信息产业信息安全测评中心基本情况及业务

@itstec.org.cn•国家网络与信息安全信息通报中心技术支撑单位•信息安全等级保护测评机构（国-008）•国家信息安全产品认证指定实验室•中国人民银行非金融机构支付服务业务系统检测机构/移动金融技术服务认证检测机构Page2信息产业信息安全测评中心单位介绍（一）华北计算技术研究所（中国电子科技集团公司第十五研究所）成立于1958年是全民所有制国家一类科研事业单位注册资金1.0641亿元1998年，工业和信息化部（原电子工业部）依托中国电子科技集团公司第十五研究所，授权其成立“电子工业部计算机安全技术检测中心”，2011年经工信部批示，更名为“信息产业信息安全测评中心”中央网信办技术支持单位国家网络与信息安全信息通报机制技术支持单位工信部重点领域信息安全检查技术支持队伍公安部和北京市公安局网安安全检查与应急技术支持单位Page4信息产业信息安全测评中心单位介绍（二）--所具备的认证认可相关资质工业和信息化部最早成立及授权专门从事信息系统测评和信息安全产品测试及技术服务的检测机构中国认证认可监督管理委员会（CMA）计量认证/资质认定资质中国合格评定国家认可委员会（CNAS）认可检测实验室（CNASL0293）中国合格评定国家认可委员会（CNAS）认可检验机构（CNASIB0046）信息安全等级保护测评机构推荐证书（国-008）中国人民银行授权非金融机构支付服务业务系统检测机构和移动金融技术服务认证检测机构信息安全风险评估服务资质认证证书（一级）（ISCCC-2010-ISV-RA-003）中国国家认证认可监督管理委员会授权国家信息安全产品强制性检测实验室工业和信息化部工业产品质量控制和技术评价实验室信息安全管理体系认证证书（GB/T22080--ISO/IEC27001）信息产业部授权通信电子质量监督检验机构国家税务局指定软件产品增值税退税检测机构北京市经信委北京市财政局北京市国税局指定软件产品增值税退税检测与登记测试机构Page5信息产业信息安全测评中心单位介绍（三）--所具备的安全管理制度国家认可实验室遵循标准ISO/IEC17025:2005检测和校准实验室能力的通用要求GB/T27025-2008检测和校准实验室能力的通用要求国家认可检查机构遵循标准ISO/IEC17020:1998各类检查机构能力的通用要求GB/T18346-2001各类检查机构能力的通用要求计量认证合格单位遵循准则实验室资质认定评审准则信息安全管理体系认证标准ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求GB/T22080-2008信息技术安全技术信息安全管理体系要求Page6信息产业信息安全测评中心单位介绍（三）--所具备的安全管理制度2013年中心质量体系现行有效版本为5.0，中心管理体系已经有效运行十三年，并一直持续改进。《DP5.4.1-测评／检查过程控制程序》中心运行的管理体系Page7信息产业信息安全测评中心单位介绍（三）--所具备的安全管理制度持续通过中国合格评定国家认可委员会（CNAS）认可的实验室和检查机构监督评审和复评审通过ISO27001信息安全认证体系监督审核和复评审质量目标测评报告的合格率达到100%，客户满意度达到96%质量方针Page8信息产业信息安全测评中心单位介绍（四）--设备与设施智能卡产品测试设备与工具1.Java卡安全性检测平台2.智能卡COS安全性检测平台3.随机数质量检测平台4.非接触式智能卡协议分析仪5.SWP测试套件6.接触式智能卡测试仪-MP300TC27.接触式智能卡测试仪-MP300TC38.非接触式智能卡测试仪-MP300TCL29.MP300TCL2扩展模块10.智能卡通信协议分析仪-STAR315011.智能卡旁路攻击分析测试平台-InspectorSCA12.智能卡故障注入分析测试平台-InspectorFI系统Page9信息产业信息安全测评中心单位介绍（四）--设备与设施信息安全产品测试设备与工具在设备设施方面，中心购置了相应的测评设备和工具协议分析仪、思博伦万兆性能测试仪、IXIA性能测试仪Page10信息产业信息安全测评中心单位介绍（四）--设备与设施移动互联网应用软件源代码安全审计分析平台Page11信息产业信息安全测评中心单位介绍（四）--设备与设施信息系统安全与软件测试设备与工具1.绿盟远程安全评估系统2.安信通数据库安全扫描和渗透系统3.明鉴数据库弱点扫描器4.IBMRationalAppScan应用安全扫描和分析系统5.WebRavor应用安全扫描系统6.AcunetixWVS应用安全漏洞扫描和分析软件7.BackTrack5安全检测套件8.软件测试管理工具-MercuryQualityCenter9.软件产品性能测试软件-HPLoadRunner10.