赞
踩
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。 中国网络安全审查技术与认证中心是经国家认证认可监督管理委员会批准,可以从事信息安全服务资质认证的机构(《认证机构批准CNCA-R-2007-138),并获得了中国合格评定国家认可委会的认可(证书编号:No. CNAS CO66-V)。服务资质认证工作是中心的核心业务之一
根据相关认证规则,简单介绍下CCRC信息安全服务资质中--信息系统安全运维专业
第一:资质申请的前提条件
申请机构所从事的行业开展的项目类型和IT相关,有合适的办公场地,良好的财务状况和资信水平,具备一定的服务人员队伍,建立有基本的管理制度并有效运行,能够为组织的安全服务过程提供支撑和保障。
第二:资质申请的几大要素
信息安全服务资质申请要素之一:人
1. 企业对外提供的信息安全服务依赖人来完成,必须要有合适的技术带头人,技 术带头 人需要对信息安全的含义、如何确保信息安全有较为深刻的理解和认识需要在组织内部建立信息安全服务职能部门的岗位职责、任职资格、评价机制,并按照上述原则对信息安全服务人员进行能力考核、认定、评价
2.资质申请人员能力培训:信息安全保障人员CISAW(辅助资质申请和项目投标人员加分项)信息安全保障人员分:安全集成 安全运维 风险管理 应急服务、安全软件
CISAW安全集成课程大纲 :
信息系统安全工程概述、安全集成实施、安全的集成模式和集成的安全模式、 安全技术应用
CISAW风险管理课程大纲 :
风险管理基本概念和相关标准、项目准备和风险识别、风险分析和评价、风险处置与监控、技术脆弱性识别与管理脆弱性识别
CISAW应急管理课程大纲 :
应急管理体系建立、电子商务系统黑客破坏场景重现与企业应急响应过程重现、应急服务中的渗透测试实践、应急响应实战案例分析与沙盘演练、应急响应与安全事件处置、应急预案制定和实施
CISAW安全运维课程大纲 :
安全运维体系、合规要求、安全策略、运维准备和实施、运维安全、评审及改进
CISAW安全软件课程大纲 :
软件安全概述和模型、安全漏洞管理、安全功能设计、软件安全测试、软件安全编码实践
信息安全服务资质安全运维申请要素之二:什么是安全运维
通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。随着信息系统运行,其自身存在的脆弱性和面临的威胁都在发生变化,安全运维就是在系统运行期间,不断的发现问题和解决问题,并优化安全策略,建立防护、检测和恢复的闭环安全机制,保证业务系统持续安全。
信息安全服务资质安全运维申请要素之三:业绩项目和规范
1、集成项目实施完成后,希望能够为客户提供长期运维服务的组织
2、所开展的运维项目类型为硬件运维、应用系统运维、或硬件与应用系统运维均可,项目的主要环节需要覆盖需求分析、方案设计、运维实施、运维服务报告编写等阶段
信息安全服务资质申请要素之四:公共管理和安全运维专业方向与评估表对标
1. 公共管理包含; 法律地位、财务资信、办公场所、人员要求、服务管理要求(人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理,体系建设要求),技术工具要求等
2. 项目业绩:信息安全服务资质对企业在对外开展信息安全服务的一些关键环节和过程,也有相应的要求;要将公司现有的业务模式,与资质的要求进行融合,并按照资质规范的要求,形成相应的对标输出
3、安全运维项目: 避免选择纯硬件维护或者纯软件维护的项目, 典型项目应该涉及预警、防护、检测和恢复等环节的内容
4、安全运维的项目阶段:运维设计实施 运维方案设计 服务实施(信息系统配置管理数据库、安全配置库、配置检查记录 日志保存记录与日志审计分析记录、报告;漏扫记录、安全加固记录、补丁安装记录、病毒查杀记录等 )
第三:适合申请安全运维的组织类型:
在传统IT运维项目实施过程中融入“安全性”思维,并贯穿运维项目实
施的整个过程:
1、 针对客户安全运维需求的挖掘与分析
2、 能够将安全需求在运维方案中进行落地
3、在运维服务开展过程中,通过多种手段(资产梳理、配置优化、漏洞检测、安全审计、状态监控、渗透测试等),能够发现问题和隐患,控制风险,使运维对象的信息安全风险保持在偏低水平
4、 针对运维服务过程中发现的问题能够及时闭环处理、分析总结
第四:申请流程
申请前的准备:
1、理解《信息安全服务 规范》
2、梳理/建立组织的服务管理体系
3、寻找/开展服务项目实现技术要求
4、对安全服务管理体系进行持续改进
申请中的工作:
1、登录业务系统,注册账号;
2、填写认证申请书,保障信息真实;
3、下载对应类别的自评价表进行自评价,并整理证明材料;
4、在业务系统提交自评价表及证明材料。
申请中的配合工作:
1、非现场审核阶段
联系人保持电话畅通、关注项目进展;
解答审核组长提出与审核相关的问题,必要时提供证据;
对于不符合项或影响现场审核的问题,及时采取纠正措施(时限不超过20个工作日)。
2、现场审核阶段
关注业务系统中的项目进度;
协助安排审核组现场审核时间、地点;
协调公司高层、相关人员配合审核,并准备相关佐证材料;
安排审核组的交通、食宿(参照财政部的要求);
协调公司的模拟测试环境(一二级);
协调安全运维见证项目( 一二级 )。
审核后的配合工作:
不符合项整改(不超过20个工作日);
认证决定过程中需要补充的材料(不超过3个工作日);
及时缴纳认证费用(收到通知单后10个工作日);
上传汇款信息及汇款证明(保障及时、准确无误);
关注认证决定(3个工作日完成);
证书批准后在客户端可查看证书样板(2个工作日完成)。
获取证书:
文章中部分图片、文字 来源于互联网,版权归原作者所有。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。