下载文档原格式
《信息系统安全集成服务资质认证评价要求》编制说明一、工作简况《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。
该项目由中国信息安全认证中心承担。
截止到2011年底,国内外尚未形成安全集成服务相关标准。
ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的,其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容,以及安全工程的能力成熟度模型,未涉及认证评价的内容,所以该标准不能完全满足信息安全服务资质认证工作的需要。
鉴于现状,我们征集了信息安全业界专家的意见,专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。
结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准,将安全集成服务资质分为三级,其中一级最高,三级最低,最终制定一套符合我国信息安全服务现状的认证实施规则,依据该规则指导安全集成服务资质认证工作。
为了规范信息系统安全集成(以下简称安全集成)服务市场,提升安全集成服务质量,我中心于2012年初,依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。
该实施规则得到了申请方的一致认可。
该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上,经编写小组多次讨论和征求意见后制定,形成了目前的标准草案稿。
ccrc信息安全风险评估服务资质认证证书模板文章《深度探讨CCRC信息安全风险评估服务资质认证证书模板》一、引言在当今信息化的社会,信息安全风险评估已经成为了企业、组织及个人必须面对的重要问题。
尤其对于涉及大量用户信息的CCRC(云计算资源中心)来说,信息安全风险评估更是至关重要的一环。
在这样的背景下,CCRC信息安全风险评估服务资质认证证书模板应运而生。
这一模板的推出,为CCRC的信息安全风险评估提供了一种标准化和规范化的方法,有助于提高CCRC的信息安全水平,降低信息安全风险。
二、CCRC信息安全风险评估服务资质认证证书模板概述1. 模板的设计理念CCRC信息安全风险评估服务资质认证证书模板的设计理念是通过明确的标准和规范,对CCRC的信息安全风险进行客观、全面的评估,从而提供专业的服务认证证书。
这样的模板不仅有助于CCRC自我评估和改进,还能够给用户和监管机构提供信心,确保其信息安全风险得到有效管控。
2. 模板的具体内容CCRC信息安全风险评估服务资质认证证书模板通常包括以下内容:CCRC的基本信息、信息安全管理制度、信息安全风险评估流程、信息安全风险评估结果、信息安全改进措施、认证机构意见等。
这些内容的明确定义和规范化有助于评估者更加客观、全面地评估CCRC的信息安全风险,同时也方便认证机构对CCRC的信息安全水平进行认证和监督。
三、CCRC信息安全风险评估服务资质认证证书模板的意义CCRC信息安全风险评估服务资质认证证书模板的意义主要体现在以下几个方面:- 标准化和规范化这一模板的推出有助于统一CCRC信息安全风险评估的标准和方法,使得不同的评估者和认证机构可以按照相同的标准进行评估和认证,提高评估和认证的公正性和客观性。
- 改进信息安全水平通过持续地使用和改进这一模板,CCRC可以更加系统地了解自身的信息安全风险,采取有针对性的措施来改进信息安全水平,确保用户数据的安全和隐私。
- 提升用户信心CCRC获得了符合CCRC信息安全风险评估服务资质认证证书模板的认证,能够向用户和监管机构展示其信息安全水平得到了第三方权威机构的认可,提升了用户对CCRC的信心,有助于吸引更多的用户和合作伙伴。
信息安全风险评价管理软件研究与开发技术报告国信办信息安全风险评估上海试点工作验收材料之四——信息安全风险评估管理软件研制报告上海市信息安全测评认证中心二OO五年八月目录一、项目背景 (2)二、系统开发目标 (3)三、设计原则 (4)四、研制过程 (5)五、下一步工作 (9)一、项目背景纵观国际经济形势,随着信息技术突飞猛进的发展,信息化已成为当今世界的潮流,信息产业已成为社会经济发展的基础。
它的发展正在进一步引起社会、经济乃至人们生活方式的急剧变革。
当前我国的信息化建设已进入高速发展期,电子政务,电子商务,网络经济等的兴起,这些与国民经济、社会稳定息息相关的领域急需信息安全保障。
随着信息化的发展与应用的普及,信息安全问题越来越突出,许多重要应用领域越来越依赖于计算机信息系统,这就必不可免地带来很多安全风险,对系统和组织造成巨大影响。
因此实施信息安全风险管理,有效控制安全风险是建立信息安全保障体系的重要举措,而信息安全风险评估则是实施信息安全风险管理的基础,也是信息安全建设的有效的评价方法和决策机制,对于完善我国的信息安全保障体系建设,促进信息化建设具有重大意义。
为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发27号文),国务院信息化办公室于2005年组织在北京、上海、黑龙江、云南等地方以及银行、税务、电力等重要行业开展信息安全风险评估试点工作。
