当前位置:文档之家 › (安全生产)国家信息安全测评认证

(安全生产)国家信息安全测评认证

  • 格式:doc
  • 大小:426.57 KB
  • 文档页数:66

下载文档原格式

  / 66

合集下载

国家信息安全水平考试

国家信息安全水平考试

现实意义
中国信息安全测评中心开展国家信息安全水平考试(NISP)考试项目,是为普及信息安全/络安全知识,培养 我国络空间安全(络安全和信息安全的统称)专业人才的“预备役”,对于加强我国的络空间安全人才队伍建设, 提高我国在络空间的安全保障与对抗能力具有重要的战略意义。
NISP证书优势
NISP三级证书(专项)
国家络空间安全人才培养基地针对NISP三级的学员组织项目模拟仿真、实际操作训练、案例教学等方式,重 点培养学生的知识应用能力和岗位实操能力,建立与政府、机关、国企、事业单位和知名企业交流平台,为获证 学员提供实习和就业的机会。
感谢观看
NISP证书特点
NISP重在结合我国信息安全保障工作的实践特色,体现国家信息安全法律、法规和相关政策的要求,以及我 国信息化建设发展的特点。
NISP试从普及全民信息安全知识和信息安全意识到培训信息安全从业人员的基础理论,再到培养信息安全专 业人才为主要目标,项目对象涉及各领域人才,重点是在全国高校在校生和应届毕业生以及社会有志加入络安全 行业的人员,逐步建立起一支多层次的信息安全保障人才队伍。
国家信息安全水平考试
国家络空间安全人才的水平考试
目录
01SP证书优势 04 NISP证书特点
国家信息安全水平考试(National Information Security Test Program,简称NISP),是由中国信息安 全测评中心实施培养国家络空间安全人才的项目。由国家络空间安全人才培养基地运营/管理,并授权安世纪科技 有限公司做为国家信息安全水平考试(NISP)专项证书管理中心。
NISP证书定位
根据认证对象的专业基础,NISP分为一级、二级、三级(专项)三个级别,通过信息安全水平考试,全面了 解和提升信息安全意识,通过三个级别的考试,快速进入络空间安全行业。

信息安全等级测评师 考试

信息安全等级测评师 考试

信息安全等级测评师考试一、考试性质国家信息安全水平考试项目(National Information Security Test Program,简称NISP)由教育部考试中心和中国信息安全测评中心共同设立并实施。

其中,NISP(一级)主要面向各行业信息系统使用人员及高校非信息安全专业学生,普及信息安全知识,增强信息安全意识,提高安全防范技能,为国家信息安全保障工作的顺利实施奠定基础。

NISP(一级)考试从个人工作、学习和生活中面临的信息安全问题出发,结合我国网络基础设施和信息系统安全保障的实际情况,考察考生的信息安全的意识和基本技能。

通过NISP(一级)知识内容的学习和相关考试,可以增强个人信息安全意识,帮助考生了解信息安全威胁和基本防护知识,掌握网络、操作系统和移动智能终端的基本安全设置方法,以及常见应用软件的安全操作方法,提高个人信息安全防护能力,同时了解信息安全管理相关知识,以具备在政府、企事业单位工作中安全使用信息系统的能力和基本信息安全素质。

