The post 信息安全服務(wù)資質(zhì)證書使用說明 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>信息安全服務(wù)資質(zhì)證書使用說明
發(fā)布日期:2011年1月
信息安全服務(wù)資質(zhì)證書使用說明
中國信息安全測(cè)評(píng)中心(以下簡(jiǎn)稱CNITSEC)頒發(fā)的信息安全服務(wù)資質(zhì)證書,是證明證書持有單位符合信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則的文件。證書持有單位在使用CNITSEC頒發(fā)的證書時(shí),應(yīng)遵守以下規(guī)定:
1. 證書使用要求
1.1 證書持有單位可在有效期內(nèi)從事有關(guān)的信息安全服務(wù)工作,并接受CNITSEC的監(jiān)督。
1.2 可將證書復(fù)印件用于資格的證明和宣傳材料上。
1.3 證書持有單位不得發(fā)生以下誤用:
? 將證書轉(zhuǎn)交其它單位使用;
? 使用失效證書。
2. 證書的監(jiān)督確認(rèn)
2.1 在證書有效期內(nèi)接受CNITSEC對(duì)證書有效性的確認(rèn)。
3. 證書的維持換證
3.1 在證書有效期屆滿前90天內(nèi),證書持有單位須向CNITSEC遞交維持換證申請(qǐng)及其證實(shí)材料。
3.2 有申請(qǐng)升級(jí)條件的可遞交更高一級(jí)的資質(zhì)申請(qǐng)。
4. 處置
4.1 獲得CNITSEC信息安全服務(wù)資質(zhì)的單位被暫停、取消或注銷資格時(shí),應(yīng)立即停止使用CNITSEC證書,必須銷毀標(biāo)有CNITSEC認(rèn)可決定的宣傳材料等文件。對(duì)取消或注銷CNITSEC資質(zhì)的信息安全服務(wù)資質(zhì)單位,CNITSEC將收回其資質(zhì)證書。
4.2 對(duì)于信息安全服務(wù)資質(zhì)單位資格的暫停、降級(jí)或取消:
屬于暫停資格的單位,應(yīng)立即停止使用資質(zhì)證書;
屬于取消資格的單位,應(yīng)立即停止使用資質(zhì)證書,并銷毀有關(guān)有資格信息的宣傳材料和證實(shí)材料,CNITSEC將收回其資質(zhì)證書。
4.3 CNITSEC所做的處置決定以書面形式通知對(duì)方單位,并在相關(guān)媒體上進(jìn)行公告。
5. 解釋權(quán)
CNITSEC負(fù)責(zé)信息安全服務(wù)資質(zhì)證書的管理,并保留解釋權(quán)。
The post 信息安全服務(wù)資質(zhì)證書使用說明 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>The post 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>H3 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求
組織申報(bào)一級(jí)資質(zhì),除滿足二級(jí)能力要求外,還應(yīng)滿足以下要求:
申請(qǐng)一級(jí)資質(zhì)認(rèn)證的單位,至少完成10個(gè)與申請(qǐng)工業(yè)控制領(lǐng)域一致的完整的安全集成和安全運(yùn)
維服務(wù)項(xiàng)目;在技術(shù)和管理方面具備安全服務(wù)的過程管理、風(fēng)險(xiǎn)管理能力;具備針對(duì)工業(yè)控制系統(tǒng)
開展風(fēng)險(xiǎn)評(píng)估服務(wù)、應(yīng)急處理服務(wù)的能力;具備安全問題解決的驗(yàn)證和證據(jù)分析、安全服務(wù)不斷提
升改進(jìn)的能力。
H3.1 服務(wù)規(guī)劃階段
H3.1.1 調(diào)研客戶需求
a) 調(diào)研客戶企業(yè)愿景,對(duì)工業(yè)控制系統(tǒng)安全業(yè)務(wù)的發(fā)展規(guī)劃和未來幾年業(yè)務(wù)發(fā)展目標(biāo)。
H3.1.2 分析服務(wù)業(yè)務(wù)
a) 對(duì)客戶的安全生產(chǎn)和網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行評(píng)估,調(diào)研行業(yè)安全防護(hù)的水平,明確薄弱環(huán)節(jié)。
