服务 通过源代码检测工具进行自动 化扫描并获取到自动化检测结果; 对自动化检测结果进行人工分析, 对误报问题进行标注和过滤,整理 源代码安全审计报告。将报告交付 给用户的研发人员,并给予相应的 问题修复建议和进行问题修复跟 踪。通过重新检测验证问题修复情 况。 次 /年 不 限 按采购人 实际需求 网 站 安全监测 ▲网站安全监 测云服务 实时短信和电话通知网站安全 监测的异常情况。 1.网站可用性状态监控,如: 网站访问速度异常、宕机或被非法 破坏而不能提供访问服务等。 2.监测网站页面是否被篡改和 被恢复,是否发生安全事件(网页 篡改、网页挂马、网页暗链、网页 敏感关键字等检测),准确定位网页 木马所在的位置。 3.监测网站是否存在当前流行 的Web应用漏洞,如:struts2框架漏 洞、SQL注入、跨网站脚本攻击、 缓存溢出等,定位Web应用漏洞所 在的位置。 实 时 不 限 包括但不 限于本次等保 测评的信息系 统 安 全通告 主流操作系 统、数据库、web 服务安全问题通 告 每月提供汇总安全通告。 次 /年不 限 邮件/电话 形式通告。 网络安全 问题通告 每月提供汇总安全通告。次
配置检查和日志分析安全配置和日志进行分析备份,指 出用户核心服务器群所存在的风险 和问题所在。 /季 ▲新系统上线安全检测 每季度对新拟上线的系统(含 重大修改的系统)进行漏洞扫描及 安全配置检查,找出不合规的配置 项,形成报告并提供整改方案,通 过安全检测后系统方可上线使用。 次 /年 4 网络架构分析 每季度对现有的网络架构进行 分析,对存在的故障隐患点、不合 理节点等进行建议整改。 次 /年 4 重大节假日和活动前安全巡检 在重大节假日和活动前对全网 进行全面的安全检测。 次 /年 不 限 根据实际 情况协商。 评估 加 固信息安全风 险评估和安全加固 根据每季度的系统安全巡检评 估结果,提供整改方案,指导用户 对存在安全威胁的服务器、网络设 备、数据库、Web应用等进行安全加 固,包括系统漏洞、配置、木马等 威胁加固。 次 /年 4 制度 制 订协助制订完 善用户信息安全相关的制度 按照等保标准和国家、省、市 有关电子政务信息安全制度,协助 招标单位制订符合本单位实际使用 情况的信息系统安全管理制度。 次 /年 1根据实际 情况协商。
编号: 国家信息安全测评 信息安全服务资质申请书 (安全开发类一级) 申请单位(公章): 填表日期: ?2011—中国信息安全测评中心 2011年1月1日
目录 填表须知 (3) 申请表 (4) 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位近三年资产运营情况 (7) 四、申请单位人员情况 (8) 五、申请单位技术能力基本情况 (8) 六、申请单位安全开发过程能力 (8) 6.1安全意识和安全教育 (8) 6.2启动安全开发过程 (8) 6.3产品风险评估和分析 (8) 6.4定义安全设计原则 (8) 6.5提供安全文档和安全配置工具 (8) 6.6进行安全编码 (8) 6.7进行安全测试 (8) 6.8安全最终评审与产品发布 (8) 6.9安全响应服务 (8) 七、申请单位的项目和组织过程能力 (8) 7.1实现质量保证的能力 (8) 7.2实现配置管理的能力 (8) 7.3管理项目风险的能力 (8) 7.4规划项目技术活动的能力 (8) 7.5监控技术活动的能力 (8) 7.6提供不断发展的知识和技能的能力 (8) 7.7与供应商协调的能力 (8) 八、申请单位安全服务项目汇总 (8) 九、申请单位获奖、资格授权情况 (8) 十、申请单位在安全开发服务方面的发展规划 (8) 十一、申请单位其他说明情况 (8) 十二、申请单位附加信息 (8) 申请单位声明 (8)
填表须知 用户在正式填写本申请书前,须认真阅读并理解以下容: 1.中国信息安全测评中心对下列对象进行测评: ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2.申请单位应仔细阅读《信息安全服务资质申请指南(安全开发类一级)》,并按照其要求如实、详细地填写本申请书所有项目。 3.申请单位应按照申请书原有格式进行填写。如填写容较多,可另加附页。 4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。 5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。 7.如有疑问,请与中国信息安全测评中心联系。 中国信息安全测评中心 地址:市海淀区上地西路8号院1号楼 邮编:100085 :(010)82341188或82341118 传真:82341100 网址:https://www.doczj.com/doc/d44517428.html, 电子:https://www.doczj.com/doc/d44517428.html,
