返回
信息安全服务资质认证规范.doc

信息安全服务资质认证规范.doc

ID:12283869

大小:46.00 KB

页数:4页

时间:2018-07-16

信息安全服务资质认证规范.doc_第1页
信息安全服务资质认证规范.doc_第2页
信息安全服务资质认证规范.doc_第3页
信息安全服务资质认证规范.doc_第4页
资源描述:

《信息安全服务资质认证规范.doc》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、《信息安全服务资质认证规范》的编制说明(一)制定认证技术规范的必要性;信息安全服务资质认证的对象是一个组织,组织资格、背景、管理、服务技术与人员管理、资产管理、环境管理、财务等方面的管理都需要对其进行评价、认证,组织提供服务的结果是保证被服务信息运行的平台是安全、可信的。信息安全服务结果的好坏、服务组织的综合能力高低、人员的综合能力的高低直接影响到被服务单位的信息安全问题。所以一个服务组织的信息安全服务资质的能力必须经过认证才能从客观上保证其能力是满足的。信息安全服务资质管理可有效防范和控制有不同背景的企业提供信息安全服务给国家安全带

2、来的潜在安全威胁。资质认证将有助于保证用户合法权益、规范和促进信息安全服务市场的发展;有效解决人员流动带来的管理失控等问题。信息安全服务是把双刃剑,由信息安全服务带来的安全问题有时可能比外在的安全问题更加严重,加强信息安全服务资质管理已成当务之急。所以信息安全服务是一个全方位的服务,信息安全服务的结果直接决定信息的传输、储存是否安全,认证信息安全服务能力对组织的发展、行业的发展、国家的安全起到相当重要的作用。所以信息安全服务资质认证的发展对我国整体提高信息安全保障能力起到极大的作用。从产业发展角度看,规范和促进信息安全服务市场有利于信

3、息安全服务商水平和能力的提高,通过资质认证建立技术壁垒,也可以达到扶持国内民族产业发展的目的。(二)与相关法律法规以及国家有关规定的关系;2003年中央颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文),提出了建立信息安全认证认可体系的要求。在2006年底的国务院信息化办公室网络与信息安全协调小组会议上决定由国家认证认可监督管理委员会(简称:认监委)牵头建立信息安全服务资质认证认可制度,这项制度是建立统一的信息安全认证认可体系的一个重要组成部分。(三)与现行标准的关系,包括存在的差异及理由;4目前

4、没有专门针对信息安全服务资质认证的国家标准和行业标准,可供参考的国际标准主要是ISO/IEC21827:2002《系统安全工程能力成熟度模型》。该标准描述了一个组织系统安全过程必须包含的基本特性,这些安全特性是安全工程的保证,也是安全工程度量的标准。此标准包括了11个安全工程过程区,主要覆盖了安全工程所有的主要领域:概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。SSE-CMM是一个评估标准,定义了实现最终安全目标所需要的一系列过程,并对组织这些过程的能力进行等级划分。等级共分为5级:一级--非正式执行级、二级--计划与

5、跟踪级、三级--充分定义级、四--量化控制、五级--持续改进级。(四)参与制定认证技术规范的各方的情况;1.中国信息安全认证中心中国信息安全认证中心是经中央编制委员会批准于2006年11月正式成立的正局级事业单位,隶属于国家质检总局,由国家认证认可监督管理委员会管理。中国信息安全认证中心是由国务院信息化工作办公室、国家认证认可监督管理委员会、公安部、国家安全部、信息产业部、国家保密局、国家密码局、国家质检总局八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证的专门机构。中国信息安全认证中心依据国家信息

6、安全管理的法律法规、《认证认可条例》和相关技术标准,对信息安全产品实施认证,开展信息安全有关的管理体系认证、信息安全服务资质认证和人员培训、技术研发等工作。(五)制定原则、确定主要内容的依据和验证情况;1.制定原则为使技术规范能够满足科学、规范地开展认证工作的需要,客观评价我国信息安全服务产业的现状,并指导技术发展,保证达到信息安全基本要求,以及良好的操作性、可用性、安全性,在认证要求制定过程中,主要遵循了如下几个原则:(1)要符合国家的有关政策法规要求;(2)要与已颁布实施的相关标准相协调;(3)要充分考虑我国信息安全服务整体水平;

7、4(1)要基本覆盖目前市场上主要的信息安全服务类型;(2)要适度考虑目前处于发展成熟过程中的技术,保持一定的前瞻性。1.确定主要内容的依据主要内容的确定基于如下几个方面:(1)以参考ISO/IEC21827:2002《系统安全工程能力成熟度模型》的框架和指南。根据该标准提出的安全要求,分析安全工程服务的具体特点,形成有针对性的安全技术要求;(2)研究、分析了市场上主要的安全工程通用的技术特点、发展趋势,以及应用案例。在此基础上,对提出的安全保证目标要求进行了验证、细化和补充,并提出了持续改进的要求。2.验证情况通过组织专家和服务提供商

8、代表的研讨会,对认证要求的科学性、可行性等进行了多次论证、研讨,并根据专家、服务提供商代表的意见进行了多次修订、完善。同时,由于认证要求参考了ISO/IEC17799:2005(信息安全管理体系实践规范),其可行性也在实

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。