根据国务院信息化工作办公室《关于印发<信息安全风险评估试点工作方案>的通知》(国信办【2005】5号),上海市选定了上海市信息安全测评认证中心(以下简称上海测评中心)作为本次风险评估的技术实施主体,上海市医疗保险信息中心、上海市宝山区信息委、农业银行上海市分行、上海市电力公司、上海市电力股份有限公司等5家单位作为本市风险评估的试点单位(沪信息委安【2005】64号文)。
同时制定了《上海市信息安全风险评估试点工作计划》、《上海市信息安全风险评估试点实施方案》。
信息安全风险评估与应对措施作业指导书第1章引言 (4)1.1 背景与目的 (4)1.2 适用范围 (4)1.3 参考文献 (4)第2章信息安全风险评估基础 (4)2.1 风险评估概念 (5)2.2 风险评估方法 (5)2.2.1 定性评估方法 (5)2.2.2 定量评估方法 (5)2.3 风险评估流程 (5)第3章组织结构与职责 (6)3.1 组织结构 (6)3.1.1 管理层 (6)3.1.2 执行层 (6)3.1.3 支持层 (7)3.2 职责分配 (7)3.2.1 管理层 (7)3.2.2 执行层 (7)3.2.3 支持层 (7)3.3 协同工作 (7)第4章风险识别 (7)4.1 资产识别 (8)4.1.1 硬件资产识别 (8)4.1.2 软件资产识别 (8)4.1.3 数据资产识别 (8)4.1.4 人力资源识别 (8)4.2 威胁识别 (8)4.2.1 内部威胁 (8)4.2.2 外部威胁 (8)4.2.3 意外威胁 (9)4.3 脆弱性识别 (9)4.3.1 硬件脆弱性 (9)4.3.2 软件脆弱性 (9)4.3.3 数据脆弱性 (9)4.3.4 管理脆弱性 (9)4.4 风险识别 (9)4.4.1 风险识别方法 (9)4.4.2 风险识别过程 (9)4.4.3 风险记录 (10)第5章风险分析 (10)5.1 风险概率评估 (10)5.1.2 风险概率评估流程 (10)5.2 风险影响评估 (10)5.2.1 评估方法 (10)5.2.2 风险影响评估流程 (10)5.3 风险等级划分 (11)5.3.1 划分依据 (11)5.3.2 风险等级划分流程 (11)第6章风险评价与决策 (11)6.1 风险评价方法 (11)6.1.1 定性风险评价 (11)6.1.2 定量风险评价 (11)6.1.3 混合风险评价 (11)6.2 风险评价过程 (11)6.2.1 风险识别 (11)6.2.2 风险分析 (11)6.2.3 风险评估 (12)6.2.4 风险排序 (12)6.3 风险决策 (12)6.3.1 风险接受准则 (12)6.3.2 风险应对策略 (12)6.3.3 风险监测与调整 (12)6.3.4 风险沟通与报告 (12)第7章应对措施制定 (12)7.1 应对措施类型 (12)7.1.1 防护措施 (12)7.1.2 缓解措施 (13)7.1.3 转移措施 (13)7.2 应对措施选择 (13)7.2.1 风险优先级 (13)7.2.2 成本效益 (13)7.2.3 系统性 (13)7.2.4 可行性 (13)7.3 应对措施实施 (13)7.3.1 制定实施计划 (13)7.3.2 资源配置 (13)7.3.3 实施与监督 (14)7.3.4 效果评估 (14)7.3.5 持续改进 (14)第8章应对措施实施与监督 (14)8.1 实施计划 (14)8.1.1 制定实施步骤 (14)8.1.2 确定时间表 (14)8.1.3 责任分配 (14)8.2 资源配置 (14)8.2.1 人力资源配置 (14)8.2.2 物力资源配置 (15)8.2.3 财力资源配置 (15)8.3 实施过程监督 (15)8.3.1 监督机制 (15)8.3.2 沟通协调 (15)8.3.3 风险监控 (15)8.4 效果评估 (15)8.4.1 评估方法 (15)8.4.2 评估指标 (15)8.4.3 评估结果应用 (15)第9章风险沟通与培训 (15)9.1 风险沟通策略 (16)9.1.1 沟通目标 (16)9.1.2 沟通对象 (16)9.1.3 沟通方式 (16)9.1.4 信息披露 (16)9.2 内部沟通 (16)9.2.1 风险信息共享 (16)9.2.2 部门间协作 (16)9.2.3 员工参与 (16)9.3 外部沟通 (16)9.3.1 部门 (16)9.3.2 合作伙伴 (16)9.3.3 客户与公众 (17)9.4 培训与意识提升 (17)9.4.1 培训计划 (17)9.4.2 培训内容 (17)9.4.3 意识提升 (17)9.4.4 培训效果评估 (17)第10章持续改进与监控 (17)10.1 监控机制 (17)10.1.1 风险监控 (17)10.1.2 变更管理 (17)10.1.3 事件管理 (17)10.2 评估周期 (17)10.2.1 定期评估 (17)10.2.2 按需评估 (18)10.3 持续改进策略 (18)10.3.1 风险管理优化 (18)10.3.2 培训与宣传 (18)10.3.3 技术创新与应用 (18)10.4 风险管理成熟度评估 (18)10.4.1 成熟度模型 (18)10.4.2 成熟度评估 (18)10.4.3 持续改进 (18)第1章引言1.1 背景与目的信息技术的飞速发展,企业和组织对信息系统的依赖程度日益加深。
