就目前申报企业数量由多到少依次排序为:安全集成—安全运维--风险评估---应急处理---软件安全--灾难备份与恢复。其中传统的信息化企业有集成和运维业务,企业大多会选择申请安全集成和安全运维 。风险评估和应急处理对企业从业经验成功项目案例实施有更专业的要求,需要根据不同的项目详细分析。
一.安全集成服务资质
1、工具和技术手段:漏洞检测工具,配置基线核查、源代码审计等等;
2、业绩项目和规范:项目中要有信息安全服务的流程和规范;实施的信息安全服务项目案例,而且案例中所体现的信息安全服务过程能够符合《信息安全服务规范》的要求;申请三级需要对应专业2个项目,申请二级需要近三年的6个项目;
3、公共管理和安全集成专业方向与评估表对标。
(一)公共管理包含;法律地位、财务资信、办公场所、人员要求、服务管理要求(人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理,体系建设要求),技术工具要求等;
(二)项目业绩:信息安全服务资质对企业在对外开展信息安全服务的一些关键环节和过程,也有相应的要求;要将公司现有的业务模式,与资质的要求进行融合,并按照资质规范的要求,形成相应的对标输出;
4、安全集成项目阶段:集成准备 方案设计 建设实施和安全保障四个阶段 要在传统系统集成项目实施过程中融入“安全性”思维,并贯穿集成项目实施的整个过程,不能是单独的设备采买和安装,要把“安全性”思维贯穿始终,保证交付客户的集成项目不应仅仅是“可用”的,而且应该是“高安全性、低风险的”。
5、适合申请安全集成的组织类型:
目前的经营范围包括集成项目实施的组织:
• 致力于提供高品质集成服务的组织,不再定位自身仅仅是“卖设备”的组织;
• 所开展的项目类型为硬件集成、软件集成、软硬件集成三种 形式均可,但项目的主要环节需要覆盖需求分析、方案设计、建设实施、安全保障四个主要环节。
1、什么是安全运维
通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。随着信息系统运行,其自身存在的脆弱性和面临的威胁都在发生变化,安全运维就是在系统运行期间,不断发现问题和解决问题,并优化安全策略,建立防护、检测和恢复的闭环安全机制,保证业务系统持续安全。
2、业绩项目和规范
(1)集成项目实施完成后,希望能够为客户提供长期运维服务的组织;
(2)所开展的运维项目类型为硬件运维、应用系统运维、或硬件与应用系统运维均可,项目的主要环节需要覆盖需求分析、方案设计、运维实施、运维服务报告编写等阶段;
3、公共管理和安全运维专业方向与评估表对标;
(1)公共管理包含;法律地位、财务资信、办公场所、人员要求、服务管理要求(人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理,体系建设要求),技术工具要求等;
(2)项目业绩:信息安全服务资质对企业在对外开展信息安全服务的一些关键环节和过程,也有相应的要求;要将公司现有的业务模式,与资质的要求进行融合,并按照资质规范的要求,形成相应的对标输出;
(3)安全运维项目:避免选择纯硬件维护或者纯软件维护的项目, 典型项目应该涉及预警、防护、检测和恢复等环节的内容。
(4)安全运维的项目阶段:运维设计实施 运维方案设计 服务实施(信息系统配置管理数据库、安全配置库、配置检查记录 日志保存记录与日志审计分析记录、报告;漏扫记录、安全加固记录、补丁安装记录、病毒查杀记录等 )。
4、适合申请安全运维的组织类型:
在传统IT运维项目实施过程中融入“安全性”思维,并贯穿运维项目实施的整个过程:
(1)针对客户安全运维需求的挖掘与分析;
(2)能够将安全需求在运维方案中进行落地;
(3)在运维服务开展过程中,通过多种手段(资产梳理、配置优化、漏洞检测、安全审计、状态监控、渗透测试等),能够发现问题和隐患,控制风险,使运维对象的信息安全风险保持在偏低水平;
(4)针对运维服务过程中发现的问题能够及时闭环处理、分析总结。
三.强化电网安全
1、什么是风险评估
• 依据国际或国家标准中明确的风险计算模型,来对所评估对象目前所存在的信息安全风险进行分析的服务过程;
• 服务过程可主要分为评估对象的业务流程分析、资产分析、威胁分析、脆弱性分析、风险分析、风险处置等阶段;
• 通过现场实地观察、人员访谈、技术测试、数据分析等实施方法;
• 服务过程往往需要依靠专业检测工具来辅助;
2、哪些企业适合申请风险评估
