在线留言
加入协会

欢迎使用江西省软件行业协会网站

会员服务
member services
信息安全服务资质认证

文件编码:CCRC-ISV-C01:2018
                                信息安全服务规范
2018-05-25 发布 2018-06-01 实施
中国网络安全审查技术与认证中心发布
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第I 页
目录
1. 适用范围 ................................................................................................................................ 1
2. 规范性引用文件 ..................................................................................................................... 1
3. 术语与定义 ............................................................................................................................. 1
3.1. 信息安全服务 ..................................................................................................................... 1
3.2. 信息安全风险评估 .............................................................................................................. 1
3.3. 信息安全应急处理 .............................................................................................................. 1
3.4. 信息系统安全集成 .............................................................................................................. 1
3.5. 信息系统灾难备份与恢复 ................................................................................................... 1
3.6. 软件安全开发 ..................................................................................................................... 2
3.7. 信息系统安全运维 .............................................................................................................. 2
3.8. 网络安全审计 ..................................................................................................................... 2
3.9. 工业控制系统安全 .............................................................................................................. 2
4. 通用评价要求 ......................................................................................................................... 2
4.1. 三级评价要求 ..................................................................................................................... 2
4.1.1. 法律地位要求 ................................................................................................................. 2
4.1.2. 财务资信要求 ................................................................................................................. 2
4.1.3. 办公场所要求 ................................................................................................................. 2
4.1.4. 人员能力要求 ................................................................................................................. 3
4.1.5. 业绩要求 ......................................................................................................................... 3
4.1.6. 服务管理要求 ................................................................................................................. 3
4.1.7. 服务技术要求 ................................................................................................................. 3
4.2. 二级评价要求 ..................................................................................................................... 3
4.2.1. 法律地位要求 ................................................................................................................. 4
4.2.2. 财务资信要求 ................................................................................................................. 4
4.2.3. 办公场所要求 ................................................................................................................. 4
4.2.4. 人员能力要求 ................................................................................................................. 4
4.2.5. 业绩要求 ......................................................................................................................... 4
4.2.6. 服务管理要求 ................................................................................................................. 4
4.2.7. 技术工具要求 ................................................................................................................. 5
4.2.8. 服务技术要求 ................................................................................................................. 5
4.3. 一级评价要求 ..................................................................................................................... 5
4.3.1. 法律地位要求 ................................................................................................................. 5
4.3.2. 财务资信要求 ................................................................................................................. 5
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第II 页
4.3.3. 办公场所要求 ................................................................................................................. 5
4.3.4. 人员素质与资质要求 ...................................................................................................... 6
4.3.5. 业绩要求 ......................................................................................................................... 6
4.3.6. 服务管理要求 ................................................................................................................. 6
4.3.7. 技术工具要求 ................................................................................................................. 7
4.3.8. 服务技术要求 ................................................................................................................. 7
5. 专业评价要求 ......................................................................................................................... 7
5.1. 风险评估服务资质专业评价要求 ....................................................................................... 7
5.2. 安全集成服务资质专业评价要求 ....................................................................................... 7
5.3. 应急处理服务资质专业评价要求 ....................................................................................... 7
5.4. 灾难备份与恢复服务资质专业评价要求 ............................................................................ 7
5.5. 软件安全开发服务资质专业评价要求 ................................................................................ 7
5.6. 安全运维服务资质专业评价要求 ....................................................................................... 7
5.7. 网络安全审计服务资质专业评价要求 ................................................................................ 7
5.8. 工业控制系统安全服务资质专业评价要求 ......................................................................... 7
附录A(规范性附录): 信息安全风险评估服务资质专业评价要求 .......................................... 8
附录B(规范性附录): 信息系统安全集成服务资质专业评价要求 ........................................ 11
附录C(规范性附录): 信息安全应急处理服务资质专业评价要求 ........................................ 14
附录D(规范性附录): 信息系统灾难备份与恢复服务资质专业评价要求 ............................. 18
附录E(规范性附录):软件安全开发服务资质专业评价要求 .................................................. 22
附录F(规范性附录):安全运维服务资质专业评价要求 ......................................................... 26
附录G(规范性附录): 网络安全审计服务资质专业评价要求 ............................................... 29
附录H(规范性附录): 工业控制系统安全服务资质专业评价要求 ........................................ 35
附录I:信息安全服务人员能力要求 ........................................................................................... 41
附录J: 参考文献 .......................................................................................................................... 64
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查与认证中心 第1 页
1. 适用范围
本规范规定了信息安全服务提供者(以下简称服务提供者)在提供服务时应具备的服务安全通
用要求和专业服务能力要求。
本规范可作为第三方认证机构对服务提供者的评价依据,也可作为服务提供者开展自我评价的
依据,同时,可为政府及有关社会组织选择服务提供者提供参考。
2. 规范性引用文件
本规范未引用其他标准和文件。
3. 术语与定义
3.1. 信息安全服务
由供应商、组织机构或人员执行的一个安全过程或任务。
(ISO/IEC TR 15443-1:2005《信息技术 安全技术 信息技术安全保障框架 第一部分:总揽和
框架》)
3.2. 信息安全风险评估
对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分
析和评价的过程。
3.3. 信息安全应急处理
为应对信息系统运行过程中突发/重大信息安全事件的发生所做的准备,在事件发生时,按照既
定的程序对事件进行处理,以及在事件发生后所采取措施的过程。
3.4. 信息系统安全集成
按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件
进行集成的行为或活动。
3.5. 信息系统灾难备份与恢复
将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力
进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将
其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的过程。
注:信息系统灾难备份与恢复分为资源服务类(A 类)、技术服务类(B 类)两个类别。
资源服务类(A 类),指灾难备份资源服务提供方需具备灾备中心场地资源、基础设施、运维
管理等能力。
技术服务类(B 类),指灾难备份技术服务提供方实施灾备技术服务时具备灾备方案设计、系
统建设与管理、预案制定与演练等能力。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查与认证中心 第2 页
3.6. 软件安全开发
为解决软件产品的漏洞问题,而将安全活动集成到系统开发和软件质量保证活动中,在软件开
发的每个关键点嵌入安全要素,通过安全需求分析、安全设计、安全编码、安全测试等专业手段,
解决各阶段可能出现的安全问题,有效减少软件产品潜在的漏洞数量提高软件产品安全质量的活动。
3.7. 信息系统安全运维
从面向业务的运维服务出发,依据安全需求对信息系统进行安全运维准备、安全运维实施,并
对实施安全运维服务的有效性进行评审,从而进行持续性改进,全过程、全生命周期地为信息系统
运行提供安全保障的过程。
3.8. 网络安全审计
网络安全审计是指网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经
济性进行检查、监督,通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件
的活动。
3.9. 工业控制系统安全
工业控制系统安全服务围绕提升工业控制系统的高可用性和业务连续性,提升功能安全、物理
安全和信息安全的保障能力为目标,涉及工业控制系统设计、建设、运维和技改各个阶段,主要包
括系统集成、系统运维、应急处理、风险评估等工业控制系统安全服务,形成系统的、独立的、形
成文件的过程。
4. 通用评价要求
通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全
运维、网络安全审计、工业控制系统安全服务等类别的信息安全服务认证评价,均分为三个级别,
其中一级最高。
4.1. 三级评价要求
4.1.1. 法律地位要求
a) 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
4.1.2. 财务资信要求
组织经营状况正常,建立财务管理制度,可为安全服务提供必要的财务支持。
4.1.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查与认证中心 第3 页
4.1.4. 人员能力要求
a) 组织负责人拥有2年以上信息技术领域管理经历。
b) 技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一
致),评价要求见附录I。
c) 项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格,
评价要求见附录I。
4.1.5. 业绩要求
a) 从事信息安全服务(与申报类别一致)4个月以上。
b) (监督审核时)近1年内签订并完成至少1个信息安全服务(与申报类别一致)项目。
4.1.6. 服务管理要求
a) 建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位
职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。
b) 制定服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容,
并执行计划,确保服务人员持续胜任其承担的职责。
c) 建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确项目产
生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。
d) 建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的
操作规程,提供项目风险管理记录。
e) 建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进
行保密教育。
f) 建立与运行供应商管理程序,确保其供应商满足服务安全要求(仅适用于安全集成、安全
运维、灾难备份与恢复方向)。
g) 建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户
要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户
的相关要求。
4.1.7. 服务技术要求
a) 建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。
b) 制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。
4.2. 二级评价要求
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查与认证中心 第4 页
申请方可根据条件直接申请,或获得三级资质一年以上可提出二级申请,服务管理程序文
件需建立、发布并运行半年以上。
4.2.1. 法律地位要求
a) 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
4.2.2. 财务资信要求
组织经营状况正常,制定并执行财务管理制度,可为服务提供必要的财务支持。
4.2.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.2.4. 人员能力要求
a) 组织负责人拥有3年以上信息技术领域管理经历。
b) 技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一
致),评价要求见附录I。
c) 项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与
