信息系統(tǒng)安全服務(wù)資質(zhì)測評認證指引-中國信息安全測評中心.doc

中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請指南（安全開發(fā)類二級）國家信息安全測評信息安全服務(wù)資質(zhì)申請指南（安全開發(fā)類二級） 版權(quán)2017中國信息安全測評中心2017年10月目錄一、認定依據(jù)4二、級別劃分4三、二級資質(zhì)要求53.1 基本資格要求53.2 基本能力要求53.3質(zhì)量管理能力要求63.4安全開發(fā)過程能力要求6四、資質(zhì)認定74.1認定流程圖74.2申請階段84.3資格審查階段84.4能力測評階段84.4.1靜態(tài)評估84.4.2現(xiàn)場審核94.4.3綜合評定94.4.4資質(zhì)審定94.5證書發(fā)放階段9五、監(jiān)督、維持和升級10六、處置10七、爭議、投訴與申訴10八、獲證組織檔案11九、費用及周期11十、聯(lián)系方式12引言中國信息安全測評中心（以下簡稱CNITSEC）是經(jīng)中央批準成立、代表國家開展信息安全測評的職能機構(gòu)，依據(jù)國家有關(guān)產(chǎn)品質(zhì)量認證和信息安全管理的政策、法律、法規(guī)，管理和運行國家信息安全測評體系。 中國信息安全測評中心的主要職能是：1. 對國內(nèi)外信息安全產(chǎn)品和信息技術(shù)進行測評；2. 對國內(nèi)信息系統(tǒng)和工程進行安全性評估；3. 對提供信息系統(tǒng)安全服務(wù)的組織和單位進行評估；4. 對信息安全專業(yè)人員的資質(zhì)進行評估。 “信息安全服務(wù)資質(zhì)認定”是對信息安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)、能力和穩(wěn)定性、可靠性進行評估，依據(jù)公開的標(biāo)準和程序，對其安全服務(wù)保障能力進行評定和確認。為我國信息安全服務(wù)行業(yè)的發(fā)展和政府主管部門的信息安全管理以及全社會選擇信息安全服務(wù)提供一種獨立、公正的評判依據(jù)。本指南適用于所有向CNITSEC申請信息安全服務(wù)資質(zhì)（安全開發(fā)類二級）的境內(nèi)外組織。一、 認定依據(jù)信息安全服務(wù)（安全開發(fā)類）資質(zhì)認定是對產(chǎn)品安全開發(fā)服務(wù)提供者的資格狀況、技術(shù)實力和安全開發(fā)過程能力等方面的具體衡量和評價。信息安全服務(wù)（安全開發(fā)類）資質(zhì)級別的評定，是依據(jù)信息安全服務(wù)資質(zhì)評估準則和不同級別的信息安全服務(wù)資質(zhì)（安全開發(fā)類）具體要求，在對申請組織的基本資格、技術(shù)實力、安全開發(fā)過程能力以及安全開發(fā)項目的組織管理水平等方面的評估結(jié)果基礎(chǔ)上的綜合評定后，由中國信息安全測評中心給予相應(yīng)的資質(zhì)級別。二、 級別劃分信息安全服務(wù)（安全開發(fā)類）資質(zhì)認定是對產(chǎn)品安全開發(fā)服務(wù)提供者的綜合實力的客觀評價和確認，信息安全服務(wù)（安全開發(fā)類）資質(zhì)級別反映了產(chǎn)品安全開發(fā)服務(wù)提供者從事產(chǎn)品安全開發(fā)保障能力的成熟程度。資質(zhì)級別劃分的主要依據(jù)包括：基本資格、基本能力要求、質(zhì)量管理能力要求、安全開發(fā)過程能力要求和其他補充要求等。