H3.1.3 編制服務(wù)方案
a) 確定實(shí)施過程的備份機(jī)制和應(yīng)急處理方案,并與客戶充分溝通,預(yù)測(cè)應(yīng)急處理方案可能造
成的影響。
H3.1.4 組建服務(wù)團(tuán)隊(duì)
a) 團(tuán)隊(duì)成員必須配備能夠?qū)I(yè)控制系統(tǒng)進(jìn)行應(yīng)急處理的服務(wù)人員。
H3.1.5 實(shí)施準(zhǔn)備
a) 具有根據(jù)工業(yè)控制系統(tǒng)特點(diǎn),自主開發(fā)專業(yè)檢測(cè)工具的能力。
b) 配備有處理網(wǎng)絡(luò)或信息安全事件的工具包,包括常用的系統(tǒng)命令、工具軟件等。
c) 應(yīng)根據(jù)服務(wù)的需求配備必要的服務(wù)質(zhì)量監(jiān)測(cè)手段,具備對(duì)服務(wù)行為進(jìn)行審計(jì)的能力。
H3.2 服務(wù)實(shí)施階段
H3.2.1 項(xiàng)目實(shí)施
a) 有能力利用客戶的備用設(shè)備或仿真環(huán)境搭建控制系統(tǒng)的模擬環(huán)境,模擬真實(shí)系統(tǒng)的結(jié)果、
配置、數(shù)據(jù)、業(yè)務(wù)流程,在仿真系統(tǒng)中驗(yàn)證服務(wù)內(nèi)容和測(cè)試,以保障在運(yùn)系統(tǒng)的安全、穩(wěn)
定運(yùn)行。
b) 建立服務(wù)過程質(zhì)量監(jiān)控機(jī)制,定期開展服務(wù)質(zhì)量評(píng)價(jià)工作,能夠?qū)Χ鄠€(gè)團(tuán)隊(duì)的服務(wù)質(zhì)量的
一致性進(jìn)行把控。
H3.2.2 風(fēng)險(xiǎn)評(píng)估及應(yīng)急處置
a) 能夠?qū)I(yè)控制系統(tǒng)發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行原因分析,采取措施抑制或根除潛在的安全
風(fēng)險(xiǎn),提交應(yīng)急處置方案。
b) 網(wǎng)絡(luò)與信息安全事件處理記錄應(yīng)具備可追溯性。
H3.2.3 系統(tǒng)運(yùn)行測(cè)試
a) 制定系統(tǒng)安全性測(cè)試方案,模擬攻擊場(chǎng)景,在模擬環(huán)境中進(jìn)行安全性測(cè)試,形成測(cè)試報(bào)告。
b) 綜合分析控制系統(tǒng)運(yùn)行狀況,制定安全運(yùn)維、應(yīng)急響應(yīng)方案。
H3.3 服務(wù)總結(jié)階段
H3.3.1 服務(wù)驗(yàn)收
無
H3.3.2 服務(wù)交接
a) 建立應(yīng)急保障團(tuán)隊(duì),及時(shí)響應(yīng)客戶需求。
H3.3.3 服務(wù)總結(jié)
a) 建立服務(wù)項(xiàng)目知識(shí)庫,積累和匯總不同行業(yè)的業(yè)務(wù)知識(shí)和系統(tǒng)特點(diǎn)。
b) 提供詳實(shí)的網(wǎng)絡(luò)與信息安全事件處理報(bào)告,完整展現(xiàn)應(yīng)急處理服務(wù)的整個(gè)過程
安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級(jí)申請(qǐng)咨詢與代辦服務(wù),歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。
The post 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>The post 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>H2 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求
組織申報(bào)二級(jí)資質(zhì),除滿足三級(jí)能力要求外,還應(yīng)滿足以下要求:
申請(qǐng)二級(jí)資質(zhì)認(rèn)證的單位,至少完成6個(gè)與申請(qǐng)工業(yè)控制領(lǐng)域一致的完整的安全集成和安全運(yùn)維
服務(wù)項(xiàng)目;在技術(shù)和管理方面具備安全服務(wù)的過程管理、風(fēng)險(xiǎn)管理能力;具備針對(duì)工業(yè)控制系統(tǒng)開