信息系统安全集成工作流程
(4) 2适用范围 (4) 3安装调试 (4) 3.1准备阶段 (5) 3.1.1准备工作安排 (5) 3.1.2技术支持人员要求 (6) 3.1.3险点分析与控制 (6) 3.1.4工具及材料准备 (6) 3.2施工阶段 (7) 3.2.1 开工 (7) 3.2.2施工工艺标准 (7) 4信息系统安全集成项目验收 (8) 4.1信息系统安全集成项目自调测 (8) 4.2信息系统安全集成项目验收步骤 (8) 4.3信息系统安全集成项目验收内容 (9) 5售后服务 5.1售后服务方式 (11) 5.2售后服务流程 (11) 5.2.1 电话维护 (12) 5.2.2现场维护 (12) 5.2.3定期回访 (13) 6客户培训 6.1培训人员 (14) 6.2 培训目标 (14) 11 14
6.3培训方式 (14) 6.4培训内容 (14)
7建立客户档案14
1目的 规范信息系统安全集成的作业流程,确保人身和设备的安全。提高信息系统安全集 成的安装、调试工作、资料归纳的管理水平及所属资料文档的规范化、标准化。提高信息系统安全集成服务人员的服务水平与服务意思。提高客户对信息系统安全集成后设备 的操作、使用水平。保障信息系统安全集成后网络的安全、稳定运行。 信息系统安全集成工程的工作主要包括以下三个方面:现场的安装调试、工程验收、售后服务和客户培训。 2适用范围 适用于公司信息系统安全集成项目所有应用产品的安装、调试、验收、售后服务和培训工作。 安装、调试、验收和售后服务部分针对人群为本公司技术支持工程师;培训部分针 对于客户信息系统中安全系统的管理、操作和维护人员。 3安装调试 为保障信息系统安全集成服务项目的安全、有效的进行。保证设备验收一次性通过, 以及施工后的维护工作顺利进行。项目集成过程中要严格按照流程进行操作。 一、远程核实现场实施条件,协调客户完善现场实施环境,确认实施日期。 二、现场确认实施条件,协调客户完善现场实施环境,确认实施日期。 三、与客户一同进行开箱验货,验货清单双方签字确认。 四、组织开工协调会议,确认施工范围和施工职责。做到安全施工责任到个人。 五、进行安全系统产品的安装、调试工作。 六、安全系统设备运行自检、观察。确保产品配置正确,安全、稳定的运行。
信息安全服务
成都思科赛思通信技术有限公司 公司介绍 成都思科赛思通信技术有限公司成立于2003年,汇集了一批信息安全精英和电信增值业务产品开发人才、组成了信息安全服务事业部和IT代维外包事业部。 思科赛思专业安全服务,结合多年专注信息安全、专心服务客户的经验,结合国际国内安全标准,为客户提供一系列专业安全服务。 思科赛思IT代维外包服务,按照国际最佳实践ITIL来进行流程定制、规范服务,帮助系统管理者进行运营、管理和维护支持工作,按客户所需进行定制化的IT 外包服务。 思科赛思长期和sans ,cve,owasp等国际组织以及 eeye,imperva,amaranten,等专业商业安全公司合作交流,开展技术共享,优势互补。 思科赛思专业安全服务团队由一批经验丰富,富有责任心和使命感的专业技术人员组成,多人拥有CISP、CISSP、CISA、NIIT、计算机信息系统集成项目经理、PMP认证及能力。 我们的服务理念和目标是: “专注安全、专业服务、服务成就价值。” 思科赛思能为您做什么? 思科赛思在多年协助客户实施信息安全规划、建设、运作、管理的过程中积累了大量经验,并已总结成为一整套科学规范的信息系统安全管理的实践方法。思科赛思信息安全服务是一套针对企业信息安全规划、建设、运作、管理的完善解决方案,能够协助企业更加全面地认识信息技术、评估企业的信息安全隐患及薄弱环节,进一步完善企业系统架构,为企业的网上应用构建高度安全的运行环境,共同规划、设计、实施、运作、管理,从而保护企业信息系统的安全。
信息安全架构设计服务 问题与挑战:管理和技术不能两全? 企业信息安全架构规划涉及到管理和技术两方面的内容,而不是单一系统或程序能实现的。如果想凭借企业内部管理人员的经验、技术人员的执行力来完成架构规划,不仅需要大量的交流时间,更需要精力去不断地磨合与调整。在资源有限的情况下,企业如何建立最符合企业现状的信息安全管理架构? 管理层在对企业 进行信息安全架构规 划时难免忽略技术需 求,而技术人员的规 划未必顾及到管理层 面。如果您已经制定 了企业的信息安全架 构规划,那么不妨根 据下列问题对其全面 性做出评估: 您的信息安全架构蓝图是依据各个部门的信息安全目标而制定的吗? 您的企业在执行信息安全加固项目时,是否有清晰的信息安全规划指导? 您的企业是否制定了清晰的风险管理流程? 您的企业是否有、并执行一些关键的信息安全管理流程?
