国家信息安全测评认证

国家信息安全测评信息安全服务资质申请指南（云计算安全类一级）（试行）©版权2017—中国信息安全测评中心2017年9月1日目录目录2引言3一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 云计算安全服务过程能力要求 (7)3.4 项目和组织过程能力要求 (9)四、资质认定 (11)4.1认定流程图 (11)4.2申请阶段 (12)4.3资格审查阶段 (12)4.4能力测评阶段 (12)4.4.1静态评估 (12)4.4.2现场审核 (13)4.4.3综合评定 (13)4.4.4资质审定 (13)4.5证书发放阶段 (13)五、监督、维持和升级 (14)六、处置 (14)七、争议、投诉与申诉 (14)八、获证组织档案 (15)九、费用及周期 (15)十、联系方式 (16)引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作，对信息技术产品、信息系统和工程的安全性进行测试与评估。

对信息安全服务和人员的资质进行审核与评价。

中国信息安全测评中心的主要职能是：1.为信息技术安全性提供测评服务；2.信息安全漏洞分析；3.信息安全风险评估；4.信息技术产品、信息系统和工程安全测试与评估；5.信息安全服务和信息安全人员资质测评；6.信息安全技术咨询、工程监理与开发服务。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。

为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

√ 制定和实施标准：技术基础、产品标准、过程、服务 √ 标准的实施监督
概述—标准化基础
• 国际通行“标准化七原理”：
–原理1---简化 –原理2---协商一致 –原理3---实践、运用 –原理4---选择、固定 –原理5---修订 –原理6---技术要求+试验方法+抽样 –原理7---强制性适应于：安全、健康、环保等
益； – 合理发展产品品种，提高企业应变能力，以更好地满足社会需求； – 保证产品质量，维护消费者利益； – 在社会生产组成部分之间进行协调，确立共同遵循的准则，建立稳定的秩序； – 在消除贸易障碍，促进国际技术交流和贸易发展，提高产品在国际市场上的
竞争能力方面具有重大作用； – 保障身体健康和生命安全。大量的环保标准、卫生标准和安全标准制定发布
不包括密码算法固有质量评价准则标准的应用范围关键概念保护轮廓ppprotectionprofile安全目标stsecuritytarget评估保证级ealevaluationassurancelevel评估对象toe产品系统子系统保护轮廓pp同tcsec级类似pp保护轮廓引言11pp标识12pp概述标识pp叙述性总结pptoe描述toe的背景信息安全环境31假设32威胁33组织性安全策略指明安全问题要保护的资产已知的攻击方式toe必须使用的组织性安全策略安全目的41toe安全目的42环境安全目的对安全问题的相应反应包括非技术性措施安全要求51toe安全功能要求52toe安全保证要求53环境安全要求cc第二部分的功能组件cc第三部分的保证组件基本原理61安全目的基本原理62安全要求基本原理目的和要求可以解决已指出的安全问题应用注解附加信息安全目标st与itsecst类似st安全目标引言11st标识12st概述13cc一致性声明标识st和toe包括版本号叙述性总结sttoe描述toe背景信息评估环境安全环境31假设32威胁33组织性安全策略指明安全问题要保护的资产已知的攻击toe必须使用的组织性安全策略假定的安全问题安全目的41toe安全目的42环境安全目的对安全问题的相应反应包括非技术性措施安全要求51toe安全功能要求52toe安全保证要求53环境安全要求cc第二部分的功能组件cc第三部分的保证组件toe概要规范61toe安全功能62保证措施安全功能满足哪一个特定的安全功能要求保证措施满足哪一个特定的安全保证要求保护轮廓声明71pp参照72pp细化73pp附加项解释证明和其他支持材料以证实一致性声明基本原理81安全目的基本原理82安全要求基本原理83toe概要规范基本原理84pp声明基本原理安全目的安全要求it安全功能和保证措施可以解决已指出的安全问题功能保证结构类如用户数据保护fdp关注共同的安全焦点的一组族覆盖不同的安全目的范围子类如访问控制fdpacc共享安全目的的一组组件侧重点和严格性不同组件如子集访问控制fdpacc1包含在ppst包中的最小可选安全要求集组件组件可以进一步细化类class子类family子类family组件组件组件组件功能和保证ppst包用户数据保护fdp13标识和鉴别fiatoe安全功能保护fpt16资源利用frutoe访问fta135个组件135个组件保证对功能产生信心的方法安全保