信息安全风险评估资质信息安全风险评估是指对组织的信息系统和数据进行综合、全面的风险评估,识别潜在的安全威胁和漏洞,并提供有效的建议和措施来降低风险。
信息安全风险评估资质是指能够进行这项工作的机构或个人所拥有的相关证书和资质。
信息安全风险评估是一项非常专业的工作,需要有一定的专业知识和技能。
因此,获得相关的资质和证书是很重要的。
以下是一些常见的信息安全风险评估资质:1. CISSP(Certified Information Systems Security Professional):CISSP是全球公认的信息安全领域的顶级证书,由国际信息系统安全认证联盟(ISC)2颁发。
持有CISSP证书的人员需要具备广泛的安全知识和技能,包括安全管理、网络安全、身份认证、访问控制等方面。
2. CISA(Certified Information Systems Auditor):CISA是由国际信息系统审计师协会(ISACA)颁发的证书,用于评估组织信息系统及其相关控制的能力。
持有CISA证书的人员需要具备详细的信息系统审计知识和技能,能够进行风险评估、合规性审计等工作。
3. ISO 27001:ISO 27001是国际标准化组织(ISO)颁布的“信息安全管理体系(ISMS)认证”标准。
该认证标准要求组织建立、实施、维护和持续改进信息安全管理体系,其中包括对风险的评估和管理。
4. Certified Ethical Hacker(CEH):CEH是由国际EC-Council颁发的认证,用于评估信息系统的安全性。
持有CEH 证书的人员需要具备黑客攻击和渗透测试的知识和技能,能够模拟真实的攻击行为来发现系统的漏洞和弱点。
在选择进行信息安全风险评估的机构时,需要考虑其是否具备相关的资质和证书。
同时,还要关注其过往的工作经验和客户评价,以确保其能够提供高质量的风险评估服务。
总之,信息安全风险评估资质是评估机构或个人在信息安全领域的专业能力和信誉的象征。
14.1天镜漏洞扫描系统14.2.1概述“漏洞”一词已经越来越为使用信息系统的人们所熟悉,这不仅仅是因为它本身的丑陋面目,更重要的是,它的存在使得各种威胁从四面八方蜂拥而至,致使信息系统遭受前所未有的灾难,其原因都是利用系统漏洞,进而对信息系统造成严重危害。
没有及时识别并修补这些漏洞,是信息系统最终遭受危害的根本原因。
如今,越来越多的安全漏洞被发现,使得利用这些漏洞的安全事件数量日益上升。
CNCERT/CC 始终认为,信息系统的安全漏洞是各种安全事件发生的主要根源之一。
因此,在安全事件层出不穷的今天,漏洞问题更需要被特别关注。
做好漏洞管理工作,也是用户在构建信息安全体系时,需要重点考虑甚至优先考虑的问题。
那么,如何做好漏洞管理工作呢?唯一有效的途径是:在漏洞被利用以及信息系统遭受危害之前,正确的识别并修复漏洞和错误的配置,预防安全事件的发生。
但是,信息系统的复杂性和安全漏洞的多样性给漏洞管理实践带来的更大挑战,我们将如何应对?14.2.2遭遇漏洞危机随着技术的不断进步,漏洞的发掘的水平和速度一直在提高,而漏洞的利用技术也在不断发展。
我们目前正在遭遇一场前所未有的漏洞危机,主要表现在以下几个方面:1、应用软件漏洞增势明显在所有发现的漏洞中,基于应用系统尤其是Web 应用的漏洞所占的比重明显上升,已占到70%左右。
另外,浏览器的漏洞也在不断增加,微软的IE 和Mozilla Firefox 浏览器是用户常用的网页浏览器,其漏洞数量也位居所有浏览器之首。
随着互联网的发展及经济利益的驱动,黑客正逐渐将攻击重点转在web 应用服务器上,如利用网站漏洞获取网站数据,通过网页挂马等,危害服务器安全及客户端安全。
2、从发现漏洞到攻击程序出现的时间在不断缩短据权威机构统计,从发现漏洞到发布相关攻击程序所需的平均时间越来越短,现在仅为一周,“零日攻击” 现象(例如2008年12月的IE7 0day 漏洞)也显著增多。
第十期《我国信息安全技术标准体系与认证认可制度介绍》一。
什么是信息安全技术标准体系?为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设,使信息安全在各个方面都有据可依,信息安全标准的制定显得十分重要,国际国内都形成了具有一定规模的信息安全标准体系.信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体,是编制信息安全标准编制、修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学合理化的手段。
信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等,而且通常高层次的标准体系对下有约束力.事实上,在这些特定领域标准的执行还要看各个国家的管理法规和制度.国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。
