四川信息安全認(rèn)證咨詢 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證評(píng)價(jià)要求

信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證評(píng)價(jià)要求

1　范圍

信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證是依據(jù)國(guó)家認(rèn)證認(rèn)可法律法規(guī)及國(guó)際、國(guó)內(nèi)相關(guān)技術(shù)標(biāo)準(zhǔn)和規(guī)范，對(duì)信息系統(tǒng)安全集成服務(wù)提供者的資質(zhì)進(jìn)行評(píng)價(jià)的合格評(píng)定活動(dòng)。

本規(guī)則提出了信息系統(tǒng)安全集成服務(wù)提供者（以下簡(jiǎn)稱服務(wù)提供者）應(yīng)具備的服務(wù)能力要求，及實(shí)施信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證的程序與管理要求。

本規(guī)則適用于對(duì)服務(wù)提供者服務(wù)能力的評(píng)價(jià)活動(dòng)；可作為信息系統(tǒng)所有者選擇服務(wù)提供者的依據(jù)；可為有關(guān)管理部門對(duì)服務(wù)提供者進(jìn)行管理提供參考；也可為服務(wù)提供者自我能力改進(jìn)提供參考。

2　規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

對(duì)信息系統(tǒng)安全集成服務(wù)提供者所具備的服務(wù)資質(zhì)進(jìn)行評(píng)價(jià)所引用的標(biāo)準(zhǔn)包括：

GB/T20261-2006信息技術(shù)系統(tǒng)安全工程能力成熟度模型

YD/T1621-2007網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評(píng)價(jià)準(zhǔn)則

YD/T1799-2008網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評(píng)價(jià)方法

YD/T2252-2011網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力評(píng)價(jià)方法

CNCA/CTS0052-2007信息安全服務(wù)資質(zhì)認(rèn)證技術(shù)規(guī)范

GB/T5271.8-2001《信息技術(shù)詞匯第8部分：安全》中的術(shù)語和定義適用于本標(biāo)準(zhǔn)。

3　術(shù)語和定義

GB/T20261-2006中的術(shù)語均適用于本規(guī)則。

3.1　

信息系統(tǒng)安全集成服務(wù)informationsystemsecurityintegrationservice

信息系統(tǒng)安全集成服務(wù)（以下簡(jiǎn)稱：安全集成）是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證的活動(dòng)。

信息系統(tǒng)安全集成一般是按照信息系統(tǒng)建設(shè)的安全需求，采用信息系統(tǒng)安全工程的方法和理論，將安全單元、產(chǎn)品部件進(jìn)行集成的行為或活動(dòng)。信息系統(tǒng)安全集成包括在新建信息系統(tǒng)的結(jié)構(gòu)化設(shè)計(jì)中考慮信息安全保證因素，從而使建設(shè)完成后的信息系統(tǒng)滿足建設(shè)方或使用方的安全需求而開展的活動(dòng)。也包括在已有信息系統(tǒng)的基礎(chǔ)上額外增加信息安全子系統(tǒng)或信息安全設(shè)備等，通常被稱為安全優(yōu)化或安全加固。

4　安全集成服務(wù)提供者基本的資質(zhì)要求

4.1　基本條件

服務(wù)提供者應(yīng)：

(1)具有中華人民共和國(guó)境內(nèi)的獨(dú)立法人資格，具有相關(guān)部門頒發(fā)的合法經(jīng)營(yíng)資格；

(2)近兩年內(nèi)經(jīng)濟(jì)狀況良好，財(cái)務(wù)數(shù)據(jù)真實(shí)可信，并應(yīng)經(jīng)國(guó)家相關(guān)部門認(rèn)定的會(huì)計(jì)師事務(wù)所核實(shí)；

(3)具有固定的工作場(chǎng)所；

(4)遵守國(guó)家現(xiàn)行法律、法規(guī)的規(guī)定。

4.2　基本管理能力要求

服務(wù)提供者應(yīng)：

(1)采取技術(shù)和管理措施確?？蛻粜畔⒌陌踩?、可控，這些信息包括但不限于客戶資料、集成活動(dòng)中產(chǎn)生的文檔、最終安全集成報(bào)告等；

(2)制定保密管理制度，明確保密崗位與職責(zé)，定期對(duì)服務(wù)人員進(jìn)行保密教育與培訓(xùn)，并簽訂《保密責(zé)任書》，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)落實(shí)；

(3)建立人員管理制度，使每一位服務(wù)人員持續(xù)滿足崗位職責(zé)的需求；制定安全集成技能培訓(xùn)計(jì)劃，定期對(duì)服務(wù)人員進(jìn)行培訓(xùn)、指導(dǎo)、考核；

(4)建立項(xiàng)目管理制度，并按照項(xiàng)目管理制度實(shí)施，具體包括在項(xiàng)目實(shí)施過程中如何與組織內(nèi)外的交流機(jī)制、規(guī)劃關(guān)鍵技術(shù)活動(dòng)、分配資源、指派責(zé)任、設(shè)立項(xiàng)目的里程碑及評(píng)審要求、日常的監(jiān)督檢查要求、編制過程文檔、提供工具、確保培訓(xùn)、策劃過程等，以保證安全服務(wù)的質(zhì)量；

(5)建立項(xiàng)目風(fēng)險(xiǎn)管理制度，評(píng)估項(xiàng)目風(fēng)險(xiǎn)，制定項(xiàng)目風(fēng)險(xiǎn)控制措施并跟蹤其有效性；

(6)建立安全集成所需的設(shè)備采購(gòu)管理制度，明確規(guī)定采購(gòu)流程、流程中各環(huán)節(jié)責(zé)任制，確保采購(gòu)質(zhì)量，控制采購(gòu)成本；準(zhǔn)確識(shí)別供方提供的服務(wù)或系統(tǒng)構(gòu)件及其專業(yè)資質(zhì)和能力，并與供方的有效溝通機(jī)制等；