展風(fēng)險(xiǎn)評(píng)估服務(wù)的能力;具備安全問題解決的驗(yàn)證和證據(jù)分析、安全服務(wù)不斷提升改進(jìn)的能力。
H2.1 服務(wù)規(guī)劃階段
H2.1.1 調(diào)研客戶需求
a) 調(diào)研客戶工業(yè)控制系統(tǒng)的業(yè)務(wù)邏輯、工作流程,工業(yè)控制系統(tǒng)的設(shè)備組成、網(wǎng)絡(luò)架構(gòu)等。
b) 編制完整的客戶調(diào)研報(bào)告,調(diào)研的內(nèi)容包括組織架構(gòu)、制度列表、業(yè)務(wù)流程、工業(yè)控制系
統(tǒng)資產(chǎn)信息、工業(yè)控制系統(tǒng)相關(guān)的管理人員信息等。
H2.1.2 分析服務(wù)業(yè)務(wù)
a) 了解所屬行業(yè)主管部門對(duì)工業(yè)控制系統(tǒng)安全要求。
H2.1.3 編制服務(wù)方案
a) 制定針對(duì)人員、設(shè)備、文檔、系統(tǒng)的風(fēng)險(xiǎn)監(jiān)控措施,有效保障工業(yè)控制系統(tǒng)的安全、穩(wěn)定。
b) 對(duì)于在運(yùn)工業(yè)控制系統(tǒng),應(yīng)搭建控制系統(tǒng)的模擬環(huán)境,模擬真實(shí)系統(tǒng)的運(yùn)行情況、配置、
數(shù)據(jù)、業(yè)務(wù)流程,驗(yàn)證方案的有效性。
c) 安全服務(wù)技術(shù)方案和實(shí)施方案應(yīng)經(jīng)過評(píng)審,并與客戶達(dá)成一致。
H2.1.4 組建服務(wù)團(tuán)隊(duì)
a) 團(tuán)隊(duì)成員必須包括所服務(wù)業(yè)務(wù)領(lǐng)域的工業(yè)控制系統(tǒng)專業(yè)人員,熟悉工業(yè)控制系統(tǒng)工作原理、
業(yè)務(wù)流程和操作規(guī)程。
H2.1.5 實(shí)施準(zhǔn)備
a) 應(yīng)根據(jù)服務(wù)的需求準(zhǔn)備必要的工具,具有工具定制研發(fā)的能力。
b) 結(jié)合項(xiàng)目需要,編制安全服務(wù)項(xiàng)目施工手冊(cè)和作業(yè)指導(dǎo)書。
c) 對(duì)團(tuán)隊(duì)成員進(jìn)行安全服務(wù)技能培訓(xùn)和工業(yè)控制系統(tǒng)原理、組成和操作的培訓(xùn)。
H2.2 服務(wù)實(shí)施階段
H2.2.1 項(xiàng)目實(shí)施
a) 建立服務(wù)過程質(zhì)量監(jiān)控機(jī)制, 監(jiān)督工業(yè)控制系統(tǒng)安全服務(wù)實(shí)施的過程,定期開展工業(yè)控制
系統(tǒng)安全服務(wù)質(zhì)量檢查。
b) 針對(duì)工業(yè)控制系統(tǒng)業(yè)務(wù)特點(diǎn)和系統(tǒng)組成,分析系統(tǒng)脆弱性形成原因,識(shí)別跟蹤和驗(yàn)證工業(yè)
控制系統(tǒng)的漏洞,在服務(wù)過程中采取有效措施避免安全風(fēng)險(xiǎn)。
c) 如有遠(yuǎn)程服務(wù)的需求,應(yīng)建立遠(yuǎn)程訪問審批流程,經(jīng)批準(zhǔn)后方能實(shí)施,實(shí)施過程應(yīng)采取必
要的訪問控制策略并對(duì)操作過程進(jìn)行安全審計(jì)。
d) 應(yīng)編制服務(wù)過程中發(fā)現(xiàn)的工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)的風(fēng)險(xiǎn)列表。
H2.2.2 風(fēng)險(xiǎn)評(píng)估
a) 識(shí)別工業(yè)控制系統(tǒng)的重要資產(chǎn)、安全威脅、脆弱性,驗(yàn)證已有的安全措施,構(gòu)建風(fēng)險(xiǎn)分析
模型進(jìn)行風(fēng)險(xiǎn)計(jì)算和評(píng)價(jià),給出風(fēng)險(xiǎn)評(píng)估報(bào)告;
b) 協(xié)助用戶確定風(fēng)險(xiǎn)處置原則,對(duì)組織不可接受的風(fēng)險(xiǎn)提出風(fēng)險(xiǎn)處置措施。