NISP (一级)考试内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护和信息安全管理。

二、考试目标考生应理解信息安全相关概念,以及信息安全保障基本含义和作用。

了解我国信息安全相关法律法规。

提高考生的信息安全知识水平,及其对信息安全法律法规的认识和理解。

考生应理解密码学、身份认证、访问控制和审计相关概念与作用。

了解网络、操作系统、移动智能终端面临的安全威胁,掌握基本的网络、操作系统、移动智能终端的安全防护知识、技术和措施。

掌握浏览器、网上金融交易、电子邮件的安全设置和操作方法,熟练使用相关工具保护数据安全。

提升考生对信息安全威胁的分辨能力,及对常见安全防护技术的理解水平,培养良好的安全操作习惯,以增强其对个人信息的保护能力。

考生应了解信息安全管理的概念与作用,理解其基本方法,了解信息风险管理要素和过程,以及应急响应和灾难恢复过程。

国家信息安全测评认证标准体系

国家信息安全测评认证标准体系
√ 制定和实施标准:技术基础、产品标准、过程、服务 √ 标准的实施监督
概述—标准化基础
• 国际通行“标准化七原理”:
–原理1---简化 –原理2---协商一致 –原理3---实践、运用 –原理4---选择、固定 –原理5---修订 –原理6---技术要求+试验方法+抽样 –原理7---强制性适应于:安全、健康、环保等
益; – 合理发展产品品种,提高企业应变能力,以更好地满足社会需求; – 保证产品质量,维护消费者利益; – 在社会生产组成部分之间进行协调,确立共同遵循的准则,建立稳定的秩序; – 在消除贸易障碍,促进国际技术交流和贸易发展,提高产品在国际市场上的
竞争能力方面具有重大作用; – 保障身体健康和生命安全。大量的环保标准、卫生标准和安全标准制定发布
不包括密码算法固有质量评价准则标准的应用范围关键概念保护轮廓ppprotectionprofile安全目标stsecuritytarget评估保证级ealevaluationassurancelevel评估对象toe产品系统子系统保护轮廓pp同tcsec级类似pp保护轮廓引言11pp标识12pp概述标识pp叙述性总结pptoe描述toe的背景信息安全环境31假设32威胁33组织性安全策略指明安全问题要保护的资产已知的攻击方式toe必须使用的组织性安全策略安全目的41toe安全目的42环境安全目的对安全问题的相应反应包括非技术性措施安全要求51toe安全功能要求52toe安全保证要求53环境安全要求cc第二部分的功能组件cc第三部分的保证组件基本原理61安全目的基本原理62安全要求基本原理目的和要求可以解决已指出的安全问题应用注解附加信息安全目标st与itsecst类似st安全目标引言11st标识12st概述13cc一致性声明标识st和toe包括版本号叙述性总结sttoe描述toe背景信息评估环境安全环境31假设32威胁33组织性安全策略指明安全问题要保护的资产已知的攻击toe必须使用的组织性安全策略假定的安全问题安全目的41toe安全目的42环境安全目的对安全问题的相应反应包括非技术性措施安全要求51toe安全功能要求52toe安全保证要求53环境安全要求cc第二部分的功能组件cc第三部分的保证组件toe概要规范61toe安全功能62保证措施安全功能满足哪一个特定的安全功能要求保证措施满足哪一个特定的安全保证要求保护轮廓声明71pp参照72pp细化73pp附加项解释证明和其他支持材料以证实一致性声明基本原理81安全目的基本原理82安全要求基本原理83toe概要规范基本原理84pp声明基本原理安全目的安全要求it安全功能和保证措施可以解决已指出的安全问题功能保证结构类如用户数据保护fdp关注共同的安全焦点的一组族覆盖不同的安全目的范围子类如访问控制fdpacc共享安全目的的一组组件侧重点和严格性不同组件如子集访问控制fdpacc1包含在ppst包中的最小可选安全要求集组件组件可以进一步细化类class子类family子类family组件组件组件组件功能和保证ppst包用户数据保护fdp13标识和鉴别fiatoe安全功能保护fpt16资源利用frutoe访问fta135个组件135个组件保证对功能产生信心的方法安全保