(7)制定符合標(biāo)準(zhǔn)要求的安全集成方案、報(bào)告等文檔模板。

4.3　基本技術(shù)能力要求

服務(wù)提供者應(yīng)：

(1)具備安全集成有關(guān)的工作流程及操作規(guī)范；

(2)具備制定安全集成方案并能夠按照該方案實(shí)施的能力；能夠提供信息系統(tǒng)安全集成服務(wù)報(bào)告、系統(tǒng)使用指南等文檔；

(3)具備對(duì)安全集成系統(tǒng)進(jìn)行檢測(cè)和驗(yàn)證的能力；

(4)熟悉國(guó)內(nèi)外主流的信息技術(shù)產(chǎn)品、信息安全產(chǎn)品的功能及特性；

(5)具有滿足項(xiàng)目需要的開發(fā)、測(cè)試工具及模擬環(huán)境；

(6)有專門的技術(shù)人員關(guān)注并掌握信息安全技術(shù)、標(biāo)準(zhǔn)和法規(guī)；關(guān)注國(guó)內(nèi)外權(quán)威機(jī)構(gòu)發(fā)布的安全公告及漏洞公告，并對(duì)最新的安全相關(guān)技術(shù)進(jìn)行研究。

5　信息系統(tǒng)安全集成服務(wù)過程要求

5.1　信息系統(tǒng)安全集成服務(wù)過程概述

信息系統(tǒng)安全集成服務(wù)過程分為四個(gè)階段：集成準(zhǔn)備、方案設(shè)計(jì)、建設(shè)實(shí)施、安全保證。

集成準(zhǔn)備階段主要是界定安全需求、簽訂服務(wù)合同、確定服務(wù)人員、簽訂保密協(xié)議等；方案設(shè)計(jì)階段主要根據(jù)國(guó)家及有關(guān)行業(yè)的要求，充分考慮各方面的安全需求和安全背景，以設(shè)計(jì)出適用的項(xiàng)目方案；建設(shè)實(shí)施階段主要是在新建或已運(yùn)行的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)項(xiàng)目方案的預(yù)期安全目標(biāo)和效果；安全保證階段主要是完成施工的安全系統(tǒng)進(jìn)行檢驗(yàn)、檢測(cè)，觀察運(yùn)行情況，收集能夠?qū)崿F(xiàn)設(shè)計(jì)功能目標(biāo)好通過在方案設(shè)計(jì)階段、建設(shè)實(shí)施階段等過程中，收集客戶的安全需求已經(jīng)得到滿足的證據(jù)。

信息系統(tǒng)安全集成服務(wù)過程的四個(gè)階段包括10個(gè)過程要求(見表1)，各過程要求細(xì)則共43項(xiàng)(見集成服務(wù)各階段的過程要求，表2、表3、表4、表5)。過程要求項(xiàng)定義了為滿足各階段過程的內(nèi)容要點(diǎn)以及最佳實(shí)踐。

表1：信息系統(tǒng)安全集成服務(wù)過程要求列表

5.2　集成準(zhǔn)備

5.2.1安全需求界定

風(fēng)險(xiǎn)評(píng)估是安全集成的重要基礎(chǔ)。依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估過程中已識(shí)別出的風(fēng)險(xiǎn)，明確客戶的內(nèi)外部安全需求，并制定安全目標(biāo)。

本要求的目標(biāo)：在安全需求方面與客戶和其他團(tuán)體達(dá)成共識(shí)。

具體要求和說明如下：

(1)理解安全需求

收集和分析所有有助于全面理解客戶安全需求的信息。

(2)識(shí)別適用的法律、政策和約束條件

識(shí)別影響客戶系統(tǒng)安全需求的法律、法規(guī)和行業(yè)標(biāo)準(zhǔn)等外部因素，并確定遵從全球性政策和本地政策的優(yōu)先權(quán)。

(3)識(shí)別安全背景

識(shí)別影響信息系統(tǒng)安全的背景因素，如信息系統(tǒng)的用途(如金融、醫(yī)療)、運(yùn)行場(chǎng)景、技術(shù)發(fā)展的變化、社會(huì)當(dāng)前熱點(diǎn)事件。

(4)獲取安全視圖

開發(fā)組織的高層次安全分析視圖，包括業(yè)務(wù)需求、角色、職責(zé)、信息流、資產(chǎn)、資源、人員保護(hù)以及物理保護(hù)等。

(5)識(shí)別安全目標(biāo)

識(shí)別滿足信息系統(tǒng)安全需求的安全目標(biāo)。安全目標(biāo)應(yīng)該至少涉及信息系統(tǒng)及其承載信息的可用性、保密性、完整性、可核查性、真實(shí)性和可靠性要求等。

(6)定義安全要求

定義信息系統(tǒng)的安全要求，并確保安全要求與適用的政策、法律、標(biāo)準(zhǔn)、安全需求以及約束條件保持一致。安全要求應(yīng)全面體現(xiàn)信息系統(tǒng)的安全需求，并與安全目標(biāo)建立對(duì)應(yīng)關(guān)系。

(7)達(dá)成安全協(xié)議

依據(jù)安全要求和客戶需求，與客戶和相關(guān)的團(tuán)體達(dá)成共識(shí)。

5.2.2確定服務(wù)合同

（1）與客戶和供方在服務(wù)合同中至少明確服務(wù)范圍、目標(biāo)、質(zhì)量和成本；

（2）與客戶和供方在服務(wù)合同中包括項(xiàng)目保密責(zé)任和違約責(zé)任。

5.2.3確定服務(wù)人員和組織

與客戶和供方確定項(xiàng)目人員構(gòu)成，并控制由項(xiàng)目人員變更帶來的相關(guān)風(fēng)險(xiǎn)。

5.2.3簽訂保密協(xié)議

與客戶和供方簽訂保密協(xié)議；注意保密內(nèi)容與客戶要求的一致性。

表2：信息系統(tǒng)安全集成服務(wù)準(zhǔn)備階段要求

5.3　方案設(shè)計(jì)

基于“5.2.1安全需求界定”中識(shí)別的安全需求，為信息系統(tǒng)的規(guī)劃人員、設(shè)計(jì)人員、實(shí)施人員和客戶提供所需的安全輸入信息。這些信息至少包括安全體系結(jié)構(gòu)、設(shè)計(jì)或?qū)嵤┑捻?xiàng)目方案以及安全指南。

本要求的目標(biāo)：評(píng)審信息系統(tǒng)中所有涉及安全的問題，并按照安全目標(biāo)在方案設(shè)計(jì)中落實(shí)；安全集成項(xiàng)目組及各工作組所有成員都應(yīng)該理解安全問題，以各司其職；項(xiàng)目方案應(yīng)反映所提供的安全需求和要求。

