国家信息安全测评认证标准体系

国家信息安全测评信息安全服务资质申请指南（云计算安全类一级）（试行）©版权2017—中国信息安全测评中心2017年9月1日目录目录2引言3一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 云计算安全服务过程能力要求 (7)3.4 项目和组织过程能力要求 (9)四、资质认定 (11)4.1认定流程图 (11)4.2申请阶段 (12)4.3资格审查阶段 (12)4.4能力测评阶段 (12)4.4.1静态评估 (12)4.4.2现场审核 (13)4.4.3综合评定 (13)4.4.4资质审定 (13)4.5证书发放阶段 (13)五、监督、维持和升级 (14)六、处置 (14)七、争议、投诉与申诉 (14)八、获证组织档案 (15)九、费用及周期 (15)十、联系方式 (16)引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作，对信息技术产品、信息系统和工程的安全性进行测试与评估。

对信息安全服务和人员的资质进行审核与评价。

中国信息安全测评中心的主要职能是：1.为信息技术安全性提供测评服务；2.信息安全漏洞分析；3.信息安全风险评估；4.信息技术产品、信息系统和工程安全测试与评估；5.信息安全服务和信息安全人员资质测评；6.信息安全技术咨询、工程监理与开发服务。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。

为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

企业信息安全管理体系认证企业信息安全管理体系认证是指企业在信息安全方面建立并实施一套系统化、规范化的管理体系，并通过认证机构的审核和评估，确认其系统能够有效保护企业的信息资产安全，达到国家法律法规和相关标准的要求。

一、认证流程企业信息安全管理体系认证主要包括以下几个步骤：1. 准备阶段：企业首先需要制定信息安全管理体系的相关政策和目标，并成立信息安全管理团队，明确各个团队成员的职责和权限。

同时，企业还需进行现状分析，评估现有的信息安全风险以及风险的严重程度。

2. 系统建立阶段：根据国家和行业相关标准，企业需要制定相应的信息安全管理制度、技术规范和操作规程，确保信息安全管理体系能够全面、有效地控制信息资产的安全风险。

此外，企业还需进行内部培训，提高员工的信息安全意识。

3. 认证申请阶段：企业根据认证机构的要求，填写相应的申请表，提交相关资料，并支付相应的申请费用。

4. 认证审核阶段：认证机构对企业的信息安全管理体系进行审核，包括文件审核和实地审核。

文件审核主要检查企业的信息安全管理制度和相关文件是否符合国家和行业标准的要求；实地审核则是检查企业是否按照文件规定的方式执行信息安全管理措施。

5. 认证评估阶段：认证机构对企业的信息安全管理体系进行评估，包括对信息安全风险的评估和对控制措施的有效性评估。

评估结果将影响最终的认证结果。

6. 认证结果发布：认证机构根据审核和评估结果，发布认证报告，并颁发认证证书。

认证证书的有效期一般为3年，企业需在有效期届满前重新申请认证。

二、认证的意义1. 提高信息安全保障能力：企业信息安全管理体系认证能够帮助企业建立一套完整的信息安全管理体系，明确信息安全政策和目标，规范安全管理措施，提高信息安全保障能力。

2. 符合法律法规和标准要求：企业信息安全管理体系认证是企业确保信息资产安全的重要手段，能够使企业满足国家法律法规和相关标准的要求，降低信息安全合规风险。

3. 提升企业信誉度：企业信息安全管理体系认证是企业的信誉保证，能够树立企业在信息安全方面的良好形象。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。

国家信息安全测评信息安全服务资质申请指南一、背景信息为了加强国家的信息安全保障体系建设，确保国家重要信息基础设施的安全可靠性，国家信息安全测评信息安全服务资质一级认定成为一项重要工作，旨在通过符合一定标准的企事业单位，提供具备一定专业技术和经验的信息安全测评服务。

二、申请资格符合以下条件的企事业单位可以申请国家信息安全测评信息安全服务资质一级认定：1.企事业单位在安全工程领域从事信息安全测评服务满5年；2.企事业单位拥有独立的安全测评实验室和专业人员；3.企事业单位拥有较强的资金实力和技术实力；4.企事业单位具备相关信息安全测评服务相关证书；5.企事业单位具备良好的商业信誉和服务能力。

三、申请材料准备以下材料进行申请：2.企事业单位资质证书复印件：包括企业工商营业执照、安全测评相关证书等；3.企事业单位人员情况：包括安全工程师、安全测评员等专业人员的姓名、证书等；4.企事业单位实验室情况：包括实验室的设备情况、技术能力等；5.企事业单位资金实力：包括企业财务报表、资产状况等；6.企事业单位企业信用报告：由相关部门提供的企业信用情况报告。