国外信息安全测评认证体系
美国由国家安全局与国家标准局联合实施国家信息安全 美国由国家安全局与国家标准局联合实施国家信息安全 认证，英国、德国、法国、澳大利亚、加拿大、荷兰等 认证，英国、德国、法国、澳大利亚、加拿大、荷兰等 国家也由国家安全部门或情报主管机构主管信息安全认 证工作。先后建立起国家信息安全测评认证体系 证工作。 芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国 芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国 家和日本、韩国等亚洲国家纷纷仿效，积极开展信息安 日本 等亚洲国家纷纷仿效 家和日本、韩国等亚洲国家纷纷仿效， 全测评认证工作 国外的信息安全测评认证体系由：1）一个测评认证管 国外的信息安全测评认证体系由： 理协调组织、2）一个测评认证实体、和3）多个技术检 理协调组织、 一个测评认证实体、 测机构组成
测评认证中心的建设过程(1)
1997年初，国务院信息化工作领导小组批 年初，
准筹建“中国互联网络安全产品测评认证 准筹建“ 中心”。 中心”
1998年7月， 该中心正式运行。 该中心正式运行。
测评认证中心的建设过程(2)
1998年10月，国家质量技术监督局授 国家质量技术监督局授
权成立“中国国家信息安全测评认证中 权成立“ 心”。 国家质量技术监督局组建跨部委的国 国家质量技术监督局组建跨部委的国 家信息安全测评认证管理委员会。 家信息安全测评认证管理委员会。 1999年2月9日，中国国家信息安全测 评认证中心正式运行。 评认证中心正式运行。
简介和一般介绍，以及保护轮廓（PP） 规范和安全目标(ST)规范 第二部分：安全功能需求 第三部分：安全保障需求
国际信息安全测评认证情况比较
信息安全测评认证发展历程 测评标准及测评方法 认证证书 授权测评机构

物联网、5G等技术的发展，推动测评认证向更广泛的领域拓展
人工智能、机器学习等技术的应用，提高测评认证的自动化和智能化 水平
区块链技术的应用，提高测评认证的可信度和安全性ቤተ መጻሕፍቲ ባይዱ
国际合作与交流，推动测评认证标准的国际化和互认
挑战：技术更新换代迅速，需要不断更新测评标准和方法 挑战：信息安全威胁日益严重，需要加强测评认证的力度和范围 机遇：国家政策支持，推动信息安全测评认证行业的发展 机遇：市场需求增长，为信息安全测评认证行业带来更多商机
信息安全测评的重要性：保障国家信息安全，维护国家安全 测评方法：采用科学的测评方法和技术，确保测评结果的准确性和可靠性 测评结果应用：将测评结果应用于信息安全防护和改进，提高信息安全水平 教训：在测评过程中，需要注意信息安全风险，防止信息泄露和攻击。
Part Five
技术进步：随着科技 的发展，信息安全测 评认证技术将更加先 进和智能化
保障信息安全： 通过测评认证， 确保信息系统
的安全性
提高企业竞争 力：通过测评 认证，提高企 业在市场中的
竞争力
促进行业发展： 通过测评认证， 推动信息安全
行业的发展
增强用户信心： 通过测评认证， 增强用户对信 息系统的信任
和信心
Part Three
测评认证机构：国家信息安全测评中心、中国信息安全测评中心等 测评流程：申请、受理、测评、报告、认证等 测评内容：信息安全技术、管理、人员等方面的测评 认证结果：颁发认证证书，证明企业或产品的信息安全水平。
汇报人：
Part Six
国家信息安全测评认证的重要性：保障国家安全，维护社会稳定
测评认证的现状：存在不足，需要进一步完善
建议：加强监管，提高测评认证的准确性和权威性 结论：国家信息安全测评认证是保障国家安全的重要手段，需要不断完 善和加强。