具體要求和說明如下：

(1)理解安全需求

與設(shè)計(jì)人員、開發(fā)人員、客戶溝通確認(rèn)，以確保相關(guān)團(tuán)體對(duì)安全輸入需求達(dá)成共識(shí)。

(2)確定安全約束條件和考慮事項(xiàng)

安全集成項(xiàng)目組應(yīng)分析和確定在需求、設(shè)計(jì)、實(shí)施、配置和文檔方面的安全約束條件和考慮事項(xiàng)，以便于在各工作組的具體工作中做出最佳的安全集成選擇。

(3)識(shí)別安全集成項(xiàng)目方案

根據(jù)客戶安全需求以及其他約束條件，識(shí)別和制定項(xiàng)目方案。

(4)評(píng)審項(xiàng)目方案

各工作組和安全集成項(xiàng)目組要利用已識(shí)別的安全約束條件和考慮事項(xiàng)評(píng)審項(xiàng)目方案。

(5)提供安全集成指南

安全集成項(xiàng)目組應(yīng)開發(fā)項(xiàng)目相關(guān)的安全集成指南，并把它提供給各工作組。各工作組根據(jù)相關(guān)的安全集成指南對(duì)信息系統(tǒng)體系結(jié)構(gòu)、設(shè)計(jì)和實(shí)現(xiàn)的選擇條件做出決定。

(6)提供安全運(yùn)行指南

安全集成項(xiàng)目組應(yīng)設(shè)計(jì)并開發(fā)安全運(yùn)行指南，并提供給系統(tǒng)用戶和管理員。本運(yùn)行指南指導(dǎo)用戶和管理員以安全的方式進(jìn)行安裝、配置、運(yùn)行和廢棄系統(tǒng)。

表3：信息系統(tǒng)安全集成服務(wù)方案設(shè)計(jì)階段要求

5.4　建設(shè)實(shí)施

5.4.1協(xié)調(diào)安全

協(xié)調(diào)安全的目的是確保所有相關(guān)組織和工作組人員都能積極參與安全集成項(xiàng)目。協(xié)調(diào)安全涉及到保持所有項(xiàng)目人員與外部組織以及工作組之間溝通。

本要求的目標(biāo)：項(xiàng)目組的所有成員都能主動(dòng)地參與到安全集成項(xiàng)目中，最大程度地發(fā)揮他們的作用；溝通和協(xié)調(diào)有關(guān)安全的決策和建議。

具體要求和說明如下：

(1)制定協(xié)調(diào)目標(biāo)

需要相關(guān)工作組重視并參與安全集成項(xiàng)目。根據(jù)項(xiàng)目組的信息需求和項(xiàng)目要求決定共享信息的目標(biāo)，并建立與他們之間的合作關(guān)系和承諾。

(2)識(shí)別協(xié)調(diào)機(jī)制

識(shí)別在項(xiàng)目中協(xié)調(diào)安全的不同方法，用于與相關(guān)組織共享安全集成的決策和建議。

(3)促進(jìn)安全協(xié)調(diào)

確保以合適和有效的方式來解決項(xiàng)目開展期間的意見分歧。

(4)協(xié)調(diào)安全決策和建議

運(yùn)用已識(shí)別的協(xié)調(diào)機(jī)制，與項(xiàng)目組人員、各工作組及其他組織溝通安全決策和建議。

5.4.2管理安全控制

管理和維護(hù)安全控制措施。通過正確實(shí)施和配置，確保信息系統(tǒng)的安全措施在其運(yùn)行狀態(tài)下達(dá)到預(yù)期目標(biāo)。

本要求的目標(biāo)：正確配置和使用安全控制措施。

具體要求和說明如下：

(1)建立安全職責(zé)

確保相關(guān)負(fù)責(zé)人的行為職責(zé)得到授權(quán)，并且傳達(dá)給組織中的所有成員。無論采用什么安全控制措施，都應(yīng)該確保管理職責(zé)是明確和持續(xù)適用的。

(2)管理安全控制措施的配置

對(duì)信息系統(tǒng)安全控制機(jī)制進(jìn)行配置管理，制定相關(guān)流程和要求。

(3)管理安全意識(shí)、培訓(xùn)和教育

像管理其他的意識(shí)、培訓(xùn)和教育一樣，對(duì)所有員工的安全意識(shí)、培訓(xùn)和教育進(jìn)行管理。

(4)定期維護(hù)與管理安全控制措施

定期維護(hù)和管理安全服務(wù)和控制措施，包括保護(hù)服務(wù)和控制機(jī)制免受有意或者無意的損壞，并依據(jù)法律和政策的要求進(jìn)行備案。

5.4.3監(jiān)控安全態(tài)勢(shì)

監(jiān)控安全態(tài)勢(shì)的目的是確保識(shí)別和報(bào)告所有的安全違規(guī)行為、試圖違規(guī)行為或能夠潛在地導(dǎo)致安全違規(guī)的錯(cuò)誤。監(jiān)控安全態(tài)勢(shì)需要監(jiān)控內(nèi)部和外部環(huán)境中可能影響信息系統(tǒng)安全的所有因素。

本要求的目標(biāo)：檢測(cè)和跟蹤內(nèi)部與外部的安全事件，并根據(jù)策略進(jìn)行安全響應(yīng)；根據(jù)安全目標(biāo)，識(shí)別并處理安全態(tài)勢(shì)的變化。

具體要求和說明如下：

(1)分析事件記錄

檢查安全信息相關(guān)的事件記錄。識(shí)別值得關(guān)注的事件，以及與其他事件的關(guān)聯(lián)性。

(2)監(jiān)控變化

關(guān)注可能影響當(dāng)前安全狀態(tài)有效性的任何變化。威脅、脆弱性、影響和風(fēng)險(xiǎn)與信息系統(tǒng)的安全緊密相關(guān)。

(3)識(shí)別安全事件

確定是否發(fā)生了安全事件，識(shí)別其詳細(xì)情況并且在必要時(shí)向上級(jí)報(bào)告。

(4)監(jiān)控安全防護(hù)措施

經(jīng)常檢查安全防護(hù)措施的運(yùn)行狀態(tài)，以便識(shí)別出其性能的變化和功能的有效性。

(5)評(píng)審安全態(tài)勢(shì)