c) 對(duì)客戶提出完整的風(fēng)險(xiǎn)處置方案,協(xié)助客戶進(jìn)行風(fēng)險(xiǎn)處置,必要時(shí),對(duì)殘余風(fēng)險(xiǎn)進(jìn)行再評(píng)
估。
H2.2.3 系統(tǒng)運(yùn)行測(cè)試
a) 制定系統(tǒng)安全性測(cè)試方案,在運(yùn)行系統(tǒng)中或模擬環(huán)境中進(jìn)行測(cè)試,完整記錄測(cè)試過程相關(guān)
信息,形成系統(tǒng)測(cè)試報(bào)告。
H2.3 服務(wù)總結(jié)階段
H2.3.1 服務(wù)驗(yàn)收
a) 應(yīng)建立程序,對(duì)服務(wù)驗(yàn)收中可能存在的重要分歧或者遺漏及時(shí)更正,并將更正后的驗(yàn)收?qǐng)?bào)
告提交給用戶方。
H2.3.2 服務(wù)交接
a) 建立客戶滿意度調(diào)查機(jī)制。
H2.3.3 服務(wù)總結(jié)
a) 驗(yàn)證在服務(wù)過程中發(fā)現(xiàn)的工業(yè)控制系統(tǒng)的漏洞,建立管理機(jī)制跟蹤漏洞的消缺情況。
安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)一級(jí)申請(qǐng)咨詢與代辦服務(wù),歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。
The post 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>The post 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)三級(jí)申請(qǐng)咨詢與代辦服務(wù),歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。
The post 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>The post 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>G3 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求
組織申報(bào)一級(jí)資質(zhì),除滿足二級(jí)能力要求外,還應(yīng)滿足以下要求:
申請(qǐng)一級(jí)資質(zhì)認(rèn)證的單位,至少完成10個(gè)以上不同行業(yè)(如金融、電信、能源、醫(yī)療、公共部
門等)完整的網(wǎng)絡(luò)安全審計(jì)項(xiàng)目,項(xiàng)目審計(jì)目標(biāo)應(yīng)覆蓋至少合規(guī)、安全、績效等;具備確定審計(jì)目
標(biāo)和范圍、確定審計(jì)依據(jù)的能力;具備實(shí)施現(xiàn)場(chǎng)審計(jì)、報(bào)告審計(jì)發(fā)現(xiàn)和形成審計(jì)結(jié)論的能力;具備
提出審計(jì)建議的能力。
G3.1 審計(jì)對(duì)象識(shí)別
G3.1.1 了解被審計(jì)方業(yè)務(wù)和IT情況
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和管理審計(jì)對(duì)象庫。
b) 具備為被審計(jì)方提供審計(jì)對(duì)象管理工具的能力。
G3.1.2 了解被審計(jì)方組織管理和IT管理情況
應(yīng)建立審計(jì)調(diào)研報(bào)告分級(jí)復(fù)核制度,明確規(guī)定各級(jí)復(fù)核人員的要求和責(zé)任。
G3.2 編制審計(jì)實(shí)施方案
G3.2.1 確定網(wǎng)絡(luò)安全審計(jì)目標(biāo)
無
G3.2.2 確定網(wǎng)絡(luò)安全審計(jì)依據(jù)
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和維護(hù)常用審計(jì)依據(jù)庫,并確保審計(jì)依據(jù)是當(dāng)前適用版本。
b) 具備為被審計(jì)方提供審計(jì)依據(jù)管理工具的能力。
G3.2.3 確定網(wǎng)絡(luò)安全審計(jì)范圍和審計(jì)內(nèi)容
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和維護(hù)審計(jì)范圍、審計(jì)對(duì)象、審計(jì)依據(jù)要求項(xiàng)、審計(jì)程序(方
