信息系统安全集成服务资质三级.docx

《信息系统安全集成服务资质三级.docx》由会员分享，可在线阅读，更多相关《信息系统安全集成服务资质三级.docx（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统安全集成服务资质三级信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设施行、安全保证的活动。信息系统安全集成包括在新建信息系统的构造化设计中考虑信息安全保证因素，进而使建设完成后的信息系统知足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。安全集成服务提供方的服务能力主要从下面四个方面体现：基本资格、服务管理能力、服务技术能力和服务经过能

2、力；服务人员的能力主要从把握的知识、安全集成服务的经历等综合评定。信息系统安全集成下面简称：安全集成服务资质认证是根据ISCCC-SV-003:2011（信息系统安全集成服务资质认证规则）开展。ISCCC-SV-003:2011（信息系统安全集成服务资质认证规则）是根据我国信息系统安全集成服务管理的要求，基于目前国内安全集成服务商的实际情况，参考GB/T20261-2006（信息技术系统安全工程能力成熟度模型）、YD/T1621-2007（网络与信息安全服务资质评估准则）、ISO/IEC21827-2008（信息技术系统安全工程能力成熟度模型）等标准制定而成。该标准的评估对象是为信息系统所有者

3、提供安全集成服务的组织。该规则提出了安全集成服务提供者应具备的服务能力要求，及施行安全集成服务资质认证的程序与管理要求。在该规则中，安全集成服务能力要求包含基本资格、管理能力、技术能力与经过能力要求等内容。基本资格部分包括了服务提供者的注册资本、从业经历、人员素质要求、项目经历、固定工作场所等方面的要求。管理能力部分包括应制定技术和管理措施确保客户信息的安全、可控；制定保密管理要求，明确保密岗位与职责，定期对服务人员进行保密教育与培训；建立人员管理程序，使每一位服务人员持续知足岗位职责的需求；根据持续改良的要求制定安全集成项目的管理制度；使用符合标准要求的检查列表、文档模板、测试工具；建立项目管理、质量管理、信息安全管理体系文件。技术能力部分包括与安全集成服务有关的服务方案、服务报告的制定能力；对安全集成系统进行检验和检测的能力；具备安全集成服务所需工具的研发能力等。经过能力部分是指安全集成服务经过的集成准备、方案设计、建设施行、安全保证四个关键阶段。集成准备阶段主要是界定安全需求、签订服务合同、确定服务人员、签订保密协议等；方案设计阶段主要是充分考虑各方面的安全需求和安全背景，以设计出适用的项目方案；建设施行阶段主要是在客户环境中实现项目方案的预期安全目的和效果；安全保证阶段主要是通过在安全方案设计阶段、建设施行阶段等经过中，收集客户的安全需求已经得到知足的证据。