定期檢查安全措施和相關(guān)的安全要求，以識(shí)別必要的安全變更。

(6)管理安全事件響應(yīng)

制定應(yīng)急響應(yīng)計(jì)劃，和快速恢復(fù)策略和恢復(fù)計(jì)劃；并定期測(cè)試和維護(hù)應(yīng)急響應(yīng)計(jì)劃。

(7)保存安全監(jiān)控結(jié)果

封存和歸檔安全監(jiān)控日志、審計(jì)報(bào)告和分析結(jié)果。

表4：信息系統(tǒng)安全集成服務(wù)建設(shè)實(shí)施階段要求

5.5　安全保證

5.5.1建立保證論據(jù)

建立保證論據(jù)的目的是通過相關(guān)的證據(jù)清楚地表明客戶的安全需求已經(jīng)得到滿足。保證論據(jù)是由多種保證證據(jù)支持的一系列陳述性保證目標(biāo)，包括識(shí)別和定義保證要求、證據(jù)的產(chǎn)生和分析活動(dòng)以及支持保證要求所需的附加證據(jù)活動(dòng)。另外，收集、整理并展示這些活動(dòng)生成的證據(jù)。

本要求的目標(biāo)：項(xiàng)目工作結(jié)果和工作過程向客戶明確地提供了其安全需求已被滿足的證據(jù)。

具體要求和說明如下：

(1)識(shí)別保證目標(biāo)

由客戶確定的安全保證目標(biāo)指明了信息系統(tǒng)需要的信任等級(jí)和安全策略實(shí)現(xiàn)的信任等級(jí)。保證目標(biāo)的充分性應(yīng)該由開發(fā)商、集成商、客戶和信息系統(tǒng)運(yùn)維人員共同確定。

(2)制定保證策略

制定安全保證策略的目的是策劃和確保安全目標(biāo)被正確地貫徹和落實(shí)。本過程所產(chǎn)生的保證證據(jù)將會(huì)提供安全措施滿足安全風(fēng)險(xiǎn)管理的信任等級(jí)。通過制定和頒布安全保證策略，實(shí)現(xiàn)對(duì)安全保證相關(guān)活動(dòng)的有效管理。

(3)制定測(cè)量準(zhǔn)則(一級(jí)可選要求)

安全測(cè)量準(zhǔn)則有利于安全決策、績(jī)效提升和職責(zé)核查。測(cè)量安全績(jī)效的目的是基于已識(shí)別的測(cè)量準(zhǔn)則監(jiān)控安全運(yùn)行的狀態(tài)，以便于通過實(shí)施糾正措施進(jìn)行過程改進(jìn)。測(cè)量準(zhǔn)則有助于監(jiān)控保證策略和保證目標(biāo)的完成。

(4)控制保證證據(jù)

在安全集成項(xiàng)目各階段活動(dòng)中識(shí)別并收集各種安全證據(jù)。安全證據(jù)應(yīng)該進(jìn)行控制和管理，以確保與當(dāng)前工作結(jié)果的通用性和與安全保證目標(biāo)的關(guān)聯(lián)性。

(5)分析保證證據(jù)

分析保證證據(jù)，以提供滿足安全目標(biāo)的證據(jù)的信任等級(jí)，從而滿足客戶的安全需求。通過分析保證證據(jù)，可以確定安全建設(shè)實(shí)施過程和安全驗(yàn)證過程是否充分和完善，以便判斷安全機(jī)制和安全功能的實(shí)現(xiàn)是否令人滿意。同時(shí)，也確保了安全集成項(xiàng)目結(jié)果相對(duì)于安全基線而言也是完整的和正確的。

(6)提供保證論據(jù)

向客戶提供用于表明與安全保證目標(biāo)相符合的整體安全保證論據(jù)。保證論據(jù)應(yīng)該被評(píng)審，以確保保證證據(jù)的充分性和滿足安全保證目標(biāo)。

5.5.2驗(yàn)證和確認(rèn)安全

確保項(xiàng)目方案得到驗(yàn)證和確認(rèn)。驗(yàn)證表明項(xiàng)目方案被正確地實(shí)施，而確認(rèn)則證明項(xiàng)目方案是有效的。根據(jù)安全要求、體系結(jié)構(gòu)和安全設(shè)計(jì)方面的信息，通過觀察、演示、分析和測(cè)試來驗(yàn)證項(xiàng)目方案。通過客戶的安全需求和安全目標(biāo)確認(rèn)項(xiàng)目方案。

本要求的目標(biāo)：用事實(shí)證明項(xiàng)目方案滿足客戶的安全需求和要求。

具體要求和說明如下：

(7)識(shí)別項(xiàng)目方案

分別識(shí)別驗(yàn)證和確認(rèn)活動(dòng)的目標(biāo)。這涉及在安全集成項(xiàng)目的整個(gè)生命周期內(nèi)與所有工作組的協(xié)調(diào)。

(1)定義驗(yàn)證和確認(rèn)方法

識(shí)別待驗(yàn)證和確認(rèn)項(xiàng)目方案的方法，涉及如何驗(yàn)證和確認(rèn)每一項(xiàng)安全需求的方法。嚴(yán)格等級(jí)用于指明驗(yàn)證和確認(rèn)工作的細(xì)致程度，而且這受到“建立保證論據(jù)”中“制定面向所有安全目標(biāo)的安全保證策略”預(yù)期輸出結(jié)果的影響。

(2)執(zhí)行驗(yàn)證

通過確認(rèn)安全要求(包括“建立保證論據(jù)”識(shí)別的安全保證要求)來驗(yàn)證項(xiàng)目方案是正確的。

(3)執(zhí)行確認(rèn)

確認(rèn)項(xiàng)目方案的目的是表明項(xiàng)目方案能夠有效地滿足客戶的安全需求。有多種方式提供確認(rèn)證據(jù)證明客戶安全需求已經(jīng)得到滿足，比如在運(yùn)行環(huán)境或者代表性測(cè)試環(huán)境中測(cè)試項(xiàng)目方案。