信息系统安全集成服务资质认证介绍 一、工作背景 随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。 开展信息安全服务分类分级的资质认证可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。 中国信息安全认证中心是国家质检总局直属事业单位,经中央编制委员会批准成立,由国家认证认可监督管理委员会批准,可依据相关标准开展对信息安全服务资质分类分级的认证工作。2011年启动了信息系统安全集成服务资质认证工作,2013年4月,中国信息安全认证中心与辽宁省信息安全与软件测评认证中心签订了信息系统安全集成服务资质认证合作协议,授权测评认证中心为辽宁工作站,在辽宁省(含大连)内推广并实施信息系统安全集成服务资质认证工作。 二、认证简介 信息系统安全集成服务是指从事计算机应用系统工程和网络系
统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。 信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。安全集成服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。 信息系统安全集成服务资质认证是依据ISCCC-SV-003:2011《信息系统安全集成服务资质认证规则》开展。评估对象是为信息系统所有者提供安全集成服务的组织。 三、评价要求
信息安全应急响应流程 广东盈通网络投资 20011年07月 目录 第一部分导言 (2) 1.1.文档类别 (2) 1.2.使用对象 (3) 1.3.计划目的 (3) 1.4.适用范围 (3) 1.5.服务原则 (3)
第二部分应急响应组织保障 (4) 2.1.角色的划分 (4) 2.2.角色的职责 (4) 2.3.组织的外部协作 (4) 2.4.保障措施 (5) 第三部分应急响应实施流程 (5) 3.1.准备阶段(Preparation stage) (7) 3.1.1 领导小组准备内容 (7) 3.1.2 实施小组准备内容 (7) 3.1.3 日常运行小组准备内容 (9) 3.2.检测阶段(Examination stage) (9) 3.2.1 检测范围及对象的确定 (10) 3.2.2 检测方案的确定 (10) 3.2.3 检测方案的实施 (10) 3.2.4 检测结果的处理 (12) 3.3.抑制阶段(Suppresses stage) (12) 3.3.1 抑制方案的确定 (13) 3.3.2 抑制方案的认可 (13) 3.3.3 抑制方案的实施 (13) 3.3.4 抑制效果的判定 (13) 3.4.根除阶段(Eradicates stage) (14) 3.4.1 根除方案的确定 (14) 3.4.2 根除方案的认可 (14) 3.4.3 根除方案的实施 (14) 3.4.4 根除效果的判定 (14) 3.5.恢复阶段(Restoration stage) (15) 3.5.1 恢复方案的确定 (15) 3.5.2 恢复信息系统 (15) 3.6.总结阶段(Summary stage) (15) 3.6.1 事故总结 (16) 3.6.2 事故报告 (16) 第一部分导言 1.1.文档类别 本文档是盈通公司信息技术安全IT技术部用以规范“信息安全应急响应服务流程”项
. 1 信息系统安全集成操作规
目录 1 目的 (3) 2 适用围 (3) 3 引用标准 (3) 4 工作礼仪与作风 (3) 5 施工环境检查规 (4) 6 设备及配件检验规 (4) 7 设备线缆布放规 (5) 7.1机架安装规 (5) 7.2产品安装规 (5) 7.3布线规 (6) 7.4工程标签使用规 (6) 8 设备操作规 (7) 9 售后服务规 (7)
1目的 为提高信息系统安全集成项目安全生产管理水平,指导信息系统安全集成项目按照安全生产的要求进行生产作业,减免人身伤亡、设施损坏的事故的发生。 为提供优秀的技术支持和售后服务,确保我公司所提供的设备软、硬件在运行期间能够稳定、安全、高效的运行,最终保证客户网络的安全、正常运行。 按照《安全生产法》、《建设工程安全管理条例》(国务院393号令)等法律法规的规定,制定本操作规。 2适用围 本规适用于信息系统安全集成项目信线路、设备安装和调试,以及信息系统安全集成项目后的售后服务工作。 本公司从事信息系统安全集成项目的相关人员,均应熟悉并严格执行本规程。 3引用标准 YD/T 1160-2001 接入网技术要求——基于以太网的宽带接入网 YD/T 1240-2002 接入网设备测试方法——基于以太网的宽带接入网设备 YD/T 1225-2003 具有路由功能的以太网交换机技术要求 YD/T1694-2007 以太网运行和维护技术要求 IEEE 802-2001 局域网和城域网的IEEE 标准:概况和架构 YD/T 926-2001 大楼通信综合布线系统 YD 5059-2005 通信设备安装抗震设计规 4工作礼仪与作风 一、工作礼仪 (一)、衣着整洁,着装得体,佩戴胸牌。 (二)、保持乐观,不将个人情绪带到工作中。 (三)、谦虚稳重,不卑不亢,态度诚恳,不夸夸其谈,不恶意中伤。
信息系统安全集成实施规范