一．信息安全测评服务介绍1.中国信息安全测评中心：1）履行国家信息安全漏洞分析和风险评估职能2）对信息产品、系统和工程进行评估3）对信息安全服务，人员的资质进行审核2.CISP以信息安全保障（IA）作为主线二．信息安全测评认证体系介绍1．由信息安全问题所引起的国家面临的主要威胁：1）信息霸权的威胁2）经济安全3）舆论安全4）社会稳定2．我国测评认证中心的建设过程：1）1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”，1999.2 该中心挂牌运行2）2001.5 中编办“中国信息安全产品测评认证中心”（中编办【2001】51号）CNITSEC 3）2007 改名“中国信息安全测评中心”3．认证要点（1）一个目标：TOE评估的正确性和一致性（2）两种方法：“质量过程核查”，“评估活动评价”（3）三个阶段：准备，评估，认证（4）四类活动4．行业许可证制度1）信息安全产品：公安部3所检测，公安部11局颁发2）防病毒产品：指定单位（天津市公安局）3）商用密码产品：国密办颁发5.商业性测评：制定化，控制，量化6.认证业务的范围：服务商，专业人员，产品，系统三．信息安全测评认标准1.测评标准发展1）美国TCSEC（桔皮书）：美国国防部1985年提出，军用机密性，D最小保护C1自主安全保护C2访问控制保护B1安全标签保护B2结构化保护B3安全域保护A1验证设计保护2）欧共体ITSEC：将安全性分为功能和保证；提出TOE；提出“安全目标”ST；E1-63)加拿大CTCPEC：功能性要求分为机密性，完整性，可用性，可控性4）美国联邦FC：引入了保护轮廓PP；每个轮廓包括功能，保障和评测需求5）通用评估准则CC：1996年V1.0；1998年V2.0；1999年为ISO15408（GB/T18336）；思想框架来源于FC和ITSEC；EAL1-72. CC的评估保证级EALEAL1功能测试；EAL2结构测试；EAL3系统地测试和检查；EAL4系统地设计、测试和复查；EAL5半形式化设计和测试（无隐蔽通道）；EAL6半形式化验证的设计和测试；EAL7形式化验证的设计和测试3. CC的结构：1）简介和一般介绍，以及保护轮廓规范和安全目标规范2）第二部分：安全功能需求3）第三部分：安全保障需求4. CC的范围不包括：1）行政性管理安全措施的评估准则；2）物理安全方面（诸如电磁辐射控制）的评估准则；3）密码算法固有质量评价准则包括：信息系统产品和技术5. 保护轮廓PP（甲方）没有详细的设计方案，安全目标ST（乙方）方案6. APE类：保护轮廓的评估准则；ASE类：安全目标的评估准则7. CC的结构：类，子类，组件8. 其他重要标准1）ITIL：IT服务框架2）Gobit：ISACA协会IT内控审计、IT治理框架四．我国标准1. 我国：国家GB/T; 行业：GA,GJB; 地方：DB/T; 企业：Q2. 标准化：最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。

中国信息安全测评中心中国信息安全测评中心（China Information Security Evaluation Center，CISEC）是中国国家信息安全测评机构，负责对各类信息系统和产品进行安全测评和认证。

作为中国信息安全领域的权威机构，CISEC在信息安全技术、标准和管理方面发挥着重要作用。

本文将介绍CISEC的职能、作用以及其在信息安全领域的重要性。

CISEC的职能主要包括对信息系统和产品进行安全测评、认证和监督检查。

在信息系统方面，CISEC负责对政府部门、金融机构、电信运营商等重要单位的信息系统进行安全测评，评估其在保护重要信息资产、防范网络攻击、应对突发安全事件等方面的能力。

在产品方面，CISEC对各类信息安全产品进行认证，包括防火墙、入侵检测系统、安全管理软件等，以确保其符合国家和行业标准，具有良好的安全性能。

CISEC在信息安全领域的作用主要体现在以下几个方面，首先，CISEC对信息系统和产品进行安全测评和认证，有助于提高其安全性能和可信度，为用户和企业选择和使用安全可靠的信息系统和产品提供了参考依据。

