ISCCC-SV-003信息安全集成服务资质认证实施规则

文件编码：ISCCC-SV-003:2011信息系统安全集成服务资质认证实施规则2011-06-01发布2011-10-01实施中国信息安全认证中心发布ISCCC-SV-003：2011信息安全集成服务资质认证实施规则中国信息安全认证中心第1页目录1.适用范围..................................................................................................................................................22.引用标准..................................................................................................................................................23.术语与定义..............................................................................................................................................24.安全集成服务提供者基本的资质要求....................................................................................................24.1基本条件...........................................................................................................................................34.2基本管理能力要求............................................................................................................................34.3基本技术能力要求............................................................................................................................35.信息系统安全集成服务过程要求...........................................................................................................45.1安全集成服务过程概述.....................................................................................................................45.2集成准备............................................................................................................................................45.3方案设计............................................................................................................................................65.4建设实施............................................................................................................................................75.5安全保证............................................................................................................................................96.信息系统安全集成服务资质分级评价要求..........................................................................................116.1三级信息系统安全集成服务资质要求............................................................................................116.2二级信息系统安全集成服务资质要求............................................................................................126.3一级信息系统安全集成服务资质要求...........................................................................................127.信息系统安全集成服务资质认证模式与流程......................................................................................138.认证证书管理........................................................................................................................................16附录A信息安全工程过程能力级别参考...................................................................................................18附录B各级资质要求对照表......................................................................................................................20ISCCC-SV-003：2011信息安全集成服务资质认证实施规则中国信息安全认证中心第2页1.适用范围信息系统安全集成服务资质认证是依据国家认证认可法律法规及国际、国内相关技术标准和规范，对信息系统安全集成服务提供者的资质进行评价的合格评定活动。本规则提出了信息系统安全集成服务提供者（以下简称服务提供者）应具备的服务能力要求，及实施信息系统安全集成服务资质认证的程序与管理要求。本规则适用于对服务提供者服务能力的评价活动；可作为信息系统所有者选择服务提供者的依据；可为有关管理部门对服务提供者进行管理提供参考；也可为服务提供者自我能力改进提供参考。2.引用标准下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。对信息系统安全集成服务提供者所具备的服务资质进行评价所引用的标准包括：GB/T20261-2006信息技术系统安全工程能力成熟度模型YD/T1621-2007网络与信息安全服务资质评价准则YD/T1799-2008网络与信息安全应急处理服务资质评价方法YD/T2252-2011网络与信息安全风险评估服务能力评价方法CNCA/CTS0052-2007信息安全服务资质认证技术规范GB/T5271.8-2001《信息技术词汇第8部分：安全》中的术语和定义适用于本标准。3.术语与定义3.1GB/T20261-2006中的术语均适用于本规则。3.2信息系统安全集成服务信息系统安全集成服务（以下简称：安全集成）是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成一般是按照信息系统建设的安全需求，采用信息系统安全工程的方法和理论，将安全单元、产品部件进行集成的行为或活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。4.安全集成服务提供者基本的资质要求ISCCC-SV-003：2011信息安全集成服务资质认证实施规则中国信息安全认证中心第3页4.1基本条件服务提供者应：(1)具有中华人民共和国境内的独立法人资格，具有相关部门颁发的合法经营资格；(2)近两年内经济状况良好，财务数据真实可信，并应经国家相关部门认定的会计师事务所核实；(3)具有固定的工作场所。(4)遵守国家现行法律、法规的规定；4.2基本管理能力要求服务提供者应：(1)采取技术和管理措施确保客户信息的安全、可控，这些信息包括但不限于客户资料、集成活动中产生的文档、最终安全集成报告等；(2)制定保密管理要求，明确保密岗位与职责，定期对服务人员进行保密教育与培训，并签订《保密责任书》，规定应当履行的安全保密义务和承担的法律责任，并负责落实；(3)建立人员管理程序，使每一位服务人员持续满足岗位职责的需求；制定安全集成技能培训计划，定期对服务人员进行培训、指导、考核；(4)制定规范的项目管理制度，并按照项目管理制度实施，具体包括在项目实施过程中如何与组织内外的交流机制、规划关键技术活动、分配资源、指派责任、设立项目的里程碑及评审要求、日常的监督检查要求、编制过程文档、提供工具、确保培训、策划过程等，以保证安全服务的质量；(5)制定项目风险管理制度，评估项目风险，制定项目风险控制措施并跟踪其有效性；(6)制定符合标准要求的安全集成方案、报告等文档模板；(7)制定针对供方的管理要求，包括准确识别供方提供的服务或系统构件及其专业资质和能力；并与供方的有效沟通机制等。4.3基本技术能力要求服务提供者应：(1)具备安全集成有关的工作流程及操作规范；(2)具备制定安全集成方案并能够按照该方案实施的能力；能够提供信息系统安全集成服务报告、系统使用指南等文档；(3)具备对安全集成完成的系统进行检测和验证的能力；(4)熟悉国内外主流的信息技术产品、信息安全产品的功能及特性；ISCCC-SV-003：2011信息安全集成服务资质认证实施规则中国信息安全认证中心第4页(5)具有满足项目需要的开发、测试工具或模拟环境；(6)有专门的技术人员关注并掌握信息安全技术、标准和法规；关注国内外权威机构发布的安全公告及漏洞公告，对最新的安全相关技术进行研究。5.信息系统安全集成服务过程要求5.1信息系统安全集成服务过程概述信息系统安全集成服务过程分为四个阶段：集成准备、方案设计、建设实施、安全保证。集成准备阶段主要是界定安全需求、签订服务合同、确定服务人员、签订保密协议等；方案设计阶段主要是充分考虑各方面的安全需求和安全背景，以设计出适用的项目方案；建设实施阶段主要是在客户环境中实现项目方案的预期安全目标和效果；安全保证阶段主要是通过在