法)、所需資源的對(duì)應(yīng)關(guān)系。
b) 具備為被審計(jì)方提供審計(jì)范圍、審計(jì)對(duì)象、審計(jì)依據(jù)要求項(xiàng)、審計(jì)程序(方法)、所需資
源等對(duì)應(yīng)關(guān)系管理工具的能力。
G3.2.4 組建審計(jì)組
對(duì)于特定行業(yè)領(lǐng)域的網(wǎng)絡(luò)安全審計(jì),應(yīng)具備聘請(qǐng)外部行業(yè)技術(shù)專家作為審計(jì)組成員。
G3.3 審計(jì)取證與評(píng)價(jià)
G3.3.1 審計(jì)取證
a) 應(yīng)至少具備和使用數(shù)據(jù)分析類、漏洞和缺陷掃描類、系統(tǒng)配置和運(yùn)行日志檢查類等類型的
審計(jì)工具取證的能力。
b) 利用審計(jì)工具取證時(shí),應(yīng)采取措施確保對(duì)審計(jì)對(duì)象的風(fēng)險(xiǎn)最小化。
G3.3.2 編制審計(jì)工作底稿
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來歸檔和保管審計(jì)工作底稿。
b) 具備為被審計(jì)方提供審計(jì)工作底稿管理工具的能力。
G3.3.3 審計(jì)評(píng)價(jià)
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來管理審計(jì)發(fā)現(xiàn)列表。
b) 具備為被審計(jì)方提供審計(jì)發(fā)現(xiàn)列表管理工具的能力。
G3.4 審計(jì)報(bào)告
G3.4.1 一般原則
應(yīng)利用應(yīng)用系統(tǒng)工具來管理審計(jì)報(bào)告。
G3.4.2 審計(jì)報(bào)告的內(nèi)容
在審計(jì)的任何階段,如果遇到或發(fā)現(xiàn)與審計(jì)目標(biāo)和內(nèi)容有關(guān)的重大問題,如違法違規(guī)問題、重
大安全風(fēng)險(xiǎn)等,應(yīng)出具審計(jì)專報(bào)。
G3.4.3 交付審計(jì)報(bào)告
具備為被審計(jì)方提供審計(jì)報(bào)告管理工具的能力。
G3.5 跟蹤審計(jì)
G3.5.1 一般原則
無
G3.5.2 跟蹤審計(jì)報(bào)告
跟蹤審計(jì)報(bào)告的管理參照G3.4審計(jì)報(bào)告。
G3.6 審計(jì)質(zhì)量控制
G3.6.1 審計(jì)質(zhì)量控制制度
a) 應(yīng)監(jiān)督網(wǎng)絡(luò)安全審計(jì)實(shí)施的過程。
b) 應(yīng)定期開展網(wǎng)絡(luò)安全審計(jì)質(zhì)量檢查。
安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)一級(jí)申請(qǐng)咨詢與代辦服務(wù),歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。
The post 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>The post 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>G2 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求
組織申報(bào)二級(jí)資質(zhì),除滿足三級(jí)能力要求外,還應(yīng)滿足以下要求:
申請(qǐng)二級(jí)資質(zhì)認(rèn)證的單位,至少完成6個(gè)完整的網(wǎng)絡(luò)安全審計(jì)項(xiàng)目;具備確定審計(jì)目標(biāo)和范圍、
確定審計(jì)依據(jù)的能力;具備實(shí)施現(xiàn)場(chǎng)審計(jì)、報(bào)告審計(jì)發(fā)現(xiàn)和形成審計(jì)結(jié)論的能力;具備提出審計(jì)建
議的能力。
G2.1 審計(jì)對(duì)象識(shí)別
G2.1.1 了解被審計(jì)方業(yè)務(wù)和IT情況
a) 編制審計(jì)對(duì)象列表,包括審計(jì)對(duì)象的數(shù)量、容量、功用、版本等屬性。