其次，CISEC通过对信息系统的安全测评，有助于发现系统存在的安全隐患和漏洞，提出改进建议和技术要求，促进信息系统的安全加固和提升。

再次，CISEC通过对信息安全产品的认证，推动了信息安全产品的研发和创新，促进了信息安全产业的健康发展。

最后，CISEC作为国家信息安全测评机构，还参与了国家信息安全标准的制定和推广，提高了信息安全管理水平和标准化程度。

CISEC在信息安全领域的重要性不言而喻。

随着网络技术的飞速发展和信息化进程的加快，信息安全问题日益突出，网络攻击、数据泄露等安全事件频发，给国家安全和社会稳定带来了严重威胁。

而CISEC作为国家信息安全测评机构，承担着信息安全保障的重要责任，其职能和作用对于加强信息安全防护、保护国家重要信息基础设施、维护国家网络安全具有重要意义。

cnitsec
测评认证中心的建设过程 Nhomakorabea1997年初，国务院信息化工作领导小组委托筹建

“中国互联网络安全产品测评认证中心” 1998年7月， 该中心挂牌运行 1998年10月，国家质量技术监督局授权成立“中 国国家信息安全测评认证中心”
1999年2月9日，该中心挂牌运行 2001年5月，中编办根据党中央、国务院有关领
cnitsec
信息安全测评认证体系模式
信息安全认证管理委员会 认证机构 Lab认可机构 CB认可机构
信息技术安全认证中心
认 可
授权
认证
信息技术安全测试实验室
证书
信息技术安全测试实验室
信息技术安全测试实验室 信息技术安全测试实验室
cnitsec
美国（NIAP）
负责管理和运行美国的信息安全测评认证体系
行业性授权测评机构
1、计算机测评中心：由信产部（15所）2000年列编设立 2、广电测评中心：由广电部2000年列编设立 3、银行、证券、电信等行业，2001年起开始测评认证 cnitsec
二、信息安全测评认证标准
1 、通用准则CC（GB/T 18336 idt ISO/IEC 15408） 2、信息系统安全保障通用评估准则 3、其他标准
机密性 隐蔽信息 无条件 机密性 强制性 机密性 目标重用
范围 CC-0 到 CC-3 CD-0 到 CD-4 CM-0 到 CM-4 CR-0 到 CR-4
cnitsec
标准名称 TCSEC 绿皮书
功能级别
保证级别
D,C1,C2,B1,B2,B3,A1 F1～F10 Q1～Q8 L1～L66 F1～F10 E0～E7
国际上安全测评标准的发展

国家信息安全测评信息安全运营类证书评价条件全文共四篇示例，供读者参考第一篇示例：国家信息安全测评信息安全运营类证书是由国家信息安全测评机构颁发给信息安全运营机构的重要证书，是评价信息安全运营机构信息安全管理水平的重要依据。

国家信息安全测评信息安全运营类证书的评价条件包括以下几个方面：一、组织架构与管理制度：信息安全运营机构应建立健全的组织架构和管理制度，确保信息安全管理体系的有效运行。

包括明确的信息安全管理责任、信息安全管理委员会的建立、制定信息安全管理制度和流程等。

二、信息安全保障措施：信息安全运营机构应根据实际情况和特点建立完善的信息安全保障措施，包括技术措施、物理措施、人员安全管理等，确保信息系统和信息资产的安全。

四、信息安全培训与教育：信息安全运营机构应开展信息安全培训与教育工作，提高员工信息安全意识和技能，确保员工能够正确处理信息安全问题。

五、信息安全监测与评估：信息安全运营机构应建立信息安全监测与评估机制，定期对信息系统和信息资产进行评估和监测，及时发现和解决安全问题。

六、信息安全事件应急响应：信息安全运营机构应建立信息安全事件应急响应机制，能够及时响应和处置信息安全事件，减少损失。

八、信息安全合规性：信息安全运营机构应严格遵守相关法律法规和标准，确保信息安全管理工作符合法律法规的要求。

以上是国家信息安全测评信息安全运营类证书的评价条件，信息安全运营机构在评价过程中需综合考虑上述各个方面，不断提升信息安全管理水平，确保信息安全工作的有效开展。

【2000字】第二篇示例：随着互联网的快速发展，人们的生活日益依赖于网络和数字化技术，而信息安全问题也变得尤为重要。

保障国家信息安全已经成为国家安全的一个重要方面，而信息安全测评信息安全运营类证书的评价条件，对于保障国家信息安全具有重要意义。

信息安全测评信息安全运营类证书评价条件主要包括以下几个方面：一、基本条件1. 政策法规要求：评价对象应符合国家相关政策法规的要求，包括信息安全管理办法、网络安全法等。

