经验-国家安全信息水平考试-入门漏洞记录贴

经验-国家安全信息水平考试-入门漏洞记录贴

一、信息安全服务资质的基本概念

背景：我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。

1.1 基本概念

信息安全服务资质是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质进行评价。

1.2 依据的法律法规

信息安全应急处理服务资质认证：

《网络与信息安全应急处理服务资质评估方法》（YD/T 1799-2008）；

信息安全风险评估服务资质认证：

《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）；

《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。

1.3 分项类别（资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。）

01

1.3.1安全集成服务资质认证：信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。是衡量服务提供者服务能力的尺度。安全集成服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。

02

1.3.2安全运维服务资质认证：通过技术设施安全评估，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理人员进行信息系统的安全运维工作，以发现并修复信息系统中所存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用后及时加以响应。是衡量服务提供方的安全运维服务资格和能力的尺度。

03

1.3.3风险评估服务资质认证：信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程，是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。

04

1.3.4应急处理服务资质认证：信息安全应急处理服务是通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应，并在安全事件一旦发生后进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。是衡量服务提供方应急处理服务资格和能力的尺度。

05

1.3.5软件安全开发服务资质认证：通过对软件开发过程的控制，将开发的软件存在的风险控制在可接受的水平。软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。

06

1.3.6灾难备份与恢复服务资质认证：信息系统灾难备份与恢复服务是将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份，并在灾难发生时，将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计和提供的活动。是衡量服务提供者服务能力的尺度。

07

1.3.7工业控制安全服务资质认证：工业控制系统安全服务围绕提升工业控制系统的高可用性和业务连续性，提升功能安全、物理安全和信息安全的保障能力为目标，涉及工业控制系统设计、建设、运维和技改各个阶段，主要包括系统集成、系统运维、应急处理、风险评估等工业控制系统安全服务，形成系统的、独立的、形成文件的过程。是衡量服务提供方的工业控制系统安全服务资格和能力的尺度。

08

1.3.8网络安全审计服务资质认证：网络安全审计是指网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经济性进行检查、监督，通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件的活动。是衡量服务提供方的网络安全审计服务资格和能力的尺度。

二、认证申请

2.1 认证的流程

认证的基本环节：

认证申请与受理；

文档审核；

现场审核；

认证决定；

年度监督审核（关于信息安全服务资质认证规范及实施规则换版的通知）。

2.2 提交资料的清单

初次申请服务资质认证时，申请单位应填写认证申请书，并提交资格、能力方面的证明材料。申请材料通常包括：

服务资质认证申请书；

独立法人资格证明材料；

从事信息安全服务的相关资质证明；

工作保密制度及相应组织监管体系的证明材料；

与信息安全风险评估服务人员签订的保密协议复印件；

人员构成与素质证明材料；

公司组织结构证明材料；

具备固定办公场所的证明材料；

项目管理制度文档；

信息安全服务质量管理文件；

项目案例及业绩证明材料；

信息安全服务能力证明材料等。

三、服务流程简介

3.1 服务管理体系介绍

3.2 具体活动介绍

四、申报流程介绍

4.1 申请材料评审和现场评审 时 限及要求

审核机构收到申请材料后， 应当在五日内完成申请材料书面审查。申请材料齐全且符合法定形式的，应当受理并发出受理通知书；申请材料不齐全或者不符合法定形式的，应当一次告知申请单位十五日内补正。 逾期未告知申请单位补正的，自收到申请材料之日起即为受理。申请单位十五日内不予补正的，视为放弃本次行政许可申请。

4.2 评审费用明细

对书面审查合格的单位，审核机构应当指派两名以上工作人员，并可以结合工作实际指派一名以上审查专家，依据标准文件和评分标准，对制度、工作机构、监督管理、IT人员管理、技术防护以及从事IT业务的专业能力等情况进行现场审查。

注：笔者总结，审核费用完全是基于市场因素；“CCRC证书”也是为了推广宣传，规范行业，其效果和目的已达到。

4.3 证书查询网站

全国认证认可信息公共服务平台；

4.4 发证机构

中国网络安全审查技术与认证中心（China and ：英文缩写为：CCRC,原为中国信息安全认证中心）于2006年由中央机构编制委员会办公室批准成立，为国家市场监督管理总局直属正司局级事业单位。依据《网络安全法》《网络安全审查办法》及国家有关强制性产品认证法律法规，承担网络安全审查技术支撑和认证工作；在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训等工作；同时设有国家信息安全产品质量监督检验中心（北京）。

五、对企业的重要性

（一）增加企业自身的管理能力

通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

（二）增加信任度、提高竞争力

通过业界普遍认同的国家标准认证；达到相关利益方均满意的服务管理目标；提高服务的可用性、可靠性和安全性，为业务用户提供高质量的服务；持续优化服务流程，提升服务水平，提高业务满意度；提高项目的可提供性并确保如期交付。从总体上提高组织/企业IT投资的报酬率，提升组织/企业的综合竞争力 。

（三）业务规范化

降低运营的管理成本和风险；易于整合服务管理流程和其它管理系统，如：信息技术服务管理体系 ITSMS 、信息安全管理体系ISMS等。规范部门服务水平，规范工作流程，降低由人员变动导致的风险；提升部门整体运作及部门间沟通的能力，满足客户和法律法规要求。

（四）促进公司业务健康发展

认证过程有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。此标准在全国几乎IT领域企业中被广泛推广接受，涵盖几乎所有全国各个领域的知名大中型企业，从根本上提高组织/企业的综合竞争力。罗以智识

~

网络安全学习，我们一起交流

~