中国网络安全审查技术与认证中心是经国家认证认可监督管理委员会批准,可以从事信息安全服务资质认证的机构(《认证机构批准CNCA-R-2007-138),并获得了中国合格评定国家认可委会的认可(证书编号:No. CNAS CO66-V)。服务资质认证工作是中心的核心业务之一
根据相关认证规则,简单介绍下CCRC信息安全服务资质中--信息系统安全集成专业
第一:资质申请的前提条件
申请机构所从事的行业开展的项目类型和IT相关,有合适的办公场地,良好的财务状况和资信水平,具备一定的服务人员队伍,建立有基本的管理制度并有效运行,能够为组织的安全服务过程提供支撑和保障。
第二:资质申请的几大要素
信息安全服务资质申请要素之一:人
1. 企业对外提供的信息安全服务依赖人来完成,必须要有合适的技术带头人,技 术带头 人需要对信息安全的含义、如何确保信息安全有较为深刻的理解和认识需要在组织内部建立信息安全服务职能部门的岗位职责、任职资格、评价机制,并按照上述原则对信息安全服务人员进行能力考核、认定、评价
2.资质申请人员能力培训:信息安全保障人员CISAW(辅助资质申请和项目投标人员加分项)信息安全保障人员分:安全集成 安全运维 风险管理 应急服务、安全软件
CISAW安全集成课程大纲 :
信息系统安全工程概述、安全集成实施、安全的集成模式和集成的安全模式、 安全技术应用
CISAW风险管理课程大纲 :
风险管理基本概念和相关标准、项目准备和风险识别、风险分析和评价、风险处置与监控、技术脆弱性识别与管理脆弱性识别
CISAW应急管理课程大纲 :
应急管理体系建立、电子商务系统黑客破坏场景重现与企业应急响应过程重现、应急服务中的渗透测试实践、应急响应实战案例分析与沙盘演练、应急响应与安全事件处置、应急预案制定和实施
CISAW安全运维课程大纲 :
安全运维体系、合规要求、安全策略、运维准备和实施、运维安全、评审及改进
CISAW安全软件课程大纲 :
软件安全概述和模型、安全漏洞管理、安全功能设计、软件安全测试、软件安全编码实践
信息安全服务资质申请要素之二:工具和技术手段
漏洞检测工具,配置基线核查、源代码审计等等
信息安全服务资质申请要素之三:业绩项目和规范
1.项目中要有信息安全服务的流程和规范2.实施的信息安全服务项目案例,而且案例中所体现的信息安全服务过程能够符合《信息安全服务规范》的要求3.申请三级需要对应专业2个项目,申请二级需要近三年的6个项目
信息安全服务资质申请要素之四:公共管理和安全集成专业方向与评估表对标
1.公共管理包含; 法律地位、财务资信、办公场所、人员要求、服务管理要求(人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理,体系建设要求),技术工具要求等2. 项目业绩:信息安全服务资质对企业在对外开展信息安全服务的一些关键环节和过程,也有相应的要求;要将公司现有的业务模式,与资质的要求进行融合,并按照资质规范的要求,形成相应的对标输出以安全集成为例项目阶段分:集成准备 方案设计 建设实施和安全保障四个阶段 要在传统系统集成项目实施过程中融入“安全性”思维,并贯穿集成项目实施的整个过程,不能是单独的设备采买和安装,要把“安全性”思维贯穿始终,保证交付客户的集成项目不应仅仅是“可用”的,而且应该是“高安全性、低风险的”。第三:适合申请安全集成的组织类型:目前的经营范围包括集成项目实施的组织• 致力于提供高品质集成服务的组织,不再定位自身仅仅是“卖设备”的组织• 所开展的项目类型为硬件集成、软件集成、软硬件集成三种 形式均可,但项目的主要环节需要覆盖需求分析、方案设计、建设实施、安全保障四个主要环节
第四:申请流程
申请前的准备:
1、理解《信息安全服务 规范》
2、梳理/建立组织的服务管理体系
3、寻找/开展服务项目实现技术要求
4、对安全服务管理体系进行持续改进
申请中的工作:
1、登录业务系统,注册账号;
2、填写认证申请书,保障信息真实;
3、下载对应类别的自评价表进行自评价,并整理证明材料;
4、在业务系统提交自评价表及证明材料。
申请中的配合工作:
1、非现场审核阶段
联系人保持电话畅通、关注项目进展;
解答审核组长提出与审核相关的问题,必要时提供证据;
对于不符合项或影响现场审核的问题,及时采取纠正措施(时限不超过20个工作日)。
2、现场审核阶段
关注业务系统中的项目进度;
协助安排审核组现场审核时间、地点;
协调公司高层、相关人员配合审核,并准备相关佐证材料;
安排审核组的交通、食宿(参照财政部的要求);
协调公司的模拟测试环境(一二级);
协调安全运维见证项目( 一二级 )。
审核后的配合工作:
不符合项整改(不超过20个工作日);
认证决定过程中需要补充的材料(不超过3个工作日);
及时缴纳认证费用(收到通知单后10个工作日);
上传汇款信息及汇款证明(保障及时、准确无误);
关注认证决定(3个工作日完成);
证书批准后在客户端可查看证书样板(2个工作日完成)。
获取证书