b) 梳理被審計(jì)方業(yè)務(wù)邏輯、應(yīng)用系統(tǒng)處理邏輯和IT基礎(chǔ)設(shè)施架構(gòu)。
G2.1.2 了解被審計(jì)方組織管理和IT管理情況
a) 梳理被審計(jì)方規(guī)章制度文件,形成審計(jì)項(xiàng)并編制對(duì)應(yīng)檢查表。
b) 編制完整審計(jì)調(diào)研報(bào)告,并說明重點(diǎn)審計(jì)項(xiàng)。
c) 制定審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則,評(píng)價(jià)審計(jì)風(fēng)險(xiǎn),為確定重點(diǎn)審計(jì)項(xiàng)和明確審計(jì)內(nèi)容提供依據(jù)。
G2.2 編制審計(jì)實(shí)施方案
G2.2.1 確定網(wǎng)絡(luò)安全審計(jì)目標(biāo)
網(wǎng)絡(luò)安全審計(jì)目標(biāo)應(yīng)經(jīng)過評(píng)審,并與被審計(jì)方達(dá)成一致。
G2.2.2 確定網(wǎng)絡(luò)安全審計(jì)依據(jù)
應(yīng)建立并維護(hù)常用審計(jì)依據(jù)庫,并確保審計(jì)依據(jù)是當(dāng)前適用版本。
G2.2.3 確定網(wǎng)絡(luò)安全審計(jì)范圍和審計(jì)內(nèi)容
應(yīng)建立審計(jì)范圍、審計(jì)對(duì)象、審計(jì)依據(jù)要求項(xiàng)、審計(jì)程序(方法)、所需資源的對(duì)應(yīng)關(guān)系。
G2.2.4 組建審計(jì)組
應(yīng)指定審計(jì)組長、主審和審計(jì)組成員,并明確分配審計(jì)任務(wù)。
G2.3 審計(jì)取證與評(píng)價(jià)
G2.3.1 審計(jì)取證
a) 應(yīng)具備至少利用一種網(wǎng)絡(luò)安全審計(jì)工具執(zhí)行審計(jì)取證的能力。
b) 對(duì)電子形式存在的審計(jì)證據(jù),應(yīng)做好取證記錄,并經(jīng)被審計(jì)方相關(guān)人員確認(rèn)。
c) 應(yīng)采取必要的措施,保護(hù)取證過程中所采集的電子數(shù)據(jù)的安全。
G2.3.2 編制審計(jì)工作底稿
a) 應(yīng)建立審計(jì)工作底稿的分級(jí)復(fù)核制度,明確規(guī)定各級(jí)復(fù)核人員的要求和責(zé)任。
b) 審計(jì)工作底稿的內(nèi)容應(yīng)包括但不限于被審計(jì)部門的名稱,審計(jì)事項(xiàng)及其期間或者截止日期,
審計(jì)程序的執(zhí)行過程及結(jié)果記錄,審計(jì)結(jié)論、意見及建議,審計(jì)人員姓名和審計(jì)日期,復(fù)
核人員姓名、復(fù)核日期和復(fù)核意見,編號(hào)及頁次,被審計(jì)方意見、附件等。
G2.3.3 審計(jì)評(píng)價(jià)
應(yīng)編制審計(jì)發(fā)現(xiàn)列表。
G2.4 審計(jì)報(bào)告
G2.4.1 一般原則
應(yīng)建立審計(jì)報(bào)告分級(jí)復(fù)核制度,明確規(guī)定各級(jí)復(fù)核人員的要求和責(zé)任。
G2.4.2 審計(jì)報(bào)告的內(nèi)容
a) 審計(jì)報(bào)告中應(yīng)提出審計(jì)發(fā)現(xiàn)問題改進(jìn)建議。
b) 應(yīng)建立程序,對(duì)已經(jīng)出具的審計(jì)報(bào)告可能存在的重要錯(cuò)誤或者遺漏及時(shí)更正,并將更正后
的審計(jì)報(bào)告提交給原審計(jì)報(bào)告接收者。
G2.4.3 交付審計(jì)報(bào)告
c) 應(yīng)建立審計(jì)報(bào)告歸檔和保管制度。任何組織或者個(gè)人查閱和使用歸檔后的審計(jì)報(bào)告,必須
經(jīng)審計(jì)機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn),但國家有關(guān)部門依法進(jìn)行查閱的除外。
d) 審計(jì)報(bào)告歸被審計(jì)方所有,被審計(jì)方對(duì)審計(jì)報(bào)告的使用、保管等有明確要求的,應(yīng)遵守其
要求。
G2.5 跟蹤審計(jì)
G2.5.1 一般原則