二。
国内外信息安全标准化组织有哪些?国际上与信息安全标准化有关的组织主要有以下四个。
1。
ISO/IEC JTC1(信息技术标准化委员会)所属SC27(安全技术分委员会)的前身是SC20(数据加密技术分委员会),主要从事信息技术安全的一般方法和技术的标准化工作.ISO/TC68负责银行业务应用范围内有关信息安全标准的制定,主要制定行业应用标准,与SC27有着密切的联系。
ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面.2. lEC在信息安全标准化方面除了与ISO联合成立了JTC1下的分委员会外,还在电信、信息技术和电磁兼容等方面成立了技术委员会,如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等,并且制定相关国际标准。
3.ITU SG17组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等.4。
IETF(Internet工程任务组)制定标准的具体工作由各个工作组承担。
信息安全风险评估技术手段综述王英梅1(北京科技大学信息工程学院北京 100101)摘要:信息安全成为国家安全的重要组成部分,因此为保证信息安全,建立信息安全管理体系已成为目前安全建设的首要任务。
风险评估作为信息安全管理体系建设的基础,在体系建设的各个阶段发挥着重要的作用。
风险评估的进行离不开风险评估工具,本文在对风险评估工具进行分类的基础上,探讨了目前主要的风险评估工具的研究现状及发展方向。
关键词:风险评估综合风险评估信息基础设施工具引言当今时代,信息是一个国家最重要的资源之一,信息与网络的运用亦是二十一世纪国力的象征,以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式,没有各种信息的支持,企业的生存和发展空间就会受到限制。
信息的重要性使得他不但面临着来自各方面的层出不穷的挑战,因此,需要对信息资产加以妥善保护。
正如中国工程院院长徐匡迪所说:“没有安全的工程就是豆腐渣工程”。
信息同样需要安全工程。
而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。
信息安全的内涵也在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。
如何保证组织一直保持一个比较安全的状态,保证企业的信息安全管理手段和安全技术发挥最大的作用,是企业最关心的问题。
同时企业高层开始意识到信息安全策略的重要性。
突然间,IT专业人员发现自己面临着挑战:设计信息安全政策该从何处着手?如何拟订具有约束力的安全政策?如何让公司员工真正接受安全策略并在日常工作中执行?借助于信息安全风险评估和风险评估工具,能够回答以上的问题。
一.信息安全风险评估与评估工具风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。
它是确认安全风险及1作者介绍:王英梅(1974-),博士研究生,研究方向为信息安全、风险评估。
题目:编号版本号生效日期起草部门颁发部门解释/示例存在电子媒介的各种数据资料,包括源代码、数据库数据,各种数据资料、系统文档、运行管理过程、计划、报告、 用户手册等。
应用软件、系统软件、开辟工具和资源库等。
软件维护等计算机硬件、路由器,交换机。
硬件防火墙。
程控交换机、 布线、备份存储纸质的各种文件、传真、电报、财务报告、发展计划。
电源、空调、保险柜、文件柜、门禁、消防设施等 各级人员和雇主、合同方雇员 企业形象、客户关系等简称DataSoftwareServiceHardwareDocument Facility HR Other类别数据软件服务硬件文档 设备 人员 其它 题目:编号版本号 生效日期定义包含组织最重要的秘密,关系未来发展的前途命运,对组织根 本利益有着决定性的影响,如果泄露会造成灾难性的伤害 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重 伤害组织的普通性秘密,其泄露会使组织的安全和利益受到伤害 仅能在组织内部或者在组织某一部门内部公开的信息,向外扩散 有可能对组织的利益造成轻微伤害可对社会公开的信息,公用的信息处理设备和系统资源等标识很高高中等低很低赋值54321 题目:编号版本号 生效日期定义完整性价值非常关键,未经授权的修改或者破坏会对组织造成重 大的或者无法接受的影响,对业务冲击重大,并可能造成严重的 业务中断,难以弥补完整性价值较高,未经授权的修改或者破坏会对组织造成重大影 响,对业务冲击严重,较难弥补完整性价值中等,未经授权的修改或者破坏会对组织造成影响, 对业务冲击明显,但可以弥补完整性价值较低,未经授权的修改或者破坏会对组织造成轻微影 响,对业务冲击轻微,容易弥补很低完整性价值非常低,未经授权的修改或者破坏对组织造成的 影响可以忽略,对业务冲击及小定义可用性价值非常高,合法使用者对信息及信息系统的可用度达 到年度 99.9%以上,或者系统不允许中断可用性价值较高,合法使用者对信息及信息系统的可用度达到 每天 90%以上,或者系统允许中断时间小于 10min可用性价值中等,合法使用者对信息及信息系统的可用度在正 常工作时间达到 70%以上,或者系统允许中断时间小于 30min标识很高高中等低赋值5432题目:编号版本号 生效日期高中等低较低标识很高赋值54321定义严重不符合信息安全管理休系要求,对组织造成无法接受的影 响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。
