随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。 中国网络安全审查技术与认证中心是经国家认证认可监督管理委员会批准,可以从事信息安全服务资质认证的机构(《认证机构批准CNCA-R-2007-138),并获得了中国合格评定国家认可委会的认可(证书编号:No. CNAS CO66-V)。服务资质认证工作是中心的核心业务之一
根据相关认证规则,简单介绍下CCRC信息安全服务资质中--信息安全风险评估专业
第一:资质申请的前提条件
申请机构所从事的行业开展的项目类型和IT相关,有合适的办公场地,良好的财务状况和资信水平,具备一定的服务人员队伍,建立有基本的管理制度并有效运行,能够为组织的安全服务过程提供支撑和保障。
第二:资质申请的几大要素
信息安全服务资质申请要素之一:人
1. 企业对外提供的信息安全服务依赖人来完成,必须要有合适的技术带头人,技 术带头 人需要对信息安全的含义、如何确保信息安全有较为深刻的理解和认识需要在组织内部建立信息安全服务职能部门的岗位职责、任职资格、评价机制,并按照上述原则对信息安全服务人员进行能力考核、认定、评价
2.资质申请人员能力培训:信息安全保障人员CISAW(辅助资质申请和项目投标人员加分项)信息安全保障人员分:安全集成 安全运维 风险管理 应急服务、安全软件
CISAW安全集成课程大纲 :
信息系统安全工程概述、安全集成实施、安全的集成模式和集成的安全模式、 安全技术应用
CISAW风险管理课程大纲 :
风险管理基本概念和相关标准、项目准备和风险识别、风险分析和评价、风险处置与监控、技术脆弱性识别与管理脆弱性识别
CISAW应急管理课程大纲 :
应急管理体系建立、电子商务系统黑客破坏场景重现与企业应急响应过程重现、应急服务中的渗透测试实践、应急响应实战案例分析与沙盘演练、应急响应与安全事件处置、应急预案制定和实施
CISAW安全运维课程大纲 :
安全运维体系、合规要求、安全策略、运维准备和实施、运维安全、评审及改进
CISAW安全软件课程大纲 :
软件安全概述和模型、安全漏洞管理、安全功能设计、软件安全测试、软件安全编码实践
信息安全服务资质风险评估申请要素之二:什么是风险评估
• 依据国际或国家标准中明确的风险计算模型,来对所评估对象目前所存在的信息安全风险进行分析的服务过程
• 服务过程可主要分为评估对象的业务流程分析、资产分析、威胁分析、脆弱性分析、风险分析、风险处置等阶段
• 通过现场实地观察、人员访谈、技术测试、数据分析等实施方法
• 服务过程往往需要依靠专业检测工具来辅助
信息安全服务资质风险评估申请要素之三:企业类型
• 致力于对外提供安全咨询、安全检测与加固、风险分析、IT治理等服务的组织
• 希望作为中立的第三方,向需求方提供服务的组织
信息安全服务资质申请要素之四:风险评估工具
基于技术的工具:
l 扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析
l 系统的常见漏洞;
l 入侵检测系统(IDS):用于收集与统计威胁数据;
l 渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层
l 次漏洞;
l 主机安全性审计工具:用于分析主机系统配置的安全性
l 信息安全服务资质申请要素之四:公共管理和安全运维专业方向与评估表对标
信息安全服务资质申请要素之五:公共管理和项目要求
1. 公共管理包含; 法律地位、财务资信、办公场所、人员要求、服务管理要求(人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理,体系建设要求),技术工具要求等
2. 项目说明:
Ø 在信息安全管理体系中涉及到了风险评估的相关概念,在信息安全服务资质也涉及到了风险评估,两者在能力要求和方法论上是一致的
Ø 具备跟踪、验证信息安全漏洞的能力。
Ø 三级:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。具备跟踪信息安全漏洞的能力。
Ø 二级:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。具备跟踪、验证信 息安全漏洞的能力
第三:风险评估项目流程
第四:申请流程
申请前的准备:
1、理解《信息安全服务 规范》
2、梳理/建立组织的服务管理体系
3、寻找/开展服务项目实现技术要求
4、对安全服务管理体系进行持续改进
申请中的工作:
1、登录业务系统,注册账号;
2、填写认证申请书,保障信息真实;
3、下载对应类别的自评价表进行自评价,并整理证明材料;
4、在业务系统提交自评价表及证明材料。
申请中的配合工作:
1、非现场审核阶段
联系人保持电话畅通、关注项目进展;
解答审核组长提出与审核相关的问题,必要时提供证据;
对于不符合项或影响现场审核的问题,及时采取纠正措施(时限不超过20个工作日)。
2、现场审核阶段
关注业务系统中的项目进度;
协助安排审核组现场审核时间、地点;
协调公司高层、相关人员配合审核,并准备相关佐证材料;
安排审核组的交通、食宿(参照财政部的要求);
协调公司的模拟测试环境(一二级);
协调安全运维见证项目( 一二级 )。
审核后的配合工作:
不符合项整改(不超过20个工作日);
认证决定过程中需要补充的材料(不超过3个工作日);
及时缴纳认证费用(收到通知单后10个工作日);
上传汇款信息及汇款证明(保障及时、准确无误);
关注认证决定(3个工作日完成);
证书批准后在客户端可查看证书样板(2个工作日完成)。
获取证书:
文章部分图片、文字来来源互联网,版权归原作者所有。