申报类别一致),评价要求见附录I。
4.2.5. 业绩要求
a) 从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)
三级资质1年以上。
b) 近三年内签订并完成至少6个信息安全服务(与申报类别一致)项目。
4.2.6. 服务管理要求
a) 建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位
职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。
b) 制定服务人员能力培养计划,包括网络与信息安全相关的技术、管理、意识等内容,并执
行计划,确保服务人员持续胜任其承担的职责。
c) 建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确产生、
发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。配备档案室
及高安全性的文件服务器。
d) 建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的
操作规程。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查与认证中心 第5 页
e) 建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进
行保密教育。
f) 建立与运行供应商管理程序,明确供应和(或)外包过程中的风险,对供应商和(或)承
包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别,确保其供应商或
承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控
制系统安全方向)。
g) 建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户
要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户
的相关要求。
h) 参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的质量管理体
系,并有效运行半年以上。
i) 参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的信息安全管
理体系或信息技术服务管理体系,并有效运行半年以上。
4.2.7. 技术工具要求
a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版
本控制。
4.2.8. 服务技术要求
a) 建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。
b) 制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。
4.3. 一级评价要求
申请方须获得二级资质一年以上可提出相同类别的一级申请,且服务管理程序文件需建立、发
布并运行一年以上。
4.3.1. 法律地位要求
a) 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
4.3.2. 财务资信要求
组织经营状况正常,具有财务管理制度,可为服务提供必要的财务支持。
4.3.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查与认证中心 第6 页
4.3.4. 人员素质与资质要求
a) 组织负责人拥有4年以上信息技术领域管理经历。
b) 技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一
致),评价要求见附录I。
c) 项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与
申报类别一致),评价要求见附录I。
4.3.5. 业绩要求
a) 从事信息安全服务(与申报类别一致)5年以上。
b) 近三年内签订并完成至少10个信息安全服务(与申报类别一致)项目。
4.3.6. 服务管理要求
a) 建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位
职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。
b) 制定服务人员能力培养计划,包括网络与信息安全相关的技术、管理、意识等内容,并执
行计划,确保服务人员持续胜任其承担的职责。
c) 建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确产生、
发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的控制。配备档案室及高
安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理。
d) 建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的
操作规程。
e) 建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进
行保密教育。
f) 建立与运行供应商管理程序,明确供应商和(或)外包过程中的风险,对供应商和(或)
承包方的服务基本资格、人员、服务过程控制、服务质量、服务交付、服务安全性等进行
识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备
份与恢复、工业控制系统安全方向)。
g) 建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户
要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户
的相关要求。
h) 参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的质量管理体
系,并有效运行一年以上。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查与认证中心 第7 页
i) 参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的信息安全管
理体系或信息技术服务管理体系,并有效运行一年以上。
j) 建立信息安全服务目录,签订服务级别协议。
4.3.7. 技术工具要求
a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版
本控制。
4.3.8. 服务技术要求
a) 建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。
b) 制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。
5. 专业评价要求
5.1. 风险评估服务资质专业评价要求
风险评估服务资质专业评价要求参见附录A。
5.2. 安全集成服务资质专业评价要求
安全集成服务资质专业评价要求参见附录B。
5.3. 应急处理服务资质专业评价要求
应急处理服务资质专业评价要求参见附录C。
5.4. 灾难备份与恢复服务资质专业评价要求
灾难备份与恢复服务资质专业评价要求参见附录D。
5.5. 软件安全开发服务资质专业评价要求
软件安全开发服务资质专业评价要求参见附录E。
5.6. 安全运维服务资质专业评价要求
安全运维服务资质专业评价要求参见附录F。
5.7. 网络安全审计服务资质专业评价要求
网络安全审计服务资质专业评价要求参见附录G。
5.8. 工业控制系统安全服务资质专业评价要求
工业控制系统安全服务资质专业评价要求参见附录H。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第8 页
附录A(规范性附录): 信息安全风险评估服务资质专业评价要求
信息安全风险评估服务资质专业评价要求针对评估准备、风险识别、风险分析、风险处置四个
过程进行,项目实施过程应形成文件,具体分级要求如下:
A1 三级要求
申请三级资质认证的单位,至少有1个完成的风险评估项目,该系统的用户数在1,000以上;具
备从管理或(和)技术层面对脆弱性进行识别的能力;具备跟踪信息安全漏洞的能力。
A1.1准备阶段
A1.1.1服务方案制定
a) 编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
b) 应为风险评估实施活动提供总体计划或方案,方案应包含风险评价准则。
A1.1.2人员和工具准备
a) 应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
b) 应根据评估的需求准备必要的工具。
c) 应对评估团队实施风险评估前进行安全教育和技术培训。
A1.2风险识别阶段
A1.2.1资产识别
a) 参考国家或国际标准,对资产进行分类。
b) 识别重要信息资产,形成资产清单。
c) 对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。
d) 对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值。
A1.2.2脆弱性识别
a) 应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技
术脆弱性列表。
b) 应对脆弱性进行赋值。
A1.2.3威胁识别
a) 应参考国家或国际标准,对威胁进行分类;
b) 应识别所评估信息资产存在的潜在威胁;
c) 应识别威胁利用脆弱性的可能性;
d) 应分析威胁利用脆弱性对组织可能造成的影响。
A1.2.4已有安全措施确认
a) 应识别组织已采取的安全措施;
b) 应评价已采取的安全措施的有效性。
A1.3风险分析阶段
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第9 页
A1.3.1风险分析模型建立
a) 应构建风险分析模型。
b) 应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。
c) 应根据分析模型确定的方法计算出风险值。
A1.3.2风险评价
应根据风险评价准则确定风险等级。
A1.3.3风险评估报告
a) 应向客户提供风险评估报告。
b) 报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。
A2 二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
申请二级资质认证的单位,针对多种类型组织,多行业组织,至少完成一个风险评估项目,该
系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力;具备跟踪、验证信
息安全漏洞的能力。
A2.1准备阶段
A2.1.1服务方案制定
a) 应进行充分的系统调研,形成调研报告。
b) 宜根据风险评估目标以及调研结果,确定评估依据和评估方法。
c) 应形成较为完整的风险评估实施方案。
A2.1.2 人员和工具管理
需采取相关措施,保障工具自身的安全性、适用性。
A2.2风险识别阶段
A2.2.1威胁识别
应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。
A2.3风险分析阶段
A2.3.1风险分析模型建立
构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。
A2.3.2风险计算方法确定
在风险计算时应根据实际情况选择定性计算方法或定量计算方法。
A2.3.3风险评价
应对不同等级的安全风险进行统计、评价,形成最终的总体安全评价。
A2.3.4风险评估报告
a) 风险评估报告中应对本次评估建立的风险分析模型进行说明,并应阐明本次评估采用的风
险计算方法及风险评价方法。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第10 页
b) 风险评估报告中应对计算分析出的风险给予比较详细的说明。
A2.4风险处置阶段
A2.4.1风险处置原则确定
应协助被评估组织确定风险处置原则,以及风险处置原则适用的范围和例外情况。
A2.4.2安全整改建议
对组织不可接受的风险提出风险处置措施。
A3一级要求
组织申报一级资质,除满足二级要求外,还应满足以下要求:
申请一级资质认证的单位,能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至
少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性
进行识别的能力;具备跟踪、验证、挖掘信息安全漏洞的能力。
A3.1 准备阶段
A3.1.1人员和工具管理
需采取相关措施, 保障工具管理的规范性。
A3.2风险识别阶段
A3.2.1资产识别
a) 识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。
b) 根据业务特点和业务流程识别出关键数据和关键服务。
c) 识别处理数据和提供服务所需的关键系统单元和关键系统组件。
A3.2.2威胁识别
采用多种方法进行威胁调查。
A3.3风险处置阶段
A3.3.1组织评审会
a) 协助被评估组织召开评审会。
b) 依据最终的评审意见进行相应的整改,形成最终的整改材料。
A3.3.2残余风险处置
a) 对组织提出完整的风险处置方案。
b) 必要时,对残余风险进行再评估。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第11 页
附录B(规范性附录): 信息系统安全集成服务资质专业评价要求
信息系统安全集成服务资质专业评价要求针对集成准备、方案设计、建设实施、安全保障四个
过程进行,具体分级要求如下:
B1 三级要求
B1.1 集成准备阶段
B1.1.1 需求调研与分析
a) 调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求。
b) 基于系统建设需求,提出产品选型方案和建设预算。
c) 结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录。
B1.2 方案设计阶段
a) 根据系统建设安全需求,编制安全集成技术方案。
b) 依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面
的要求。
c) 结合技术方案和实施方案,与客户进行沟通,获得客户认可。
B1.3 建设实施阶段
B1.3.1 实施集成
a) 依据已确认的安全集成项目技术方案和实施方案,按照时间和质量要求进行系统建设。
b) 项目实施人员按时提交施工记录和工程日志,及时向项目经理汇报项目进度。
c) 建立安全集成项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施
过程中能够有效充分的沟通。
B1.4 安全保障阶段
B1.4.1 系统测试
a) 依据项目技术方案和测试计划,对系统进行联调和系统测试,完整记录测试过程相关信息。
b) 对于新建系统重点测试系统的功能、性能和安全性等;对于系统改造或升级项目,还需进
行兼容性测试。
B1.4.2 系统试运行
a) 为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况。
b) 基于系统运行相关记录,及时对系统设备进行调整和维护。
B1.4.3 验收
a) 根据合同约定,向客户提交完整的项目资料及交付物,并提出终验申请。
b) 根据合同约定,配合组织项目验收,出具项目验收报告。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第12 页
B1.4.4 运行维护
根据合同约定,向客户提供维保服务,并形成维保记录。
B2 二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
B2.1 集成准备阶段
B2.1.1 需求调研与分析
a) 准确识别和综合分析系统在信息安全特性方面相适应的安全需求。
b) 基于客户需求和投入能力,开展需求分析,编制需求分析报告。
B2.2 方案设计阶段
a) 结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明
确系统架构、产品选型、产品功能、性能及配置等参数。
b) 组织客户及相关技术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能
和安全性要求。
c) 结合技术方案,对项目组及第三方配合人员进行业务和技能培训。
B2.3 建设实施阶段
B2.3.1 实施集成
a) 产品、设备安装调试过程中,应完整妥善记录相关信息。
b) 项目建设施工完成后,需向客户提交完工报告。
c) 项目实施完成后,相关过程记录及时归档,并统一保管。
B2.4 安全保障阶段
B2.4.1 系统测试
a) 系统测试完成后,制定系统测试报告,并提交客户。
b) 结合项目需要提出初验申请,组织客户及相关方对项目进行初验,并提交初验报告。
B2.4.2 系统试运行
a) 系统试运行周期至少一个月。
b) 试运行结束后,项目组制定系统试运行报告,并提交客户。
B2.4.3 运行维护
建立客户满意度调查机制,并对调查结果进行分析。
B3 一级要求
组织申报一级资质,除满足二级要求外,还应满足以下要求:
B3.1 集成准备阶段
B3.1.1 需求调研与分析
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第13 页
协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
B3.2 方案设计阶段
a) 结合项目需要,编制安全集成项目施工手册和作业指导书。
b) 对于新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求。对
于系统改造,还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需
要考虑新旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等。
c) 基于安全集成项目需求和进度计划,编制信息安全产品和工具定制开发计划。
B3.3 建设实施阶段
B3.3.1 实施集成
a) 建立项目变更管理程序,对项目实施过程中方案、资源变更进行有效控制,完整记录变更
过程。
b) 制定项目应急处置方案和恢复策略,对项目过程中的应急事件及时进行响应。
B3.3.2 监督管理
定期对项目实施情况进行评审,采取适当措施,控制项目风险。
B3.4 安全保障阶段
B3.4.1 系统测试
基于建设系统的安全要求,制定系统安全性测试方案,模拟攻击场景,对系统安全性进行测试。
B3.4.2 系统试运行
a) 制定系统试运行计划,建立应急响应服务保障团队,及时应对突发事件。
b) 综合分析系统运行状态,建立系统运行策略和安全指南,并对相关产品和设备设施进行配
置管理。
c) 提供三个月以上的试运行记录和报告。
B3.4.3 运行维护
建立维保流程,制定维保方案,并按方案实施维保。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第14 页
附录C(规范性附录): 信息安全应急处理服务资质专业评价要求
信息安全应急处理服务资质专业评价要求针对准备、检测、抑制、根除、恢复、总结六个过程
进行,具体分级要求如下:
C1 三级要求
C1.1 准备阶段
组织申报三级资质,应具有处理一般信息安全事件的能力(注:参考国家标准GB/Z 20985-2007
《信息安全事件分类分级指南》,或参考组织所提供应急处理服务的对象所处的行业对信息安全事
件的等级划分标准,主要考察有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件几
类),具体见以下要求:
a) 明确客户的应急需求。
b) 了解客户应急预案的内容。
c) 向客户提供应急处理服务流程。
d) 可提供本地 2 小时应急响应服务能力。
e) 配备有处理网络或信息安全事件的工具包,包括常用的系统命令、工具软件等。
f) 工具包应定期更新。
g) 配备应急处理服务人员。
h) 对在应急处理服务过程中可能会采取的操作、处理等行为,获得用户的书面授权。
C1.2 检测阶段
a) 确定检测对象及范围。
b) 对发生异常的系统进行信息的收集与分析,判断是否真正发生了安全事件。
c) 与客户共同确定应急处理方案。
d) 应急处理方案应明确检测范围与检测行为规范,其检测范围应仅限于客户已授权的与安全
事件相关的数据,对客户的机密性数据信息未经授权不得访问。
e) 与客户充分沟通,并预测应急处理方案可能造成的影响。
f) 检测工作应在客户的监督与配合下完成。
C1.3 抑制阶段
a) 与客户充分沟通,使其了解所面临的首要问题及抑制处理的目的。
b) 在采取抑制措施之前,应告知客户可能存在的风险。
c) 严格执行抑制处理方案中规定的内容,如有必要更改,须获得客户的书面授权。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第15 页
d) 抑制措施应能够限制受攻击的范围,抑制潜在的或进一步的攻击和破坏行为。
C1.4 根除阶段
a) 协助客户检查所有受影响的系统,提出根除的方案建议,并协助客户进行具体实施。
b) 应明确告知客户所采取的根除措施可能带来的风险。
c) 找出导致网络或信息安全事件发生的原因,并予以彻底消除。
C1.5 恢复阶段
a) 告知客户网络或信息安全事件的恢复方法及可能存在的风险。
b) (如需重建系统时适用该条款)对于不能彻底恢复配置和彻底清除系统上的恶意文件,或
不能肯定系统经过根除处理后是否可恢复正常时,应选择重建系统。
c) (如需重建系统时适用该条款)应协助客户按照系统的初始化安全策略恢复系统。
d) (如需重建系统时适用该条款)应协助客户验证恢复后的系统是否运行正常,并确认与原
有系统配置保持一致。
e) (如需重建系统时适用该条款)在帮助客户重建系统前需进行全面的数据备份,备份的数
据要确保是没有被攻击者改变过的数据。
f) (不需重建系统时适用该条款)应建立重建系统的应急工作流程及规范,并开展重建系统
的应急演练工作。
C1.6 总结阶段
a) 应保存完整的网络或信息安全事件处理记录,并对事件处理过程进行总结和分析。
b) 提供网络或信息安全事件处理报告。
c) 提供网络或信息安全方面的建议和意见,必要时指导和协助客户实施。
C2 二级要求
组织申报二级资质,除满足三级要求外,还应满足具有处理较大信息安全事件的能力(注:参
考国家标准GB/Z 20985-2007 《信息安全事件分类分级指南》,或参考组织所提供应急处理服务的
对象所处的行业对信息安全事件的等级划分标准,主要考察有害程序事件、网络攻击事件、信息破
坏事件、信息内容安全事件几类),具体见以下要求:
C2.1 准备阶段
a) 在客户应急需求基础上制定应急服务方案。
b) 应急服务方案应涉及客户应急预案的启动与执行。
c) 若客户未建立应急预案,可协助客户建立。
d) 可提供本地 1 小时、外地8 小时应急响应服务能力。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第16 页
e) 网络与信息安全事件工具包中应配备专业技术检测设备。
f) 对工具包实行制度化管理。
C2.2 检测阶段
a) 建立有针对常规应用系统、安全设备、常见网络与信息安全事件的检测技术规范。
b) 协助客户确定安全事件等级。
c) 应急处理方案应包含对安全事件的抑制、根除和恢复的详细处理步骤。
d) 应急处理方案应包含实施方案失败的应变和回退措施。
C2.5 恢复阶段
a) 与客户共同制定系统恢复方案,根据实际情况协助客户选择合理的恢复方法。
b) (如需重建系统时适用该条款)帮助客户为重建后的系统建立系统快照。
C2.6 总结阶段