中国信息安全测评中心注册的信息安全专业人员证书中国信息安全测评中心（CISP）是中国国家信息安全领域的权威机构，负责信息安全测评和认证工作。

其中，注册的信息安全专业人员证书是CISP颁发的一项重要资质，在信息安全行业具有很高的认可度和价值。

本文将对这一证书进行全面评估，并探讨其深度和广度。

一、信息安全专业人员证书的背景和意义1.1 什么是信息安全专业人员证书？信息安全专业人员证书是经过CISP认证的个人资质证书，表明持有人在信息安全领域具备相应的专业技能和知识。

这一证书分为不同级别，包括高级信息安全专业人员（CISP-SEC）、高级信息安全渗透测试工程师（CISP-PENTEST）等，每个级别都要求通过相应的考试和实践经验。

1.2 证书的意义和价值获得CISP注册的信息安全专业人员证书，具有以下重要意义和价值：（1）认可度高：CISP是由中国国家信息安全测评认证委员会颁发证书，具有权威性和广泛认可度，是信息安全从业人员的重要身份标识。

（2）市场竞争力强：在信息安全行业，拥有CISP证书可以为个人增加竞争力，提升职业发展能力，有助于求职、晋升和薪资增长等方面的优势。

（3）行业认可和信任：持有CISP证书的信息安全专业人员，被认为具备了较高水平的专业知识和技能，可以受到更多行业内同行的认可和信任。

二、深度探讨信息安全专业人员证书2.1 考试内容和难度CISP注册的信息安全专业人员证书考试内容广泛涵盖了信息安全领域的知识点，包括网络安全、系统安全、应用安全等多个方面。

考试难度适中，主要测试考生的理论知识和实践经验，要求掌握实际案例分析和问题解决能力。

2.2 培训和实践要求获得CISP证书需要一定的培训和实践经验。

CISP提供针对不同级别证书的培训课程，帮助考生系统学习和掌握知识点。

对于高级证书，还要求参与一定的实践项目，以证明实际操作能力。

2.3 持证人员的职业发展拥有CISP注册的信息安全专业人员证书，可以在职业发展方面获得更多选择和机会。

国家信息安全测评信息安全运营类证书评价条件-概述说明以及解释1.引言1.1 概述概述随着信息化时代的快速发展，信息安全已经成为国家和企业发展中的重要议题之一。

作为信息安全领域的重要评价指标，国家信息安全测评信息安全运营类证书评价条件受到了广泛的关注。

本文将对国家信息安全测评信息安全运营类证书评价条件进行详细的介绍和评价。

信息安全运营类证书评价条件是评价信息系统运营安全状况和信息系统管理能力的重要依据。

通过对这些证书评价条件的全面了解和分析，可以评估一个组织的信息安全管理水平，判断其对信息系统安全的保护程度，从而提升整个组织的信息安全水平。

本文将围绕国家信息安全测评信息安全运营类证书评价条件展开论述。

首先，我们将介绍证书评价条件一，探讨其在信息安全运营中的作用和要求。

接着，我们将深入剖析证书评价条件二，分析其对信息系统安全管理能力的要求和指导意义。

最后，我们将重点关注证书评价条件三，探讨它如何提高信息安全运营的效能和可靠性。

通过对这三个证书评价条件的详细介绍和评价，我们将全面了解国家信息安全测评信息安全运营类证书评价条件的内容和要求，掌握评价信息安全运营的关键指标和方法，从而帮助组织提升信息安全管理水平，有效保护信息系统的安全。

本文的目的是为读者提供对国家信息安全测评信息安全运营类证书评价条件的全面了解和分析，以便更好地应对不断变化的信息安全威胁和挑战。

同时，我们也将展望未来信息安全运营类证书评价的发展趋势，为信息安全领域的研究和实践提供有价值的参考。

1.2文章结构一、文章结构本文按照以下结构组织内容：1. 引言：该部分会对国家信息安全测评信息安全运营类证书评价条件的背景和意义进行概述，并详细介绍文章的结构和目的。