国家信息安全产品认证流程详解

国家信息安全产品认证流程详解

国家信息安全产品认证流程详解国家信息安全产品认证是指根据国家有关法律法规和技术标准,对信息安全类产品进行评估和认证的过程。

它是确保信息系统安全与可靠的重要手段,旨在提高信息系统的安全性、保护国家利益和个人隐私。

国家信息安全产品认证流程主要包括申请、测试和评估、认证和颁发证书等步骤。

下面将详细介绍每个步骤的内容。

首先是申请阶段。

在该阶段,申请人需要根据《国家信息安全产品认证管理规范》的要求,准备相关资料并填写申请表格。

申请表格需要包括产品的详细介绍、技术文档、用户手册等材料。

申请人还需要提供所需的费用,并签署保密协议。

接下来是测试和评估阶段。

在这个阶段,申请人需要将产品送往国家信息安全认证中心或授权的测试实验室进行测试。

测试范围包括功能测试、性能测试、安全性测试等。

这些测试是按照国家相关技术标准进行的,以评估产品是否符合规定的安全要求。

测试和评估阶段要求申请人提供产品的详细设计文档、源代码等材料,以便评估人员进行安全性分析和漏洞检测。

评估人员还会进行安全性测试和渗透测试,以验证产品的抗攻击能力和安全性能。

在测试和评估阶段结束后,评估人员将综合评估结果向申请人提供认证报告。

该报告包括产品的测试结果、安全性评估以及产品存在的安全风险和建议改进措施等内容。

评估报告是申请人获得认证的关键依据。

然后是认证阶段。

在该阶段,申请人需要将评估报告和其他所需资料提交给国家信息安全认证委员会。

认证委员会将对申请人提交的材料进行审核,并进行认证决策。

如果产品通过了认证的所有评估和测试,符合国家相关标准和要求,认证委员会会颁发认证证书。

最后是颁发证书阶段。

在这个阶段,认证委员会会向申请人颁发认证证书,证书上会标明产品的认证类别、有效期限等信息。

申请人可以在证书的有效期内使用认证标志,并在产品宣传、包装、广告等相关材料中使用认证标识,对认证结果进行宣传和推广。

需要注意的是,国家信息安全产品认证具有时效性,认证证书的有效期通常为一年。

国家信息安全测评信息技术产品自主原创测评流程

国家信息安全测评信息技术产品自主原创测评流程
2)测评准备阶段 受理完成后,信息安全测评部成立项目组。 申请方将产品及全部文档提交到中心,信息安全实验室对申请方详细文档进 行技术审核。 在测评准备阶段,申请方在收到启动通知书后,同中心签订《源代码托管协 议》,申请方提交自主原创测评文档、关键技术部分全部源代码并送测产品样品, 并同信息安全实验室协商确定现场测评相关的工作安排。 最后制定测评方案
二、提交资料明
在自主原创测评中,申请方应根据测评流程提交相关资料,申请方所需提交 的资料包括:
业务受理阶段(申请书)所需提交的资料 在业务受理阶段,申请方在申请书中应提交以下文件:
申请单位应提交以下企业资质文件用于审查: 企业法人营业执照:用于审查企业的法人身份、注册资金、企业 类型、经营范围等内容; 企业资质证书:包括政府或行业协会等单位颁发的企业能力资质 证书,包括质量管理体系证书等。
4)公示注册阶段
第 2 页,共 5 页
通过评审的产品将在中心网站及主流媒体进行公布,并留有半个月的争议期 限,在争议期内接受社会及业内厂家的意见,发生严重争议的,视具体情况经查 实后可终止测评业务。
争议期过后,中心对产品进行注册并颁发《自主原创产品测评证书》,并将 结果公布于中心网站和中心杂志。
第 3 页,共 5 页
国家信息安全测评 信息技术产品自主原创测评流程
(试行)
版本:1.0
©版权 2008—中国信息安全测评中心 二〇〇八年八月
目录
目 录............................................................................................................................................... I 一、自主原创测评流程介绍 ........................................................................................................... 1 二、提交资料说明........................................................................................................................... 4 三、自主原创测评业务接口说明 ................................................................................................... 5