四、申请流程2.准备申请材料：根据要求准备所需材料，并进行复印件；3.递交申请材料：将申请表格和相关材料一起递交至国家信息安全测评信息安全服务资质认定机构；6.结果通知：资格审核机构根据审核结果，通知申请单位是否获得资质认定；7.颁发证书：如获得资质认定，资格审核机构将颁发资质认定证书。

五、注意事项1.申请单位应遵守国家相关法律法规，确保申请材料真实、准确；2.申请单位应配备符合要求的专业人员，保证信息安全测评服务的质量；4.申请单位应保障客户信息的保密性，不得泄露相关信息；5.申请单位应定期进行资质认定复审，确保服务质量和技术能力的持续提升。

六、结语国家信息安全测评信息安全服务资质一级认定是一项重要工作，对于保障国家信息安全具有重要意义。

企事业单位在申请过程中，应遵守相关法律法规，提供真实准确的申请材料，并保证服务质量和技术能力的不断提升，为国家信息安全事业做出贡献。

信息系统安全等级保护测评服务内容及要求一、供应商资格：1.供应商应具备《政府采购法》第二十二条规定的条件；1）具有独立承担民事责任的能力；2）具有良好的商业信誉和健全的财务会计制度；3）具有履行合同所必需的设备和专业技术能力；4）有依法缴纳税收和社会保障资金的良好记录；5）参加政府采购活动前三年内，在经营活动中没有重大违法记录；6）法律、行政法规规定的其他条件。

2.投标人要求为国内独立的事业法人的独立企业法人，并且股权结构中不能有任何外资成份。

3.具有网络安全等级保护测评机构推荐证书。

4.具有中国合格评定国家认可委员会颁发的CNAS证书。

5.具有广东省电子政务服务能力等级证书。

6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书（应急响应一级）7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书（ISO9001）。

8.中国通信行业协会颁发的通信网络安全服务能力评定证书（风险评估二级）。

9.本项目不接受联合体投标。

二、项目服务内容及要求1.采购项目需求一览表：序号服务类型被测评系统级别1 等级保护测评服务存量房网上签约系统二级2 等级保护测评服务金融部门网上受理系统（签约银行登录）二级3 等级保护测评服务商品房明码标价备案系统二级4 等级保护测评服务珠海不动产微信服务号系统二级2.基本要求:2.1 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，响应国家的要求，珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。

按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排，现需开展信息系统安全等级保护测评等工作，并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。

2.2项目目标2.2.1等级保护测评服务。

根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》等标准，及各个信息系统保护等级需求，协助采购人对现有的信息系统进行等级保护备案，编写信息系统定级备案表和信息系统定级报告，并协助向公安局提交定级备案材料，取得信息系统定级备案证明。

密级：内部文档编号：SEC-V0-view-v1.0 信息安全相关认证介绍2013年3月Ver 1.0目录一. ISO27001LA信息安全管理体系主任审核员认证（IRCA） (3)1.1 认证介绍 (3)1.2 课程对象 (4)1.3 课程内容 (4)二. CISP国家注册信息安全专业人员认证 (5)2.1 认证介绍 (5)2.2 培训对象 (5)2.3 培训内容 (5)三. CISA国际注册信息系统审计师认证 (6)3.1 认证介绍 (6)3.2 培训对象 (6)3.3 培训内容 (7)四. ITILV3信息技术基础架构库Foundation认证 (7)4.1 认证介绍 (7)4.2 培训对象 (8)4.3 培训内容 (8)五. CISSP国际注册信息系统安全专家认证 (9)5.1 认证介绍 (9)5.2 培训对象 (9)5.3 培训内容 (9)六. PMP项目管理专业人士认证 (10)6.1 认证介绍 (10)6.1.1 资历审查 (11)6.1.2 PMP考试 (11)一. ISO27001LA信息安全管理体系主任审核员认证（IRCA）国际审核员注册协会（IRCA）是世界上管理体系审核员注册的创始机构，也是最大的国际化管理体系审核员注册机构。

目前在世界150个国家注册了14,750 名审核员。

IRCA 的服务主要涉及两个领域：“管理体系审核员注册，适用于以下人员帮助组织建立和实施管理体系的咨询师；认证机构的审核员，他们按照ISO9001 和其它管理体系标准实施审核；对供方或本组织实施审核的内审员；IRCA成立于1984年，是英国政府通过质量理论和实践活动的实施提高英国工商业市场竞争的措施之一，它包括建立IRCA、认可机构（目前的UKAS）、和英国国家标准制定机构（BSI标准）及部分认证机构。