目录 1 目的 (3) 2 适用范围 (3) 3 安装调试 (3) 3.1准备阶段 (4) 3.1.1 准备工作安排 (4) 3.1.2 技术支持人员要求 (5) 3.1.3 险点分析与控制 (5) 3.1.4 工具及材料准备 (5) 3.2施工阶段 (6) 3.2.1 开工 (6) 3.2.2 施工工艺标准 (6) 4 信息系统安全集成项目验收 (7) 4.1信息系统安全集成项目自调测 (7) 4.2信息系统安全集成项目验收步骤 (7) 4.3信息系统安全集成项目验收内容 (8) 5 售后服务 (10) 5.1售后服务方式 (10) 5.2售后服务流程 (10) 5.2.1 电话维护 (11) 5.2.2 现场维护 (12) 5.2.3 定期回访 (13) 6 客户培训 (13) 6.1培训人员 (13) 6.2培训目标 (13) 6.3培训方式 (14) 6.4培训内容 (14) 7 建立客户档案 (14)
1目的 规范信息系统安全集成的作业流程,确保人身和设备的安全。提高信息系统安全集成的安装、调试工作、资料归纳的管理水平及所属资料文档的规范化、标准化。提高信息系统安全集成服务人员的服务水平与服务意思。提高客户对信息系统安全集成后设备的操作、使用水平。保障信息系统安全集成后网络的安全、稳定运行。 信息系统安全集成工程的工作主要包括以下三个方面:现场的安装调试、工程验收、售后服务和客户培训。 2适用范围 适用于公司信息系统安全集成项目所有应用产品的安装、调试、验收、售后服务和培训工作。 安装、调试、验收和售后服务部分针对人群为本公司技术支持工程师;培训部分针对于客户信息系统中安全系统的管理、操作和维护人员。 3安装调试 为保障信息系统安全集成服务项目的安全、有效的进行。保证设备验收一次性通过,以及施工后的维护工作顺利进行。项目集成过程中要严格按照流程进行操作。 一、远程核实现场实施条件,协调客户完善现场实施环境,确认实施日期。 二、现场确认实施条件,协调客户完善现场实施环境,确认实施日期。 三、与客户一同进行开箱验货,验货清单双方签字确认。 四、组织开工协调会议,确认施工范围和施工职责。做到安全施工责任到个人。 五、进行安全系统产品的安装、调试工作。 六、安全系统设备运行自检、观察。确保产品配置正确,安全、稳定的运行。
《信息系统安全集成服务资质认证评价要求》 编制说明 一、工作简况 《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。该项目由中国信息安全认证中心承担。 截止到2011年底,国内外尚未形成安全集成服务相关标准。ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model? (SSE-CMM?)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的,其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容,以及安全工程的能力成熟度模型,未涉及认证评价的内容,所以该标准不能完全满足信息安全服务资质认证工作的需要。鉴于现状,我们征集了信息安全业界专家的意见,专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准,将安全集成服务资质分为三级,其中一级最高,三级最低,最终制定一套符合我国信息安全服务现状的认证实施规则,依据该规则指导安全集成服务资质认证工作。 为了规范信息系统安全集成(以下简称安全集成)服务市场,提升安全集成服务质量,我中心于2012年初,依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。该实施规则得到了申请方的一致认可。 该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上,经编写小组多次讨论和征求意见后制定,形成了目前的标准草案稿。 二、编制原则 为使该评价准则能够科学、规范地开展认证工作,客观反映我国信息安全集成服务产业的现状,评价信息安全集成服务提供方的资质,并通过指导、规范服务过程,实现服务良好的可操作性、可用性、安全性,在评价准则制定过程中,采用科学合理、结构严谨、计划周全的方法来进编制《信息系统安全集成服务资质认证评价要求》。本标准在将参考国际通用的标准ISO/IEC 21827:2008《Information technology — Security techniques —Systems Security Engineering —Capability Maturity Model? (SSE-CMM?)》与国家标准GB/T 20262-2006《信息技术系统安全工程能力成熟度模型》以及相关技术发展和实践
系统集成项目管理发展方向 一种方向是当一个系统集成公司处于成长的初期时,或面临激烈的市场竞争,或行业内技术变化日新月异的情况下,采用“求变”的项目管理模式容易使系统集成公司冲出重围加速发展,因为在今天的系统集成领域,产品从设计到投入使用之间并没有充分的时间让你按部就班地稳步成长,在传统项目管理中较理想化项目生命周期的各个阶段被诸多限制条件极度压缩,因此,只能采取灵活多变的措施,在计划进度内完成项目,取得效益。“求变”是一种创新,它对管理者和项目执行者的素质均提出了很高的要求,只有建立在全面了解新技术的特点和自身的优势劣势的基础之上才可能取得成功。 另一种发展方向则是项目管理的标准化趋势,例如将ISO9000或CMM软件能力成熟度模型等标准化过程引入到系统集成项目管理中,通过这些标准化的流程使得项目的实施过程更加有序化、可控化。使项目管理向规范化、标准化发展无疑是较理想的,标准化本身就是节约成本,创造效益的过程,因此它是一个系统集成公司走向规模化的必由之路。然而并非所有的系统集成公司都有具备了实现标准化的条件,尤其对中小型公司而言,如果过分追求标准化的形式,可能反而导致效率低下。因此,系统集成必须以实事求是的态度,根据公司自身以及项目的实际情况,制定合适的项目管理方式方法,使公司先生存再发展。 系统集成部 运营工作流程 售前——售中——售后项目实施阶段工作流程: 一、流程图