(4)獲取驗(yàn)證和確認(rèn)結(jié)果

獲取并提供驗(yàn)證和確認(rèn)的結(jié)果。驗(yàn)證和確認(rèn)的結(jié)果應(yīng)該以一種容易理解和使用的方式提供。結(jié)果應(yīng)該能被跟蹤，以保持從安全需求到安全要求、項(xiàng)目方案、測(cè)試結(jié)果的可跟蹤性。

表5：信息系統(tǒng)安全集成服務(wù)安全保證階段要求

6　信息系統(tǒng)安全集成服務(wù)資質(zhì)分級(jí)評(píng)價(jià)要求

信息系統(tǒng)安全集成服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度。資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別，其中一級(jí)最高，三級(jí)最低。

根據(jù)服務(wù)提供者的機(jī)構(gòu)注冊(cè)資金、從業(yè)經(jīng)驗(yàn)、人員素質(zhì)要求、項(xiàng)目經(jīng)驗(yàn)、管理能力和技術(shù)能力等要素，可將服務(wù)提供者的資質(zhì)劃分為三個(gè)級(jí)別。

6.1　三級(jí)信息系統(tǒng)安全集成服務(wù)資質(zhì)要求

6.1.1基本資格

(1)基本條件（參見第4.1節(jié)）；

(2)注冊(cè)資本：產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資本不少于200萬元人民幣；

(3)人員素質(zhì)要求：信息系統(tǒng)安全集成服務(wù)人員10名以上；本科以上學(xué)歷人員占機(jī)構(gòu)總?cè)藬?shù)比例在60%以上；

(4)具有信息系統(tǒng)安全服務(wù)相關(guān)的資質(zhì)人員至少2人（如，CISAW，信息安全管理體系審核員、CISSP，CISA等）；至少有1人具有項(xiàng)目管理的資格證書。

(5)主要負(fù)責(zé)人應(yīng)具有2年以上從事信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷，主要技術(shù)負(fù)責(zé)人應(yīng)獲得電子信息技術(shù)類高級(jí)職稱且從事安全集成技術(shù)工作不少于2年，財(cái)務(wù)負(fù)責(zé)人應(yīng)具有初級(jí)以上職稱；

(6)從業(yè)時(shí)間：從事信息系統(tǒng)安全集成服務(wù)一年以上；

(7)從業(yè)經(jīng)驗(yàn)：獨(dú)立完成中小型企業(yè)的信息系統(tǒng)集成項(xiàng)目；近三年內(nèi)至少完成4個(gè)以上完整的信息安全集成項(xiàng)目，按合同要求質(zhì)量合格，已通過驗(yàn)收并投入實(shí)際應(yīng)用。項(xiàng)目合同總金額不少于300萬元人民幣。至少完成一個(gè)100萬以上的安全集成項(xiàng)目。

6.1.2管理能力（參見第4.2節(jié)）；

6.1.3技術(shù)能力（參見第4.3節(jié)）；

6.1.4服務(wù)過程要求（參見第5章）。

6.2　二級(jí)信息系統(tǒng)安全集成服務(wù)資質(zhì)要求

6.2.1基本資格

(1)基本條件（參見第4.1節(jié)）；

(2)注冊(cè)資本：產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資本不少于1000萬元人民幣；

(3)人員素質(zhì)要求：信息系統(tǒng)安全集成服務(wù)人員20名以上；本科以上學(xué)歷人員占機(jī)構(gòu)總?cè)藬?shù)比例在70%以上；

(4)具有信息系統(tǒng)安全集成服務(wù)相關(guān)的資質(zhì)人員至少6人（如，CISAW，信息安全管理體系審核員、CISSP，CISA等）；至少有2人具有項(xiàng)目管理的資格證書。

(5)主要負(fù)責(zé)人應(yīng)具有3年以上從事電子信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷，主要技術(shù)負(fù)責(zé)人應(yīng)獲得電子信息技術(shù)類高級(jí)職稱且從事安全集成技術(shù)工作不少于3年，財(cái)務(wù)負(fù)責(zé)人應(yīng)具有中級(jí)以上職稱。

(6)從業(yè)時(shí)間：從事信息系統(tǒng)安全集成服務(wù)三年以上；

(7)從業(yè)經(jīng)驗(yàn)：獨(dú)立完成省級(jí)范圍的信息安全集成項(xiàng)目或大型企業(yè)的信息安全集成項(xiàng)目；近三年內(nèi)至少完成6個(gè)以上完整的信息安全集成項(xiàng)目且無客戶投訴，項(xiàng)目合同總金額不少于1000萬元人民幣；至少完成一個(gè)200萬以上的安全集成項(xiàng)目。

6.2.2管理能力

(1)基本管理能力（參見第4.2節(jié)）；

(2)制定項(xiàng)目質(zhì)量管理計(jì)劃，跟蹤項(xiàng)目過程和結(jié)果的質(zhì)量。

6.2.3技術(shù)能力

(1)基本技術(shù)能力（參見第4.3節(jié)）；

(2)應(yīng)具有足夠的技術(shù)力量，根據(jù)客戶業(yè)務(wù)的安全需求開發(fā)信息安全產(chǎn)品或支持性工具的能力。

6.2.4服務(wù)過程要求（參見第5章）

6.3　一級(jí)信息系統(tǒng)安全集成服務(wù)資質(zhì)要求

6.3.1基本資格

(1)基本條件（參見第4.1節(jié)）；

(2)注冊(cè)資本：產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資本不少于2000萬元人民幣；

(3)人員素質(zhì)要求：信息系統(tǒng)安全集成服務(wù)人員30名以上；本科以上學(xué)歷人員占機(jī)構(gòu)總?cè)藬?shù)比例在80%以上；

(4)具有信息系統(tǒng)安全服務(wù)相關(guān)的資質(zhì)人員至少10人（如，CISAW，信息安全管理體系審核員、CISSP，CISA等）；至少有5人具有項(xiàng)目管理的資格證書。

(5)主要負(fù)責(zé)人應(yīng)具有5年以上從事電子信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷，主要技術(shù)負(fù)責(zé)人應(yīng)獲得電子信息類高級(jí)職稱且從事系統(tǒng)集成技術(shù)工作不少于5年，財(cái)務(wù)負(fù)責(zé)人應(yīng)具有中級(jí)以上職稱。