信息安全测评认证体系介绍1

信息安全测评认证体系介绍1

国外信息安全测评认证体系
美国由国家安全局与国家标准局联合实施国家信息安全 美国由国家安全局与国家标准局联合实施国家信息安全 认证,英国、德国、法国、澳大利亚、加拿大、荷兰等 认证,英国、德国、法国、澳大利亚、加拿大、荷兰等 国家也由国家安全部门或情报主管机构主管信息安全认 证工作。先后建立起国家信息安全测评认证体系 证工作。 芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国 芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国 家和日本、韩国等亚洲国家纷纷仿效,积极开展信息安 日本 等亚洲国家纷纷仿效 家和日本、韩国等亚洲国家纷纷仿效, 全测评认证工作 国外的信息安全测评认证体系由:1)一个测评认证管 国外的信息安全测评认证体系由: 理协调组织、2)一个测评认证实体、和3)多个技术检 理协调组织、 一个测评认证实体、 测机构组成
测评认证中心的建设过程(1)
1997年初,国务院信息化工作领导小组批 年初,
准筹建“中国互联网络安全产品测评认证 准筹建“ 中心”。 中心”
1998年7月, 该中心正式运行。 该中心正式运行。
测评认证中心的建设过程(2)
1998年10月,国家质量技术监督局授 国家质量技术监督局授
权成立“中国国家信息安全测评认证中 权成立“ 心”。 国家质量技术监督局组建跨部委的国 国家质量技术监督局组建跨部委的国 家信息安全测评认证管理委员会。 家信息安全测评认证管理委员会。 1999年2月9日,中国国家信息安全测 评认证中心正式运行。 评认证中心正式运行。
简介和一般介绍,以及保护轮廓(PP) 规范和安全目标(ST)规范 第二部分:安全功能需求 第三部分:安全保障需求
国际信息安全测评认证情况比较
信息安全测评认证发展历程 测评标准及测评方法 认证证书 授权测评机构

国家信息安全测评认证

物联网、5G等技术的发展,推动测评认证向更广泛的领域拓展
人工智能、机器学习等技术的应用,提高测评认证的自动化和智能化 水平
区块链技术的应用,提高测评认证的可信度和安全性ቤተ መጻሕፍቲ ባይዱ
国际合作与交流,推动测评认证标准的国际化和互认
挑战:技术更新换代迅速,需要不断更新测评标准和方法 挑战:信息安全威胁日益严重,需要加强测评认证的力度和范围 机遇:国家政策支持,推动信息安全测评认证行业的发展 机遇:市场需求增长,为信息安全测评认证行业带来更多商机
信息安全测评的重要性:保障国家信息安全,维护国家安全 测评方法:采用科学的测评方法和技术,确保测评结果的准确性和可靠性 测评结果应用:将测评结果应用于信息安全防护和改进,提高信息安全水平 教训:在测评过程中,需要注意信息安全风险,防止信息泄露和攻击。
Part Five
技术进步:随着科技 的发展,信息安全测 评认证技术将更加先 进和智能化
保障信息安全: 通过测评认证, 确保信息系统
的安全性
提高企业竞争 力:通过测评 认证,提高企 业在市场中的
竞争力
促进行业发展: 通过测评认证, 推动信息安全
行业的发展
增强用户信心: 通过测评认证, 增强用户对信 息系统的信任
和信心
Part Three
测评认证机构:国家信息安全测评中心、中国信息安全测评中心等 测评流程:申请、受理、测评、报告、认证等 测评内容:信息安全技术、管理、人员等方面的测评 认证结果:颁发认证证书,证明企业或产品的信息安全水平。
汇报人:
Part Six
国家信息安全测评认证的重要性:保障国家安全,维护社会稳定
测评认证的现状:存在不足,需要进一步完善
建议:加强监管,提高测评认证的准确性和权威性 结论:国家信息安全测评认证是保障国家安全的重要手段,需要不断完 善和加强。

中国国家信息安全产品认证证书

中国国家信息安全产品认证证书中国国家信息安全产品认证证书(以下简称“认证证书”)是由中国国家信息安全认证中心颁发的,用于证明产品符合中国国家信息安全标准要求的重要证明文件。