售中
售后
二、工作流程说明 1、根据销售部门提出的服务请求由销售代表填写服务请求表格,在服务请求表格中详细填写以下信息:用户详细信息、服务请求类型、服务内容、服务请求时间等等信息。 2、网络技术的受理人员将销售或业务部门的服务申请单提交给部门主管,由部门技术主管结合当前的工作安排以及申请服务的技术类型,合理的安排相应的技术人员受理该项服务(设计服务)。 3、根据销售部门对整个项目的了解情况,以及网络技术部门对方案设计数据的需求情况决定是否需要对用户进行上门调研。 3.1需要项目上门调研。由网络技术部门主观指派响应的技术人员上门对客户的情况进行了解,填写项目调研、现场勘察的 各种表格。 3.2不需要项目上门调研。销售方已经充分了解了用户的需求,由销售方填写用户需求的表格。
信息安全服务软件 说明书 1.引言 本软件使用说明书是为了指导信息安全服务软件的使用操作,同时为本软件系统的测试提供必要的信息。 本详细设计说明书的读者都包括以下人员: a. 代码编写人员 b. 测试人员 c. 概要设计人员 d. 其它对信息安全服务软件感兴趣的人员。 2.软件概述 2.1目标 安全是一个动态的过程,在信息系统运行维护期间可能遭遇来自各方面的安全威胁。为保证信息系统运营使用单位网络及应用服务的持续正常运行,信息安全服务软件依靠有关信息安全事件相关标准,通过提供网络安全保障服务来加强信息系统运营使用单位的网络安全性,通过定期和不定期的安全扫描服务、安全巡检服务、安全预警服务以及周到的突发应急响应服务将安全工作落到实处,以有效提高信息系统运营使用单位的网络安全保障能力。 ?增强技术设施抵抗非法攻击的能力; ?集中精力维护信息系统的持续可用; ?提高技术人员对信息安全的认识; ?快速发现企业的信息安全漏洞,通过有效的防护方法,提升信息安全水平;
?加强信息基础设施的安全水平,降低安全风险; ?维持企业形象、赢取客户信任。 2.2功能特点 该系统具有以下几个功能特点: (1)本软件系统的开发采用了C/S结构,技术成熟,使得该系统具有高可靠性、较强的拓展性和维护性; (2)该系统支持并发用户数较多。响应时间仅在2s左右,具有良好的实用性和出众的性价比。 (3)同时本软件在预检结果的准确度方面也具有很高的可信性。开发人员在网络安全、数据传输安全、数据访问安全和数据存储安全等几个方面做了大量努力,使得系统安全性极高; 3.运行环境 3.1硬件环境 服务器端:CPU以Intel的型号为准,可以采用AMD相同档次的对应型号,内存基本配置4G 客户端:CPU为Core i3-2100 3.10GHz(标准配置),内存为4 GB(标准配置),磁盘存储为500 GB(标准配置)。 3.2软件环境 所需软件环境如下: 操作系统为:windows xp,windows2003,vista等。推荐windows xp。
国家信息安全服务资质 灾难恢复服务资质(一级)认证指南 (试行) ?版权2008—中国信息全安全测评中心 2008年5月1日
目录 目录................................................................................................................... I 一、认证依据 (1) 二、级别划分 (2) 三、认证要求 (3) (一)基本资格要求 (3) (二)基本能力要求 (3) 1、组织与管理要求 (3) 2、技术能力要求 (3) 3、人员构成与素质要求 (4) 4、设备、设施与环境要求 (4) 5、规模与资产要求 (4) 6、业绩要求 (4) (三)灾难恢复服务过程能力 (4) 四、申请流程 (6) (一)申请流程图 (6) (二)申请阶段 (6) (三)资格审查阶段 (6) (四)能力测评阶段 (6) 1、静态评估 (6) 2、现场审核 (6) 3、综合评定 (7) 4、认证审核 (7) (五)证书发放阶段 (7) 五、监督、维持和升级 (8) 六、处置 (9) 七、争议、投诉与申诉 (10) 八、认证企业档案 (11) 九、认证费用及周期 (12)
一、认证依据 信息安全灾难恢复服务资质评估是对信息系统灾难恢复服务提供者的资格状况、技术实力和实施灾难恢复服务过程能力等方面的具体衡量和评价。 信息安全灾难恢复服务资质,是依据《信息安全服务资质评估准则》、《信息安全灾难恢复服务能力评估准则》等相关要求,在对申请组织的基本资格、技术实力、信息安全灾难恢复服务能力以及工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息全安全测评中心给予的资质认证。
信息系统安全集成工作流程 欧阳光明(2021.03.07) 目录 1 目的4 2 适用范围4 3 安装调试4 3.1准备阶段5 3.1.1 准备工作安排6 3.1.2 技术支持人员要求6 3.1.3 险点分析与控制6 3.1.4 工具及材料准备7 3.2施工阶段7 3.2.1 开工7 3.2.2 施工工艺标准8 4 信息系统安全集成项目验收8 4.1信息系统安全集成项目自调测8 4.2信息系统安全集成项目验收步骤8 4.3信息系统安全集成项目验收内容10 5 售后服务11 5.1售后服务方式11 5.2售后服务流程11 5.2.1 电话维护12