软件源代码安全检测工具-FortifysoftwareSCAWebRavorPage12信息产业信息安全测评中心单位介绍（四）--设备与设施设备设施配置中心还根据测评需要，自行研发了一批测试管理平台和工具信息安全等级保护测评管理平台»自动生成测评表单、基于知识库提出风险建议Page13信息产业信息安全测评中心单位介绍（四）--设备与设施非金融机构系统测试管理平台Page14信息产业信息安全测评中心单位介绍（四）--设备与设施设备设施配置自主研发了攻防演练平台、测试管理平台、工具和作业指导书Web常见漏洞攻防演练平台信息系统风险评估作业指导书信息系统安全等级保护测评现场核查表及作业指导书风险评估问卷生成及管理系统软件登记测试项目管理平台Page15信息产业信息安全测评中心单位介绍（四）--设备与设施重要信息系统安全监测及风险预警网站漏洞网站木马、暗链网站关键字网站篡改网站可用性《信息系统安全事件报告》（如果监测发现安全事件）《信息系统安全监测预警报告（月）》《信息系统安全趋势分析报告（年度）》Page16信息产业信息安全测评中心单位介绍（五）--人员资质国家认证认可监督管理委员会实验室资质认定评审员中国合格评定国家认可委员会（CNAS）实验室和检验机构技术评审员中国合格评定国家认可委员会（CNAS）实验室和检验机构主任评审员中国合格评定国家认可委员会（CNAS）评定委员会委员中国合格评定国家认可委员会（CNAS）信息技术专业委员会委员全国信息安全标准委员会信息安全评估工作组及信息安全管理工作组成员北京市公安局网络信息安全专家工业和信息化部电子信息产品质量监督管理专业技术委员会成员工信部电子信息产业发展基金专家信息安全产品认证技术专家国家金卡工程安全工作组副组长北京市信息化专家咨询委员会委员北京市政府采购评审专家Page17信息产业信息安全测评中心单位介绍（五）--人员资质从事专业检测工作技术人员信息安全等级测评师（高级/中级/初级）注册信息安全专业人员（CISP）国家注册ISMS审核员（ISO27001：2005）OWASPWEB应用安全认证专家@secPenetrationTest渗透性测试应用系统性能测试与故障诊断HPFortify源代码分析培训证书非金融机构支付服务业务系统检测人员软件性能测试高级工程师软件测试工程师Page18信息产业信息安全测评中心等级保护能力概述（一）中心具有深厚的测评技术能力，能够贯彻执行相关工作我中心是目前全国开展信息安全等级测评师培训的两家机构之一。中心作为主办单位，连续三年组织开展了全国信息安全等级测评能力验证活动，参与单位已覆盖到全国所有等级测评机构，其中所有考题均由我中心技术人员设计，并搭建现场考试环境。我中心还是“中关村信息安全测评联盟”（全国130余家等级测评机构发起成立）副理事长单位。我中心霍珊珊副主任被聘为国家信息安全等级保护安全建设工程师培训专家讲师；中心还是“网安护城河”工程协办单位，中心张益和董晶晶副总工均为特邀讲师（总计共30位信息安全业界知名讲师）。Page20信息产业信息安全测评中心等级保护能力概述（二）中心是全国最早开展等级保护相关工作的单位之一2009年，公安部发布《关于开展信息安全等级保护测评体系建设试点工作的通知》（公信安[2009]812号），其中明确指出我中心作为全国首批（共3家）信息安全等级保护测评体系建设试点工作单位，开展等级测评体系实施试点工作。中心全程参与了全国信息安全等级保护测评体系建设工作，对等级测评具有深刻的理解。Page21信息产业信息安全测评中心等级保护能力概述（三）中心是等级保护相关制度、标准制修订工作的重要参与单位中心作为等级保护系列标准牵头和参与单位，对各类制度、标准具有深刻的认识；其中，牵头编制了《信息安全技术信息系统安全等级保护测评要求第4部分：对物联网系统的扩展测评要求》、《信息安全技术信息系统安全等级保护安全管理中心技术要求》等标准，参与制定了《信息安全技术信息系统等级保护物联网安全设计技术指南》、《信息安全技术信息系统安全等级保护基本要求第4部分：对物联网系统的扩展安全要求》、《信息安全技术信息系统安全等级保护测评要求第5部分：对工业控制系统的扩展测评要求》、《信息安全等级保护检查规范》等制度及标准；中心还作为主要参与单位，对《GB/T28449-2012信息安全技术信息系统安全等级保护测评过程指南》进行了修订。Page22信息产业信息安全测评中心等级保护能力概述（四）中心作为技术支撑队伍，为等级保护工作的开展保驾护航我中心是信息与网络安全保卫工作技术保障单位，是国家网络与信息安全通报机制技术支持单位，是中央网信办、公安部、北京市公安局网安总队、文化保卫总队、内部单位保卫局等主管部门的技术支持单位；常年配合各主管部门开展等级保护监督检查工作，并作为主要撰写单位，编制了《信息安全等级保护检查规范》，目前已成为北京市公安局开展等级保护监督检查工作的重要依据。Page23信息产业信息安全测评中心多方信息安全技术支持工作•2012-2015年重点领域信息安全抽查工作。•涉及国家部委、党政机关等关键部门面向互联网的应用系统1000多个。中央网络安全和信息化领导小组办公室•2013-2015年度网络安全态势分析及专题研究报告：互联网服务器安全状况分析等。•网络安全规划相关材料编写、央企信安培训等•承办2012年-2016年信息安全等级保护测评能力检查机构能力验证活动•共涉及参与机构140余家。•参与中国人民银行非金融机构和移动金融技术服务认证检测体系建立，参与编制规范、标准体系报告编制，并在能力验证和算法破解方面名列前茅。•支持北京市公安局网络安全总队：应急技术支持、安全渗透测试、网安启明星、地方检查标准等国家网络与信息安