應(yīng)編制跟蹤審計(jì)方案,對(duì)后續(xù)審計(jì)做出安排。
G2.5.2 跟蹤審計(jì)報(bào)告
跟蹤審計(jì)報(bào)告的管理參照G2.4審計(jì)報(bào)告。
G2.6 審計(jì)質(zhì)量控制
G2.6.1 審計(jì)質(zhì)量控制制度
a) 應(yīng)建立網(wǎng)絡(luò)安全審計(jì)工作手冊(cè),規(guī)范網(wǎng)絡(luò)安全審計(jì)全生命周期內(nèi)的所有活動(dòng)。
b) 確保審計(jì)質(zhì)量控制制度與網(wǎng)絡(luò)安全審計(jì)工作手冊(cè)相適應(yīng)。
安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)二級(jí)申請(qǐng)咨詢與代辦服務(wù),歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。
The post 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>The post 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)三級(jí)申請(qǐng)咨詢與代辦服務(wù),歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。
The post 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>The post 信息安全運(yùn)維服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>F3 信息安全運(yùn)維服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求
組織申報(bào)一級(jí)資質(zhì),除滿足二級(jí)能力要求外,還應(yīng)滿足以下要求:
F3.1 準(zhǔn)備階段
F3.1.1 需求調(diào)研與分析
a) 內(nèi)部團(tuán)隊(duì)之間的安全運(yùn)營級(jí)別協(xié)議應(yīng)和與安全運(yùn)維第三方之間的服務(wù)級(jí)別設(shè)計(jì)保持一致。
b) 安全組織中要設(shè)定安全領(lǐng)導(dǎo)小組。
F3.2 方案設(shè)計(jì)階段
a) 建立信息系統(tǒng)應(yīng)急事件響應(yīng)機(jī)制和恢復(fù)保障。
b) 編制安全運(yùn)維項(xiàng)目作業(yè)指導(dǎo)書。
c) 建立應(yīng)急響應(yīng)和災(zāi)難恢復(fù)機(jī)制,形成業(yè)務(wù)連續(xù)性計(jì)劃。
d) 基于漏洞發(fā)現(xiàn)與分析進(jìn)行信息系統(tǒng)漏洞的管理工作。
F3.3 服務(wù)實(shí)施階段
a) 實(shí)施安全培訓(xùn)服務(wù):完成安全意識(shí)、基本安全技術(shù)的培訓(xùn)服務(wù)。
b) 實(shí)施安全通告及漏洞分析服務(wù):完成業(yè)界動(dòng)態(tài)的通告、收集國家安全政策及法律法規(guī)、漏
洞通告、病毒通告、廠商安全通告及其他安全通告。
c) 實(shí)施應(yīng)急響應(yīng)服務(wù):完成應(yīng)急響應(yīng)預(yù)案制定,對(duì)應(yīng)急事件及時(shí)響應(yīng),并對(duì)應(yīng)急預(yù)案進(jìn)行演
練,形成相關(guān)記錄。
d) 依據(jù)運(yùn)維變更管理程序,對(duì)運(yùn)維實(shí)施過程中方案、資源變更進(jìn)行有效控制,完整記錄變更
過程。
e) 制定運(yùn)維應(yīng)急處置方案和恢復(fù)策略,對(duì)運(yùn)維過程中的應(yīng)急事件及時(shí)進(jìn)行響應(yīng)。
f) 依據(jù)風(fēng)險(xiǎn)評(píng)估方案與計(jì)劃實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估;依據(jù)滲透測(cè)試方案與計(jì)劃實(shí)施信息系統(tǒng)
滲透測(cè)試。
g) 依據(jù)漏洞管理方案實(shí)施信息系統(tǒng)漏洞管理工作。
F3.4 運(yùn)維服務(wù)報(bào)告階段