5.2.3 定期回访14 6 客户培训14 6.1培训人员14 6.2培训目标14 6.3培训方式15 6.4培训内容15 7 建立客户档案15 1目的 规范信息系统安全集成的作业流程,确保人身和设备的安全。提高信息系统安全集成的安装、调试工作、资料归纳的管理水平及所属资料文档的规范化、标准化。提高信息系统安全集成服务人员的服务水平与服务意思。提高客户对信息系统安全集成后设备的操作、使用水平。保障信息系统安全集成后网络的安全、稳定运行。 信息系统安全集成工程的工作主要包括以下三个方面:现场的安装调试、工程验收、售后服务和客户培训。 2适用范围 适用于公司信息系统安全集成项目所有应用产品的安装、调试、验收、售后服务和培训工作。 安装、调试、验收和售后服务部分针对人群为本公司技术支持工程师;培训部分针对于客户信息系统中安全系统的管理、操作和维护人员。 3安装调试 为保障信息系统安全集成服务项目的安全、有效的进行。保证
信息安全服务工具列表 15 Troubleshooting Troubleshooting - Sysdig是一个能够让系统管理员和开发人员以前所未有方式洞察其系统行为的监控工具。一款系统调试工具,能够对系统进行故障排查和监控,在系统故障的时候非常实用。 Troubleshooting - SystemTap 是监控和跟踪运行中的Linux 内核的操作的动态方法。 Troubleshooting - Perf 是Linux kernel自带的用来进行软件性能分析的工具。通过它,应用程序可以利用 PMU,tracepoint 和内核中的特殊计数器来进行性能统计。它不但可以分析指定应用程序的性能问题 (per thread),也可以用来分析内核的性能问题,当然也可以同时分析应用代码和内核,从而全面理解应用程序中的性能瓶颈。 16 服务发现 服务发现- etcd 是一个高可用的 Key/Value 存储系统,主要用于分享配置和服务发现。在分布式系统中,如何管理节点间的状态一直是一个难题,etcd像是专门为集群环境的服务发现和注册而设计,它提供了数据TTL失效、数据改变监视、多值、目录监听、分布式锁原子操作等功能,可以方便的跟踪并管理集群节点的状态。 17 持续集成 持续集成-Go 是一款先进的持续集成和发布管理系统,由ThoughtWorks开发。在Go的帮助下,我们能够以流水线的方式实现各类定期执行任务,而这些操作当中的实例会被称为job。还有它能够利用值流图对整个持续交付流程进行可视化处理。最终生成的图表能帮助我们追踪从提交到部署的整个流程中的各项具体变更。 持续集成-Jenkins,之前叫做Hudson,是基于Java开发的一种持续集成工具,用于监控秩序重复的工作,包括:1,持续的软件版本发布/测试项目 2,监控外部调用执行的工作。 持续集成-GitLab是一个利用 Ruby on Rails 开发的开源应用程序,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。能够浏览源代码,管理缺陷和注释。可以管理团队对仓库的访问,它非常易于浏览提交过的版本并提供一个文件历史库。它还提供一个代码片段收集功能可以轻松实现代码复用,便于日后有需要的时候进行查找。
信息安全等级保护测评工具选用指引 一、必须配置测试工具 (一)漏洞扫描探测工具。 1.网络安全漏洞扫描系统。 2.数据库安全扫描系统。 (二)木马检查工具。 1.专用木马检查工具。 2.进程查看与分析工具。 二、选用配置测试工具 (一)漏洞扫描探测工具。 应用安全漏洞扫描工具。 (二)软件代码安全分析类。 软件代码安全分析工具。 (三)安全攻击仿真工具 (四)网络协议分析工具 (五)系统性能压力测试工具 1.网络性能压力测试工具 2.应用软件性能压力测试工具 (六)网络拓扑生成工具 (七)物理安全测试工具 1.接地电阻测试仪 2.电磁屏蔽性能测试仪 (八)渗透测试工具集 (九)安全配置检查工具集 (十)等级保护测评管理工具 综合工具: 漏洞扫描器:极光、Nessus、SSS等; 安全基线检测工具(配置审计等):能够检查信息系统中的主机操作系统、数据库、网络设备等; 渗透测试相关工具:踩点、扫描、入侵涉及到的工具等; 主机:sysinspector、Metasploit、木马查杀工具、操作系统信息采集与分析工具(Win,Unix)、日志分析工具、数据取证工具(涉密); 网络:Nipper(网络设备配置分析)、SolarWinds、Omnipeek、laptop(无线检测工具); 应用:AppScan、Webinspect、FotifySCA、Sql injection tools、挂马检测工具、webravor等。