信息安全保障人员认证准则ISCCC-COP-C01中国信息安全认证中心信息安全保障人员认证准则0 前言中国信息安全认证中心(China Information Security Certification Center,英文缩写:ISCCC)是经中央机构编制委员会批准成立,依据国家有关的法律法规,负责实施信息安全认证的专门机构。
ISCCC依据国家相关法律法规开展认证工作,遵循的原则是:客观公正、科学规范、权威信誉、廉洁高效。
ISCCC针对从事信息安全保障人员开发了一种人员资格认证:信息安全保障人员认证(Certified Information Security Assurance Worker,英文缩写:CISAW),这种认证通过考试和其它评价方式证明获证人员具备了在一定的专业方向上从事信息安全保障工作的个人素质和相应的技术知识与应用能力,以供用人单位选用具备能力资格的信息安全工作人员。
本准则规定了CISAW的认证专业方向与级别划分、获证人员职业素养、资历、知识和能力要求。
通过CISAW认证,表明获证人员:1)通过了《信息安全保障人员认证准则》要求的相应认证专业方向和级别的技术知识水平与应用能力考试,并符合本准则的其它要求;2)履行了《信息安全保障人员认证规则》规定的义务;3)达到了信息安全保障从业人员应具有的职业素养、教育经历、从业经历的要求。
所有获证人员除符合本准则要求之外,还应遵守本国家和/或地区的有关法律、法规。
为确保信息安全保障人员认证工作的有序开展,保证认证管理的规范性、公正性和权威性,特制定本准则。
2适用范围本准则适用于参与信息安全保障人员认证的机构和个人。
3术语与定义GB/T27024 《合格评定人员认证机构通用要求》界定的以及下列术语和定义适用于本文件。
3.1信息安全保障人员从事信息安全相关工作的所有人员,如组织的管理人员(包括CIO、CSO、科技管理部门和风险控制管理部门的人员)、IT 相关的技术人员(包括运维、开发和集成人员),从事信息安全服务组织的技术人员(包括信息安全产品研发人员、信息安全咨询人员、信息安全服务实施人员和外派服务人员)。
信息安全专业人员注册指南中国信息安全测评中心二0一一年一月目录0 引言 (1)1 能力要求 (2)2 注册人员范围 (2)3 注册信息安全专业人员道德准则 (3)4 注册程序 (5)5 培训 (4)6 考试 (4)7 申请注册 (5)8 经历审核 (7)9 评估、注册与公布 (7)9.1评估 (7)9.2注册与公布 (7)10 注册维持 (8)11 专业发展 (10)12 处罚 (11)13 争议、投诉与申诉 (13)14 注册人员档案 (13)15 有关费用 (13)0 引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。
对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的英文名称为:China Information Technology Security Evaluation Center,简称:CNITSEC。
中国信息安全测评中心始建于1997年,1998年以“中国互联网络安全产品测评认证中心”的名称试运行。
同年经国家技术监督局授权为“中国国家信息安全测评认证中心”。
2001年,中央机构编制委员会将其正式定名为“中国信息安全产品测评认证中心”,并批准了相应的职能任务和机构编制。
2007年,经中央批准,增加漏洞分析和风险评估职能,更名为“中国信息安全测评中心”,成为国家信息安全专控队伍。
(以下简称中心)●“注册信息安全专业人员”,英文为Certified InformationSecurity Professional (简称CISP),根据实际岗位工作需要,CISP分为两个基础类别,●“注册信息安全工程师”,英文为Certified InformationSecurity Engineer,简称CISE。
证书持有人员主要从事信息安全技术领域的工作;●“注册信息安全管理人员”,英文为Certified InformationSecurity Officer,简称CISO。
购买政务网络与信息安全服务项目技术、商务及价格评分标准1.评分总值最高为100分,评分分值(权重)分配如下:评分项目商务、技术部分权重价格部分权重分值90102.商务、技术、价格部分评审附表一:资格性和符合性审查表资格性和符合性审查表审查项目要求资格性审查与磋商邀请函的供应商资格要求一致。