a) 网络与信息安全事件处理记录应具备可追溯性。
b) 提供详实的网络与信息安全事件处理报告,完整展现应急处理服务的整个过程。
C3 一级要求
组织申报一级资质,除满足二级要求外,还应满足具有处理重大及特别重大信息安全事件的能
力(注:参考国家标准GB/Z 20985-2007 《信息安全事件分类分级指南》,或参考组织所提供应急
处理服务的对象所处的行业对信息安全事件的等级划分标准,主要考察有害程序事件、网络攻击事
件、信息破坏事件、信息内容安全事件几类。监审时,如无处理重大及特别重大安全事件的服务项
目案例,也可查验相关的应急演练记录,或说明所提供应急保障服务的系统的重要程度),具体见
以下要求:
C3.1 准备阶段
a) 建立有体系化的应急处理服务流程。
b) 可提供本地 7*24 小时、外地4 小时应急响应服务能力。
c) 与客户之间建立安全保密的信息传输渠道。
d) 具有自主开发专业检测工具的能力。
C3.2 检测阶段
a) 建立有完善的检测技术规范及具有对高技术入侵的检测技术能力。
b) 具有挖掘系统设备及业务系统安全漏洞的能力。
c) 对确认的安全事件启动安全事件管理程序。
d) 应急处理方案中应对可能造成的影响进行分析,包括社会影响。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第17 页
C3.3 抑制阶段
应使用可信的工具进行安全事件的抑制处理,不得使用受害系统已有的不可信文件。
C3.4 根除阶段
应使用可信的工具进行安全事件的根除处理,不得使用受害系统已有的不可信文件。
C3.5 恢复阶段
(如需重建系统时适用该条款)帮助客户对重建后的系统进行全面的安全加固。
C3.6 总结阶段
a) 对网络与信息安全事件进行总结和分析后,针对典型案例存入事件知识库。
b) 提供关闭安全事件管理程序。
c) 告知客户所发事件可能涉及到的法律诉讼方面的法律要求或影响。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第18 页
附录D(规范性附录): 信息系统灾难备份与恢复服务资质专业评价要求
信息系统灾难备份与恢复服务分为两类,即提供灾难备份与恢复资源服务为资源服务类(A类),
提供灾难备份与恢复系统设计、实施为技术服务类(B类),其专业评价要求分别如下:
D1资源服务类(A类)要求
D1.1 三级要求
D1.1.1灾备中心场地资源要求
a) 拥有至少1个可用于灾备中心的场地,位置避免处于地质沉降地带,交通便利、抗震等级按
照国家规定的该地区抗震设防烈度执行,抗震设防类别为丙类及以上。
b) 用于和可用于灾备中心IT运行区的高架地板面积不少于1000平米。
c) 机房设置7×24小时门禁系统,所有进入机房的外部人员均需获得授权。
d) 提供7×24小时闭路电视监控,其中公共区域的监控数据保留1个月以上,机房区域的监控
数据保留2个月以上。
e) 具备较高灵敏度的烟雾探测系统和消防系统,可实现分区灭火和定点报警。
f) 灾备中心建筑耐火等级达到二级及以上。
D1.1.2灾备中心基础设施要求
a) 拥有灾备中心基础保障设施,包括但不限于供配电设施、空调暖通设施、给排水设施、监
控设施、货运设施等,并定期检查。
b) 拥有灾备中心基础配套设施,包括但不限于灾难恢复指挥中心、灾难恢复坐席、办公区、
新闻发布中心、会议室、培训教室、模拟演练室等。
c) 拥有灾备中心基础生活设施,包括但不限于日常运维人员生活所需宿舍、食堂、活动室等。
d) 拥有灾备中心运行所需工作环境,包括但不限于计算机机房、主操作室、通讯机房、介质
机房、信息系统设备测试维修机房等。
e) 具备单路高压供电和独立UPS不间断电源保障。
f) 采用精密空调系统,并具备恒温恒湿要求。
D1.1.3灾备中心运维管理要求
a) 拥有灾备中心运维组织架构和运行管理团队,建立灾备中心机房运行管理和信息安全管理
制度,并有效运行。
b) 建立灾备中心信息系统运行监控平台,及时发现灾备系统运行的故障并进行故障定位、诊
断和审计,保存相关记录。
c) 建立信息系统灾难恢复指挥系统,保障灾难恢复效率。
d) 建立灾备中心与生产中心统一变更流程。
e) 定期开展数据验证工作,确保生产与灾备数据的一致性、完整性和可用性。
D1.2 二级要求
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第19 页
组织申报二级资质,除满足三级要求外,还应满足以下要求:
D1.2.1灾备中心场地资源要求
a) 拥有至少2个在不同地域的可用于灾备中心的场地资源,抗震设防烈度按照国家规定的该地
区抗震设防烈度执行,抗震设防类别为乙类及以上。
b) 用于和可用于灾备中心IT运行区的高架地板面积不少于2000平米。
c) 灾备中心建设等级满足国标A级或国际T3以上机房要求。
d) 具备气体灭火的消防系统,并具备早期报警系统/温感和烟感系统两级报警。
D1.2.2灾备中心基础设施要求
a) 建立并运行基础设施日常巡检、监控、检查、维护、性能和容量管理、系统优化、应急与
故障演练制度和流程。
b) 具备双路高压供电和双路UPS供电,拥有后备发电机组,并能在UPS后备时间内提供电力供
应,满足全部负荷连续运行48小时以上。
c) 采用精密空调系统,机房温度应达到 22°C±2°C,湿度应达到45%-65%。
D1.2.3灾备中心运维管理要求
a) 灾备中心建立与生产中心统一的运维管理流程,实现两个中心联动运维。
b) 灾备中心建立完整的电子化IT资产管理系统,能动态跟踪灾备中心IT资产变更。
c) 灾备中心提供统一的客户服务平台,集中受理客户服务请求。
d) 妥善保管运维记录,所有文档应满足客户监管机构要求。
e) 定期开展灾难恢复模拟切换演练工作,确保发生灾难时,灾备系统能够接替生产系统运行。
D1.3一级要求
组织申报一级资质,除满足二级要求外,还应满足以下要求:
D1.3.1灾备中心场地资源要求
a) 拥有至少2个在不同地域且处于不同的风险区域的灾备中心,满足异地灾备场地要求。
b) 用于灾备中心的场地应自有产权,或者签署有剩余期限不少于5年的长期租赁合同。
c) 用于和可用于灾备中心IT运行区的高架地板面积不低于5000平米。
d) 灾备中心应符合环保要求,采用高效新风换气系统,机房内正压,确保机房洁净度。
e) 至少采用园区保安、机房门卫、前台三重审核的外部保安措施。
f) 灾备中心的所有通道、机房内均设置 CCTV 摄像头和7X24小时监控,并且可以按照客户的
要求提供更长的保存期限。
g) 灾备中心建筑耐火等级达到一级。
D1.3.2灾备中心基础设施要求
a) 高压电来自两个独立的变电站的双路设计。
b) 后备发电机组具有不停机补充燃料的能力,并且与燃料供应商签署燃料供应保障协议,保
障燃料数量和质量要求,UPS和油机可自动切换。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第20 页
D1.3.3灾备中心运维管理要求
a) 采用运维监控和流程管理工具,实现对多数据中心资源的统一监控和自动化管理。
b) 针对特定的灾难场景进行灾难恢复真实切换演练,并能接替生产完成至少2个小时的真实交
易,并能在规定时间内进行回切。
c) 具备真实切换演练的方案设计、培训、实施管理和应急处置能力。
d) 定期维护灾难恢复预案,及时更新和分发预案文档,确保预案体系持续有效。
e) 建立灾备中心应急管理体系,确保灾备系统稳定运行。
D2技术服务类(B类)要求
D2.1 三级要求
D2.1.1方案设计要求
a) 开展灾难恢复系统建设需求调研,并进行需求分析。
b) 按照灾难恢复规划和客户的投入能力,制定灾难备份与恢复系统技术方案、实施方案。
D2.1.2系统建设与管理要求
a) 依据灾难备份与恢复实施方案,实施灾难备份与恢复系统建设。
b) 妥善保存灾难备份与恢复系统建设过程记录文档。
D2.1.3预案制定与演练要求
a) 制定信息系统灾难恢复预案。
b) 开展信息系统灾难恢复桌面推演,并详细记录。
c) 结合项目需要,组织开展灾难恢复预案培训。
D2.2 二级要求
组织申报二级资质,除满足三级要求外,还应满足以下要求:
D2.2.1方案设计要求
a) 按照不同灾难恢复等级对资源的要求,确定灾备中心基础设施、数据备份系统、备用数据
处理系统和备用网络系统等方面的需求,形成调研报告。
b) 对业务系统中断后的损失进行分析,制定业务系统的最大可容忍业务中断时间(RTO)、最
大可容忍中断时间点(RPO)。
c) 依据系统建设要求和技术方案,制定系统测试方案。
D2.2.2系统建设与管理要求
a) 依据测试方案,组织实施系统测试,并详细记录。
b) 制定灾难备份与恢复系统试运行方案,并详细记录试运行过程情况。
D2.2.3预案制定与演练要求
a) 制定系统演练方案,明确演练范围、人员、场景、步骤等内容。
b) 组织演练培训和动员,明确参演人员角色、职责和具体任务。
c) 设计多种演练场景并组织推演,详细记录演练过程。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第21 页
D2.3一级要求
组织申报一级资质,除满足二级要求外,还应满足以下要求:
D2.3.1方案设计要求
a) 识别客户的信息资产及其脆弱性和威胁,对基础设施和信息系统进行风险评估,制定本地
风险控制策略和灾难恢复策略。
b) 分析业务系统与应用系统之间的关联关系,确定应用系统灾难恢复指标和恢复优先级别。
D2.3.2预案制定与演练要求
a) 制定信息系统灾难恢复预案体系,包括应急预案和恢复预案。
b) 基于特定的演练场景,制定详细的切换演练方案。
c) 组织完成真实切换演练前的桌面推演和模拟测试工作。
d) 详细记录演练过程并进行总结,及时修订应急和恢复预案体系。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第22 页
附录E(规范性附录):软件安全开发服务资质专业评价要求
软件安全开发服务资质专业评价要求针对准备、需求、设计、编码、测试、验收和维保七个阶
段进行,具体分级要求如下:
E1 三级要求
E1.1准备阶段
a) 建立软件项目安全开发团队,明确各岗位、人员、职责。
b) 制定软件项目安全开发管理计划,明确开发过程管控措施。
c) 建立软件开发的配置管理计划,明确配置管理的安全要求。
d) 建立变更控制制度,明确软件项目变更控制的安全要求。
e) 制定软件项目安全培训计划,对相关人员进行安全培训。
f) 建立独立的开发环境,确保开发环境与运行环境隔离。
E1.2需求阶段
a) 调研项目背景信息,收集项目需求,明确软件功能、性能及安全方面的要求。
b) 结合软件项目需求、安全需求,与用户充分沟通,达成共识并形成记录。
E1.3设计阶段
a) 根据软件项目需求,编制软件设计说明书。
b) 软件设计说明书明确系统/子系统的功能和非功能设计要求。
c) 软件设计说明书明确包含安全功能要求,包括标识与鉴别、访问控制、安全审计和安全管
理等。
E1.4编码阶段
a) 制定统一的代码安全编码规范,确保开发人员参照规范安全编码。
b) 依据详细设计说明书,对软件进行安全编码。
c) 软件代码要经过安全检查、评审,对于发现的漏洞能有效修复。
E1.5测试阶段
a) 依据软件设计说明书对软件功能、安全功能进行测试。
b) 对测试发现的漏洞进行分析并有效修复。
E1.6验收阶段
E1.6.1系统试运行
a) 测试系统运行的可靠性、稳定性和安全性,进行试运行,并记录系统运行状况,试运行周
期至少一个月。
b) 基于系统试运行相关记录,及时对软件进行调整、维护。
E1.6.2验收交付
a) 根据合同约定,向客户提交完整的项目资料及交付物,并提出验收申请。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第23 页
b) 根据合同约定,进行项目验收,形成项目验收报告。
E1.7维保阶段
对于影响软件系统安全、稳定运行的缺陷,及时有效采取打补丁、版本升级等方式予以消除,
并提供远程技术支持服务。
E2 二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
E2.1准备阶段
a) 建立软件安全开发项目风险管理机制,对软件项目进行风险评估。
b) 使用配置管理工具对软件项目进行配置管理。
c) 配备专职的测试人员。
d) 建立独立的测试环境,确保测试环境与开发环境隔离。
E2.2需求阶段
a) 准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性
和可靠性等方面的安全需求。
b) 对于数据采集、产生、使用,明确识别安全保护要求。
c) 基于客户需求,开展需求分析,编制具有软件安全需求的分析报告。
d) 需求分析报告中明确项目开发中使用的安全技术标准、规范。
E2.3设计阶段
E2.3.1概要设计
概要设计说明书应明确数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等安
全功能要求。
E2.3.2详细设计
详细设计说明书中应包含对数据产生、传输、存储、使用、处理和归档安全方面的详细设计。
E2.4编码阶段
软件代码的安全检查、评审工作应形成记录。
E2.5测试阶段
E2.5.1单元测试
a) 明确单元测试策略,制定单元测试计划。
b) 依据详细设计说明书和测试计划进行单元测试设计,并执行单元测试,形成测试记录。
E2.5.2集成测试
a) 明确集成测试策略,制定集成测试计划。
b) 依据概要设计方案和测试计划进行集成测试设计,并执行集成测试,形成测试记录。
E2.5.3系统测试
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第24 页
a) 制定包括系统安全性测试在内的测试计划,并执行系统测试,形成测试记录。
b) 基于软件安全功能的安全要求,制定脆弱性测试方案,对安全漏洞进行测试,形成测试记
录。
c) 对系统测试结果进行分析,形成分析报告。
E2.6验收阶段
E2.6.1系统试运行
试运行结束后,制定系统试运行报告,并提交客户。
E2.6.2验收交付
提交软件安全测评报告。
E2.7维保阶段
a) 制定系统运行计划、安全事件响应计划、安全事件应急预案,建立应急响应服务保障团队。
b) 及时应对突发安全事件,并向用户提供安全事件解决报告。
E3 一级要求
组织申报一级资质,除满足二级能力要求外,还应满足以下要求:
E3.1准备阶段
a) 建立软硬件设备和工具等资源安全使用规范。
b) 配备安全管理人员。
c) 建立变更控制委员会。
E3.2需求阶段
a) 应基于软件安全威胁开展需求分析。
b) 基于软件项目需求分析建立软件安全开发模型。
E3.3设计阶段
E3.3.1概要设计
a) 概要设计说明书中应明确基于软件安全威胁分析的安全要求。
b) 当开发场景适用时,概要设计说明书中应明确抗抵赖、安全标记、可信路径等安全功能要
求。
E3.3.2详细设计
依据安全要求和概要设计说明书,明确基于软件安全威胁分析进行详细设计。
E3.4编码阶段
采用自动化工具对代码安全漏洞进行审查,对于发现的漏洞能有效修复,并形成审查报告。
E3.5测试阶段
E3.5.1单元测试
对单元测试结果进行分析,形成分析报告。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第25 页
E3.5.2集成测试
对集成测试结果进行分析,形成分析报告。
E3.5.3系统测试
基于软件项目的安全要求,制定系统渗透性测试方案,模拟攻击场景,对系统安全性进行测试,
并形成分析报告。
E3.6验收阶段
E3.6.1系统试运行
a) 提供三个月以上的试运行记录和报告。
b) 综合软件系统试运行状态,建立软件系统运行策略和安全指南。
E3.6.2验收交付
提交软件产品第三方安全测评报告或安全认证证书。
E3.7维保阶段
a) 制定软件健康检查计划、方案,定期实施,提交相应的系统健康检查报告、巡检报告。
b) 根据健康检查报告进行分析,持续优化系统。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第26 页
附录F(规范性附录):安全运维服务资质专业评价要求
安全运维服务资质专业评价要求针对服务准备、服务设计、服务实施、服务报告四个阶段进行,
具体分级要求如下:
F1 三级要求
F1.1 准备阶段
F1.1.1 需求调研与分析
a) 调研客户信息系统安全现状,采集客户安全服务需求与目标,明确客户对信息系统安全运
维服务时间、服务期限、服务内容以及服务方式的需求。
b) 进行信息系统运维预算,定义运维服务。
c) 与客户进行沟通,达成共识并形成记录。
F1.1.2 签订服务协议
a) 与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
b) 明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。
F1.2 方案设计阶段
a) 根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服
务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管
理等方面要求。
b) 提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
c) 专业人员负责安全管理的接口。
F1.3 服务实施阶段
a) 实施初始服务,完成资产识别。
b) 采集信息系统重要资产的安全配置、流量信息等安全信息。
c) 对安全设备进行日常维护及监控,并记录硬件故障。
d) 收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志。
e) 实施日常巡检服务:对用户的安全设备、网络设备、服务器提供业务操作巡检、状态巡检、
安全策略配置巡检服务。
f) 实施日常安全运维服务:完成安全设备、网络设备、服务器、应用系统安全事件监控;病
毒监测、查杀及网络防病毒维护;漏洞扫描、安全加固、补丁安装;并有相关记录。
g) 对信息安全事件进行统计与分析。
h) 实施健康检查服务:完成安全设备、业务系统的健康检查服务。
F1.4 运维服务报告阶段
a) 向客户提交服务报告,定期收集与报告安全运维实施情况。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第27 页
b) 汇总整理全年服务记录,形成年终安全运维服务总结报告。
c) 根据合同约定,配合组织项目验收,出具项目验收报告。
F2 二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
F2.1 准备阶段
F2.1.1 需求调研与分析
a) 分析客户对信息系统安全服务的需求和类型。
b) 收集与分析信息系统的可用性指标。
c) 分析以往服务的数据,提取出来未来可自动化的服务(监审时适用)。
F2.1.2 签订服务协议
签订服务级别协议。
F2.2 方案设计阶段
a) 编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
b) 识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案(监审
时适用)。
c) 编制信息系统的安全基线。
d) 建立信息系统安全的配置库。
F2.3 服务实施阶段
a) 收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性(专职管理)。
b) 实施安全设备、网络设备、中间件、数据库、服务器等资产的安全配置管理,定期对配置
项进行更新和维护。
c) 根据制定的安全配置基线,定期进行安全配置核查工作。
d) 实施运维监控与分析并形成记录。
F2.4 运维服务报告阶段
a) 应定期收集与分析安全运维的关键指标数据,数据包括但不限于:异常报告及时率、异常
漏报率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆
盖率、安全补丁安装及时率、安全事件次数。(参照服务合同)
b) 建立客户满意度调查机制。
F3 一级要求
组织申报一级资质,除满足二级能力要求外,还应满足以下要求:
F3.1 准备阶段
F3.1.1 需求调研与分析
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第28 页
a) 内部团队之间的安全运营级别协议应和与安全运维第三方之间的服务级别设计保持一致。
b) 安全组织中要设定安全领导小组。
F3.2 方案设计阶段
a) 建立信息系统应急事件响应机制和恢复保障。
b) 编制安全运维项目作业指导书。
c) 建立应急响应和灾难恢复机制,形成业务连续性计划。
d) 基于漏洞发现与分析进行信息系统漏洞的管理工作。
F3.3 服务实施阶段
a) 实施安全培训服务:完成安全意识、基本安全技术的培训服务。
b) 实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏
洞通告、病毒通告、厂商安全通告及其他安全通告。
c) 实施应急响应服务:完成应急响应预案制定,对应急事件及时响应,并对应急预案进行演
练,形成相关记录。
d) 依据运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更
过程。
e) 制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
f) 依据风险评估方案与计划实施信息系统风险评估;依据渗透测试方案与计划实施信息系统
渗透测试。
g) 依据漏洞管理方案实施信息系统漏洞管理工作。
F3.4 运维服务报告阶段
a) 对客户满意度进行趋势分析。
b) 对客户系统的安全态势做出分析,并给出安全建议。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第29 页
附录G(规范性附录): 网络安全审计服务资质专业评价要求
网络安全审计服务资质专业评价要求针对审计对象调研、审计实施方案编制、审计取证与评价、
审计报告、跟踪审计和审计质量控制等六个过程进行,项目实施过程应形成文件,具体分级要求如
下:
G1 三级要求
申请三级资质认证的单位,具备确定审计目标和范围、确定审计依据的能力;具备实施现场审
计、报告审计发现和形成审计结论的能力;具备提出审计建议的能力。
G1.1 审计对象识别
G1.1.1 了解被审计方业务和IT情况
a) 编制业务情况调研表,并按照调研表收集有效信息。
b) 编制IT情况调研表,并按照调研表收集有效信息。
G1.1.2 了解被审计方组织管理和IT管理情况
a) 有效掌握被审计方组织结构。
b) 有效掌握被审计方IT管理情况。
c) 了解被审计方IT支撑业务的对应关系。
d) 对网络安全审计的风险进行初步评价。
G1.2 编制审计实施方案
G1.2.1 确定网络安全审计目标
a) 合理确定每个具体网络安全审计项目的目标。
b) 网络安全审计目标可以包括信息化政策合规性、网络安全建设和绩效、政务系统整合和数
据共享、个人信息保护和数据保护、信息化项目建设绩效与合规、信息系统有效性和可靠
性、信息系统应急响应能力等。
G1.2.2 确定网络安全审计依据
a) 应根据具体审计目标,准确确定审计依据。
b) 网络安全审计依据可以是国家和政策部门法律法规、国际国内相关标准、被审计方自己实
行的有关规章制度,以及审计委托方指定的其它审计依据。
G1.2.3 确定网络安全审计范围和审计内容
a) 应根据审计目标和审计依据,确定审计范围。审计范围应包括组织机构范围、业务范围、
IT基础设施和应用系统范围等。
b) 应根据审计依据和范围,确定审计内容。审计内容应划分到具体审计事项,明确每一个审
计事项的审计要点和审计方法及所需资源。
c) 审计方法及所需资源应包括审计人员、计划时间安排、审计工具,以及可操作的审计方法
和流程。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第30 页
G1.2.4 组建审计组
a) 应考虑审计目标、审计内容、审计范围等组建审计组。
b) 选择审计组成员应满足通用评价要求的人员能力要求,同时应满足审计和网络安全审计基
础流程中的人员能力要求。
G1.3 审计取证与评价
G1.3.1 审计取证
a) 应选择适当的方法,在现场审计或非现场审计活动中获取审计证据。审计取证的方法可以
是访谈、文件和记录调阅、审计项检查表、系统操作验证、审计工具、函证等。