2. 正文：本部分是本文的核心内容，将分为三个小节，具体内容如下：2.1 证书评价条件一：将介绍第一个证书评价条件，包括该条件的定义、作用、具体评价指标和相关标准。

2.2 证书评价条件二：将介绍第二个证书评价条件，包括该条件的定义、作用、具体评价指标和相关标准。

国家信息安全测评安全开发类证书
国家信息安全测评安全开发类证书是指在信息安全测评领域中，针对软件开发过程中的安全问题，对开发人员进行培训和考核后颁发的证书。

该证书旨在提高开发人员的安全意识和能力，确保软件在开发过程中具备较高的安全性。

获得国家信息安全测评安全开发类证书需要通过相关考试和实践项目的评审。

考试内容包括软件开发过程中的安全要求、安全需求分析、安全设计、安全编码规范等方面的知识，考核方式为笔试、实际操作和面试等形式。

获得该证书可以证明开发人员具备相关的安全开发能力，对软件开发过程中的信息安全问题有较深入的了解和处理能力。

同时，该证书也可以作为求职者在信息安全领域就业时的一项资格证明，提高求职竞争力。

国家信息安全测评安全开发类证书的颁发权由相关的认证机构或教育机构拥有，如国家密码管理局、信息安全测评机构等。

在申请该证书时需要满足一定的条件，如具备相关的学历背景或工作经验，并且通过相关考试和实践项目的评审。

国家信息安全测评授权培训机构资质证书一、背景介绍1. 信息安全在当今社会已经成为了一个重要的议题，随着信息技术的发展和应用的广泛性，信息安全问题凸显出来。

2. 为了保障国家的信息安全，加强对信息安全领域人才的培养和管理，国家对信息安全测评授权培训机构进行了资质认定，并颁发资质证书。

二、国家信息安全测评授权培训机构资质的重要性1. 国家的信息安全意识正在提升，对信息安全人才的需求也在逐渐增加，国家信息安全测评授权培训机构的资质直接关系到信息安全人才的培训质量和水平。

2. 拥有国家信息安全测评授权培训机构资质的机构，在信息安全领域享有更高的信誉和声誉，可以提供更加专业的培训服务，为社会培养更多高水平的信息安全专业人才。

三、国家信息安全测评授权培训机构资质证书的标准1. 根据国家相关法律法规以及信息安全行业的发展和需求，国家设定了一系列严格的标准和要求，用来对信息安全测评授权培训机构进行资质认定。

2. 这些标准和要求涵盖了机构的师资力量、教学设施、教学资源、课程设置、培训质量保障体系等方方面面，确保资质证书的颁发具有一定的权威性和可信度。

四、申请国家信息安全测评授权培训机构资质证书的程序1. 想要获得国家信息安全测评授权培训机构资质证书，机构需要严格按照相关法律法规和资质认定标准，逐步完成申请程序。

2. 申请程序包括资料准备、申请材料递交、审核评定、资质审批等环节，需要资料齐全、程序规范、合规合法，以确保资质证书的颁发符合规定和合法性。

五、国家信息安全测评授权培训机构资质证书的意义1. 拥有资质证书的培训机构可以在国内信息安全培训市场上脱颖而出，展现出更高的专业性和竞争力，受到社会各界的认可和信赖。

2. 资质证书不仅是对培训机构自身实力和水平的认可，更是为学员提供了更多的选择和保障，对整个信息安全培训行业的规范和健康发展具有积极的推动作用。

六、结语国家信息安全测评授权培训机构资质证书的颁发，是国家对信息安全行业发展的一项重要举措，在保障信息安全、提升信息安全人才水平、促进信息安全行业健康发展等方面具有重要意义。

国家信息安全等级保护测评标准国家信息安全等级保护测评标准是指针对信息系统、网络、数据等安全保护等级的测评标准，旨在保护国家、企事业单位及个人信息安全，促进信息安全建设。