(6)從業(yè)時(shí)間：從事信息系統(tǒng)安全集成服務(wù)五年以上；

(7)從業(yè)經(jīng)驗(yàn)：獨(dú)立完成全國(guó)范圍的信息安全集成項(xiàng)目；近三年內(nèi)至少完成并通過驗(yàn)收的10個(gè)以上完整的信息系統(tǒng)安全集成服務(wù)項(xiàng)目且無客戶投訴，項(xiàng)目合同總金額不少于2000萬元人民幣；至少完成一個(gè)500萬以上的安全集成項(xiàng)目。

6.3.2管理能力

(1)基本管理能力（參見第4.2節(jié)）；

(2)制定服務(wù)質(zhì)量持續(xù)改進(jìn)的制度，跟蹤其落實(shí)情況；

(3)參考GB/T22080-2008/ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)建立信息安全管理體系并運(yùn)行三個(gè)月以上。

6.3.3技術(shù)能力

(1)基本技術(shù)能力（參見第4.3節(jié)要求）；

(2)應(yīng)具有足夠的技術(shù)力量，根據(jù)客戶業(yè)務(wù)的安全需求開發(fā)信息安全產(chǎn)品或支持性工具的能力；

(3)應(yīng)具有足夠的技術(shù)力量，對(duì)市場(chǎng)上普通使用的信息安全產(chǎn)品進(jìn)行功能分析、提出安全策略及對(duì)安全產(chǎn)品進(jìn)行集成的能力；

(4)至少提供一個(gè)已完成的信息系統(tǒng)，經(jīng)國(guó)家(或行業(yè))權(quán)威機(jī)構(gòu)或?qū)＜医M驗(yàn)證其安全性符合要求。

6.3.4服務(wù)過程要求（參見第5章要求）

7　信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證模式與流程

7.1信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證模式

現(xiàn)場(chǎng)檢查+特定服務(wù)檢查+獲證后監(jiān)督

現(xiàn)場(chǎng)檢查是在文檔審核通過后，審核組到申請(qǐng)方的注冊(cè)地址或業(yè)務(wù)量較集中的辦公地址進(jìn)行的標(biāo)準(zhǔn)符合性驗(yàn)證活動(dòng)。特定服務(wù)檢查是審核組對(duì)申請(qǐng)方的服務(wù)團(tuán)隊(duì)進(jìn)行的特定服務(wù)過程演示或到客戶現(xiàn)場(chǎng)見證服務(wù)過程的檢查活動(dòng)，從而判定該申請(qǐng)方的服務(wù)能力。獲證后監(jiān)督是確保獲證方在獲證后能夠持續(xù)滿足標(biāo)準(zhǔn)的要求，在證書的三年有效期內(nèi)認(rèn)證機(jī)構(gòu)對(duì)獲證方進(jìn)行一或兩次現(xiàn)場(chǎng)監(jiān)督審核。如有特殊情況發(fā)生，認(rèn)證機(jī)構(gòu)可增加監(jiān)督審核頻次。

7.2信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證流程

7.2.1提交申請(qǐng)

申請(qǐng)方自愿向認(rèn)證機(jī)構(gòu)提交信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請(qǐng)。申請(qǐng)方應(yīng)提交的文件

（1）信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請(qǐng)書；

（2）獨(dú)立法人資格證明材料；

（3）從事信息系統(tǒng)安全集成服務(wù)的相關(guān)資質(zhì)證明；

（4）工作保密制度及相應(yīng)組織監(jiān)管體系已建立的證明材料；

（5）與信息系統(tǒng)安全集成服務(wù)人員簽訂的保密協(xié)議復(fù)印件；

（6）人員構(gòu)成與素質(zhì)證明材料；

（7）公司組織結(jié)構(gòu)證明材料；

（8）具備固定辦公場(chǎng)所的證明材料；

（9）項(xiàng)目管理制度文檔；

（10）安全集成服務(wù)流程；

（11）安全集成服務(wù)規(guī)范性文件；

（12）安全集成服務(wù)質(zhì)量管理文件（一、二級(jí)）；

（13）信息安全管理體系文件及設(shè)施情況的材料（一級(jí)）；

（14）項(xiàng)目案例及業(yè)績(jī)證明材料等。

7.2.2文檔審核

認(rèn)證機(jī)構(gòu)應(yīng)根據(jù)認(rèn)證依據(jù)、程序等要求，及時(shí)對(duì)申請(qǐng)方提交的申請(qǐng)文件和資料進(jìn)行審核并保存審核記錄，以確保：

（1）認(rèn)證要求規(guī)定明確并得到理解；

（2）認(rèn)證機(jī)構(gòu)和申請(qǐng)方之間在理解上的差異得到解決；

（3）對(duì)于申請(qǐng)的認(rèn)證范圍、工作場(chǎng)所和任何特殊要求，認(rèn)證機(jī)構(gòu)均有能力開展認(rèn)證服務(wù)。

7.2.3現(xiàn)場(chǎng)審核

認(rèn)證機(jī)構(gòu)應(yīng)組成審核組，依據(jù)相關(guān)標(biāo)準(zhǔn)和審核要求，對(duì)申請(qǐng)方進(jìn)行現(xiàn)場(chǎng)審核?，F(xiàn)場(chǎng)審核的內(nèi)容主要包括：

（1）通過檢查、觀察、訪談，對(duì)申請(qǐng)方的信息系統(tǒng)安全集成服務(wù)技術(shù)能力進(jìn)行驗(yàn)證；

（2）通過檢查、觀察、訪談，對(duì)申請(qǐng)方的信息系統(tǒng)安全集成服務(wù)管理能力進(jìn)行驗(yàn)證；

（3）觀察服務(wù)模擬演示或見證現(xiàn)場(chǎng)服務(wù)。

7.2.4認(rèn)證決定

認(rèn)證評(píng)價(jià)及認(rèn)證決定是由認(rèn)證決定委員會(huì)執(zhí)行。認(rèn)證決定委員會(huì)至少由3名以上（含3名）奇數(shù)認(rèn)證決定人員組成。