b) 在获取审计证据过程中,应选择适当的抽样方式。
c) 应采取必要措施,保证审计证据的相关性、可靠性和充分性
G1.3.2 编制审计工作底稿
a) 应在审计取证完成后,编制审计工作底稿或审计取证单。
b) 审计工作底稿或审计取证单应内容完整、记录清晰、结论明确,客观地反映项目审计方案
的编制及实施情况,以及与形成审计结论、意见和建议有关的所有重要事项。
c) 审计工作底稿或审计取证单应经被审计方签字确认。
G1.3.3 审计评价
a) 应对审计证据与审计依据的符合性进行评价,以形成审计发现,审计发现应明确审计项符
合或不符合审计依据的程度,该程度可以用不同级别来表示。
b) 网络安全审计评价应客观、公正地反映被审计单位信息系统的真实情况。
G1.4 审计报告
G1.4.1 一般原则
a) 应实事求是地反映被审计事项的事实。
b) 应要素齐全、格式规范,完整反映审计中发现的重要问题。
c) 充分考虑审计项目的重要性和风险水平,对于重要事项应当重点说明。
d) 提出可行的改进建议,以促进被审计方信息系统有效支撑其业务的目标。
G1.4.2 审计报告的内容
a) 审计报告应完整、准确地反映审计结果,内容应包括审计概况、审计依据、审计发现、审
计结论、审计意见等。
b) 需要时,审计报告可以增加附件。附件内容可包括针对审计过程、审计中发现问题所作出
的具体说明,以及被审计单位的反馈意见等内容。
G1.4.3 交付审计报告
a) 应建立审计报告的批准和交付程序,保留交付记录。
b) 应在审计委托方或被审计方约定的时间内交付,如延迟交付,应向审计委托方和被审计方
说明理由。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第31 页
G1.5 跟踪审计
G1.5.1 一般原则
a) 应安排对审计发现问题的整改措施和整改措施的效果进行跟踪审计。
b) 应与被审计方约定在规定的时间内实施跟踪审计,一般自审计报告交付起不超过6个月。
G1.5.2 跟踪审计报告
a) 应当根据跟踪审计的实施过程和结果编制跟踪审计报告。
b) 跟踪审计报告的管理参照G1.4审计报告。
G1.6 审计质量控制
G1.6.1 审计质量控制制度
a) 应建立审计质量控制制度,以确保遵守审计相关法规和准则,作出准确的审计结论。
b) 审计质量控制制度应覆盖审计质量责任、审计职业道德、审计人力资源、审计业务执行、
审计质量监控等。
G2 二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
申请二级资质认证的单位,至少完成6个完整的网络安全审计项目;具备确定审计目标和范围、
确定审计依据的能力;具备实施现场审计、报告审计发现和形成审计结论的能力;具备提出审计建
议的能力。
G2.1 审计对象识别
G2.1.1 了解被审计方业务和IT情况
a) 编制审计对象列表,包括审计对象的数量、容量、功用、版本等属性。
b) 梳理被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构。
G2.1.2 了解被审计方组织管理和IT管理情况
a) 梳理被审计方规章制度文件,形成审计项并编制对应检查表。
b) 编制完整审计调研报告,并说明重点审计项。
c) 制定审计风险评价准则,评价审计风险,为确定重点审计项和明确审计内容提供依据。
G2.2 编制审计实施方案
G2.2.1 确定网络安全审计目标
网络安全审计目标应经过评审,并与被审计方达成一致。
G2.2.2 确定网络安全审计依据
应建立并维护常用审计依据库,并确保审计依据是当前适用版本。
G2.2.3 确定网络安全审计范围和审计内容
应建立审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系。
G2.2.4 组建审计组
应指定审计组长、主审和审计组成员,并明确分配审计任务。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第32 页
G2.3 审计取证与评价
G2.3.1 审计取证
a) 应具备至少利用一种网络安全审计工具执行审计取证的能力。
b) 对电子形式存在的审计证据,应做好取证记录,并经被审计方相关人员确认。
c) 应采取必要的措施,保护取证过程中所采集的电子数据的安全。
G2.3.2 编制审计工作底稿
a) 应建立审计工作底稿的分级复核制度,明确规定各级复核人员的要求和责任。
b) 审计工作底稿的内容应包括但不限于被审计部门的名称,审计事项及其期间或者截止日期,
审计程序的执行过程及结果记录,审计结论、意见及建议,审计人员姓名和审计日期,复
核人员姓名、复核日期和复核意见,编号及页次,被审计方意见、附件等。
G2.3.3 审计评价
应编制审计发现列表。
G2.4 审计报告
G2.4.1 一般原则
应建立审计报告分级复核制度,明确规定各级复核人员的要求和责任。
G2.4.2 审计报告的内容
a) 审计报告中应提出审计发现问题改进建议。
b) 应建立程序,对已经出具的审计报告可能存在的重要错误或者遗漏及时更正,并将更正后
的审计报告提交给原审计报告接收者。
G2.4.3 交付审计报告
c) 应建立审计报告归档和保管制度。任何组织或者个人查阅和使用归档后的审计报告,必须
经审计机构负责人批准,但国家有关部门依法进行查阅的除外。
d) 审计报告归被审计方所有,被审计方对审计报告的使用、保管等有明确要求的,应遵守其
要求。
G2.5 跟踪审计
G2.5.1 一般原则
应编制跟踪审计方案,对后续审计做出安排。
G2.5.2 跟踪审计报告
跟踪审计报告的管理参照G2.4审计报告。
G2.6 审计质量控制
G2.6.1 审计质量控制制度
a) 应建立网络安全审计工作手册,规范网络安全审计全生命周期内的所有活动。
b) 确保审计质量控制制度与网络安全审计工作手册相适应。
G3 一级要求
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第33 页
组织申报一级资质,除满足二级能力要求外,还应满足以下要求:
申请一级资质认证的单位,至少完成10个以上不同行业(如金融、电信、能源、医疗、公共部
门等)完整的网络安全审计项目,项目审计目标应覆盖至少合规、安全、绩效等;具备确定审计目
标和范围、确定审计依据的能力;具备实施现场审计、报告审计发现和形成审计结论的能力;具备
提出审计建议的能力。
G3.1 审计对象识别
G3.1.1 了解被审计方业务和IT情况
a) 应利用应用系统工具来建立和管理审计对象库。
b) 具备为被审计方提供审计对象管理工具的能力。
G3.1.2 了解被审计方组织管理和IT管理情况
应建立审计调研报告分级复核制度,明确规定各级复核人员的要求和责任。
G3.2 编制审计实施方案
G3.2.1 确定网络安全审计目标

G3.2.2 确定网络安全审计依据
a) 应利用应用系统工具来建立和维护常用审计依据库,并确保审计依据是当前适用版本。
b) 具备为被审计方提供审计依据管理工具的能力。
G3.2.3 确定网络安全审计范围和审计内容
a) 应利用应用系统工具来建立和维护审计范围、审计对象、审计依据要求项、审计程序(方
法)、所需资源的对应关系。
b) 具备为被审计方提供审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资
源等对应关系管理工具的能力。
G3.2.4 组建审计组
对于特定行业领域的网络安全审计,应具备聘请外部行业技术专家作为审计组成员。
G3.3 审计取证与评价
G3.3.1 审计取证
a) 应至少具备和使用数据分析类、漏洞和缺陷扫描类、系统配置和运行日志检查类等类型的
审计工具取证的能力。
b) 利用审计工具取证时,应采取措施确保对审计对象的风险最小化。
G3.3.2 编制审计工作底稿
a) 应利用应用系统工具来归档和保管审计工作底稿。
b) 具备为被审计方提供审计工作底稿管理工具的能力。
G3.3.3 审计评价
a) 应利用应用系统工具来管理审计发现列表。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第34 页
b) 具备为被审计方提供审计发现列表管理工具的能力。
G3.4 审计报告
G3.4.1 一般原则
应利用应用系统工具来管理审计报告。
G3.4.2 审计报告的内容
在审计的任何阶段,如果遇到或发现与审计目标和内容有关的重大问题,如违法违规问题、重
大安全风险等,应出具审计专报。
G3.4.3 交付审计报告
具备为被审计方提供审计报告管理工具的能力。
G3.5 跟踪审计
G3.5.1 一般原则

G3.5.2 跟踪审计报告
跟踪审计报告的管理参照G3.4审计报告。
G3.6 审计质量控制
G3.6.1 审计质量控制制度
a) 应监督网络安全审计实施的过程。
b) 应定期开展网络安全审计质量检查。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第35 页
附录H(规范性附录): 工业控制系统安全服务资质专业评价要求
工业控制系统安全服务资质专业评价要求针对安全服务规划、服务实施、服务总结三个过程进
行,项目实施过程应形成文件,具体分级要求如下:
H1 三级要求
申请三级资质认证的单位,至少有1个针对工业生产行业领域的系统集成和系统运维的服务项目;
在技术和管理方面具备安全服务的过程管理、风险管理,以及识别跟踪信息安全漏洞的能力;具备
安全问题解决的验证和证据分析、安全服务不断提升改进的能力。
H1.1 服务规划阶段
H1.1.1 调研客户需求
a) 编制业务情况和工业控制系统调研表,并按照调研表收集有效信息。
b) 有效掌握工业企业的组织结构、了解对工业控制系统的管理机制。
c) 采集客户对工业控制系统安全管理和技术服务的目标和需求。
H1.1.2 分析服务业务
a) 识别工业控制系统面临的潜在威胁,分析服务过程中可能生产的安全风险;
b) 识别影响工业控制系统安全服务的法律、政策、标准、外部影响和约束条件;
c) 分析客户业务需求,明确客户工业控制系统安全服务的目标与需求。
H1.1.3 编制服务方案
a) 结合调研的安全需求,与客户、工业控制系统开发单位及其他相关人员充分沟通,编制安
全服务技术方案和服务预算。
b) 与客户签订服务协议,编制实施方案,明确服务范围、目标、进度、内容、金额、交付质
量、沟通和风险等方面的要求。
H1.1.4 组建服务团队
a) 应考虑服务项目的目标、内容、范围等组建团队。
b) 选择工业控制系统安全服务项目负责人应满足通用评价要求的人员能力要求,熟悉工业控
制系统业务流程,能与工业控制系统运行人员进行有效沟通。
H1.1.5 实施准备
a) 应根据服务内容准备必要的工具。
b) 对服务过程中可能会采取的操作、处理等行为,获得用户的书面授权。
c) 对团队成员进行安全教育、信息安全服务技能和工业控制系统操作规程培训。
H1.2 服务实施阶段
H1.2.1 项目实施
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第36 页
a) 实施初始服务,采集工业控制系统重要资产以及资产的安全配置;收集与分析网络及安全
设备、服务器、数据库、中间件、应用系统的日志;收集和分析工业控制系统的硬件故障
及安全事件。
b) 依据已确认的安全服务技术方案和实施方案,按照时间和质量要求进行安全集成服务安全
运维和风险评估服务。
c) 对工业控制系统的应用系统升级、补丁升级和病毒库升级应在线下模拟环境中进行验证,
在不影响系统可用性、实时性和稳定性的前提下实施更新。
d) 在实施过程中,必须遵守工业控制系统的相关操作章程,以防止敏感信息泄漏和确保及时
处理意外事件。
e) 对直接涉及在运工业控制系统的安全服务,尽可能避开安全生产的敏感时期和业务高峰期。
f) 针对工业控制系统业务特点和系统组成,分析系统脆弱性形成原因,识别跟踪工业控制系
统的漏洞,在服务过程中采取有效措施避免安全风险。
g) 项目实施人员按时提交服务记录,及时向项目经理汇报项目进度。
h) 建立安全服务项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施
过程中能够有效充分的沟通。
H1.2.2 系统运行测试
a) 实施结束后,对工业控制系统进行功能和性能检测,保障系统运行的可靠性和稳定性,并
记录系统运行状况。
b) 必要时,制定系统安全性测试方案,对于系统改造或升级项目,还需进行兼容性测试,完
整记录测试过程相关信息。
c) 建立系统维保服务流程,制定维保方案并形成维保记录。
H1.3 服务总结阶段
H1.3.1 服务验收
a) 根据合同约定,向客户提交完整的项目交付物,并提出终验申请。
b) 根据合同约定,配合组织项目验收,出具项目验收报告。
c) 验收报告中应描述工业控制系统在验收时的运行状况,以及客户单位的反馈意见。
H1.3.2 服务交接
a) 告知客户工业控制系统网络安全现状和可能存在的安全风险。
b) 提供针对安全风险的应对建议,必要时指导和协助客户实施。
c) 应建立报告的批准和交付程序,保留交付记录。
H1.3.3 服务总结
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第37 页
a) 应保存完整的安全服务工作记录,并对安全服务过程进行总结和分析,提交工业控制系统
网络安全服务的工作报告,内容应包括项目概况、依据、服务过程、结论、进一步工作建
议,以及工业控制系统安全服务过程中发现问题等。
b) 应形成和保存工业控制系统的状态和防护情况的记录,包括工业控制系统的业务流程、系
统组成、设备配置、存在漏洞,以及采取的安全措施。
c) 应指派至少一人复核与评价相关的所有信息和结果,复核应由未参与评价过程且熟悉相应
生产行业业务领域的人员进行。
H2 二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
申请二级资质认证的单位,至少完成6个与申请工业控制领域一致的完整的安全集成和安全运维
服务项目;在技术和管理方面具备安全服务的过程管理、风险管理能力;具备针对工业控制系统开
展风险评估服务的能力;具备安全问题解决的验证和证据分析、安全服务不断提升改进的能力。
H2.1 服务规划阶段
H2.1.1 调研客户需求
a) 调研客户工业控制系统的业务逻辑、工作流程,工业控制系统的设备组成、网络架构等。
b) 编制完整的客户调研报告,调研的内容包括组织架构、制度列表、业务流程、工业控制系
统资产信息、工业控制系统相关的管理人员信息等。
H2.1.2 分析服务业务
a) 了解所属行业主管部门对工业控制系统安全要求。
H2.1.3 编制服务方案
a) 制定针对人员、设备、文档、系统的风险监控措施,有效保障工业控制系统的安全、稳定。
b) 对于在运工业控制系统,应搭建控制系统的模拟环境,模拟真实系统的运行情况、配置、
数据、业务流程,验证方案的有效性。
c) 安全服务技术方案和实施方案应经过评审,并与客户达成一致。
H2.1.4 组建服务团队
a) 团队成员必须包括所服务业务领域的工业控制系统专业人员,熟悉工业控制系统工作原理、
业务流程和操作规程。
H2.1.5 实施准备
a) 应根据服务的需求准备必要的工具,具有工具定制研发的能力。
b) 结合项目需要,编制安全服务项目施工手册和作业指导书。
c) 对团队成员进行安全服务技能培训和工业控制系统原理、组成和操作的培训。
H2.2 服务实施阶段
H2.2.1 项目实施
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第38 页
a) 建立服务过程质量监控机制, 监督工业控制系统安全服务实施的过程,定期开展工业控制
系统安全服务质量检查。
b) 针对工业控制系统业务特点和系统组成,分析系统脆弱性形成原因,识别跟踪和验证工业
控制系统的漏洞,在服务过程中采取有效措施避免安全风险。
c) 如有远程服务的需求,应建立远程访问审批流程,经批准后方能实施,实施过程应采取必
要的访问控制策略并对操作过程进行安全审计。
d) 应编制服务过程中发现的工业控制系统安全风险的风险列表。
H2.2.2 风险评估
a) 识别工业控制系统的重要资产、安全威胁、脆弱性,验证已有的安全措施,构建风险分析
模型进行风险计算和评价,给出风险评估报告;
b) 协助用户确定风险处置原则,对组织不可接受的风险提出风险处置措施。
c) 对客户提出完整的风险处置方案,协助客户进行风险处置,必要时,对残余风险进行再评
估。
H2.2.3 系统运行测试
a) 制定系统安全性测试方案,在运行系统中或模拟环境中进行测试,完整记录测试过程相关
信息,形成系统测试报告。
H2.3 服务总结阶段
H2.3.1 服务验收
a) 应建立程序,对服务验收中可能存在的重要分歧或者遗漏及时更正,并将更正后的验收报
告提交给用户方。
H2.3.2 服务交接
a) 建立客户满意度调查机制。
H2.3.3 服务总结
a) 验证在服务过程中发现的工业控制系统的漏洞,建立管理机制跟踪漏洞的消缺情况。
H3 一级要求
组织申报一级资质,除满足二级能力要求外,还应满足以下要求:
申请一级资质认证的单位,至少完成10个与申请工业控制领域一致的完整的安全集成和安全运
维服务项目;在技术和管理方面具备安全服务的过程管理、风险管理能力;具备针对工业控制系统
开展风险评估服务、应急处理服务的能力;具备安全问题解决的验证和证据分析、安全服务不断提
升改进的能力。
H3.1 服务规划阶段
H3.1.1 调研客户需求
a) 调研客户企业愿景,对工业控制系统安全业务的发展规划和未来几年业务发展目标。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第39 页
H3.1.2 分析服务业务
a) 对客户的安全生产和网络安全现状进行评估,调研行业安全防护的水平,明确薄弱环节。
H3.1.3 编制服务方案
a) 确定实施过程的备份机制和应急处理方案,并与客户充分沟通,预测应急处理方案可能造
成的影响。
H3.1.4 组建服务团队
a) 团队成员必须配备能够对工业控制系统进行应急处理的服务人员。
H3.1.5 实施准备
a) 具有根据工业控制系统特点,自主开发专业检测工具的能力。
b) 配备有处理网络或信息安全事件的工具包,包括常用的系统命令、工具软件等。
c) 应根据服务的需求配备必要的服务质量监测手段,具备对服务行为进行审计的能力。
H3.2 服务实施阶段
H3.2.1 项目实施
a) 有能力利用客户的备用设备或仿真环境搭建控制系统的模拟环境,模拟真实系统的结果、
配置、数据、业务流程,在仿真系统中验证服务内容和测试,以保障在运系统的安全、稳
定运行。
b) 建立服务过程质量监控机制,定期开展服务质量评价工作,能够对多个团队的服务质量的
一致性进行把控。
H3.2.2 风险评估及应急处置
a) 能够对工业控制系统发生的网络安全事件进行原因分析,采取措施抑制或根除潜在的安全
风险,提交应急处置方案。
b) 网络与信息安全事件处理记录应具备可追溯性。
H3.2.3 系统运行测试
a) 制定系统安全性测试方案,模拟攻击场景,在模拟环境中进行安全性测试,形成测试报告。
b) 综合分析控制系统运行状况,制定安全运维、应急响应方案。
H3.3 服务总结阶段
H3.3.1 服务验收

H3.3.2 服务交接
a) 建立应急保障团队,及时响应客户需求。
H3.3.3 服务总结
a) 建立服务项目知识库,积累和汇总不同行业的业务知识和系统特点。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第40 页
b) 提供详实的网络与信息安全事件处理报告,完整展现应急处理服务的整个过程。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第41 页
附录I:信息安全服务人员能力要求
从事信息安全服务的相关人员,应具备技术和管理能力并通过考试,各服务类别的笔试科目及范围如下:
序号 风险评估方向考试科目和范围
1.
信息安全保障人员基本素质
(1)职业素养:深刻理解从事信息安全保障工作必备的职业素养、特殊责任。
(2)知识结构:理解信息安全保障工作所需基础知识结构,深刻理解信息安全保障本质含义。
(3)工作技能:理解从事信息安全保障工作所需的基本技能、信息安全保障工作的特殊困难。
2.
信息安全意识教育
(1)信息安全保障概念:了解信息安全发展历程,理解通信保密、网络安全、信息安全、信息安全保障等概念,准确理解信息安全属性,掌握
什么时候需要分别考虑信息安全属性。
(2)信息安全形势:了解国内外信息安全形势、最新的典型信息安全问题、应对典型信息安全问题的方法。
(3)信息安全需求识别:了解形势发展的需要,理解社会责任的需求、组织业务保障的需要,了解现实信息技术环境的需求,指导如何提出实
际需要,了解法律法规的要求、客户合同的要求、强制标准的要求、风险评估的要求、日常保障的要求、新技术和新措施应用的要求。
3.
信息安全法律法规体系
(1)法律法规结构体系:了解我国信息安全法律法规结构、基本分类。
(2)国内外信息安全法律法规建设概况:了解中国、美国及其他国家信息安全相关法律法规建设情况
(3)国内外信息安全标准建设概况:了解国外信息安全标准化相关机构以及相互关系,如ISO、IEC、ITU 和国发达家的信息安全标准相关组织
机构,如美国、英国等,了解我国信息安全标准相关组织及其关系,如国家标准化管理委员会、全国信息安全标准化技术委员会(TC260)等,
了解ISO、IEC 和ITU 信息安全相关标准建设情况,了解美国特有的信息安全相关标准建设情况,了解我国信息安全相关标准建设情况。
(4)我国信息安全管理概况:了解我国信息安全相关管理机构、管理模式、主要的信息安全管理手段。
(5)典型信息安全法律法规:了解刑法中与信息安全相关的条款,了解《保守国家秘密法》、《商用密码管理条例》,了解我国互联网相关管
理规定、信息安全产品相关管理规定。
4.
通信技术基础
(1)通信的基本概念:理解通信的本质含义及电信概念、通信网络形成过程,了解通信网络结构、通信网络中的安全属性、通信网络应用分类、
“网络”习惯分类、通信网络安全问题本质成因。
(2)通信协议及应用:熟悉OSI 七层模型、TCP/IP 协议族的基本协议及TCP/IP 协议族存在的固有安全问题、IPv6、移动互联网等技术及应用,
了解典型的通信网络及设备。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第42 页
(3)安全通信协议:了解典型的安全通信协议,了解典型的安全通信协议在通信过程中的应用。
5.
风险管理基础
(1)基本概念:理解风险的定义,风险管理的基本思想。(2)常见风险评估方法:各类风险评估方法的基本思路、应用场景。
(3)典型风险评估方法:掌握1 种风险评估方法。
(4)风险处置方法:了解各种风险处置方法及其应用场景。
(5)风险管理相关标准:了解风险管理相关国际标准、国家标准。
6.
风险管理
(1)风险管理的业界标准与实践:理解GB/T 24353、GB/T 20984,了解各行业的信息安全风险管理指引。
(2)风险管理的实施过程:了解风险管理的全过程、风险管理准备工作(如组织与规划)的主要方法、风险评估主要方法与实施、风险评估的
报告格式与形成报告的方法、风险处置主要方法与实施。
(3)风险管理工具使用:了解典型的风险管理工具(技术、管理两类工具)。
(4)典型风险处置措施:了解典型的风险具体处置措施。
(5)风险管理实例:了解主要行业的典型安全风险特性,了解1-2 个行业的典型风险管理实例。
7.
项目管理基础
(1)项目管理基本概念:正确理解项目的本质、管理的本质,掌握项目管理的基本分类,熟练掌握项目管理的生命周期与流程,掌握项目管理
相对其他管理的特性。
(2)项目管理的发展历史与现状:了解项目管理的发展过程、国际项目管理发展现状、国际国内项目管理人员认证情况。
(3)九大项目管理知识领域:熟练掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项
目沟通管理、项目风险管理和项目采购管理思想与方法;掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项
目人力资源管理、项目沟通管理、项目风险管理和项目采购管理工具和实施技巧。
(4)开发类项目管理技巧:掌握开发类项目管理的特点、项目生命周期,正确掌握开发类项目九大管理知识领域特性,掌握并实践完整的开发
类项目过程。
(5)集成类项目管理技巧:掌握集成类项目管理的特点、项目生命周期,正确掌握集成类项目九大管理知识领域特性,掌握并实践完整的集成
类项目过程。
8.