下面按照步骤来阐述一下这一标准的相关内容。

一、测评范围标准的测评范围主要是针对国家层面的信息系统和网络安全，包括政府机关、金融、电信、能源、医疗等领域。

测评的对象包括信息系统和网络安全产品、企事业单位的信息系统和网络、云计算等。

二、测评等级国家信息安全等级保护测评分为5个等级，分别是1级、2级、3级、4级和5级。

其中，1级为最低等级，5级为最高等级。

不同等级的测评标准不同，按照每个等级的标准合格与否来衡量信息安全等级的高低。

三、测评方法国家信息安全等级保护测评采用的是“过程+结果”双重评价方法，主要包括技术测评和文化建设两个方面。

技术测评主要是对信息系统和网络的技术性能进行评价，包括漏洞扫描、渗透测试等；文化建设主要是针对企业文化、安全管理等方面进行评价，包括安全政策和规程制定、人员培训、应急演练等。

四、测评结果测评结果主要有两个方面，一是技术阶段的测评结果，二是文化建设阶段的测评结果。

根据这两个方面的测评结果，评出具体的信息安全等级。

企事业单位可以通过国家信息安全等级保护测评标准，了解自身信息安全的现状，制定改进措施，提高信息安全水平。

五、使用建议针对国家信息安全等级保护测评标准，企事业单位可以采取以下措施来提高信息安全等级：1. 加强信息安全意识教育，提高人员安全意识。

2. 制定有效的安全管理制度和规程，严格执行。

3. 选择安全性能较高的产品和技术，保障信息系统和网络的安全。

4. 定期进行安全漏洞扫描和渗透测试，及时修复安全漏洞。

总之，国家信息安全等级保护测评标准是保障国家信息安全的重要手段，也是提高企事业单位信息安全水平的必要途径。

企事业单位应该重视此标准，在实际应用中不断优化和改进，确保信息安全得到有效的保障。

信息安全产品测评认证级别目前，我们把信息安全产品的测评认证分为7个级，并分别对应CC评估标准的7个级别（EAL1——EAL7）。

评估保证级1（EAL1）——功能测试；EAL2——结构测试；EAL3——系统地测试和检查；EAL4——系统地设计；EAL5——半形式化设计和测试；EAL6——半形式化验证的设计和测试；EAL7——形式化验证的设计和测试。

在这7个级别中，获证的级别越高，其安全性和可信性就越高，产品就可对抗来自越高程度的威胁，同时也适用更高级别的风险环境。

目前我们中心开展了EAL1——EAL5级别的认证工作，第五级目前只针对SIM卡、IC卡这样的产品，而1——4级可以对一般的网络安全产品进行认证。

由于在对信息安全产品高级别第7级的认证中，每一行代码都要求有形式化论证，要求撇开它们的属性、使用功能和用户的背景，从数学上来证明其安全性，这样做非常困难，代价也很高。

因此，目前在全世界范围内，最高已做到EAL5级——半形式化测评认证。

EAL5级以上的就做得非常的少了。

分级测评认证工作是一项技术强度高、程序严谨的工作。

以下以网络安全产品4级认证为例作一介绍。

一个网络产品要进行EAL4级认证，需要经过准备、正式测评和认证三个阶段。

在准备阶段，首先需要提交包括安全目标、功能规范、TOE安全策略模型、高层设计等多达13、14种的材料；然后对这些提交的材料、产品文档等以文档形式化审查和技术审查、现场考察等形式进行预评估，根据预评估结果了解相关证据、生产流程、安全功能、安全保证措施以及相关文档规范是否能达到相应级别的安全要求。

并提供必要的技术指导和交流、调整或改进的建议，以保证TOE达到受理要求，开展后续评估工作。

完成预评估后召开项目启动会议，这同时标志着正式测评工作的开始。

项目启动会议确定双方参与人员及联系方式。

然后开始进行ST评估、TOE评估及现场核查，同时对产品的生命周期支持、配置管理、交付和运行文档、指导性文档、脆弱性分析文档等进行一系列的测试和评估。

第3讲 信息安全测评认证工作体系
二、中国信息安全测评认证中心
中国信息安全测评中心是我国专门从事信息技术安全测试和风险 评估的权威职能机构。依据中央授权，测评中心的主要职能包括：
负责信息技 术产品和系统的安全漏洞分析与信息通报； 负责党政机关信息网络、重要信息系统的安全风险评估； 开展信息技术产品、系统和工程建设的安全性测试与评 估； 开展信息安全服务和专业人员的能力评估与资质审核； 从事信息安全测试评估的理论研究、技术研发、标准研 制等。

