YDT1621-2007 网络与信息安全服务资质评估准则

1范围 本标准规定了为电信运营企业提供网络与信息安全服务的组织应具备的网络与信息安全服务资质要求。 本标准适用于对为电信运营企业提供网络与信息安全服务的组织进行网络与信息安全服务资质评估，可作为电信运营企业对网络与信息安全服务提供者的选择依据，可以作为国家有关主管部门对网络与信息安全服务提供者进行管理、检查的技术性规范。也可为网络与信息安全服务提供者改进自身能力的指导。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注有日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 19000.3-2001质量管理和质量保证标准 第3部分：GB/T 19001在计算机软件开发、供应、安装和维护中的使用指南 GB/T 19001-2000质量体系 要求 GB/T 19004.2-1994质量管理和质量体系要素 第2部分：服务指南 GB/T 19004.4-1994质量管理和质量体系要素 第4部分：质量改进指南 ISO/IEC 21827：2002信息技术 系统安全工程 能力成熟模型 3 术语和缩略语 3.1 术语和定义 GB/T 5271.8-2001中的术语和定义适用于本标准，另外以下术语和定义也适用于本标准。 3.1.1 网络与信息安全服务 Information Security Service网络与信息安全服务是指信息安全工程的设计、实施、测试、运行、维护以及相关的咨询和培训等活动。 3.1.2 网络与信息安全服务提供者 Information Security Service Provider按照一定的合同或协议，为电信运营企业提供网络与信息安全服务的组织，也常称为网络与信息安全服务商。 3.1.3 网络与信息安全服务资质等级 Information Security Service Level网络与信息安全服务资质等级是指一个组织提供网络与信息安全服务的综合能力等级，包括法律资格、组织与管理能力、技术能力、人员构成与素质、规模与资产、项目管理能力、安全工程过程能力等多个方面。 3.1.4 IT安全策略 IT Security Policy CISA Certified Information Security Auditor注册信息安全审核员 CISP Certified Information Security Professional注册信息安全专家 CISSP Certified Information Systems Security Professional注册信息系统安全专家 ISMS Information Security Management System IT Information Technology信息安全管理体系 信息技术NCSE National Certification of Information Security Engineer国家信息安全技术水平考试网络与信息安全服务的类型 网络与信息安全服务的类型主要指一个组织按照一定的合同或协议，为另一个组织所履行的安全联务的具体形式，包括： a）安全咨询服务 1）安全管理咨询：参照国内外信息安全标准为电信运营企业制定符合实际需要的安全策略或完善现有安全策略、设计建立信息安全管理体系的咨询服务。 2）安全架构咨询：包括安全框架、安全规划和安全解决方案设计。——安全框架是指以风险评估为依据，对组织的安全框架进行设计；安全规划是指通过对安全框架内的具体安全策略进行紧迫性分析、可实施性分析、难易分析和效果分析等，形成若干年内的安全建设规划；安全解决方案设计是指对计划实施的安全策略细化，包括提出为实现安全策略应外购的产品、服务或定制的软件等，并描述这些产品和服务应达到的功能和性能要求以及如何通过部署这些产品和服务来确保安全策略得到实施。 3）安全通告服务：是指定期或不定期地将经过汇总的最新安全漏洞、威胁信息、病毒信息、有害信息等安全信息及相应解决方案发布给电信运营企业的安全服务。 b）安全工程服务 1）安全实施方案设计：指在安全解决方案的基础上为下一步将要实施的安全产品集成、安全软件定制开发、安全加固或其他安全技术服务制定实施方案的服务。 2）安全集成服务：根据安全实施方案进行产品供货、施工和相关技术培训的服务。 3）安全监理服务：在电信运营企业进行安全建设时，以监理的形式参与，协助电信运营企业编写安全需求、测试安全需求满足程度并督促供货商或集成商按照安全建设方案进行供货或施工的服务。 c）安全培训服务：系统化地提供安全技术或安全管理培训，协助电信运营企业培养安全人才、提高从业人员安全技能、安全意识的服务。 d）安全运行支持服务 1）安全评估服务：指通过调查既定范围内的信息资产、分析其面临威胁以及资产上存在的漏洞，确定资产可能面临的风险，并提出相应风险控制措施的服务。 2）安全加固/增强服务：针对网络与信息安全问题，给以更正或增强的安全服务，典型的包括操作系统加固、数据库加固等。 3）应急响应服务：在电信运营企业发生安全事件时提供紧急现场或远程援助的安全服务。 4）安全监控服务：对电信运营企业的网络与信息系统进行安全监控，从中发现安全威胁、安全漏洞、安全事件，并提供安全监控报告的安全服务。 5）安全维护服务：指对电信运营企业的主机、网络设备、安全设备等进行日常安全运维的服务。 6）安全定制开发服务：指通过定制开发为电信运营企业的系统提供安全功能的服务。 5 网络与信息安全服务资质等级的评判原则 网络与信息安全服务资质评估是对网络与信息安全服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定，是在其基本能力水平、资格要求、单项评估结果基础上，针对不同的服务种类，采用一定的权值综合考虑后确定。网络与信息安全服务的资质等级的划分遵循以下原则： a）综合性原则：必须对组织的综合能力进行考察，它主要与组织的资格状况、技术实力、安全服务专业人员状况、信息安全工程过程能力以及其他要求有关；b）符合性原则：必须遵从国家有关主管部门颁布的相关法律、法规、规章、制度，与相关网络与信息安全标准相一致；c）可裁剪原则：安全服务有多种类型，对不同类型的安全服务可进行适当的裁剪；d）可操作原则：应考虑国内安全服务商以及安全服务市场的实际情况，保证标准客观、实际、可操作。 6网络与信息安全服务资质等级是对网络与信息安全服务提供者综合实力的客观评价，反映了网络与信息安全服务提供者的网络与信息安全服务资格、水平和能力。 网络与信息安全服务资质等级划分方法 网络与信息安全服务资质要求分为基本要求和分类要求，基本要求指所有安全服务提供者都必须达到的安全能力要求；分类要求则是对不同类型的服务提供者分别提出了3级能力要求，级别由低到高依次是三级、二级、一级资质，每级要求的增强是通过增加新的能力要求条款或在原有条款上进行增强来实现的。 7 安全服务基本能力要求 7.1 法律资格 7.1.1 提供网络与信息安全服务的组织必须是一个独立的实体，具有独立法人资格，具有相关都门须发的合法经营资格。 7.1.2 从事涉及国家秘密的网络与信息安全服务的组织必须获得国家保密机关的资质认证。