信息安全技术
(1)信息安全技术发展:了解信息安全技术结构及相互关系、最新进展、应用基本方法。
(2)密码学及其应用:了解密码学发展历史、密码学在信息安全中的特殊地位,基本理解密码学的基本原理,基本掌握典型密码算法(对称、非
对称、HASH 函数)、典型密码算法的作用与应用方法、典型应用中如何采用密码技术,了解密钥管理方法。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第43 页
(3)网络安全技术:了解网络安全技术的范畴、网络边界划分原则与方法、典型的网络安全问题、典型的网络攻击手段、网络边界防御原理与方
法、典型的网络边界防御设备的系统原理与应用方法(网关防御、网络监控、网络交换)、网络通讯安全原理与方法、了解典型的网络通讯安全
设备的系统原理与应用方法(访问控制、通讯加密)。
(4)平台安全技术:了解常用系统平台(UNIX、Linux、Windows 等)的典型安全问题、常用的应用支撑平台(WEB、数据库等)的典型安全问题、
各类安全漏洞的管理标准与方法、典型的对平台攻击手段、主机安全防护的主要手段(安全加固、安全监控、安全审计、主机保护等)的原理与
实施方法及其工具、桌面系统的典型安全问题、桌面系统的安全保障方法与工具。
(5)应用安全技术:了解各类常用应用系统(通用应用系统、专业应用系统、特殊业务系统等)的典型安全问题、安全软件开发过程管理与控制、
典型的应用安全漏洞、应用软件安全测试方法与工具。
(6)数据安全技术:了解数据安全的范畴、数据生命周期的各阶段安全需求、数据生命周期的各阶段安全保障技术与方法、灾难备份与恢复技术。
(7)物理安全技术:了解信息安全保障中物理安全的范畴、典型的物理安全问题、典型的物理安全防范技术与方法、支持性基础设施的物理安
全问题及保护措施。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第44 页
序号 安全集成方向考试科目和范围
1.
信息安全保障人员基本素质
(1)职业素养:深刻理解从事信息安全保障工作必备的职业素养、特殊责任。
(2)知识结构:理解信息安全保障工作所需基础知识结构,深刻理解信息安全保障本质含义。
(3)工作技能:理解从事信息安全保障工作所需的基本技能、信息安全保障工作的特殊困难。
2.
信息安全意识教育
(1)信息安全保障概念:了解信息安全发展历程,理解通信保密、网络安全、信息安全、信息安全保障等概念,准确理解信息安全属性,掌握
什么时候需要分别考虑信息安全属性。
(2)信息安全形势:了解国内外信息安全形势、最新的典型信息安全问题、应对典型信息安全问题的方法。
(3)信息安全需求识别:了解形势发展的需要,理解社会责任的需求、组织业务保障的需要,了解现实信息技术环境的需求,指导如何提出实
际需要,了解法律法规的要求、客户合同的要求、强制标准的要求、风险评估的要求、日常保障的要求、新技术和新措施应用的要求。
3.
信息安全法律法规体系
(1)法律法规结构体系:了解我国信息安全法律法规结构、基本分类。
(2)国内外信息安全法律法规建设概况:了解中国、美国及其他国家信息安全相关法律法规建设情况
(3)国内外信息安全标准建设概况:了解国外信息安全标准化相关机构以及相互关系,如ISO、IEC、ITU 和国发达家的信息安全标准相关组织
机构,如美国、英国等,了解我国信息安全标准相关组织及其关系,如国家标准化管理委员会、全国信息安全标准化技术委员会(TC260)等,
了解ISO、IEC 和ITU 信息安全相关标准建设情况,了解美国特有的信息安全相关标准建设情况,了解我国信息安全相关标准建设情况。
(4)我国信息安全管理概况:了解我国信息安全相关管理机构、管理模式、主要的信息安全管理手段。
(5)典型信息安全法律法规:了解刑法中与信息安全相关的条款,了解《保守国家秘密法》、《商用密码管理条例》,了解我国互联网相关管
理规定、信息安全产品相关管理规定。
4.
通信技术基础
(1)通信的基本概念:理解通信的本质含义及电信概念、通信网络形成过程,了解通信网络结构、通信网络中的安全属性、通信网络应用分类、
“网络”习惯分类、通信网络安全问题本质成因。
(2)通信协议及应用:熟悉OSI 七层模型、TCP/IP 协议族的基本协议及TCP/IP 协议族存在的固有安全问题、IPv6、移动互联网等技术及应用,
了解典型的通信网络及设备。
(3)安全通信协议:了解典型的安全通信协议,了解典型的安全通信协议在通信过程中的应用。
5.
风险管理基础
(1)基本概念:理解风险的定义,风险管理的基本思想。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第45 页
(2)常见风险评估方法:各类风险评估方法的基本思路、应用场景。
(3)典型风险评估方法:掌握1 种风险评估方法。
(4)风险处置方法:了解各种风险处置方法及其应用场景。
(5)风险管理相关标准:了解风险管理相关国际标准、国家标准。
6.
安全集成基础
(1)安全集成的业界标准与实践:了解GB/T 20261、ISO/IEC 21827 、SSE-CMM3.0 对安全集成的要求,了解信息系统安全集成服务资质认证实
施规则对安全集成的要求,了解CNCA/CTS 0052 信息安全服务资质认证技术规范。
(2)安全集成过程:了解安全软件集成管理的全过程、安全集成准备工作(如需求分析)的主要方法、安全集成设计的主要方法、安全集成实
施的主要工作、安全集成保证的主要内容。
(3)安全集成工具使用:了解典型的安全集成工具,熟悉需求分析工具使用,了解安全集成设计工具使用、安全保证工具使用。
(4)典型安全保障手段:了解典型的信息安全保障手段、常用的信息安全技术应用、常用的信息安全产品。
(5)安全集成实例:了解安全集成方案的结构、主要行业的安全集成特性、1-2 个行业的典型安全集成实例。
7.
项目管理基础
(1)项目管理基本概念:正确理解项目的本质、管理的本质,掌握项目管理的基本分类,熟练掌握项目管理的生命周期与流程,掌握项目管理
相对其他管理的特性。
(2)项目管理的发展历史与现状:了解项目管理的发展过程、国际项目管理发展现状、国际国内项目管理人员认证情况。
(3)九大项目管理知识领域:熟练掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项
目沟通管理、项目风险管理和项目采购管理思想与方法;掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项
目人力资源管理、项目沟通管理、项目风险管理和项目采购管理工具和实施技巧。
(4)开发类项目管理技巧:掌握开发类项目管理的特点、项目生命周期,正确掌握开发类项目九大管理知识领域特性,掌握并实践完整的开发
类项目过程。
(5)集成类项目管理技巧:掌握集成类项目管理的特点、项目生命周期,正确掌握集成类项目九大管理知识领域特性,掌握并实践完整的集成
类项目过程。
8.
信息安全技术
(1)信息安全技术发展:了解信息安全技术结构及相互关系、最新进展、应用基本方法。
(2)密码学及其应用:了解密码学发展历史、密码学在信息安全中的特殊地位,基本理解密码学的基本原理,基本掌握典型密码算法(对称、非
对称、HASH 函数)、典型密码算法的作用与应用方法、典型应用中如何采用密码技术,了解密钥管理方法。
(3)网络安全技术:了解网络安全技术的范畴、网络边界划分原则与方法、典型的网络安全问题、典型的网络攻击手段、网络边界防御原理与方
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第46 页
法、典型的网络边界防御设备的系统原理与应用方法(网关防御、网络监控、网络交换)、网络通讯安全原理与方法、了解典型的网络通讯安全
设备的系统原理与应用方法(访问控制、通讯加密)。
(4)平台安全技术:了解常用系统平台(UNIX、Linux、Windows 等)的典型安全问题、常用的应用支撑平台(WEB、数据库等)的典型安全问题、
各类安全漏洞的管理标准与方法、典型的对平台攻击手段、主机安全防护的主要手段(安全加固、安全监控、安全审计、主机保护等)的原理与
实施方法及其工具、桌面系统的典型安全问题、桌面系统的安全保障方法与工具。
(5)应用安全技术:了解各类常用应用系统(通用应用系统、专业应用系统、特殊业务系统等)的典型安全问题、安全软件开发过程管理与控制、
典型的应用安全漏洞、应用软件安全测试方法与工具。
(6)数据安全技术:了解数据安全的范畴、数据生命周期的各阶段安全需求、数据生命周期的各阶段安全保障技术与方法、灾难备份与恢复技术。
(7)物理安全技术:了解信息安全保障中物理安全的范畴、典型的物理安全问题、典型的物理安全防范技术与方法、支持性基础设施的物理安
全问题及保护措施。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第47 页
序号 应急处理方向考试科目和范围
1.
信息安全保障人员基本素质
(1)职业素养:深刻理解从事信息安全保障工作必备的职业素养、特殊责任。
(2)知识结构:理解信息安全保障工作所需基础知识结构,深刻理解信息安全保障本质含义。
(3)工作技能:理解从事信息安全保障工作所需的基本技能、信息安全保障工作的特殊困难。
2.
信息安全意识教育
(1)信息安全保障概念:了解信息安全发展历程,理解通信保密、网络安全、信息安全、信息安全保障等概念,准确理解信息安全属性,掌握
什么时候需要分别考虑信息安全属性。
(2)信息安全形势:了解国内外信息安全形势、最新的典型信息安全问题、应对典型信息安全问题的方法。
(3)信息安全需求识别:了解形势发展的需要,理解社会责任的需求、组织业务保障的需要,了解现实信息技术环境的需求,指导如何提出实
际需要,了解法律法规的要求、客户合同的要求、强制标准的要求、风险评估的要求、日常保障的要求、新技术和新措施应用的要求。
3.
渗透测试技术与应用
(1)渗透测试的基本概念:熟悉信息安全威胁、设备渗透测试、渗透测试流程、渗透测试的目标、渗透测试的分类、渗透测试的限制。
(2)渗透测试法律问题:熟悉渗透测试的法律依据、渗透测试的法律框架、与客户签订渗透测试协议。
(3)渗透测试方法论:熟悉组织、个人、技术和道德的相关要求,掌握渗透测试的方法论、渗透测试五个步骤。
(4)实施渗透测试与报告撰写:熟悉渗透测试的准备,掌握对渗透目标的预查,熟悉信息及风险的分析方法,熟知启动渗透测试,熟悉最后分
析及消除影响、渗透测试报告的撰写。
(5)Unix 渗透测试方法与工具使用:熟知Unix 缓冲区溢出渗透、Unix Shell 渗透技术、Unix 系统提权、Apache 安全渗透、Unix 后门技术。
(6)Windows 系统渗透测试方法与工具使用:熟悉网络协议安全、网络端口扫描与漏洞扫描、嗅探技术与密码截获及破解、缓冲区溢出渗透、病
毒与木马技术。
(7)Web 应用系统渗透测试方法与工具使用:熟悉HTTP 协议基本概念、SQL 注入渗透技术与工具、XSS 跨站脚本技术、CSRF 渗透技术、Web Service
渗透技术,了解Web 安全编程。
(8)数据库渗透测试与工具使用:熟悉数据库系统的威胁、Oracle 渗透测试、各种PL/SQL Injection 漏洞利用、Lateral SQL Injection,了
解其他数据库渗透测试。
4.
信息安全法律法规体系
(1)法律法规结构体系:了解我国信息安全法律法规结构、基本分类。
(2)国内外信息安全法律法规建设概况:了解中国、美国及其他国家信息安全相关法律法规建设情况
(3)国内外信息安全标准建设概况:了解国外信息安全标准化相关机构以及相互关系,如ISO、IEC、ITU 和国发达家的信息安全标准相关组织
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第48 页
机构,如美国、英国等,了解我国信息安全标准相关组织及其关系,如国家标准化管理委员会、全国信息安全标准化技术委员会(TC260)等,
了解ISO、IEC 和ITU 信息安全相关标准建设情况,了解美国特有的信息安全相关标准建设情况,了解我国信息安全相关标准建设情况。
(4)我国信息安全管理概况:了解我国信息安全相关管理机构、管理模式、主要的信息安全管理手段。
(5)典型信息安全法律法规:了解刑法中与信息安全相关的条款,了解《保守国家秘密法》、《商用密码管理条例》,了解我国互联网相关管
理规定、信息安全产品相关管理规定。
5.
通信技术基础
(1)通信的基本概念:理解通信的本质含义及电信概念、通信网络形成过程,了解通信网络结构、通信网络中的安全属性、通信网络应用分类、
“网络”习惯分类、通信网络安全问题本质成因。
(2)通信协议及应用:熟悉OSI 七层模型、TCP/IP 协议族的基本协议及TCP/IP 协议族存在的固有安全问题、IPv6、移动互联网等技术及应用,
了解典型的通信网络及设备。
(3)安全通信协议:了解典型的安全通信协议,了解典型的安全通信协议在通信过程中的应用。
6.
风险管理基础
(1)基本概念:理解风险的定义,风险管理的基本思想。
(2)常见风险评估方法:各类风险评估方法的基本思路、应用场景。
(3)典型风险评估方法:掌握1 种风险评估方法。
(4)风险处置方法:了解各种风险处置方法及其应用场景。
(5)风险管理相关标准:了解风险管理相关国际标准、国家标准。
7.
应急服务技术与应用
(1)应急服务的相关规范:了解YD/T 1799、业务连续性标准ISO/IEC 22301、应急服务的相关安全要求。
(2)应急服务过程管理:了解应急服务的全过程、应急服务准备工作(如组织与规划)的主要方法、应急服务的回退过程、应急服务的风险评
估、应急服务的资源协调、应急服务的升级机制、应急服务的现场保护与取证方法。
(3)安全技术工具的使用:了解典型的安全监测工具、典型的安全检测工具(渗透工具)、典型的安全分析工具、典型的安全管理工具。
(4)典型应急案例分析:了解1-2 个行业的典型管理实例。
8.
项目管理基础
(1)项目管理基本概念:正确理解项目的本质、管理的本质,掌握项目管理的基本分类,熟练掌
握项目管理的生命周期与流程,掌握项目管理相对其他管理的特性。
(2)项目管理的发展历史与现状:了解项目管理的发展过程、国际项目管理发展现状、国际国内
项目管理人员认证情况。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第49 页
(3)九大项目管理知识领域:熟练掌握项目综合管理、项目范围管理、项目时间管理、项目成本
管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理和项目采购管理思想与
方法;掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目
人力资源管理、项目沟通管理、项目风险管理和项目采购管理工具和实施技巧。
(4)开发类项目管理技巧:掌握开发类项目管理的特点、项目生命周期,正确掌握开发类项目九
大管理知识领域特性,掌握并实践完整的开发类项目过程。
(5)集成类项目管理技巧:掌握集成类项目管理的特点、项目生命周期,正确掌握集成类项目九
大管理知识领域特性,掌握并实践完整的集成类项目过程。
9.
信息安全技术
(1)信息安全技术发展:了解信息安全技术结构及相互关系、最新进展、应用基本方法。
(2)密码学及其应用:了解密码学发展历史、密码学在信息安全中的特殊地位,基本理解密码学的基本原理,基本掌握典型密码算法(对称、非
对称、HASH 函数)、典型密码算法的作用与应用方法、典型应用中如何采用密码技术,了解密钥管理方法。
(3)网络安全技术:了解网络安全技术的范畴、网络边界划分原则与方法、典型的网络安全问题、典型的网络攻击手段、网络边界防御原理与方
法、典型的网络边界防御设备的系统原理与应用方法(网关防御、网络监控、网络交换)、网络通讯安全原理与方法、了解典型的网络通讯安全
设备的系统原理与应用方法(访问控制、通讯加密)。
(4)平台安全技术:了解常用系统平台(UNIX、Linux、Windows 等)的典型安全问题、常用的应用支撑平台(WEB、数据库等)的典型安全问题、
各类安全漏洞的管理标准与方法、典型的对平台攻击手段、主机安全防护的主要手段(安全加固、安全监控、安全审计、主机保护等)的原理与
实施方法及其工具、桌面系统的典型安全问题、桌面系统的安全保障方法与工具。
(5)应用安全技术:了解各类常用应用系统(通用应用系统、专业应用系统、特殊业务系统等)的典型安全问题、安全软件开发过程管理与控制、
典型的应用安全漏洞、应用软件安全测试方法与工具。
(6)数据安全技术:了解数据安全的范畴、数据生命周期的各阶段安全需求、数据生命周期的各阶段安全保障技术与方法、灾难备份与恢复技术。
(7)物理安全技术:了解信息安全保障中物理安全的范畴、典型的物理安全问题、典型的物理安全防范技术与方法、支持性基础设施的物理安
全问题及保护措施。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第50 页
序号 灾难备份与恢复方向考试科目和范围
1.
信息安全保障人员基本素质
(1)职业素养:深刻理解从事信息安全保障工作必备的职业素养、特殊责任。
(2)知识结构:理解信息安全保障工作所需基础知识结构,深刻理解信息安全保障本质含义。
(3)工作技能:理解从事信息安全保障工作所需的基本技能、信息安全保障工作的特殊困难。
2.
信息安全意识教育
(1)信息安全保障概念:了解信息安全发展历程,理解通信保密、网络安全、信息安全、信息安全保障等概念,准确理解信息安全属性,掌握
什么时候需要分别考虑信息安全属性。
(2)信息安全形势:了解国内外信息安全形势、最新的典型信息安全问题、应对典型信息安全问题的方法。
(3)信息安全需求识别:了解形势发展的需要,理解社会责任的需求、组织业务保障的需要,了解现实信息技术环境的需求,指导如何提出实
际需要,了解法律法规的要求、客户合同的要求、强制标准的要求、风险评估的要求、日常保障的要求、新技术和新措施应用的要求。
3.
信息安全法律法规体系
(1)法律法规结构体系:了解我国信息安全法律法规结构、基本分类。
(2)国内外信息安全法律法规建设概况:了解中国、美国及其他国家信息安全相关法律法规建设情况
(3)国内外信息安全标准建设概况:了解国外信息安全标准化相关机构以及相互关系,如ISO、IEC、ITU 和国发达家的信息安全标准相关组织
机构,如美国、英国等,了解我国信息安全标准相关组织及其关系,如国家标准化管理委员会、全国信息安全标准化技术委员会(TC260)等,
了解ISO、IEC 和ITU 信息安全相关标准建设情况,了解美国特有的信息安全相关标准建设情况,了解我国信息安全相关标准建设情况。
(4)我国信息安全管理概况:了解我国信息安全相关管理机构、管理模式、主要的信息安全管理手段。
(5)典型信息安全法律法规:了解刑法中与信息安全相关的条款,了解《保守国家秘密法》、《商用密码管理条例》,了解我国互联网相关管
理规定、信息安全产品相关管理规定。
4.