获得该证书的产品,意味着其在信息安全方面具有一定的保障和可信度,能够为用户提供更加安全可靠的使用体验。

获得中国国家信息安全产品认证证书,对于企业和产品来说,具有重要的意义和价值。

首先,认证证书是产品质量和安全性的重要保障。

产品经过认证,意味着其在安全性能、数据保护、系统稳定性等方面都经过了严格的检测和验证,能够更好地保护用户的信息安全。

其次,认证证书是企业信誉和竞争力的重要体现。

获得认证证书的产品,能够更好地树立企业的品牌形象,提升产品的市场竞争力,赢得用户的信任和好评。

在申请中国国家信息安全产品认证证书时,企业需要严格按照相关的标准和规定进行申请和审核。

首先,企业需要对产品进行全面的安全性能测试和评估,确保产品符合国家相关的信息安全标准和要求。

其次,企业需要提交完整的申请材料,并配合国家信息安全认证中心进行产品的检测和评估工作。

最后,企业需要积极配合相关部门进行后续的跟踪检测和维护工作,确保产品的安全性能和稳定性。

获得中国国家信息安全产品认证证书,对于企业来说,是一项重要的荣誉和责任。

企业需要充分认识到认证证书的重要性,不断提升产品的安全性能和质量水平,为用户提供更加安全可靠的产品和服务。

同时,企业还需要积极参与行业标准的制定和完善工作,推动信息安全产业的健康发展,为国家信息安全事业做出积极贡献。

总之,中国国家信息安全产品认证证书是产品安全性能和质量的重要保障,是企业信誉和竞争力的重要体现,是推动信息安全产业健康发展的重要支撑。

企业和产品获得该证书后,应当充分认识到其重要性和责任,不断提升产品的安全性能和质量水平,为用户提供更加安全可靠的产品和服务,为信息安全产业的健康发展作出积极贡献。

通过中国国家信息安全产品认证证书,我们可以更好地保障信息安全,提升产品的市场竞争力,赢得用户的信任和好评,推动信息安全产业的健康发展。

中国信息安全测评中心

中国信息安全测评中心中国信息安全测评中心(China Information Security Evaluation Center,CISEC)是中国国家信息安全测评机构,负责对各类信息系统和产品进行安全测评和认证。

作为中国信息安全领域的权威机构,CISEC在信息安全技术、标准和管理方面发挥着重要作用。

本文将介绍CISEC的职能、作用以及其在信息安全领域的重要性。

CISEC的职能主要包括对信息系统和产品进行安全测评、认证和监督检查。

在信息系统方面,CISEC负责对政府部门、金融机构、电信运营商等重要单位的信息系统进行安全测评,评估其在保护重要信息资产、防范网络攻击、应对突发安全事件等方面的能力。

在产品方面,CISEC对各类信息安全产品进行认证,包括防火墙、入侵检测系统、安全管理软件等,以确保其符合国家和行业标准,具有良好的安全性能。

CISEC在信息安全领域的作用主要体现在以下几个方面,首先,CISEC对信息系统和产品进行安全测评和认证,有助于提高其安全性能和可信度,为用户和企业选择和使用安全可靠的信息系统和产品提供了参考依据。

其次,CISEC通过对信息系统的安全测评,有助于发现系统存在的安全隐患和漏洞,提出改进建议和技术要求,促进信息系统的安全加固和提升。

再次,CISEC通过对信息安全产品的认证,推动了信息安全产品的研发和创新,促进了信息安全产业的健康发展。

最后,CISEC作为国家信息安全测评机构,还参与了国家信息安全标准的制定和推广,提高了信息安全管理水平和标准化程度。

CISEC在信息安全领域的重要性不言而喻。

随着网络技术的飞速发展和信息化进程的加快,信息安全问题日益突出,网络攻击、数据泄露等安全事件频发,给国家安全和社会稳定带来了严重威胁。

而CISEC作为国家信息安全测评机构,承担着信息安全保障的重要责任,其职能和作用对于加强信息安全防护、保护国家重要信息基础设施、维护国家网络安全具有重要意义。

国家信息安全测评信息安全运营类证书评价条件

国家信息安全测评信息安全运营类证书评价条件全文共四篇示例,供读者参考第一篇示例:国家信息安全测评信息安全运营类证书是由国家信息安全测评机构颁发给信息安全运营机构的重要证书,是评价信息安全运营机构信息安全管理水平的重要依据。