信息安全服務(wù)資質(zhì)分為五個級別，由一級到五級依次遞增，一級是最基本級別，五級為最高級別。 一級：基本執(zhí)行級二級：計劃跟蹤級三級：充分定義級四級：量化控制級五級：持續(xù)改進級三、 二級資質(zhì)要求信息安全服務(wù)資質(zhì)（安全開發(fā)類二級）為計劃跟蹤級，要求滿足基本資格的產(chǎn)品安全開發(fā)服務(wù)組織通過建立有效的質(zhì)量管理體系，使安全開發(fā)能力方面實施的過程規(guī)范被定義、標(biāo)準化和文檔化，安全開發(fā)過程時能普遍按照規(guī)范執(zhí)行，通過跟蹤發(fā)現(xiàn)開發(fā)過程中的重大偏離并采取糾正措施，從而使組織的安全開發(fā)能力達到部分可重復(fù)的水平。申請信息安全服務(wù)（安全開發(fā)類二級）資質(zhì)的組織需要在基本資格、基本能力、質(zhì)量管理能力和安全開發(fā)過程能力等幾個方面符合信息安全服務(wù)資質(zhì)具體要求（安全開發(fā)類二級）的規(guī)定。3.1 基本資格要求基本資格要求是評定信息安全服務(wù)資質(zhì)的起評條件。申請信息安全服務(wù)（安全開發(fā)類二級）資質(zhì)的組織必須：1. 是具有獨立法人地位的實體；2. 獲得相關(guān)主管部門的批準；3. 遵守國家現(xiàn)行法律法規(guī)；4. 已獲信息安全服務(wù)（安全開發(fā)類一級）資質(zhì)，且資質(zhì)證書在有效期內(nèi)；5. 達到其他補充要求。3.2 基本能力要求基本能力的要求包括：技術(shù)能力要求，資源配置要求（包括人員構(gòu)成與素質(zhì)要求、設(shè)備、設(shè)施與環(huán)境要求），規(guī)模與資產(chǎn)要求和業(yè)績要求。申請信息安全服務(wù)（安全開發(fā)類二級）資質(zhì)的組織應(yīng)該：1. 從事信息安全服務(wù)行業(yè)3年以上；2. 注冊資本應(yīng)在100萬元以上，資產(chǎn)總額在200萬元以上；3. 近3年的財務(wù)狀況良好；4. 從事信息安全服務(wù)的人力資源充足、人員結(jié)構(gòu)合理、技術(shù)隊伍相對穩(wěn)定，擁有專職的“注冊信息安全專業(yè)人員（CISP）”數(shù)量不少于從事安全開發(fā)專業(yè)技術(shù)人員的10%，但不得少于4人，其中CISD人員不少于2人，或?qū)Ｂ毜摹白攒浖踩珜I(yè)人員（CWASP CSSP）”不少6人。若同時擁有專職的“注冊信息安全專業(yè)人員（CISD）”和專職的“注冊軟件安全專業(yè)人員（CWASP CSSP）”，則按3名CWASP CSSP等同于1名CISD的配置方式計算。5. 實踐過完整的安全開發(fā)過程；6. 近3年完成信息安全產(chǎn)品開發(fā)服務(wù)工程項目總值應(yīng)在200萬元以上。3.3質(zhì)量管理能力要求申請信息安全服務(wù)（安全開發(fā)類二級）資質(zhì)的組織，在質(zhì)量管理方面應(yīng)該：1. 建立合理的組織架構(gòu)來滿足產(chǎn)品安全開發(fā)服務(wù)的實施和管理，產(chǎn)品安全開發(fā)服務(wù)技術(shù)部門相對獨立；2. 建立合理的管理架構(gòu)來滿足產(chǎn)品安全開發(fā)服務(wù)的管理，建立有效的技術(shù)管理、質(zhì)量管理和組織管理機制；3. 建立有效的質(zhì)量管理體系，至少滿足支持產(chǎn)品安全開發(fā)技術(shù)能力達到計劃跟蹤級所需的相關(guān)管理能力要求。