信息安全测评工具 五大网络安全评估工具 1.Wireshark Wireshark(原名Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 工作流程 (1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 (2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。 (3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。 (4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。 (5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。 (6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。 (7)重组数据。Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。 Wireshark特性: ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 Wireshark不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark 不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 Wireshark不能提供如下功能: ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情,Wireshark不会警告您。但是如果发生了奇怪的事情,Wireshark可能对察看发生了什么会有所帮助。 ?Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络。Wireshark
信息系统安全集成实施规
目录 1 目的 (4) 2 适用围 (4) 3 安装调试 (4) 3.1准备阶段 (5) 3.1.1 准备工作安排 (5) 3.1.2 技术支持人员要求 (6) 3.1.3 险点分析与控制 (6) 3.1.4 工具及材料准备 (6) 3.2施工阶段 (7) 3.2.1 开工 (7) 3.2.2 施工工艺标准 (7) 4 信息系统安全集成项目验收 (8) 4.1信息系统安全集成项目自调测 (8) 4.2信息系统安全集成项目验收步骤 (8) 4.3信息系统安全集成项目验收容 (9) 5 售后服务 (11) 5.1售后服务方式 (11) 5.2售后服务流程 (11) 5.2.1 维护 (12) 5.2.2 现场维护 (12) 5.2.3 定期回访 (13) 6 客户培训 (14) 6.1培训人员 (14) 6.2培训目标 (14) 6.3培训方式 (14) 6.4培训容 (14)
7 建立客户档案 (14)
1目的 规信息系统安全集成的作业流程,确保人身和设备的安全。提高信息系统安全集成的安装、调试工作、资料归纳的管理水平及所属资料文档的规化、标准化。提高信息系统安全集成服务人员的服务水平与服务意思。提高客户对信息系统安全集成后设备的操作、使用水平。保障信息系统安全集成后网络的安全、稳定运行。 信息系统安全集成工程的工作主要包括以下三个方面:现场的安装调试、工程验收、售后服务和客户培训。 2适用围 适用于公司信息系统安全集成项目所有应用产品的安装、调试、验收、售后服务和培训工作。 安装、调试、验收和售后服务部分针对人群为本公司技术支持工程师;培训部分针对于客户信息系统中安全系统的管理、操作和维护人员。 3安装调试 为保障信息系统安全集成服务项目的安全、有效的进行。保证设备验收一次性通过,以及施工后的维护工作顺利进行。项目集成过程中要严格按照流程进行操作。 一、远程核实现场实施条件,协调客户完善现场实施环境,确认实施日期。 二、现场确认实施条件,协调客户完善现场实施环境,确认实施日期。 三、与客户一同进行开箱验货,验货清单双方签字确认。 四、组织开工协调会议,确认施工围和施工职责。做到安全施工责任到个人。 五、进行安全系统产品的安装、调试工作。 六、安全系统设备运行自检、观察。确保产品配置正确,安全、稳定的运行。
信息安全服务资质 认证要求 ISCCC XXX XXX-2007 信息安全服务资质 认证要求 Certification Requirements for Qualification of Information Security Service Provider (备案送审稿) 中国信息安全认证中心 发布 ××××-××-××实施 ××××-××-××发布 备案号:××××—××××
目录 前言............................................................ 错误!未定义书签。 1 适用范围...................................................... 错误!未定义书签。 2 定义.......................................................... 错误!未定义书签。 信息安全服务............................................ 错误!未定义书签。 信息安全服务提供者 ...................................... 错误!未定义书签。 信息安全服务资质等级 .................................... 错误!未定义书签。 信息安全工程过程能力级别 ................................ 错误!未定义书签。 3 服务类型与资质评定原则 ........................................ 错误!未定义书签。 信息安全服务的类型 ...................................... 