1. 范围
本标准规定了广东省内从事计算机信息系统安全服务的机构应具备的服务能力要求及评定方 法。
本标准适用于第三方评审机构对在广东省内从事计算机信息系统安全服务的机构进行等级评 定,评定结果可作为政府部门和企事业单位选用安全服务时的参考依据;也可作为从事计算机信息 系统安全服务的机构改进自身服务能力的指导。
2. 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本 文件。凡是不注日期的引用文件,其版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
GB/T 30271-2013 信息安全技术 信息安全服务能力评估准则
3. 术语和定义
GB/T 25069-2010 和 GB/T 30271-2013 界定的以及下列文件中的术语和定义并适用于本文件。
3.1
计算机信息系统 computer information system
由计算机及相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息
进行采集、加工、存储、传输、检索等处理的人机系统。 [GB/T 25069-2010,定义2.1.13]
3.2
计算机信息系统安全 computer information system security
采取适当措施保护数,系统免受偶然或恶意的修改、损害、访问、泄露
等操作的危害。
3.3
信息安全服务 information security service
面向组织或个人的各类信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全
过程或服务。
3.4
安全服务机构 security services
按照服务协议,通过专业计算机信息系统安全服务人员提供信息安全服务的各类组织机构。
3.5
独立于信息安全服务相关方的专业评估机构。
4. 安全服务机构等级划分
安全服务机构等级评定是衡量安全服务机构服务能力的尺度,依据安全服务机构的基本条件、 基本资格、管理能力、技术服务能力等分为一级、二级、三级、四级.
安全服务机构等级评定要求包含基本能力要求、分级能力要求和服务能力过程要求。基本能力 要求包含基本条件、基本管理能力要求、基本技术能力要求,具体要求见第6章。分级能力要求为安 全服务机构各级别的能力要求,包含基本资格、管理能力要求、技术能力要求,具体要求见第7章。 服务能力过程要求包含准备阶段、设计阶段、实施阶段、服务保障阶段等4个阶段,具体要求见第8 章。
6. 安全服务机构基本能力要求
6.1 基本条件
安全服务机构应具备的基本条件包括:
a) 具有中华人民共和国境内注册的独立法人资格,并具有相关部门颁发的合法经营资格; b) 在广东省内拥有长期固定的办公场所,具有能满足业务需求的设备和环境;
c) 有健全的财务制度,财务数据真实可信; d) 遵守国家现行法律、法规,无违法记录。
6.2 基本管理能力要求
安全服务机构应具备的基本管理能力包括:
a) 建立人员管理制度和能力考核指标,制定相关培训计划,定期开展培训; b) 建立文档管理制度,确保项目文档资料妥善保管;
c) 建立项目管理制度,有健全的监督检查机制; d) 建立保密管理制度,确保客户信息安全可控;
e) 建立质量管理制度,跟踪服务质量,并能对服务质量进行持续改进。
6.3 基本技术能力要求
安全服务机构应具备的基本技术能力包括:
a) 具备评估系统安全威胁的能力,能够识别系统所面临的各种安全威胁及其性质和特征,以及 对威胁的可能性进行评估;
b) 具备评估系统脆弱性的能力,能够收集、合成系统的脆弱性数据;
c) 具备评估安全对系统的影响的能力,能够识别安全对所实施的系统的影响,并对发生影响的 可能性进行评估;
d) 具备评估系统安全风险的能力,识别出给定环境中涉及到对某一系统有依赖关系的安全风 险;
e) 具备确定系统安全需求的能力,能够为客户提供安全策略、安全目标、安全需求分析报告; f) 具备确定系统的安全输入的能力,能为系统的规划者、设计者、实施者或用户提供他们所需
的安全信息,包括安全体系结构、设计或实施选择以及安全指南;
g) 具备安全控制管理的能力,能建立安全职责,增强所有用户和管理员的安全意识,开展安全 教育培训,对所有的安全配置进行管理(如软件更新记录、安全配置修改记录等);
h) 具备监测系统安全状况的能力,能对安全风险变化、事件记录、安全防护措施进行监视,能 识别安全突发事件和对安全突发事件进行响应;
i) 具备检测或证实系统安全性的能力,包括检测或证实系统安全性的方法和工具;
j) 具备建立系统安全的保证数据的能力,包括对保证的目标进行识别、建立保证证据数据库并 对其进行分析;
k) 具备对整个系统进行管理配置的能力,包括维持已标识的配置单元的数据和状况,并对系统 及其配置单元的变化进行分析和控制。