3.4安全開發(fā)過程能力要求安全開發(fā)過程能力方面的要求是產(chǎn)品安全開發(fā)服務(wù)資質(zhì)的核心要求。申請信息安全服務(wù)（安全開發(fā)類二級）資質(zhì)的組織應(yīng)該：1. 在按照一級所要求的各個過程域最佳實踐的基礎(chǔ)上將實踐上升為理論，形成規(guī)范指導(dǎo)安全開發(fā)過程有計劃、規(guī)范化地實施；2. 驗證安全開發(fā)實施過程與規(guī)范的一致性；3. 通過對計劃實施過程的跟蹤，發(fā)現(xiàn)實施過程與計劃產(chǎn)生重大偏離時能采取糾正措施。四、 資質(zhì)認定4.1認定流程圖4.2申請階段申請組織應(yīng)首先到CNITSEC網(wǎng)站（ ）查看并下載信息安全服務(wù)資質(zhì)申請指南(安全開發(fā)類二級)和信息安全服務(wù)資質(zhì)申請書（安全開發(fā)類二級），認真閱讀上述文檔，了解資質(zhì)認定的流程及相關(guān)情況，確定本組織滿足二級資質(zhì)的基本資格要求和基本能力要求。申請組織當(dāng)決定申請信息安全服務(wù)資質(zhì)（安全開發(fā)類二級）后，根據(jù)信息安全服務(wù)資質(zhì)申請書（安全開發(fā)類二級）的要求填寫申請書、加蓋公章并將申請書中所要求的相關(guān)資料一起提交給CNITSEC，同時提交申請費。在向CNITSEC遞交申請書前，須逐項檢查所填報的材料的完整性和正確性。4.3資格審查階段CNITSEC接到正式申請書及相關(guān)資料以及申請費后，根據(jù)所提交的資料進行資格審查，以確認申請單位是否滿足資質(zhì)的基本資格要求，提交資料是否完整。資格審查包括對申請單位所提交資料進行的形式化審查以及對申請單位的進一步調(diào)查和溝通。如果資格審查階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC將要求申請組織補充資料等。當(dāng)通過資格審查階段后，CNITSEC將與申請組織簽訂合同，正式受理該申請，并通知相關(guān)費用的繳納事宜等。4.4能力測評階段當(dāng)申請組織通過資格審查并繳納了相關(guān)費用后，資質(zhì)申請進入能力測評階段。能力測評階段包括靜態(tài)評估、現(xiàn)場審核、綜合評定和資質(zhì)審定四個步驟。4.4.1靜態(tài)評估靜態(tài)評估是對申請組織資料進行符合性審查，是對申請組織的安全開發(fā)服務(wù)能力做出基本判斷，初步確定申請組織的安全開發(fā)能力水平狀況，為現(xiàn)場審核做準備。如果靜態(tài)評估階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC將要求申請組織進一步補充資料，以便反映申請組織的客觀情況。4.4.2現(xiàn)場審核現(xiàn)場審核是對申請組織從事安全開發(fā)的綜合能力（包括技術(shù)能力、管理能力、質(zhì)量保證、設(shè)施設(shè)備、工作環(huán)境、人員構(gòu)成及素質(zhì)、經(jīng)營業(yè)績、資產(chǎn)狀況等方面）進行核實和確認。通過靜態(tài)評估后，CNITSEC將與申請組織溝通現(xiàn)場審核事宜，安排審核組進行現(xiàn)場審核?，F(xiàn)場審核若發(fā)現(xiàn)需整改的不符合項，審核組將對申請組織提出限期整改的要求，并對整改效果進行驗證。4.4.3綜合評定在綜合評定階段，將依據(jù)靜態(tài)評估和現(xiàn)場審核結(jié)果，對申請組織的基本資格、基本能力、安全開發(fā)能力以及資質(zhì)所要求的其他內(nèi)容進行綜合評定，出具綜合評定報告。