7.2.4.1認(rèn)證決定

認(rèn)證決定人員依據(jù)認(rèn)證標(biāo)準(zhǔn)、信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證程序與實(shí)施規(guī)則的要求及相關(guān)標(biāo)準(zhǔn)，結(jié)合審核過程中收集的信息（對(duì)于存在不符合項(xiàng)的情況，必須通過整改并由審核組驗(yàn)證通過），對(duì)審核結(jié)果進(jìn)行綜合評(píng)價(jià)，做出“通過認(rèn)證”或“不通過認(rèn)證”的決定。必要時(shí)，認(rèn)證決定委員會(huì)應(yīng)對(duì)申請(qǐng)方滿足認(rèn)證依據(jù)的情況進(jìn)行風(fēng)險(xiǎn)評(píng)估，以做出是否授予認(rèn)證的決定。

對(duì)于符合認(rèn)證要求的申請(qǐng)方，認(rèn)證機(jī)構(gòu)應(yīng)頒發(fā)認(rèn)證證書并在相關(guān)媒體上予以公告。

對(duì)于不符合認(rèn)證要求的申請(qǐng)方，認(rèn)證機(jī)構(gòu)應(yīng)以書面的形式明示其不能獲得認(rèn)證的原因。

7.2.4.2對(duì)認(rèn)證決定的申訴

申請(qǐng)方如對(duì)認(rèn)證決定結(jié)果有異議，可在10個(gè)工作日內(nèi)向認(rèn)證機(jī)構(gòu)申訴，認(rèn)證機(jī)構(gòu)自收到申訴之日起，應(yīng)在一個(gè)月內(nèi)進(jìn)行處理，并將處理結(jié)果書面通知申請(qǐng)方。

7.2.5證后監(jiān)督

7.2.5.1證后監(jiān)督頻次和方式

認(rèn)證機(jī)構(gòu)應(yīng)根據(jù)信息系統(tǒng)安全集成服務(wù)的特點(diǎn)以及所承擔(dān)的認(rèn)證風(fēng)險(xiǎn)，合理確定監(jiān)督審核的時(shí)間間隔和方式。監(jiān)督審核的方式可采用文檔審核或與現(xiàn)場(chǎng)審核相結(jié)合的方式。一般情況下，每年度（不超過12個(gè)月）進(jìn)行一次監(jiān)督審核，由項(xiàng)目管理人員提前兩個(gè)月通知獲證方。監(jiān)督審核的方式可采用文檔審核與現(xiàn)場(chǎng)審核相結(jié)合的方式。

當(dāng)信息系統(tǒng)安全集成服務(wù)提供者的信息系統(tǒng)安全集成服務(wù)發(fā)生重大事故、客戶投訴，或組織結(jié)構(gòu)、人員等方面發(fā)生重大變更等時(shí)，認(rèn)證機(jī)構(gòu)視情況可增加現(xiàn)場(chǎng)監(jiān)督審核的頻次。

7.2.5.2監(jiān)督審核應(yīng)包括，但不限于以下內(nèi)容：

（1）新實(shí)施的服務(wù)案例；

（2）客戶投訴情況；

（3）涉及變化的范圍（例如：人員變化、實(shí)驗(yàn)環(huán)境變化、項(xiàng)目管理、質(zhì)量管理體系變化）；

（4）上次審核提出的不符合項(xiàng)所采取糾正/預(yù)防措施、觀察項(xiàng)的實(shí)施情況。

7.2.5.3監(jiān)督結(jié)果評(píng)價(jià)

對(duì)于監(jiān)督審核合格的信息系統(tǒng)安全集成服務(wù)提供者，認(rèn)證機(jī)構(gòu)應(yīng)作出保持其認(rèn)證證書的決定；否則，應(yīng)暫停、撤銷其認(rèn)證證書。

7.2.5.4信息通報(bào)制度

為確保服務(wù)提供者的信息安全服務(wù)能力持續(xù)有效，服務(wù)提供者應(yīng)建立信息通報(bào)制度，及時(shí)向認(rèn)證機(jī)構(gòu)通報(bào)以下信息：

(1)有關(guān)組織機(jī)構(gòu)變化信息；

(2)消費(fèi)者投訴等信息；

(3)其他重要信息。

7.2.5.5信息分析

認(rèn)證機(jī)構(gòu)應(yīng)對(duì)上述信息進(jìn)行分析，視情況采取相應(yīng)措施，包括增加監(jiān)督審核頻次、暫?；虺蜂N認(rèn)證證書。

7.2.6再認(rèn)證

在認(rèn)證證書有效期滿的前三個(gè)月內(nèi)，服務(wù)提供者可申請(qǐng)?jiān)僬J(rèn)證。再認(rèn)證程序與初次認(rèn)證程序相同。

7.2.7證書變更

(1)如果證書變更只涉及到注冊(cè)地址、資金或法定代表人的變更，申請(qǐng)方須遞交變更申請(qǐng)，經(jīng)書面審核批準(zhǔn)后，認(rèn)證機(jī)構(gòu)僅對(duì)證書更新并收回原證書；

(2)信息系統(tǒng)安全集成服務(wù)提供者的組織機(jī)構(gòu)發(fā)生重大調(diào)整、人員變動(dòng)較大、擬變更業(yè)務(wù)范圍時(shí)，應(yīng)向認(rèn)證機(jī)構(gòu)提出變更申請(qǐng)，并提交相關(guān)材料。認(rèn)證機(jī)構(gòu)策劃并實(shí)施適宜的審核活動(dòng)，并按照要求做出認(rèn)證決定。審核活動(dòng)可單獨(dú)進(jìn)行，也可與信息系統(tǒng)安全集成服務(wù)監(jiān)督或再認(rèn)證同時(shí)進(jìn)行。

7.2.8認(rèn)證時(shí)限

認(rèn)證時(shí)限是指自申請(qǐng)被正式受理之日起至頒發(fā)認(rèn)證證書時(shí)止所實(shí)際發(fā)生的時(shí)間，其中包括認(rèn)證受理、文檔審核、現(xiàn)場(chǎng)審核、認(rèn)證決定以及證書頒發(fā)環(huán)節(jié)。申請(qǐng)一類服務(wù)資質(zhì)認(rèn)證的時(shí)間一般為兩個(gè)月。