当时采用的标准BS 5750 最后发展成为现在的ISO 9001标准。

目前IRCA以其服务的全面性、高增值性及其最佳操作模式在行业中赢得了很高的声誉。

等保三级测评是指信息系统安全等级保护的评估，是中国国家标准《 信息安全技术等级保护管理办法》规定的一种制度。

以下是软件等保三级测评的一般要求：
1.《安全技术体系：
系统应具备完善的安全技术体系，包括访问控制、身份认证、加密技术等，以保障系统的安全性。

安全技术体系要能够满足等保三级的严格标准，包括对系统整体的保护、对用户身份的精准认证、对敏感数据的有效加密等。

2.《网络安全：
对系统进行全面的网络安全评估，包括对网络拓扑结构、防火墙设置、入侵检测与防范等方面的检查和评估。

确保系统对于网络攻击和未授权访问具备足够的防范能力。

3.《漏洞管理：
对软件系统进行全面的漏洞扫描和评估，及时修复和更新系统中存在的漏洞，确保系统不易受到已知攻击手法的利用。

4.《数据加密：
对系统中的敏感数据进行加密存储和传输，采用先进的加密算法，以防止数据泄露和非法访问。

5.《身份认证和授权：
强化用户身份认证机制，确保用户的真实身份，并对用户的权限进行精细化控制，防止未授权访问。

6.《应急响应：
确立完善的应急响应机制，对安全事件进行及时的检测、响应和处理，以减小安全事件对系统的影响。

7.《安全培训和管理：
对系统管理人员和用户进行安全培训，提高其安全意识和应对安全事件的能力。

建立健全的安全管理制度，对系统进行定期的安全审查和评估。

8.《安全审计：
建立系统的安全审计机制，记录系统的关键操作和安全事件，便于事后的溯源和分析。

这些要求有助于确保软件系统在等保三级的测评中能够满足国家相关标准和要求，提高系统的安全性和稳定性。

在具体操作中，一般需要由专业的安全测评机构进行评估。

ICS 35.040L 80中华人民共和国国家标准GB/T ××××—××××信息安全技术信息安全风险评估规范Information security technology-Risk assessment specification for information security（报批稿）××××-××-××发布××××-××-××实施国家质量监督检验检疫总局发布目次前言 (II)引言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 风险评估框架及流程 (4)4.1 风险要素关系 (4)4.2 风险分析原理 (5)4.3 实施流程 (5)5 风险评估实施 (6)5.1 风险评估准备 (6)5.2 资产识别 (8)5.3 威胁识别 (12)5.4 脆弱性识别 (14)5.5 已有安全措施确认 (16)5.6 风险分析 (17)5.7 风险评估文档记录 (19)6 信息系统生命周期各阶段的风险评估 (20)6.1 信息系统生命周期概述 (20)6.2 规划阶段的风险评估 (20)6.3 设计阶段的风险评估 (21)6.4 实施阶段的风险评估 (22)6.5 运行维护阶段的风险评估 (23)6.6 废弃阶段的风险评估 (23)7 风险评估的工作形式 (24)7.1 概述 (24)7.2 自评估 (24)7.3 检查评估 (24)附录A (资料性附录) 风险的计算方法 (27)A.1 使用矩阵法计算风险 (26)A.2 使用相乘法计算风险 (31)附录B (资料性附录)风险评估的工具 (35)B.1 风险评估与管理工具 (35)B.2 系统基础平台风险评估工具 (36)B.3 风险评估辅助工具 (37)参考文献 (37)前言本标准附录A和附录B是资料性附录。

等保和密评证书
《等保和密评证书》是指在信息安全领域中所颁发的两种重要认证证书。

这两种证书分别是“等级保护”（等保）和“密级评定”（密评）的认证，都是信息安全领域的重要标志之一。

等级保护（等保）是指信息系统的安全保护等级划分，是根据信息系统的重要程度和安全需求等级来划分系统的安全保护级别。

等保认证标准由国家信息安全等级保护测评中心制定，是我国信息安全领域中的重要认证之一。

通过等保认证，可以评估信息系统的安全级别，同时也可以保障信息系统的安全性和可靠性。

而密级评定（密评）是指对信息系统中的数据进行密级划分和评定，确定数据的保密级别和保密管理措施的涉密程度。

密评认证标准由国家保密局制定，是我国信息安全领域中的重要认证之一。

通过密评认证，可以帮助企业和政府部门合理划分和管理重要数据的保密等级，确保关键信息的安全。

获得“等保和密评证书”不仅可以提升企业和政府部门的信息系统安全能力和信誉度，也可以为企业和政府部门在信息安全管理方面提供指导和依据。

因此，越来越多的机构和企业开始关注并积极申请这两种重要的认证证书。

总的来说，《等保和密评证书》是信息安全领域中的两种重要认证，对于保障信息系统和数据的安全具有重要意义，也为相关单位提供了可靠的标准和评估体系。

希望更多的企业和机构可以意识到信息安全的重要性，积极申请这两种重要的认证证书，提升信息安全保障能力。