對評定結(jié)果不符合的，CNITSEC將要求申請組織限期整改。申請組織完成整改并向CNITSEC提交整改報告后，CNITSEC將對整改結(jié)果進行驗證，整改仍不符合的，將不能通過能力測評。逾期未整改的，視作整改不符合。4.4.4資質(zhì)審定根據(jù)綜合評定的報告，CNITSEC技術(shù)委員會將組織技術(shù)專家對申請組織的產(chǎn)品安全開發(fā)服務(wù)資質(zhì)進行審查，并最終做出是否通過的決定。4.5證書發(fā)放階段資質(zhì)審定通過后，CNITSEC將進行資質(zhì)證書的制作、審批和發(fā)放，并在網(wǎng)站、報刊雜志等媒體上公布獲證組織的相關(guān)信息。五、 監(jiān)督、維持和升級獲得資質(zhì)的組織需通過持續(xù)發(fā)展自身信息安全服務(wù)體系以保持基本能力及安全開發(fā)過程能力。CNITSEC將通過申訴系統(tǒng)、現(xiàn)場見證以及對產(chǎn)品安全開發(fā)服務(wù)項目進行抽樣檢查來驗證每個獲得資質(zhì)組織的能力。證書在三年有效期內(nèi)實行年確認制度，每三年進行一次維持換證。獲證后，每年在證書簽發(fā)之日前30天內(nèi)，獲證組織要向CNITSEC提交年度調(diào)查表，并到CNITSEC辦理年檢。CNITSEC年檢中發(fā)現(xiàn)獲證組織不符合資質(zhì)認定要求的，將要求其限期整改，整改后仍不合格，CNITSEC將暫?；蛉∠C書。在證書有效期屆滿前90天內(nèi)，由獲證組織提出維持換證申請。CNITSEC將依據(jù)信息安全服務(wù)資質(zhì)維持有關(guān)政策進行評審，以確定獲證組織符合產(chǎn)品安全開發(fā)服務(wù)能力二級資質(zhì)要求的持續(xù)性。若獲證組織相關(guān)資料變動時，須及時通知CNITSEC，并申請更改。若獲證組織實體發(fā)生變化，需要進行資質(zhì)證書的轉(zhuǎn)移，可到CNITSEC網(wǎng)站（ ）下載并填寫信息安全服務(wù)資質(zhì)變更申請書，并提出資質(zhì)轉(zhuǎn)移申請。獲證組織獲證后，可根據(jù)自身能力的提升情況，向CNITSEC申請三級資質(zhì)。六、 處置獲證組織存在違規(guī)行為時，CNITSEC有權(quán)視組織違規(guī)情節(jié)輕重予以以下處置：警告、限期整改、暫停證書、取消證書。七、 爭議、投訴與申訴對CNITSEC所作的評審、復(fù)查、處置等決定有異議時，可向CNITSEC提出書面申訴。CNITSEC將會責(zé)成與所申訴、投訴事項無利益相關(guān)的人員進行調(diào)查，CNITSEC在調(diào)查基礎(chǔ)上做出結(jié)論。獲證組織應(yīng)妥善處理因自身行為而發(fā)生的投訴，保留記錄并采取措施防止問題的再發(fā)生。CNITSEC將在必要時查閱獲證組織的申訴/投訴記錄。八、 獲證組織檔案CNITSEC將對每個獲證組織建立專項檔案，所有資料將保存六年。九、 費用及周期信息安全服務(wù)資質(zhì)認定收費劃分為如下四個部分：（1） 申請費：2000元（2） 測評費：3000元/人日（3） 審定與注冊費（含證書費）：3000元（4） 年金（含標(biāo)志使用費）：5000元/年測評費將根據(jù)測評過程的工作日進行具體核算。對于中小型規(guī)模的組織，首次申請測評過程工作日至少為靜態(tài)評估2人日、現(xiàn)場審核4人2日和綜合評估2人日；證書維持測評過程工作日至少為靜態(tài)評估2人日、現(xiàn)場審核4人1日和綜合評估