风险管理基础
(1)基本概念:理解风险的定义,风险管理的基本思想。
(2)常见风险评估方法:各类风险评估方法的基本思路、应用场景。
(3)典型风险评估方法:掌握1 种风险评估方法。
(4)风险处置方法:了解各种风险处置方法及其应用场景。
(5)风险管理相关标准:了解风险管理相关国际标准、国家标准。
5.
灾备服务技术与应用
(1)灾备服务的业界标准与实践:了解国内外灾备相关技术和标准情况、GB/T 20988。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第51 页
(2)灾备恢复技术:了解数据存储技术、数据复制技术和数据管理技术的原理,了解灾难检测技术、系统迁移技术和系统恢复技术的原理。
(3)灾备服务过程管理:了解灾备服务的全过程、灾备服务准备工作(如组织与规划)的主要方法、灾备服务的资源协调、备份管理机制、恢
复测试管理、恢复实施管理、灾备服务的现场保护与取证方法。
(4)灾备工具使用与管理:了解数据存储、数据复制和数据管理典型工具的使用和管理,了解灾难检测、系统迁移和系统恢复典型工具的使用
和管理。
(5)灾备实例分析:了解主要行业的典型灾难备份系统管理特性,了解1-2 个行业的典型灾难备份系统管理实例。
6.
项目管理基础
(1)项目管理基本概念:正确理解项目的本质、管理的本质,掌握项目管理的基本分类,熟练掌握项目管理的生命周期与流程,掌握项目管理
相对其他管理的特性。
(2)项目管理的发展历史与现状:了解项目管理的发展过程、国际项目管理发展现状、国际国内项目管理人员认证情况。
(3)九大项目管理知识领域:熟练掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项
目沟通管理、项目风险管理和项目采购管理思想与方法;掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项
目人力资源管理、项目沟通管理、项目风险管理和项目采购管理工具和实施技巧。
(4)开发类项目管理技巧:掌握开发类项目管理的特点、项目生命周期,正确掌握开发类项目九大管理知识领域特性,掌握并实践完整的开发
类项目过程。
(5)集成类项目管理技巧:掌握集成类项目管理的特点、项目生命周期,正确掌握集成类项目九大管理知识领域特性,掌握并实践完整的集成
类项目过程。
7.
信息安全技术
(1)信息安全技术发展:了解信息安全技术结构及相互关系、最新进展、应用基本方法。
(2)密码学及其应用:了解密码学发展历史、密码学在信息安全中的特殊地位,基本理解密码学的基本原理,基本掌握典型密码算法(对称、非
对称、HASH 函数)、典型密码算法的作用与应用方法、典型应用中如何采用密码技术,了解密钥管理方法。
(3)网络安全技术:了解网络安全技术的范畴、网络边界划分原则与方法、典型的网络安全问题、典型的网络攻击手段、网络边界防御原理与方
法、典型的网络边界防御设备的系统原理与应用方法(网关防御、网络监控、网络交换)、网络通讯安全原理与方法、了解典型的网络通讯安全
设备的系统原理与应用方法(访问控制、通讯加密)。
(4)平台安全技术:了解常用系统平台(UNIX、Linux、Windows 等)的典型安全问题、常用的应用支撑平台(WEB、数据库等)的典型安全问题、
各类安全漏洞的管理标准与方法、典型的对平台攻击手段、主机安全防护的主要手段(安全加固、安全监控、安全审计、主机保护等)的原理与
实施方法及其工具、桌面系统的典型安全问题、桌面系统的安全保障方法与工具。
(5)应用安全技术:了解各类常用应用系统(通用应用系统、专业应用系统、特殊业务系统等)的典型安全问题、安全软件开发过程管理与控制、
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第52 页
典型的应用安全漏洞、应用软件安全测试方法与工具。
(6)数据安全技术:了解数据安全的范畴、数据生命周期的各阶段安全需求、数据生命周期的各阶段安全保障技术与方法、灾难备份与恢复技术。
(7)物理安全技术:了解信息安全保障中物理安全的范畴、典型的物理安全问题、典型的物理安全防范技术与方法、支持性基础设施的物理安
全问题及保护措施。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第53 页
序号 软件安全开发方向考试科目和范围
1.
信息安全保障人员基本素质
(1)职业素养:深刻理解从事信息安全保障工作必备的职业素养、特殊责任。
(2)知识结构:理解信息安全保障工作所需基础知识结构,深刻理解信息安全保障本质含义。
(3)工作技能:理解从事信息安全保障工作所需的基本技能、信息安全保障工作的特殊困难。
2.
信息安全意识教育
(1)信息安全保障概念:了解信息安全发展历程,理解通信保密、网络安全、信息安全、信息安全保障等概念,准确理解信息安全属性,掌握
什么时候需要分别考虑信息安全属性。
(2)信息安全形势:了解国内外信息安全形势、最新的典型信息安全问题、应对典型信息安全问题的方法。
(3)信息安全需求识别:了解形势发展的需要,理解社会责任的需求、组织业务保障的需要,了解现实信息技术环境的需求,指导如何提出实
际需要,了解法律法规的要求、客户合同的要求、强制标准的要求、风险评估的要求、日常保障的要求、新技术和新措施应用的要求。
3.
信息安全法律法规体系
(1)法律法规结构体系:了解我国信息安全法律法规结构、基本分类。
(2)国内外信息安全法律法规建设概况:了解中国、美国及其他国家信息安全相关法律法规建设情况
(3)国内外信息安全标准建设概况:了解国外信息安全标准化相关机构以及相互关系,如ISO、IEC、ITU 和国发达家的信息安全标准相关组织
机构,如美国、英国等,了解我国信息安全标准相关组织及其关系,如国家标准化管理委员会、全国信息安全标准化技术委员会(TC260)等,
了解ISO、IEC 和ITU 信息安全相关标准建设情况,了解美国特有的信息安全相关标准建设情况,了解我国信息安全相关标准建设情况。
(4)我国信息安全管理概况:了解我国信息安全相关管理机构、管理模式、主要的信息安全管理手段。
(5)典型信息安全法律法规:了解刑法中与信息安全相关的条款,了解《保守国家秘密法》、《商用密码管理条例》,了解我国互联网相关管
理规定、信息安全产品相关管理规定。
4.
通信技术基础
(1)通信的基本概念:理解通信的本质含义及电信概念、通信网络形成过程,了解通信网络结构、通信网络中的安全属性、通信网络应用分类、
“网络”习惯分类、通信网络安全问题本质成因。
(2)通信协议及应用:熟悉OSI 七层模型、TCP/IP 协议族的基本协议及TCP/IP 协议族存在的固有安全问题、IPv6、移动互联网等技术及应用,
了解典型的通信网络及设备。
(3)安全通信协议:了解典型的安全通信协议,了解典型的安全通信协议在通信过程中的应用。
5.
风险管理基础
(1)基本概念:理解风险的定义,风险管理的基本思想。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第54 页
(2)常见风险评估方法:各类风险评估方法的基本思路、应用场景。
(3)典型风险评估方法:掌握1 种风险评估方法。
(4)风险处置方法:了解各种风险处置方法及其应用场景。
(5)风险管理相关标准:了解风险管理相关国际标准、国家标准。
6.
安全软件技术与测试
(1)安全软件的业界标准与实践:了解信息安全管理体系对安全软件的要求、CC 对安全软件的要求、FIPS 140-2 对安全软件的要求、PCI DSS
对安全软件的要求、安全弱点管理相关规范,如SCAP。
(2)安全开发生命周期:了解安全软件开发管理的全过程,如SDL、安全需求分析的主要方法、安全设计的主要方法、安全编码的主要工作、安
全测试的主要内容、安全生产的主要内容。
(3)安全软件开发环境管理:1. 熟悉物理环境控制,了解逻辑访问控制、开发工具与配置项管理,熟悉人员与角色管理。
(4)安全功能架构与设计:了解典型的安全功能、安全功能的实现模型。
(5)安全漏洞分析:了解SCAP、 CVSS、典型的安全漏洞机理。
(6)安全编码:了解典型的安全编码规则、典型问题的修复方法。
(7)密码安全模块:了解典型的加密算法和应用方法、典型的密码应用方式,熟悉FIPS 140-2 的要求。
(8)安全测试与实验:了解软件测试的基本方法、软件安全功能测试的基本手段,能够使用软件安全性测试工具(如扫描工具、压力测试工具
等)。
7.
项目管理基础
(1)项目管理基本概念:正确理解项目的本质、管理的本质,掌握项目管理的基本分类,熟练掌握项目管理的生命周期与流程,掌握项目管理
相对其他管理的特性。
(2)项目管理的发展历史与现状:了解项目管理的发展过程、国际项目管理发展现状、国际国内项目管理人员认证情况。
(3)九大项目管理知识领域:熟练掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项
目沟通管理、项目风险管理和项目采购管理思想与方法;掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项
目人力资源管理、项目沟通管理、项目风险管理和项目采购管理工具和实施技巧。
(4)开发类项目管理技巧:掌握开发类项目管理的特点、项目生命周期,正确掌握开发类项目九大管理知识领域特性,掌握并实践完整的开发
类项目过程。
(5)集成类项目管理技巧:掌握集成类项目管理的特点、项目生命周期,正确掌握集成类项目九大管理知识领域特性,掌握并实践完整的集成
类项目过程。
8. 信息安全技术
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第55 页
(1)信息安全技术发展:了解信息安全技术结构及相互关系、最新进展、应用基本方法。
(2)密码学及其应用:了解密码学发展历史、密码学在信息安全中的特殊地位,基本理解密码学的基本原理,基本掌握典型密码算法(对称、非
对称、HASH 函数)、典型密码算法的作用与应用方法、典型应用中如何采用密码技术,了解密钥管理方法。
(3)网络安全技术:了解网络安全技术的范畴、网络边界划分原则与方法、典型的网络安全问题、典型的网络攻击手段、网络边界防御原理与方
法、典型的网络边界防御设备的系统原理与应用方法(网关防御、网络监控、网络交换)、网络通讯安全原理与方法、了解典型的网络通讯安全
设备的系统原理与应用方法(访问控制、通讯加密)。
(4)平台安全技术:了解常用系统平台(UNIX、Linux、Windows 等)的典型安全问题、常用的应用支撑平台(WEB、数据库等)的典型安全问题、
各类安全漏洞的管理标准与方法、典型的对平台攻击手段、主机安全防护的主要手段(安全加固、安全监控、安全审计、主机保护等)的原理与
实施方法及其工具、桌面系统的典型安全问题、桌面系统的安全保障方法与工具。
(5)应用安全技术:了解各类常用应用系统(通用应用系统、专业应用系统、特殊业务系统等)的典型安全问题、安全软件开发过程管理与控制、
典型的应用安全漏洞、应用软件安全测试方法与工具。
(6)数据安全技术:了解数据安全的范畴、数据生命周期的各阶段安全需求、数据生命周期的各阶段安全保障技术与方法、灾难备份与恢复技术。
(7)物理安全技术:了解信息安全保障中物理安全的范畴、典型的物理安全问题、典型的物理安全防范技术与方法、支持性基础设施的物理安
全问题及保护措施。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第56 页
序号 安全运维方向考试科目和范围
1.
信息安全保障人员基本素质
(1)职业素养:深刻理解从事信息安全保障工作必备的职业素养、特殊责任。
(2)知识结构:理解信息安全保障工作所需基础知识结构,深刻理解信息安全保障本质含义。
(3)工作技能:理解从事信息安全保障工作所需的基本技能、信息安全保障工作的特殊困难。
2.
信息安全意识教育
(1)信息安全保障概念:了解信息安全发展历程,理解通信保密、网络安全、信息安全、信息安全保障等概念,准确理解信息安全属性,掌握
什么时候需要分别考虑信息安全属性。
(2)信息安全形势:了解国内外信息安全形势、最新的典型信息安全问题、应对典型信息安全问题的方法。
(3)信息安全需求识别:了解形势发展的需要,理解社会责任的需求、组织业务保障的需要,了解现实信息技术环境的需求,指导如何提出实
际需要,了解法律法规的要求、客户合同的要求、强制标准的要求、风险评估的要求、日常保障的要求、新技术和新措施应用的要求。
3.
信息安全法律法规体系
(1)法律法规结构体系:了解我国信息安全法律法规结构、基本分类。
(2)国内外信息安全法律法规建设概况:了解中国、美国及其他国家信息安全相关法律法规建设情况
(3)国内外信息安全标准建设概况:了解国外信息安全标准化相关机构以及相互关系,如ISO、IEC、ITU 和国发达家的信息安全标准相关组织
机构,如美国、英国等,了解我国信息安全标准相关组织及其关系,如国家标准化管理委员会、全国信息安全标准化技术委员会(TC260)等,
了解ISO、IEC 和ITU 信息安全相关标准建设情况,了解美国特有的信息安全相关标准建设情况,了解我国信息安全相关标准建设情况。
(4)我国信息安全管理概况:了解我国信息安全相关管理机构、管理模式、主要的信息安全管理手段。
(5)典型信息安全法律法规:了解刑法中与信息安全相关的条款,了解《保守国家秘密法》、《商用密码管理条例》,了解我国互联网相关管
理规定、信息安全产品相关管理规定。
4.
通信技术基础
(1)通信的基本概念:理解通信的本质含义及电信概念、通信网络形成过程,了解通信网络结构、通信网络中的安全属性、通信网络应用分类、
“网络”习惯分类、通信网络安全问题本质成因。
(2)通信协议及应用:熟悉OSI 七层模型、TCP/IP 协议族的基本协议及TCP/IP 协议族存在的固有安全问题、IPv6、移动互联网等技术及应用,
了解典型的通信网络及设备。
(3)安全通信协议:了解典型的安全通信协议,了解典型的安全通信协议在通信过程中的应用。
5.
风险管理基础
(1)基本概念:理解风险的定义,风险管理的基本思想。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第57 页
(2)常见风险评估方法:各类风险评估方法的基本思路、应用场景。
(3)典型风险评估方法:掌握1 种风险评估方法。
(4)风险处置方法:了解各种风险处置方法及其应用场景。
(5)风险管理相关标准:了解风险管理相关国际标准、国家标准。
6.
安全运维技术与应用
(1)业界标准与实践:了解信息安全管理体系对安全运维的要求、服务管理体系对安全运维的要求、安全弱点管理相关规范。
(2)安全运维结构与思想:了解安全运维的核心思想、安全运维的管理关系结构。
(3)安全运维工具使用:了解典型的安全运维工具、典型的安全运维为手段。
(4)安全运维实例:了解主要行业的安全运维特性,了解1-2 个行业的典型安全运维实例。
7.
项目管理基础
(1)项目管理基本概念:正确理解项目的本质、管理的本质,掌握项目管理的基本分类,熟练掌握项目管理的生命周期与流程,掌握项目管理
相对其他管理的特性。
(2)项目管理的发展历史与现状:了解项目管理的发展过程、国际项目管理发展现状、国际国内项目管理人员认证情况。
(3)九大项目管理知识领域:熟练掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项
目沟通管理、项目风险管理和项目采购管理思想与方法;掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项
目人力资源管理、项目沟通管理、项目风险管理和项目采购管理工具和实施技巧。
(4)开发类项目管理技巧:掌握开发类项目管理的特点、项目生命周期,正确掌握开发类项目九大管理知识领域特性,掌握并实践完整的开发
类项目过程。
(5)集成类项目管理技巧:掌握集成类项目管理的特点、项目生命周期,正确掌握集成类项目九大管理知识领域特性,掌握并实践完整的集成
类项目过程。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第58 页
8.
信息安全技术
(1)信息安全技术发展:了解信息安全技术结构及相互关系、最新进展、应用基本方法。
(2)密码学及其应用:了解密码学发展历史、密码学在信息安全中的特殊地位,基本理解密码学的基本原理,基本掌握典型密码算法(对称、非
对称、HASH 函数)、典型密码算法的作用与应用方法、典型应用中如何采用密码技术,了解密钥管理方法。
(3)网络安全技术:了解网络安全技术的范畴、网络边界划分原则与方法、典型的网络安全问题、典型的网络攻击手段、网络边界防御原理与方
法、典型的网络边界防御设备的系统原理与应用方法(网关防御、网络监控、网络交换)、网络通讯安全原理与方法、了解典型的网络通讯安全
设备的系统原理与应用方法(访问控制、通讯加密)。
(4)平台安全技术:了解常用系统平台(UNIX、Linux、Windows 等)的典型安全问题、常用的应用支撑平台(WEB、数据库等)的典型安全问题、
各类安全漏洞的管理标准与方法、典型的对平台攻击手段、主机安全防护的主要手段(安全加固、安全监控、安全审计、主机保护等)的原理与
实施方法及其工具、桌面系统的典型安全问题、桌面系统的安全保障方法与工具。
(5)应用安全技术:了解各类常用应用系统(通用应用系统、专业应用系统、特殊业务系统等)的典型安全问题、安全软件开发过程管理与控制、
典型的应用安全漏洞、应用软件安全测试方法与工具。
(6)数据安全技术:了解数据安全的范畴、数据生命周期的各阶段安全需求、数据生命周期的各阶段安全保障技术与方法、灾难备份与恢复技术。
(7)物理安全技术:了解信息安全保障中物理安全的范畴、典型的物理安全问题、典型的物理安全防范技术与方法、支持性基础设施的物理安
全问题及保护措施。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第59 页
序号 网络安全审计方向考试科目和范围
1.