• 致力于对外提供安全咨询、安全检测与加固、风险分析、IT治理等服务的组织;
• 希望作为中立的第三方,向需求方提供服务的组织;
3、风险评估工具
基于技术的工具:
扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;
入侵检测系统(IDS):用于收集与统计威胁数据;
渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层次漏洞;
主机安全性审计工具:用于分析主机系统配置的安全性;
信息安全服务资质申请要素之四:公共管理和安全运维专业方向与评估表对标;
4、公共管理和项目要求
(1) 公共管理包含;法律地位、财务资信、办公场所、人员要求、服务管理要求(人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理,体系建设要求),技术工具要求等。
(2) 项目说明:
Ø 在信息安全管理体系中涉及到了风险评估的相关概念,在信息安全服务资质也涉及到了风险评估,两者在能力要求和方法论上是一致的。
Ø 具备跟踪、验证信息安全漏洞的能力。
Ø 三级:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。具备跟踪信息安全漏洞的能力。
Ø 二级:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。具备跟踪、验证信 息安全漏洞的能力。
四.成都CCRC认证信息安全应急处理服务资质
1、应急处理的几个阶段
准备阶段→检测阶段→抑制阶段→根除阶段→恢复阶段→总结阶段
2、什么是应急处理项目
(1)尽量选择真实发生的安全事件的应急而不是应急演练类项目;
(2)选择的案例尽量是网络信息安全类事件的应急;
(3)尽量不选择预防性的应急案例,这种案例一般不能很好体现应急事件的临场分析、处置能力。
五.软件安全开发服务资质
1、软件安全开发服务资质
通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。
2、软件开发要有哪些内容
安全需求分析;
安全设计落实安全需求;
安全编码过程实现安全设计;
安全测试检验安全功能;
试运行,监测安全功能正常发挥作用;
持续为所开发的系统提供版本升级、打补丁等维保服务;
3、软件安全开发各个阶段
准备阶段-开发管理计划、风险管理、配置管理,变更管理;
需求阶段--需求分析 调研项目背景信息,收集项目需求,明确软件功能、性能及安全方面的要求;
设计阶段--软件设计说明书;
编码阶段--安全编码,代码审查;
测试阶段一级二级要求;
验收阶段--系统试运行;
6.信息系统灾难备份与恢复
1、机房场地和选址要求
机房场地要求
(1)灾备中心所在地域抗震设防烈度,该中心抗震设防类别。
(2)高架地板面积不低于1000/2000/5000平米。
(3)灾备中心建筑耐火等级。
(4)灾备中心建设等级满足国标A级或国际T3以上机房要求。
(5)灾备中心的场地应自有产权,或者签署有剩余期限不少于5年的长期租赁合同
2、选址要求
灾难备份中心与生产中心同时遭受同类风险具备通信、电力资源和交通条件 统筹规划、资源共享、平战结合。
(1)稳定的自然环境
(2)便捷的交通环境
(3)安全的区域环境
3、灾备中心要求
基础设施要求:计算机机房应符合有关国家标准工作辅助设施和生活设施要符合灾难恢复目标的要求;
抗震设防要求:按国家规定的权限批准作为一个地区抗震设防的地震烈度称为抗震设防烈度。一般情况下,抗震设防烈度可采用中国地震参数区划图的地震基本烈度。
耐火等级:是衡量建筑物耐火程度的分级标度。它由组成建筑物的构件的燃烧性能和耐火极限来确定;
机房场地要求:新风换气系统,机房内正压,确保机房洁净度。
4、需要关注
信息系统灾难备份与恢复服务资质分:A类和B类
A类:主要看灾备中心场地资源要求、基础设施要求、灾备中心运维管理要求
B类:只要看设计方案要求、预案和演练要求
CCRC的费用问题
CCRC信息安全服务资质认证费用主要包含以下4种:
1、咨询费(根据企业规模、企业实际条件评估后确定);
2、审核官费;
3、信息安全保障人员考试费用(如申报企业本身没有信息安全保障人员,则需要有这一项费用,需要安排人员进行考试获证);
4、成都CCRC认证审核员差旅费(如线下审核,则有这一项费用,具体标准可与咨询机构和审核老师详细沟通)。