不能通过资格性审查的供应商,不需进行以下内容的审查。
符合性审查1、对报价内容的关键、主要项目,供应商没有报价漏项。
2、按要求提供响应文件。
3、法定代表人/负责人资格证明书及授权委托书,按对应格式文件签署、盖章(原件)。
4、响应文件完全满足磋商文件的实质性条款;5、提交磋商函。
响应文件完整且编排有序,响应内容基本完整,无重大错漏,并按要求密封、签署、盖章。
6、响应文件没有磋商文件中规定的被视为无效磋商的其它条款的;7、磋商有效期满足磋商文件要求;8、如报价出现修正,报价人按磋商文件规定书面确认。
9、按有关法律、法规、规章不属于磋商无效的;10、报价总金额是固定价且是唯一的,未超过本项目采购预算。
备注:1.本表与磋商文件中相关评审条款内容不一致的,以本表内容为准。
2.每一项符合的打“√”,不符合的打“×”。
3.“结论”一栏填写“通过”或“不通过”;任何一项出现“×”的,结论为不通过;不通过的为无效响应。
4.汇总时出现不同意见的,磋商小组按简单多数原则表决决定。
附表二:技术、商务评审表评分项及评分规则权重一、价格部分10 价格分计算方法:满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。
其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价/投标报价)×价格权重。
评分方式按公式计算二、服务技术部分60 序号内容权权重评分规则评分方式1 服务需求指标响应情况443 评分标准:要求对服务需求要求进行一一响应,完全响应服务需求或优于服务需求的得43 分;每个▲项不能响应或负偏离扣 3 分/项,每个非▲项不能响应或负偏离扣 1 分/项,扣完为止。
千里马招标网网络安全风险评估及系统加固招标需求书投标方不得以低于成本的报价竞标。
投标方报价低于本项目财政预算%时,评标委员会有权要求其对成本构成进行介绍,并要求投标方用书面的形式进行低价说明(在保证质量的前提下,能够大幅节省经费的手段或原因);如投标人没有合理的理由或不按要求提供低价说明,可视为不被接受的有风险的报价,评标委员会则另行选择供应商。
1、评标方法、评标因素及权重分值采购需求一、项目概况、项目概况:为确保中级法院信息系统的稳定、安全运行,结合年深圳市党政机关信息安全联合检查和绩效评估工作要求,特对网络安全风险评估及系统加固项目进行公开招标。
项目服务内容包括:)服务器系统:深圳中院服务器设备数量≥台,其中SUN小型机≥台。
)存储系统:磁盘阵列存储设备包括惠普存储、华为存储、Netapp存储。
)法院内部专网:法院内部专网与INTERNET物理隔离,是法院内部办公网络,包括深圳中院内部局域网、中院局域网与上级法院联网、中院局域网与基层院联网、中院局域网与市政专网联网等,中院内部专网网络设备主要由HC、华为等网络设备组成,内网核心及大部分接入层网路设备为HC网络设备,网络设备数量≥台,内网应用系统包括诉讼服务中心系统、综合整合应用平台系统等,内网应用系统数量≥台。
)法院外部网:法院外部网与INTERNET相连,与法院内部专网物理隔离,外网网络设备数量≥台,外网应用系统包括外网网站、诉讼服务平台系统、多元化纠纷系统和法智云端系统,外网应用系统数量≥。
)网络安全设备:法院网络系统部署了防火墙、上网行为审计、入侵检测系统、内外网防病毒系统等网络安全产品,产品数量≥台。
)内外网终端情况:法院内网终端数量≥台,外网终端数量≥台。
、预算金额:本项目预算金额为人民币伍拾万圆整(¥,.)二、项目服务要求(一)实施要求对深圳市中级人民法院信息系统进行定期的安全检查。
(二)项目目标依据国家、深圳市信息安全相关政策法规和指引文件,针对深圳市中级人民法院信息系统进行信息安全风险评估、等级保护定级与测评、信息安全制度自查与优化、安全防护措施自查与优化、应急响应机制建设与演练、安全隐患排查与教育培训等安全服务,对安全服务过程中发现的脆弱点和问题进行修复加固,建立符合国家标准的信息安全管理体系,并根据修复加固的结果,建立符合深圳市中级人民法院实际情况的安全保障体系和规划设计方案,并在一年的服务期内,定期对信息系统进行安全检测和修复加固,使系统的安全状况得以长期保持。
CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国网络安全审查技术与认证中心 制 第 1 页 共 9 页 信息安全风险评估服务资质认证自评估表
组织名称 申报级别 评估时间 评估部门/人员
序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
符
合
不
符合
1. 服务技术要求 建立信息安全风险评估服务流程。 按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2. 制定信息安全风险评估服务规范并按照规范实施。 已制定的信息安全风险评估服务规范。 3. 基本资格 仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。
4. 仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表