网络安全审计人员基本素质
(1)职业素养:深刻理解从事网络安全审计工作必备的职业素养、特殊责任。
(2)知识结构:理解网络安全审计工作所需基础知识结构,深刻理解网络安全审计的本质含义。
(3)工作技能:理解从事网络安全审计工作所需的基本技能、网络安全审计工作的特殊困难。
2.
网络安全审计基础知识
(1)网络安全审计概念:理解审计、审计依据、审计计划、审计实施、审计报告、跟踪审计、审计证据、审计发现、审计工作底稿等概念,准
确理解审计的含义、对象、分类等内容。
(2)网络安全审计内容:了解网络安全审计所涵盖的内容范围。
(2)网络安全审计的历史和发展:了解网络安全审计提出的必要性、与风险评估、测评、检查、审核等的关系,了解网络安全审计的发展历程,
(3)网络安全审计的发展形势:了解国内外网络安全审计发展形势、了解国内各行业和监管部门对网络安全审计的认识及最新动态。
3.
网络安全审计依据
(1)我国法律法规体系:了解我国信息系统法律法规架构、基本分类。
(2)国内外信息系统标准:了解国外信息标准化相关机构以及相互关系,如ISO、IEC、ITU 和发达国家的信息标准相关组织机构,了解我国信
息标准相关组织及其关系,如国家标准化管理委员会、全国信息化标准技术委员会、全国信息安全标准化技术委员会等,了解ISO、IEC 和ITU
信息相关标准建设情况,了解美国特有的信息相关标准建设情况,了解我国信息相关标准建设情况。
(3)我国相关行业标准:了解我国各行业信息相关标准管理机构、以及主要的信息管理标准,例如金融行业、通信行业、能力行业等。
(4)我国相关监管文件:了解我国监管部门制定及发布的信息化文件,例如银保监会、证监会、工信部、能源局等。
(5)国内外IT 相关的最佳实践文档。
4.
网络安全审计方法
(1)网络安全审计流程:了解传统审计的流程,了解网络安全审计的流程。
(2)网络安全审计常用方法:了解网络安全审计中的访谈、检查、观察等常见方法,了解信息系统测试的常用方法。
(3)网络安全审计项目管理:了解网络安全审计计划管理的方法,了解网络安全审计质量管理的方法,了解网络安全审计风险管理的方法,了
解网络安全审计档案管理的方法。
5.
网络安全审计实务
(1)现场审计:了解网络安全审计计划的准备及编制方法,了解网络安全审计证据的获取方法,了解网络安全审计工作底稿的要求及编制方法。
(2)审计报告及后续审计:了解网络安全审计报告的编制方法,了解网络安全审计建议及跟踪验证的方式。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第60 页
(3)网络安全审计实例:了解不同专项审计的要点和特性,理解1-2 个专项审计的典型审计实例。
6.
信息系统一般控制审计
(1)信息系统总体控制审计:了解信息系统总体控制审计的目的,了解信息系统总体控制审计事项评价指标,包括战略规划、组织架构、制度
体系、岗位职责、内部监督等。
(2)信息安全管理控制审计:了解信息安全管理控制审计的目的,了解信息安全管理控制审计事项评价指标,包括安全管理机构、安全管理制
度、人员安全管理、系统建设安全管理、系统运维安全管理等。
(3)信息安全技术控制审计:了解信息安全技术控制审计的目的,了解信息安全技术控制审计事项评价指标,包括物理安全、网络安全、主机
安全、应用安全、数据安全、信息化装备自主可控等。
(5)上机测试:了解一般控制的相关工具,掌握工具的使用方法。
7.
信息系统应用控制审计
(1)信息系统业务流程控制审计:了解信息系统业务流程控制审计的目的,了解信息系统业务流程控制审计事项评价指标,包括业务流程设计、
业务流程处理、业务流程功能等。
(2)数据输入、处理和输出控制审计:了解数据输入、处理和输出控制审计的目的,了解数据输入、处理和输出控制审计事项评价指标,包括
数据录入和导入控制、数据修改和删除控制、数据校验控制、数据入库控制、数据共享与交换控制、备份与恢复数据接收控制、数据转换控制、
数据整理控制、数据计算控制、数据汇总控制、数据外设输出控制、数据检索输出控制、数据共享输出控制、备份与恢复输出控制等。
(3)信息共享和业务协同审计:了解信息共享和业务协同审计的目的,了解信息共享和业务协同审计事项评价指标,包括信息资源目录体系、
信息资源交换体系、元数据和主数据、数据元素和数据库表、内部数据和外部数据、信息资源标准化等。
8.
信息化项目管理审计
(1)信息系统建设经济性审计:了解信息系统建设经济性审计的目的,了解信息系统建设经济性审计事项评价指标,包括信息系统规划经济性、
信息系统建设经济性、信息系统应用经济性、信息系统运维经济性等。
(2)信息系统建设管理审计:了解信息系统建设管理审计的目的,了解信息系统建设管理审计事项评价指标,包括项目审批管理、项目建设管
理、项目资金管理、项目监督管理、项目验收管理、项目运行管理等。
(3)信息系统绩效审计:了解信息系统绩效审计的目的,了解信息系统绩效审计事项评价指标,包括信息系统总体绩效、管理决策支持能力的
绩效、信息资源共享能力的绩效、经济业务协同能力的绩效、系统建设发展能力的绩效、信息系统贡献能力的绩效等。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第61 页
序号 工业控制系统安全服务方向考试科目和范围
1.
信息安全保障人员基本素质
(1)职业素养:深刻理解从事信息安全保障工作必备的职业素养、特殊责任。
(2)知识结构:理解信息安全保障工作所需基础知识结构,深刻理解信息安全保障本质含义。
(3)工作技能:理解从事信息安全保障工作所需的基本技能、信息安全保障工作的特殊困难。
2.
信息安全意识教育
(1)信息安全保障概念:了解信息安全发展历程,理解通信保密、网络安全、信息安全、关键基础设施安全、信息安全保障等概念,准确理解
信息安全属性,掌握什么时候需要分别考虑信息安全属性。
(2)信息安全形势:了解国内外信息安全形势、最新的典型信息安全问题、应对典型信息安全问题的方法。
(3)信息安全需求识别:了解形势发展的需要,理解社会责任的需求、组织业务保障的需要,了解现实信息技术环境的需求,指导如何提出实
际需要,了解法律法规的要求、客户合同的要求、强制标准的要求、风险评估的要求、日常保障的要求、新技术和新措施应用的要求。
3.
信息安全法律法规体系
(1)法律法规结构体系:了解我国信息安全法律法规结构、基本分类。
(2)信息安全标准建设概况:了解信息安全标准化相关机构以及相互关系,如ISO、IEC、ITU 和国发达家的信息安全标准相关组织机构,如美
国、英国等,了解我国信息安全标准相关组织及其关系,如国家标准化管理委员会、全国信息安全标准化技术委员会(TC260)等。
(3)工业控制系统标准建设概况:了解国内外工业控制系统安全标准建设情况,了解国家、相关行业关键基础设施、工业控制系统相关标准建
设情况,如全国工业过程测量和控制标准化技术委员会(TC124)TC124、全国电力监管标准化技术委员会(TC 296 )、全国工业机械电气系统
标准化技术委员会(SAC/TC231)。
(4)我国信息安全管理概况:了解我国关键基础设施管理、信息安全相关管理机构、管理模式、主要的信息安全管理手段以及行业监管要求。
(5)典型信息安全法律法规:了解刑法中与信息安全相关的条款,了解《国家安全法》、《网络安全法》、《等级保护基本要求》、《商用密
码管理条例》,了解我国工业控制系统安全相关管理规定、工业控制系统安全产品相关管理规定。
4.
工业控制系统基础
(1)工业控制系统分类及特点:了解工业控制系统的作用、分类以及特点。
(2)工业控制系统组成:了解工业控制系统的组成,理解工业控制系统工作原理,了解工业控制系统控制机构、传感机构、执行机构和接口部
件等工作原理和产品分类。
(3)工业控制网络协议:工业现场网络、主流的规范和协议,广域工业控制系统的接入网和骨干网
(4)典型工业控制系统:典型的工业控制系统以及组成,业务流程和系统特点。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第62 页
5.
工业控制系统风险管理
(1)风险管理的业界标准与实践:理解GB/T 24353、GB/T 20984,了解各工控控制系统的信息安全风险管理指引和评估指南。
(2)风险管理的实施过程:了解风险管理的全过程、风险管理准备工作(如组织与规划)的主要方法、风险评估主要方法与实施、风险评估的
报告格式与形成报告的方法、风险处置主要方法与实施。
(3)风险分析方法和流程:了解针对工业控制系统面临的主要威胁,包括攻击组织、攻击手段和工具;了解工业控制系统脆弱性分析技术常用
的工具,熟悉风险分析的方法和流程。
(4)典型风险处置措施:熟练掌握典型工业控制系统的风险处置方式及措施。
(5)风险管理实例:了解主要行业的典型安全风险特性,了解1-2 个行业的典型风险管理实例。
6.
工业控制系统安全防护
(1)安全防护管理体系及方法:了解典型的工业控制系统安全防护模型和防护管理体系,熟悉工业控制系统安全防护要点和方法,理解安全防
护技术措施、应急保障措施及全面安全管理的相互关系。
(2)安全防护技术措施:熟练掌握工业控制系统安全防护的技术、原理,熟悉技术措施和主要产品形态,了解产品特点及部署。
(3)安全运维技术及应用:了解工业控制系统安全运行的要求和核心思想,掌握日常运维方法和安全运维的工作流程、工具及方法。
(4)应急响应及安全处置:了解应急服务的方法和应急过程,掌握典型工业系统的应急处置的方法,有开展工控系统应急演练的能力,了解典
型的安全监测、分析和管理工具的使用。
(5)典型的案例分析:了解2-3 个行业典型的服务和管理案例
7.
项目管理基础
(1)项目管理基本概念:正确理解项目的本质、管理的本质,掌握项目管理的基本分类,熟练掌握项目管理的生命周期与流程,掌握项目管理
相对其他管理的特性。
(2)项目管理的发展历史与现状:了解项目管理的发展过程、国际项目管理发展现状、国际国内项目管理人员认证情况。
(3)九大项目管理知识领域:熟练掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项
目沟通管理、项目风险管理和项目采购管理思想与方法;掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项
目人力资源管理、项目沟通管理、项目风险管理和项目采购管理工具和实施技巧。
(4)开发类项目管理技巧:掌握开发类项目管理的特点、项目生命周期,正确掌握开发类项目九大管理知识领域特性,掌握并实践完整的开发
类项目过程。
(5)集成类项目管理技巧:掌握集成类项目管理的特点、项目生命周期,正确掌握集成类项目九大管理知识领域特性,掌握并实践完整的集成
类项目过程。
(6)运维类项目管理技巧:掌握运维类项目管理的特点、项目生命周期,正确掌握运行类项目九大管理知识领域特性,掌握并实践完整的运维
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第63 页
类项目过程。
8.
信息安全技术
(1)信息安全技术发展:了解信息安全技术结构及相互关系、最新进展、应用基本方法。
(2)密码学及其应用:了解密码学发展历史、密码学在信息安全中的特殊地位,基本理解密码学的基本原理,基本掌握典型密码算法(对称、非
对称、HASH 函数)、典型密码算法的作用与应用方法、典型应用中如何采用密码技术,了解密钥管理方法。
(3)网络安全技术:了解网络安全技术的范畴、网络边界划分原则与方法、典型的网络安全问题、典型的网络攻击手段、网络边界防御原理与方
法、典型的网络边界防御设备的系统原理与应用方法(网关防御、网络监控、网络交换)、网络通讯安全原理与方法、了解典型的网络通讯安全
设备的系统原理与应用方法(访问控制、通讯加密)。
(4)平台安全技术:了解常用系统平台(UNIX、Linux、Windows 等)的典型安全问题、常用的应用支撑平台(WEB、数据库等)的典型安全问题、
各类安全漏洞的管理标准与方法、典型的对平台攻击手段、主机安全防护的主要手段(安全加固、安全监控、安全审计、主机保护等)的原理与
实施方法及其工具、桌面系统的典型安全问题、桌面系统的安全保障方法与工具。
(5)应用安全技术:了解各类常用应用系统(通用应用系统、专业应用系统、特殊业务系统等)的典型安全问题、安全软件开发过程管理与控制、
典型的应用安全漏洞、应用软件安全测试方法与工具。
(6)数据安全技术:了解数据安全的范畴、数据生命周期的各阶段安全需求、数据生命周期的各阶段安全保障技术与方法、灾难备份与恢复技术。
(7)物理安全技术:了解信息安全保障中物理安全的范畴、典型的物理安全问题、典型的物理安全防范技术与方法、支持性基础设施的物理安
全问题及保护措施。
CCRC-ISV-C01:2018 信息安全服务 规范
中国网络安全审查技术与认证中心 第64 页
附录J: 参考文献
[1] GB/T 20261-2006 信息技术系统安全工程能力成熟度模型
[2] YD/T 1621-2007 网络与信息安全服务资质评价准则
[3] YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法
[4] RB/T 201-2013 信息系统安全集成服务资质认证评价要求
[5] 《计算机信息系统集成企业资质等级评定条件》(2012年修定版)
[6] 《通信信息网络系统集成企业资质认定》
[7] 《安防工程企业资质评定标准》中安协资[2007] 2号
[8] 《建筑智能化工程专业承包企业资质等级标准》


                   信息安全服务资质认证实施规则
CCRC-ISV-R01:2018
2018-05-25 发布 2018-06-01 实施
中国网络安全审查技术与认证中心
ISCCC-ISV-R01:2018 信息安全服务资质认证实施规则
中国信息安全认证中心 第 I 页
目 录
1 适用范围 ................................................................................................................................ 2
2 认证依据 ................................................................................................................................ 2
3 术语与定义 ............................................................................................................................. 2
3.1 信息安全服务 ......................................................................................................................... 2
3.2 自评估 .................................................................................................................................... 2
3.3 现场审核 ................................................................................................................................ 2
3.4 非现场审核 ............................................................................................................................. 2
3.5 现场见证 ................................................................................................................................ 2
3.6 特殊审核 ................................................................................................................................ 2
4 审核人员及审核组要求 .......................................................................................................... 2
5 认证信息公开 ......................................................................................................................... 3
6 认证程序 ................................................................................................................................ 3
6.1 初次认证 ................................................................................................................................ 3
6.1.1 认证申请 ......................................................................................................................... 3
6.1.2 申请评审 ......................................................................................................................... 3
6.1.3 建立审核方案 ................................................................................................................. 4
6.1.4 确定审核组 ..................................................................................................................... 5
6.1.5 非现场审核 ..................................................................................................................... 5
6.1.6 现场审核 ......................................................................................................................... 6
6.1.7 现场见证(必要时) ..................................................................................................... 7
6.1.8 认证决定 ......................................................................................................................... 8
6.1.9 证书颁发 ......................................................................................................................... 8
6.2 监督审核 ................................................................................................................................ 8
6.2.1 频次和方式 ..................................................................................................................... 8
6.2.2 信息收集 ......................................................................................................................... 8
6.2.3 信息评审与审核方案维护 ............................................................................................. 9
6.2.4 制定审核计划 ................................................................................................................. 9
6.2.5 审核实施 ....................................................................................................................... 10
6.2.6 监督审核结论 ............................................................................................................... 10
6.2.7 认证决定 ....................................................................................................................... 10
6.2.8 审核方案记录与变更 ................................................................................................... 10