国家信息安全测评信息安全运营类证书的评价条件包括以下几个方面:一、组织架构与管理制度:信息安全运营机构应建立健全的组织架构和管理制度,确保信息安全管理体系的有效运行。

包括明确的信息安全管理责任、信息安全管理委员会的建立、制定信息安全管理制度和流程等。

二、信息安全保障措施:信息安全运营机构应根据实际情况和特点建立完善的信息安全保障措施,包括技术措施、物理措施、人员安全管理等,确保信息系统和信息资产的安全。

四、信息安全培训与教育:信息安全运营机构应开展信息安全培训与教育工作,提高员工信息安全意识和技能,确保员工能够正确处理信息安全问题。

五、信息安全监测与评估:信息安全运营机构应建立信息安全监测与评估机制,定期对信息系统和信息资产进行评估和监测,及时发现和解决安全问题。

六、信息安全事件应急响应:信息安全运营机构应建立信息安全事件应急响应机制,能够及时响应和处置信息安全事件,减少损失。

八、信息安全合规性:信息安全运营机构应严格遵守相关法律法规和标准,确保信息安全管理工作符合法律法规的要求。

以上是国家信息安全测评信息安全运营类证书的评价条件,信息安全运营机构在评价过程中需综合考虑上述各个方面,不断提升信息安全管理水平,确保信息安全工作的有效开展。

【2000字】第二篇示例:随着互联网的快速发展,人们的生活日益依赖于网络和数字化技术,而信息安全问题也变得尤为重要。

保障国家信息安全已经成为国家安全的一个重要方面,而信息安全测评信息安全运营类证书的评价条件,对于保障国家信息安全具有重要意义。

信息安全测评信息安全运营类证书评价条件主要包括以下几个方面:一、基本条件1. 政策法规要求:评价对象应符合国家相关政策法规的要求,包括信息安全管理办法、网络安全法等。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

编号:国家信息安全测评认证信息系统安全服务资质认证申请书(一级)申请单位(公章):填表日期:中国信息安全产品测评认证中心目录填表须知 (3)申请表 (4)一,申请单位基本情况 (5)二,企业组织结构 (6)三,企业近三年资产运营情况 (7)四,企业主要负责人情况 (9)五,企业技术能力基本情况 (13)六,企业的信息系统安全工程过程能力 (18)七,企业的项目和组织过程能力 (41)八,企业安全服务项目汇总 (58)九,企业安全培训软硬件情况 (60)十,企业获奖、资格授权情况 (62)十一,企业在安全服务方面的发展规划 (63)十二,企业其他说明情况 (64)十三,其他附件 (65)申请单位声明 (66)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全产品测评认证中心对下列对象进行测评认证:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息系统安全服务资质认证指南》,并按照其要求如实、详细地填写本申请书所有项目。

3.申请单位应按照申请书原有格式进行填写。

如填写内容较多,可另加附页。

4.申请单位须提交《信息系统安全服务资质认证申请书》(含附件及证明材料)纸板一式叁份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。

5.不申请安全工程服务类资质认证的单位无需填写《企业的信息系统安全工程过程能力》此项内容。

6.不申请安全培训服务类资质认证的单位无需填写《企业安全培训软硬件情况》此项内容。

7.如有疑问,请与中国信息安全产品测评认证中心联系。

中国信息安全产品测评认证中心地址:北京市西三环北路27号北科大厦9层邮编:100091电话:86-10-68428899传真:86-10-68462942网址:电子邮箱:cnitsec@申请表中国信息安全产品测评认证中心:我单位正式提出信息系统安全服务资质认证申请,并保证将按照信息系统安全服务资质认证的要求,提供所需的所有真实信息,并配合认证活动。