注册信息安全专业人员注册指南
小结与习题_3
欢迎提问？
谢谢！
信息安全体系_3
李贺华
第3讲 信息安全测评认证工作体系
一、信息安全测评认证体系概述
我国信息安全测评认证体系，由三个层次的组织和功能构成。一个认 证管理委员会，一个认证中心，若干个不同类型的测试分支机构。
第一层是国家信息安全测评认证管理委员会。这个管理委员会是一个 跨部门的机构，代表品的供方、需方，对中国国家信息安全测评认证 中心运作的独立性、测评认证活动的公正性、科学性和规范性进行监 督管理。 第二层是国家信息安全测试认证中心。中心是由国家授权，依据有关 标准和认证规范，根据特点产品和信息系统的测试及评估结果，对相 应的产品、信息系统的安全性做出认证，并颁发证书的实体。 第三次是测试分支机构。由中心授权，国家认可，依据标准和测评规 范对不同类型的产品或信息系。统的安全性进行测试评估，向中心出 具测评报告的技术组织。
中国信息安全测评中心地址：北京市海淀区上地西路8号院1号楼 官方网站：
第3讲 信息安全测评认证工作体系
三、注册信息安全专业人员介绍
“注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)。根据实际岗位工作需要， CISP分为三类，分别是“注册信息安全工程师”，英文为Certified Information Security Engineer（简称CISE）; “注册信息安全管 理人员”， 英文为Certified Information Security Officer(简称 CISO)，“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。 CISE主要从事信息安全技术开发服务工程建设等工作，CISO从 事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评 估等工作。 这三类注册信息安全专业人员是有关信息安全企业，信息安全咨 询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信 息系统（网络）建设、运行和应用管理的技术部门（含标准化部门） 必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障， 其所具备的专业资质和能力，系经中国信息安全测评中心实施注册。

信息安全测评资质证书是指由国家相关部门颁发的、证明企业或机构具备从事信息安全测评业务能力和水平的证书。

该证书是信息安全测评行业的重要标志之一，也是企业或机构开展信息安全测评业务的必备条件之一。

目前，我国信息安全测评资质证书的颁发机构主要有两个：国家信息安全工程技术研究中心和国家网络与信息安全信息技术中心。

这两个机构颁发的证书分别为CSTC和CNCSC。

获得信息安全测评资质证书需要满足一定的条件，例如：
1. 具备从事信息安全测评业务的人员、技术设备和场地等条件。

2. 具备相应的技术能力和经验，能够按照国家相关标准和规范开展信息安全测评业务。

3. 具备良好的信誉和声誉，没有违法违规行为和不良记录。

获得信息安全测评资质证书后，企业或机构可以开展信息安全测评业务，为客户提供专业的信息安全测评服务，同时也可以提升自身的品牌形象和市场竞争力。

ccsa标准流程
CCSA标准（中国信息安全测评标准）是中国国家信息安全测评认证中心制定的一项信息安全评估和认证标准，用于评估和认证信息系统的安全性。

流程如下：
1. 确定评估范围：确定需要评估的信息系统的范围、目标和要求。

2. 收集信息：收集和整理与评估范围相关的信息，包括系统的设计、功能、配置和安全策略等。

3. 风险评估：对评估范围内的系统进行风险评估，包括安全威胁的识别、风险的定性和定量分析等。

4. 安全测试：根据评估范围和风险评估结果，进行安全测试，包括漏洞扫描、渗透测试、安全功能测试等。

5. 安全审计：对系统的安全策略、配置和操作进行审计，确保系统的合规性和安全性。

6. 缺陷修复：根据评估结果和审计意见，修复系统中存在的安全漏洞和缺陷。

7. 安全验证：对修复后的系统进行再次测试和审计，确保修复的漏洞和缺陷已得到有效解决。

8. 报告撰写：编制评估报告，包括评估范围、评估结果、风险分析、安全建议等内容。

9. 认证申请：根据评估报告，向相关机构申请信息安全评估和认证。

10. 认证审查：由相关机构对评估报告进行审查，确认评估结果的准确性和可信度。

11. 认证授予：相关机构根据评估结果和审查意见，决定是否授予信息安全评估和认证。

12. 持续改进：根据评估和认证结果，对系统的安全措施进行持续改进和升级，提高系统的安全性和合规性。