错误!未定义书签。 信息安全服务资质等级的评判原则 .......................... 错误!未定义书签。 4 认证具体要求.................................................. 错误!未定义书签。 基本资格................................................ 错误!未定义书签。 独立法人 .......................................... 错误!未定义书签。 法律要求 .......................................... 错误!未定义书签。 基本能力................................................ 错误!未定义书签。 资产与规模 ........................................ 错误!未定义书签。 人员素质与构成 .................................... 错误!未定义书签。 设备、设施与环境 .................................. 错误!未定义书签。 业绩 .............................................. 错误!未定义书签。 质量管理能力............................................ 错误!未定义书签。 体系和管理职责 .................................... 错误!未定义书签。 资源管理 .......................................... 错误!未定义书签。 项目过程管理 ...................................... 错误!未定义书签。 测量、分析和改进 .................................. 错误!未定义书签。 客户服务 .......................................... 错误!未定义书签。 技术能力更新 ...................................... 错误!未定义书签。 安全工程过程能力 ........................................ 错误!未定义书签。 风险过程 .......................................... 错误!未定义书签。 工程过程 .......................................... 错误!未定义书签。 保证过程 .......................................... 错误!未定义书签。 5 引用标准与参考文献 ............................................ 错误!未定义书签。 计算机信息系统安全保护等级划分准则 ...................... 错误!未定义书签。 系统安全工程能力成熟模型 ................................ 错误!未定义书签。 系统安全工程能力成熟模型—评定方法 ...................... 错误!未定义书签。 信息系统安全工程手册 .................................... 错误!未定义书签。 软件工程能力成熟模型 .................................... 错误!未定义书签。 6 附录——系统安全工程主要术语 .................................. 错误!未定义书签。 组织.................................................... 错误!未定义书签。 项目.................................................... 错误!未定义书签。 系统.................................................... 错误!未定义书签。 安全工程................................................ 错误!未定义书签。 安全工程生命期 .......................................... 错误!未定义书签。 工作产品................................................ 错误!未定义书签。 顾客.................................................... 错误!未定义书签。 过程.................................................... 错误!未定义书签。 过程能力................................................ 错误!未定义书签。 制度化................................................ 错误!未定义书签。 过程管理................................................ 错误!未定义书签。