中国网络安全审查技术与认证中心 制 第 2 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
符
合
不
符合
5. 仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。 5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。 6. 仅三级要求:具备跟踪信息安全漏洞的能力 跟踪信息安全漏洞的证明材料 7. 仅二级要求:具备跟踪、验证信息安全漏洞的能力。 跟踪、验证信息安全漏洞的证明材料 8. 仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。 跟踪、验证、挖掘信息安全漏洞的证明材料。 9. 准备阶段-服务方案制定 编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。 信息安全风险评估方案、风险评估模板。 10. 应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。 已完成项目的风险评估方案,方案中应包含风险评价原则。 11. 仅二级/一级要求:应进行充分的系统调研,形成调研报告。 已完成项目的系统调研报告,报告中对被评估对象有清晰的描述。 12. 仅二级/一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。 已完成项目的风险评估实施方案中应根据目标及调研结果,明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要 13. 仅二级/一级要求:应形成较为完整的 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表
中国网络安全审查技术与认证中心 制 第 3 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
符
合
不
符合 风险评估实施方案。 求。
14. 准备阶段-人员和工具管理 应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。 已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。
15. 应根据评估的需求准备必要的工具。 已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。 16. 应对评估团队实施风险评估前进行安全教育和技术培训。 项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。 17. 仅二级/一级要求:需采取相关措施,保障工具自身的安全性、适用性。 工具的安全测试证明材料;定期或工具软件有重大版本变更时,对工具软件进行适用性确认的测试记录。 18. 仅一级要求:需采取相关措施,保障工具管理的规范性。 已制定的工具管理制度及执行记录。 19. 风险识别阶段-资产识别 参考国家或国际标准,对资产进行分类。 参照已发布的标准,形成的资产分类列表。 20. 识别重要信息资产,形成资产清单。 已完成项目的重要资产清单。 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表
中国网络安全审查技术与认证中心 制 第 4 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
符
合
不
符合
21. 对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。 已完成项目的重要资产的三性等级要求列表。
22. 对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值。 已完成项目的重要资产赋值表。 23. 仅一级要求:识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。 已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。 24. 仅一级要求:根据业务特点和业务流程识别出关键数据和关键服务。 已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。 25. 仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。 已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。 26. 风险识别阶段-脆弱性识别 应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。 已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。 27. 应对脆弱性进行赋值。 已完成项目的脆弱性赋值列表。 28. 风险识别阶段-威胁识别 应参考国家或国际标准,对威胁进行分类; 威胁分类清单。 29. 应识别所评估信息资产存在的潜在威已完成项目中的威胁识别清单。 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表 中国网络安全审查技术与认证中心 制 第 5 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