1.申请服务类型□ A类(不具有外资背景)□ B类(具有外资背景)2.申请服务内容□安全工程(安全方案设计、安全集成、安全监控和维护、风险评估、安全咨询等)□安全培训□CA运营□其他服务3.申请类型□初次申请□再次申请,第次申请□级别变更(原资质级别:□一级□二级□三级□四级□五级)注意:除第二项外其余各项均为单选。

申请单位(盖章):申请日期:年月日一,申请单位基本情况申请单位全称(中文):申请单位全称(英文):地址:邮政编码法定代表人姓名:职务:联系人姓名:职务:电子邮箱:联系方式:电话()传真()BP ()手机()工商登记注册号(附企业法人营业执照副本或上级主管部门批准成立文件复印件):法人机构代码(附法人机构代码证副本复印件):其他重要的法律文件:二,企业组织结构本项应包括以下内容:1.企业组织结构图2.企业部门职能文字描述(包括与安全服务有关的管理、研发、安全服务实施、质量保证、客户服务、人力资源管理与培训、合同管理等)三,企业近三年资产运营情况本项应包括以下内容:1.企业近三年资产运营情况(加盖公章)(表1);2.近三年审计报告与信用等级证明材料(若无审计报告请提供加盖公章的资产负债表和损益表);3.安全服务费用包括:涉及安全内容的系统设计费、软件开发费、系统集成费、服务费和培训费等;4.财务亏损或其它异常状况发生请提供证明材料。

企业近三年资产运营情况表第8 页共66页四,企业主要负责人情况本项应包括以下内容:1.企业负责人情况(表2)2.企业技术负责人情况(表3)3.企业安全服务负责人情况(表4)4.以上人员的任职、学历、职称、业绩证明材料复印件企业负责人情况表企业技术负责人情况企业安全服务负责人情况五,企业技术能力基本情况本项根据表5内容详细填写,包括:1.安全服务主要人员基本情况;2.自主开发产品情况;3.工作环境设施情况;4.常用安全服务工具;5.安全服务网站。

企业技术能力基本情况表第14 页共66页第15 页共66页第16 页共66页第17 页共66页六,企业的信息系统安全工程过程能力本项应包括以下十一项内容:1.评估系统安全威胁的能力2.评估系统脆弱性的能力3.评估安全对系统的影响的能力4.评估系统安全风险的能力5.确定系统的安全需求的能力6.确定系统的安全输入的能力7.进行管理安全控制的能力8.进行监测系统安全状况的能力9.进行安全协调的能力10.进行检测和证实系统安全性的能力11.进行建立系统安全的保证证据的能力6.1 评估系统安全威胁的能力本项要求:1.详细描述组织是如何识别系统所面临的各种安全威胁及其性质和特征;2.详细描述组织是如何对威胁的可能性进行评估的;3.提供一份具体项目中关于评估系统安全威胁的相应文档记录;4.文档记录附在该项文字描述之后。

表6-1注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

6.2 评估系统脆弱性的能力本项要求:1.详细描述组织是如何对系统的脆弱性进行评估的,包括所选择的分析方法、工具,收集、合成系统的脆弱性数据;2.提供一份具体项目中关于系统脆弱性评估的相应文档记录,包括系统脆弱性清单、攻击测试报告等;3.文档记录附在该项文字描述之后。

表6-2注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

6.3 评估安全对系统的影响的能力本项要求:1.详细描述组织是如何识别安全对所实施的系统有关系的影响,并对发生影响的可能性进行评估的;2.提供一份具体项目中关于评估安全对系统的影响的相应文档记录,如系统优先级清单/系统资产分析表等;3.文档记录附在该项文字描述之后。

表6-3注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

6.4 评估系统安全风险的能力本项要求:1.详细描述组织是如何识别出一给定环境中涉及到对某一系统有依赖关系的安全风险的;2.详细描述组织是如何对系统的安全风险进行评估,包括选择风险评估方法、对风险的优先级排列方法等等;3.提供一份具体项目中关于评估系统安全风险的相应文档记录;4.文档记录附在该项文字描述之后。