a) 對(duì)客戶滿意度進(jìn)行趨勢(shì)分析。
b) 對(duì)客戶系統(tǒng)的安全態(tài)勢(shì)做出分析,并給出安全建議。
安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全運(yùn)維服務(wù)資質(zhì)一級(jí)申請(qǐng)咨詢與代辦服務(wù),歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。
The post 信息安全運(yùn)維服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>The post 信息安全運(yùn)維服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>F2 信息安全運(yùn)維服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求
組織申報(bào)二級(jí)資質(zhì),除滿足三級(jí)能力要求外,還應(yīng)滿足以下要求:
F2.1 準(zhǔn)備階段
F2.1.1 需求調(diào)研與分析
a) 分析客戶對(duì)信息系統(tǒng)安全服務(wù)的需求和類型。
b) 收集與分析信息系統(tǒng)的可用性指標(biāo)。
c) 分析以往服務(wù)的數(shù)據(jù),提取出來未來可自動(dòng)化的服務(wù)(監(jiān)審時(shí)適用)。
F2.1.2 簽訂服務(wù)協(xié)議
簽訂服務(wù)級(jí)別協(xié)議。
F2.2 方案設(shè)計(jì)階段
a) 編制信息系統(tǒng)的可用性計(jì)劃,監(jiān)控可用性事件,報(bào)告可用性執(zhí)行,指導(dǎo)可用性的改進(jìn)。
b) 識(shí)別與分析信息系統(tǒng)運(yùn)維過程中的歷史數(shù)據(jù),提出系統(tǒng)運(yùn)維的保障策略和解決方案(監(jiān)審
時(shí)適用)。
c) 編制信息系統(tǒng)的安全基線。
d) 建立信息系統(tǒng)安全的配置庫。
F2.3 服務(wù)實(shí)施階段
a) 收集與建立配置管理數(shù)據(jù)庫,確保配置項(xiàng)目的機(jī)密性、完整性、可用性(專職管理)。
b) 實(shí)施安全設(shè)備、網(wǎng)絡(luò)設(shè)備、中間件、數(shù)據(jù)庫、服務(wù)器等資產(chǎn)的安全配置管理,定期對(duì)配置
項(xiàng)進(jìn)行更新和維護(hù)。
c) 根據(jù)制定的安全配置基線,定期進(jìn)行安全配置核查工作。
d) 實(shí)施運(yùn)維監(jiān)控與分析并形成記錄。
F2.4 運(yùn)維服務(wù)報(bào)告階段
a) 應(yīng)定期收集與分析安全運(yùn)維的關(guān)鍵指標(biāo)數(shù)據(jù),數(shù)據(jù)包括但不限于:異常報(bào)告及時(shí)率、異常
漏報(bào)率、故障隱患發(fā)現(xiàn)率、異常主動(dòng)發(fā)現(xiàn)率、問題解決率、漏洞掃描覆蓋率、加固設(shè)備覆
蓋率、安全補(bǔ)丁安裝及時(shí)率、安全事件次數(shù)。(參照服務(wù)合同)
b) 建立客戶滿意度調(diào)查機(jī)制。
安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全運(yùn)維服務(wù)資質(zhì)二級(jí)申請(qǐng)咨詢與代辦服務(wù),歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。
The post 信息安全運(yùn)維服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>The post 信息安全運(yùn)維服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全運(yùn)維服務(wù)資質(zhì)三級(jí)申請(qǐng)咨詢與代辦服務(wù),歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。
The post 信息安全運(yùn)維服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.
]]>