6.3 特殊审核 ............................................................................................................................... 10
6.3.1 变更或扩大认证范围 ................................................................................................... 10
6.3.2 审核方案记录与变更 ................................................................................................... 11
7 信息通报 ............................................................................................................................... 11
8 认证证书管理 ....................................................................................................................... 11
8.1 证书内容 ............................................................................................................................... 11
认证证书内容应分别以中、英文书写,至少包括以下方面: ................................................ 11
8.2 证书编号 ............................................................................................................................... 11
8.3 证书有效期 ........................................................................................................................... 12
8.4 暂停认证证书 ....................................................................................................................... 12
8.5 撤销认证证书 ....................................................................................................................... 12
8.6 证书变更 ............................................................................................................................... 12
ISCCC-SV-001:2018 信息安全服务资质认证实施规则
中国网络安全审查技术与认证中心 第 2 页
1 适用范围
本规则用于规范中国网络安全审查技术与认证中心(简称中心)开展信息安全服务资质认证活
动。
2 认证依据
以CCRC-ISV-C01:2018《信息安全服务规范》为认证依据。
3 术语与定义
3.1 信息安全服务
由供应商、组织机构或人员执行的一个安全过程或任务。(ISO/IEC TR 15443-1:2005《信息技术
安全技术 信息技术安全保障框架第一部分:总揽和框架》)
3.2 自评估
申请方根据认证依据对自身的服务过程进行符合性评价,并进行评价证据的收集和分析,以确
定组织满足认证依据的程度。
3.3 现场审核
中心指派审核组到受审核方或获证组织所在办公地点进行的审核活动。
3.4 非现场审核
中心指派的审核组在受审核方或获证组织所在办公地点以外进行的审核活动,通常以远程审核
工具、电话、视频、邮件等远程审核方式进行。
3.5 现场见证
现场见证是针对受审核方或获证组织为满足相关方利益诉求、实现组织业务目标和处置组织风
险而实施的关键活动进行的,是对关键活动的执行过程进行跟踪见证。
3.6 特殊审核
特殊审核分扩大认证范围、提前较短时间通知的审核两种。
4 审核人员及审核组要求
审核人员必须取得服务审查员的注册资格,并得到中心的专业能力评价,以确定其能够胜任所
安排的审核任务。
审核组应由能够胜任所安排的审核任务的审查员组成。必要时可以补充技术专家以增强审核组
的技术能力。
具有与服务资质类别相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术
专家应在审查员的监督下进行工作,可就受审核方或获证组织服务过程中技术充分性事宜为审查员
提供建议,但技术专家不能作为审查员。
ISCCC-SV-001:2018 信息安全服务资质认证实施规则
中国网络安全审查技术与认证中心 第 3 页
5 认证信息公开
中心应向申请认证的社会组织(以下称申请方)至少公开以下信息:
1) 认证服务项目;
2) 认证工作程序;
3) 认证依据;
4) 证书有效期;
5) 认证收费标准。
6 认证程序
6.1 初次认证
6.1.1 认证申请
中心应要求申请方的授权代表至少提供以下必要的信息:
1) 认证申请书,包括但不限于以下内容:
a. 申请方基本信息,包括业务活动、组织架构、联系人信息、物理位置、服务和申请级
别等基本内容;
b. 法律地位资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书,组织
代码证和税务登记证(如果有));独立法人实体的一部分,经法人批准成立,法人实
体能为申请人开展的活动承担相关的法律责任。
c. 业务运行的时间;
d. 取得相关法规规定的行政许可文件(适用时)。
2) 自评估表,包括但不限于:
a. 组织根据认证依据所进行的符合性评价;
b. 评价结论所需要的证据材料。
6.1.2 申请评审
中心应根据认证依据、程序等要求,对申请方提交的认证申请书、自评估信息及其相关资料进
行评审并保存评审记录,做出评审结论,以确定:
1) 所需要的基本信息都得到提供(特别指自评估信息的完整性);
2) 申请方的行业类别和与之相对应服务的过程特性和管理要求;
3) 对应行业的管理要求;
4) 中心与申请方之间任何已知的理解差异得到消除;
ISCCC-SV-001:2018 信息安全服务资质认证实施规则
中国网络安全审查技术与认证中心 第 4 页
5) 中心有能力并能够实施所申请的认证活动;
6) 申请的认证范围、申请方的运作场所、完成审核需要的时间和任何其他影响认证活动的因
素; 核算并确定审核人日。
6.1.3 建立审核方案
在申请评审后,中心应针对申请方建立审核方案(申请方变更为受审核方),并由专职人员负责
管理审核方案。审核方案范围与程度的确定应基于受审核方的规模和性质,以及受审核服务和服务
管理的性质、功能、复杂程度以及成熟度。
中心应建立审核人日确定准则,根据申请方的规模、特性、业务复杂程度、服务管理体系涵盖
的范围、认证要求和其承担的风险等因素核算并确定审核人日,以确保审核的充分性和有效性。确
定的人日数记录在审核方案记录中。
审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,应包括以下
内容:
1) 审核的范围与程度、数量、类型、持续时间、地点、日程安排;
2) 审核准则;
3) 审核方式;
依据企业提供的信息和认证资信,由项目管理人员决定采取具体的审核方式实施审核,目前可
选择的审核方式如表1 。
表 1. 审核方式分类表:
审核方式 一级 二级 三级 备注
非现场审核 √ √ √
现场审核 √ √ √
现场见证 √ √ √ 仅适用于安全运维
注:
1、三级初次认证宜采取自我声明+非现场审核;
2、一、二级初次认证宜采取非现场审核与现场审核相结合;必要时,实施现场见证;
3、监督审核依据获证方的自评估,先实施非现场审核,必要时实施现场审核和(或)
现场见证。
4) 审核组的选择(审核组成员应具有相对应的服务审核方向);
5) 所需的资源,包括交通和食宿;
ISCCC-SV-001:2018 信息安全服务资质认证实施规则
中国网络安全审查技术与认证中心 第 5 页
6) 处理保密性、信息安全、健康和安全,以及其它类似事宜。
6.1.4 确定审核组
中心应根据受审核方的行业、规模和业务复杂程度和审核方案组建审核组,指派审核组长。审
核组组建原则见第4章。
6.1.5 非现场审核
依据项目管理人员的安排,审核组对申请方实施非现场审核。非现场审核时,审核组通过对受
审核方提交的自评估信息进行评审,获取需要的信息,对于无法从自评估信息中获取的信息,审核
组通过远程审核工具进行信息获取,以确保完成非现场审核。
6.1.5.1 非现场审核计划
审核组长应结合受审核方的申请书/自评估信息、审核方案对非现场审核的策划做出具体安排,
包括但不限于具体的时间安排、审核组成员对受审核方按岗位、活动和评价方式的安排。审核组长
应至少在实施审核前与受审核方就审核计划进行充分沟通,确保双方在理解上没有歧义。
6.1.5.2 实施非现场审核
审核组长依据认证依据和审核要求,对申请方递交的资料进行审核,必要时辅以电话、视频、
邮件等远程审核,并出具非现场审核报告。
非现场审核应对以下几个方面进行关注:
1) 受审核方的人员管理情况;
2) 受审核方的工具管理情况;
3) 受审核方的保密管理情况;
4) 受审核方的组织管理情况;
5) 受审核方的服务项目管理情况;
6) 受审核方对服务过程中资源的管理情况;
7) 受审核方对服务过程中风险(包括安全风险)的管理情况;
8) 受审核方已完成的项目及验收的结果;
9) 是否进行现场审核;
10) 现场审核时是否进行现场见证;
11) 其他审核组员认为需要关注的方面等。
ISCCC-SV-001:2018 信息安全服务资质认证实施规则
中国网络安全审查技术与认证中心 第 6 页
6.1.5.3 非现场审核结论
审核组应该对非现场审核中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论
达成一致。
如果非现场审核发现不符合项和观察项应开具不符合项报告和观察项,且获得受审核方认同。
非现场审核结束,审核组可以根据非现场审核的结果对受审核方的服务是否满足所有适用的认
证依据的要求进行评价,并判断是否需要:
a)进行现场审核、
b)服务项目现场见证,
c)推荐认证注册等。
非现场审核结束后,审核组长完成审核报告。如果非现场审核结束后,审核组认为有必要进行
现场审核,需在审核报告中进行说明,并向项目管理人员提出申请,由项目管理人员进行分析后确
定。
6.1.6 现场审核
依据项目管理的安排,审核组对申请方实施现场审核。
6.1.6.1 现场审核计划
审核组应结合受审核方的申请书/自评估信息、非现场审核发现、审核方案对现场审核的策划对
现场审核做出具体安排,包括但不限于具体的时间安排、审核组成员对受审核方按岗位、活动和评
价方式进行证据收集、人员沟通和会议安排。审核组长应至少在实施现场审核5个工作日之前,与受
审核方就审核计划进行充分沟通,确保双方在理解上没有歧义。
必要时,在制定现场审核计划时应考虑对受审核方执行服务项目的现场见证。
6.1.6.2 现场审核实施
审核组长依据认证依据和审核要求,到受审核方现场进行审核,并出具现场审核报告。
现场审核应对以下几个方面进行关注:
1) 受审核方的现场环境、实验环境;
2) 受审核方的资源管理情况;
3) 受审核方的文档管理情况;
4) 受审核方的服务管理情况;
5) 受审核方的服务项目管理过程;
6) 受审核方已完成的项目及验收证明;
ISCCC-SV-001:2018 信息安全服务资质认证实施规则
中国网络安全审查技术与认证中心 第 7 页
7) 审核组认为非现场审核发现需要关注的方面;
审核组通过现场审核,应实现以下目的:
1) 确定受审核方有能力策划并实施合同约定的服务项目;
2) 确定受审核方有能力确保所有的服务项目都按照既定的要求执行;
3) 确定受审核方的项目管理和执行过程满足认证依据的通用评价要求和专业评价要求。
6.1.6.3 现场审核结论
审核组应该对非现场审核和现场审核中收集的所有信息和证据进行汇总分析,评价审核发现并
就审核结论达成一致。
如果现场审核发现不符合项和观察项应开具不符合项报告和观察项,且获得受审核方认同。
现场审核结束,审核组可以根据非现场审核结果和现场审核的结果对受审核方的服务是否满足
所有适用的认证依据的要求进行评价,并判断是否需要增加非现场审核、是否推荐认证注册。
现场审核结束后,3个工作日内,审核组长完成审核报告。
6.1.7 现场见证(必要时)
依据项目管理的安排,审核组对受审核方实施现场见证。
6.1.7.1 现场见证计划
审核组应结合受审核方的申请书/自评估信息、审核方案对现场见证做出具体安排,包括但不限
于具体的时间安排、审核组成员、具体的见证客户及见证内容。审核组长在制定见证计划前,与受
审核方就时间安排进行充分沟通,确保双方达成一致。
同时,尽量与现场审核的时间安排保持一致。
6.1.7.2 现场见证实施
必要时,对申请认证的组织,审核组长/或组员依据认证依据和审核要求,对受审核方正在实施
的服务项目现场进行见证,并出具现场见证报告。
现场见证应对以下几个方面进行关注:
1) 受审核方服务现场的安全管理情况;
2) 受审核方的现场服务过程的规范性;
3) 服务人员的技术能力;
4) 服务人员对工具的规范操作能力;
5) 受审核方服务技术要求的满足程度。
ISCCC-SV-001:2018 信息安全服务资质认证实施规则
中国网络安全审查技术与认证中心 第 8 页
6.1.8 认证决定
审核完成后,项目管理人员应指派认证决定人员,对受审核方的认证申请实施认证决定,以决
定:
a) 同意认证注册,颁发认证证书;或不同意认证注册。
b) 并给出下次监督审核方式的建议。
注1:参加审核的人员不能作为认证决定人员实施认证决定。
注2:受审核方获得认证注册资格后变更为获证组织。
6.1.9 证书颁发
对于符合认证要求的获证组织,颁发认证证书。
6.2 监督审核
6.2.1 频次和方式
对获证组织实施监督审核,每年度(不超过12个月)进行一次监督审核。对于初次获证组织,
需要在12个月内进行现场监督审核。
对于第一次现场监督审核后,项目管理人员根据上一次认证审核结果,获证方在下次监督审核
前可提交各服务方向的自评估材料和(或)公共管理部分的自评估材料。
对于信誉良好的获证组织,信任度级别高,可以根据实际情况延长监督的频次和灵活运用监督
的方式。
当获证组织发生重大变更、事故、信任度级别低以下或客户投诉时,可增加现场监督评估的频
次。
监督的方式包括非现场监督审核和现场监督审核两种方式。
6.2.2 信息收集
在进行监督审核之前,中心需要收集获证组织的安全服务管理与安全服务能力的相关信息,以
确定获证组织的安全服务管理与安全服务能力相关信息是否发生变化。需要客户提供的信息包括以
下几个方面:
1) 信息确认文件,包括但不限于:
a. 基本信息,包括组织名称、地址、联系人、法人等信息的变化情况;
b. 组织信息:包括范围、组织架构、人员数量等信息的变化情况;
ISCCC-SV-001:2018 信息安全服务资质认证实施规则
中国网络安全审查技术与认证中心 第 9 页
c. 服务管理体系相关信息,关键文件化信息的变化情况。
2) 自评估信息:包括但不限于:
a. 安全服务管理运行情况,包括运行说明和运行证据;
b. 安全服务管理监视、测量、分析和评价的结果和证据;
c. 安全服务管理运行的持续改进情况,包括改进说明和证据;
d. 满足法律法规的情况说明;
e. 对安全服务管理符合性的自我评价。
6.2.3 信息评审与审核方案维护
项目管理人员对收集的信息的完整性进行评审,必要时,对审核方案进行维护。
6.2.4 制定审核计划
审核组应结合获证组织的信息确认文件、自评估信息、审核方案对监督审核的策划和前一次审
核的结果对现场审核做出具体安排,包括但不限于具体的时间安排、审核组成员对获证组织按岗位
和活动以何种方式进行评价的安排、高层沟通的安排、现场见证和会议的安排。审核组长应至少在
实施审核5个工作日之前,与获证组织就审核计划进行充分沟通,确保双方没有歧义。
监督审核并不覆盖认证依据所有条款,监督审核的抽样采取抽样的方式进行, 抽样准则为:
1) 两次监督审核必须覆盖标准所有条款和所有部门;
2) 标准中对服务管理过程有决定作用的条款和部门每次监督审核都需要抽到;
3) 获证组织前一次审核问题较多的条款在本次监督审核中需要抽到;
4) 审核组认为重要的条款应考虑进行抽样。
每次监督审核的内容应包括对以下方面:
1) 非现场审核;
2) 对上次审核中确定的不符合采取的措施;
3) 投诉的处理;
4) 安全服务管理与安全服务能力在实现获证客户目标的有效性;
5) 为持续改进而策划的活动的进展;
6) 持续的运作控制;
7) 任何变更;
8) 标志的使用和(或)任何其他对认证资格的引用。
ISCCC-SV-001:2018 信息安全服务资质认证实施规则
中国网络安全审查技术与认证中心 第 10 页
6.2.5 审核实施
审核组按照审核计划的安排对获证组织进行审核,由于监督审核并不要求覆盖安全服务管理和
安全服务能力的所有方面,在监督审核的策划过程中,如果获证组织的认证范围信息有变化,应对
变化的方面进行关注,必要时重新确认审核范围。
监督审核原则上采取非现场审核的方式进行,非现场审核结束后,审核组根据审核结果确定是
否需要进行现场审核和(或)现场见证,如果需要,审核组需向项目管理人员进行申请,项目管理
人员根据获证组织的相关信息确定是否进行现场审核和(或)现场见证并进行相关活动的安排。
6.2.6 监督审核结论
审核组应该对收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
如果审核发现不符合项和观察项应开具不符合项报告,且获得获证组织认同。
审核结束,审核组应形成是否推荐保持认证注册的结论;。
审核结束后3个工作日内审核组长完成审核报告。
6.2.7 认证决定
中心应指派认证决定人员,对获证组织的认证申请实施认证决定,以决定:
1) 同意保持认证注册,颁发认证标志;
2) 补充认证决定所需的信息,包括但不限于申请材料、审核材料,再进行认证决定;
3) 不同意保持认证注册,做出暂停或撤销的决定,通知获证组织不同意保持的理由。
认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础,以充分的证
据证实获证组织符合服务资质规范的要求。
6.2.8 审核方案记录与变更
审核方案管理人员应收集特殊审核的信息,特别是形成的结论和变化的信息,记录到审核方案
中,并确定审核方案是否需要进行变更,如需要则更新相应项目内容。
6.3 特殊审核
6.3.1 变更或扩大认证范围
获证组织申请级别变更时,中心应按初次认证的过程对获证组织进行特殊审核,最终形成是否
同意级别变更的决定。级别变更的审核活动可单独进行,也可和对获证组织的监督审核一起进行。
中心为调查投诉、对变更做出回应或对被暂停认证资格的获证组织进行追踪时,应指派审核组
在提前较短时间通知获证组织后对其进行特殊审核。特殊审核以现场审核方式进行,此时:
1) 应向获证组织说明并使其提前了解将在何种条件下进行此类审核;
ISCCC-SV-001:2018 信息安全服务资质认证实施规则
中国网络安全审查技术与认证中心 第 11 页
2) 给予获证组织对审核组成员的任命表示反对的机会,中心应在指派审核组时给予更多的关
注;
3) 审核组应制订审核计划,形成审核结论;
4) 中心应根据审核结论作出认证决定。
6.3.2 审核方案记录与变更
审核方案管理人员应收集特殊审核的信息,特别是形成的结论和变化的信息,记录到审核方案
中,并确定审核方案是否需要进行变更,如需要则更新相应项目内容。
7 信息通报
为确保获证组织的安全服务能力持续有效,获证组织应建立信息通报规范,及时向认证机构报
告以下信息:
1) 组织机构变更信息;
2) 安全事故、客户投诉信息;
3) 其他重要信息。
8 认证证书管理
8.1 证书内容
认证证书内容应分别以中、英文书写,至少包括以下方面:
a) 认证证书名称,例如:信息安全服务资质认证证书;
b) 获证组织名称、注册地址、办公地址;
c) 符合本规则第2章的认证依据;
d) 通过认证的服务类别;
e) 首次颁证日期、换证日期以及证书有效期的起止年月日;
f) 中心的名称及其标志;
g) 中心的印章和法定代表人代表或其授权人的签字;
h) 认可标识及认可注册号(应为国家认监委确定的认可机构的标识,以申请认可为目的发出的
证书可没有此内容)。
8.2 证书编号
a) 证书编号规则由中心进行明确规定。
b) 有效期内换发证书,认证证书编号中的机构注册号、年份号、顺序号保持不变,应注明换
证日期。
c) 撤销证书后,原认证证书编号废止,不再它用。
d) 认证证书上的中心名称应与相应的中心批准书上的名称一致。
ISCCC-SV-001:2018 信息安全服务资质认证实施规则
中国网络安全审查技术与认证中心 第 12 页
8.3 证书有效期
获证组织应通过年度监督审核,保持证书有效,证书每年更新一次。
8.4 暂停认证证书
获证组织有下列情形之一,认证机构应暂停其认证证书:
i) 获证组织的服务管理持续地或严重地不满足认证要求,
j) 逾期未按规定接受监督审核;
k) 违规使用认证证书,且未造成不良影响;
l) 监督审核有严重不符合项;
m) 获证组织主动请求暂停;
n) 其他需要暂停证书的情况。
在暂停认证期间,获证组织的服务资质认证证书暂时无效。中心应做出具有强制实施力的安排,
避免暂停认证期间获证组织继续宣传并使用服务资质认证证书。中心应使认证证书的暂停信息可公
开获取。
证书暂停时间一般不超过六个月。在证书暂停期间,组织可提出恢复证书的申请,并经认证机
构审核、批准后方可使用证书。
在任何组织提出请求时,中心应正确说明获证组织的服务资质认证被暂停的情况。
8.5 撤销认证证书
获证组织有下列情形之一,应撤销其认证证书:
a) 逾期6个月未按规定接受监督审核的;
b) 证书暂停期间,未在规定时间内完成整改并通过验证;
c) 违规使用认证证书,造成不良影响;
d) 获证组织出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;
e) 获证组织因自身原因不再维持证书,可提出撤销认证证书的申请;
f) 其他需要撤销证书的情况。
认证证书撤销后,获证组织应交回认证证书,中心予以公示。
8.6 证书变更
证书变更如只涉及地址、资金或法定代表人的变更,获证组织需递交变更申请,经书面审核批
准后,中心可更换其证书并收回原证书。
如获证组织发生除以上的重大调整,应向中心提出变更申请,并提供相关材料。中心组织审核
组需进行现场审核,并做出认证决定。