表6-46.5 确定系统的安全需求的能力本项要求:1.详细描述组织是如何明确地为系统识别出与安全相关的要求的;2.提供一份具体项目中关于确定系统的安全需求的相应文档记录,如安全策略,安全目标,安全需求分析报告等;3.文档记录附在该项文字描述之后。

表6-5注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

6.6 确定系统的安全输入的能力本项要求:1.详细描述组织是如何为系统的规划者、设计者、实施者或用户提供他们所需的安全信息。

信息包括安全体系结构、设计或实施选择以及安全指南;2.提供一份具体项目中关于确定系统的安全输入的相应文档记录,如系统安全体系设计方案,安全模型,各种安全相关的指南等;3.文档记录附在该项文字描述之后。

表6-6注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

6.7 进行管理安全控制的能力本项要求:1.详细描述组织是如何保证集成到系统设计中的已计划的系统安全确实由最终系统在运行状态下达到。

包括建立安全职责,管理所有用户和管理员的安全意识、培训和教育大纲以及对所有的安全配置进行管理(软件更新记录、安全配置修改记录等等);2.提供一份具体项目中关于进行管理安全控制的相应文档记录;3.文档记录附在该项文字描述之后。

表6-7注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

6.8 进行监测系统安全状况的能力本项要求:1.详细描述组织是如何对于安全风险变化、事件记录、安全防护措施进行监视,并识别安全突发事件和对安全突发事件进行响应的;2.提供一份具体项目中关于进行监测系统安全状况的相应文档记录;3.文档记录附在该项文字描述之后。

表6-8注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

6.9 进行安全性协调的能力本项要求:1.详细描述组织是如何进行安全性协调的,包括建立协调机制(各工作组之间以及组内部)并确保其实施的方法;2.提供一份具体项目中关于进行安全性协调的相应文档记录;3.文档记录附在该项文字描述之后。

表6-9注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

6.10 进行检测和证实系统安全性的能力本项要求:1.详细描述组织是如何进行检测和证实系统的安全性的,包括检测或证实系统安全性的方法和工具;2.提供一份具体项目中关于进行检测和证实系统安全性的相应文档记录,如测试计划,检测结果,检测报告等;3.文档记录附在该项文字描述之后。

表6-10注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

6.11 进行建立系统安全的保证证据的能力本项要求:1.详细描述组织是如何建立系统安全的保证证据的,包括对保证的目标进行识别、建立保证证据库并对其进行分析等;2.提供一份具体项目中关于进行建立系统安全的保证证据的相应文档记录;3.文档记录附在该项文字描述之后。

表6-11注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

七,企业的项目和组织过程能力本项应包括以下八项内容:1.如何实现质量保证;2.如何对整个系统进行管理配置;3.如何管理项目风险;4.如何监控技术活动;5.如何规划技术活动;6.如何管理系统工程支持环境;7.如何提供不断发展的知识和技能;8.如何与供应商协调。

7.1 如何实现质量保证本项要求:1.详细描述组织是如何实现质量保证的;2.提供组织实现质量保证的相应文档记录;3.文档记录附在该项文字描述之后。

表7-1注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

7.2 如何对整个系统进行管理配置本项要求:1.详细描述组织是如何进行管理配置的,包括维持已标识的配置单元的数据和状况,并对系统及其配置单元的变化进行分析和控制;2.提供对整个系统进行管理配置的相应文档记录;3.文档记录附在该项文字描述之后。

表7-2注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

7.3 如何管理项目风险本项要求:1.详细描述组织是如何管理项目风险的;2.提供管理项目风险的相应文档记录;3.文档记录附在该项文字描述之后。

表7-3注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。

7.4 如何监控技术活动本项要求:1.详细描述组织是如何进行监控技术活动的,包括技术活动指导,项目资源的跟踪,问题分析等;2.提供关于进行监控技术活动的相应文档记录;3.文档记录附在该项文字描述之后。

表7-4注:请在“详细描述”中进行文字描述说明,在“备注”中注明附件名称。