符
合
不
符合 胁;
30. 应识别威胁利用脆弱性的可能性; 已完成项目中分析威胁利用脆弱性可能性的证明材料。 31. 应分析威胁利用脆弱性对组织可能造成的影响。 已完成项目中分析脆弱性发生对组织造成影响的证明材料。
32. 仅二级/一级要求:应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。 已完成项目中对组织和信息系统造成的潜在威胁进行分析的证明材料。 33. 仅一级要求:采用多种方法进行威胁调查。 已完成项目中采取多种威胁调查方法的证明材料。 34. 风险识别-已有安全措施确认 应识别组织已采取的安全措施; 已完成项目中的已识别的安全措施列表。 35. 应评价已采取的安全措施的有效性。 已完成项目中分析安全措施有效性的证明材料。
36. 风险分析阶段-风险分析模型建立 应构建风险分析模型。 已完成项目的风险评估报告中对风险分析模型的描述,并验证其可行性、科学性。 37. 应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。 已完成项目的风险评估报告中,对威胁、脆弱性及安全措施分析的描述。 38. 仅二级/一级要求:构建风险分析模型应将资产、威胁、脆弱性三个基本要素已完成项目的风险评估报告中对资产、威胁、脆弱性三个基本要素进行 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表
中国网络安全审查技术与认证中心 制 第 6 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
符
合
不
符合 及每个要素各自的属性进行关联。 关联的证明材料。
39. 风险分析阶段-风险计算方法确定 仅三级要求:应根据分析模型确定的方法计算出风险值。 已完成项目的风险评估报告中对计算方法的描述,计算得出风险值的过程。
40. 仅二级/一级要求:在风险计算时,应
根据实际情况选择定性计算方法或定量计算方法。 已完成项目的风险评估报告中对评
估方法、评价方法、计算方法的描述,计算得出风险值的过程。 41.
仅二级/一级要求:风险评估报告中应
对本次评估建立的风险分析模型进行说明,并应阐明本次评估采用的风险计算方法及风险评价方法。
42. 风险分析阶段-风险评价 应根据风险评价准则确定风险等级。 已完成项目的风险评估报告中的评价准则,并根据评价准则确定风险等级的证明材料。
43. 仅二级/一级要求:应对不同等级的安全风险进行统计、评价,形成最终的总体安全评价。 已完成项目的风险评估报告中的安全评价内容。 44. 风险分析-风险评估报告 应向客户提供风险评估报告。 已完成的所申请资质级别要求的风险评估报告,报告中至少包括评估过程、评估方法、评估结果、处置建议等内容。 45.
报告应包括但不限于评估过程、评估方
法、评估结果、处置建议等内容。 CCRC-QOT-0428-B/4 信息安全风险评估服务资质认证自评估表
中国网络安全审查技术与认证中心 制 第 7 页 共 9 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
符
合
不
符合
46. 仅二级/一级要求:风险评估报告中应对计算分析出的风险给予比较详细的说明。 已完成项目的风险评估报告中对风险给予详细说明的证明材料。
47. 风险处置阶段-风险处置原则确定 仅二级/一级要求:应协助被评估组织确定风险处置原则,以及风险处置原则适用的范围和例外情况。 已完成项目的风险评估报告或建议报告中对风险处置原则及适用的范围和例外情况说明的证明材料。 48. 风险处置阶段-安全整改建议 仅二级/一级要求:对组织不可接受的风险提出风险处置措施。 已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。 49. 风险处置阶段-组织评审会 仅一级要求:协助被评估组织召开评审会。 服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。 50. 仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。 已完成项目的专家评审意见、整改措施及其总结。 51. 风险处置阶段-残余风险处置 仅一级要求:对组织提出完整的风险处置方案。 已完成项目的残余风险处置方案,方案至少包含处置措施、工具、时间计划等内容。 52. 仅一级要求:必要时,对残余风险进行再评估。 已完成项目中对残余风险进行再评估的证明材料。