服務(wù)提供者如果已獲得我中心某一或幾類的信息安全服務(wù)資質(zhì)認(rèn)證，再申請(qǐng)安全集成服務(wù)資質(zhì)認(rèn)證，認(rèn)證周期可適當(dāng)縮短兩周左右。

8　認(rèn)證證書管理

8.1認(rèn)證證書有效期

信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證證書有效期為3年。

8.2認(rèn)證證書的管理

8.2.1暫停認(rèn)證證書

信息系統(tǒng)安全集成服務(wù)提供者有下列情形之一的，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)暫停認(rèn)證證書。

（1）未按規(guī)定及時(shí)接受監(jiān)督審核或再認(rèn)證；

（2）未按規(guī)定使用認(rèn)證證書；

（3）監(jiān)督結(jié)果證明信息系統(tǒng)安全集成服務(wù)提供者的信息安全服務(wù)能力不符合認(rèn)證要求，但不需要立即撤銷認(rèn)證證書。

暫停期限一般為三個(gè)月。在三個(gè)月內(nèi)，申請(qǐng)方可提出恢復(fù)證書的申請(qǐng)，認(rèn)證機(jī)構(gòu)經(jīng)審核、批準(zhǔn)后方可使用該證書。在認(rèn)證證書暫停期間，申請(qǐng)方不得繼續(xù)使用證書。

8.2.2撤銷認(rèn)證證書

信息系統(tǒng)安全集成服務(wù)提供者有下列情形之一的，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)撤銷其認(rèn)證證書。

（1）監(jiān)督結(jié)果證明信息系統(tǒng)安全集成服務(wù)提供者的信息安全服務(wù)能力不符合認(rèn)證要求，應(yīng)立即撤銷證書的；

（2）認(rèn)證證書暫停使用期間，信息系統(tǒng)安全集成服務(wù)提供者未采取有效糾正措施；

（3）信息系統(tǒng)安全集成服務(wù)提供者出現(xiàn)嚴(yán)重責(zé)任事故，影響其繼續(xù)有效提供集成服務(wù)；

（4）信息系統(tǒng)安全集成服務(wù)提供者不接受認(rèn)證機(jī)構(gòu)對(duì)其實(shí)施的監(jiān)督或未申請(qǐng)?jiān)僬J(rèn)證。

8.2.3注銷認(rèn)證證書

信息系統(tǒng)安全集成服務(wù)提供者因?yàn)樽陨碓蛏暾?qǐng)注銷認(rèn)證證書，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)給予注銷。

認(rèn)證證書注銷和撤銷后，認(rèn)證機(jī)構(gòu)應(yīng)收回認(rèn)證證書，并在相關(guān)媒體上予以公告。

附錄A信息安全工程過程能力級(jí)別參考（ISO/IEC21827:2008）

1.

2.

3.

4.

5.

7.1

7.2

7.3

A.1基本執(zhí)行級(jí)

本能力級(jí)別的組織是基于個(gè)人的知識(shí)和努力去執(zhí)行一些基本過程，而未經(jīng)嚴(yán)格的計(jì)劃和跟蹤。能提供的證據(jù)是該過程的工作結(jié)果。由于缺乏適當(dāng)控制，工作結(jié)果的一致性、性能和質(zhì)量會(huì)存在極大的差異。

A.2計(jì)劃跟蹤級(jí)

本能力級(jí)別的組織計(jì)劃并跟蹤執(zhí)行組織已定義的過程，驗(yàn)證是否執(zhí)行了特定的步驟，工作結(jié)果是否符合指定的標(biāo)準(zhǔn)和需求，測(cè)量用于跟蹤過程的執(zhí)行情況。組織能夠基于實(shí)際執(zhí)行活動(dòng)進(jìn)行管理。

1)制定過程執(zhí)行計(jì)劃

過程執(zhí)行的計(jì)劃涉及到過程文檔的編制，執(zhí)行過程的相應(yīng)工具的提供、過程實(shí)施的計(jì)劃、過程執(zhí)行中的培訓(xùn)、過程資源的分配以及過程執(zhí)行的責(zé)任分配。

2)規(guī)范化執(zhí)行

此要求注重于控制覆蓋過程的總數(shù)。需要列出過程執(zhí)行計(jì)劃的使用、基于標(biāo)準(zhǔn)和程序的過程執(zhí)行、配置管理下依過程產(chǎn)生的工作結(jié)果。

3)驗(yàn)證執(zhí)行

確認(rèn)過程按預(yù)定的方式執(zhí)行。涉及到驗(yàn)證執(zhí)行過程與可應(yīng)用的標(biāo)準(zhǔn)和程序是一致的以及對(duì)工作結(jié)果的審計(jì)。

4)跟蹤執(zhí)行

此要求注重于組織控制項(xiàng)目進(jìn)展的能力。組織通過可測(cè)量的計(jì)劃跟蹤過程的執(zhí)行情況，當(dāng)過程實(shí)施與計(jì)劃產(chǎn)生重大偏離時(shí)應(yīng)采取糾正措施。

A.3充分定義級(jí)

本能力級(jí)別的組織執(zhí)行已經(jīng)充分定義的標(biāo)準(zhǔn)過程。組織依據(jù)對(duì)已批準(zhǔn)發(fā)布的、文檔化的標(biāo)準(zhǔn)過程進(jìn)行適當(dāng)裁減，來充分定義組織的過程。

本級(jí)與級(jí)別2的主要區(qū)別在于利用組織范圍內(nèi)的標(biāo)準(zhǔn)過程來管理和規(guī)劃其活動(dòng)。

1)定義標(biāo)準(zhǔn)過程

該要求注重于組織標(biāo)準(zhǔn)過程的制度化。一個(gè)組織的標(biāo)準(zhǔn)過程可能需要裁剪以適合特定環(huán)境的使用，因此，要求組織提出標(biāo)準(zhǔn)過程的文檔，并為滿足特定用途而對(duì)標(biāo)準(zhǔn)過程進(jìn)行裁剪。

2)執(zhí)行已定義過程

該要求注重于執(zhí)行充分定義過程的可重復(fù)性。要求組織使用制度化過程，并對(duì)有缺陷的過程結(jié)果和工作結(jié)果進(jìn)行復(fù)查，執(zhí)行過程并使用結(jié)果數(shù)據(jù)。

3)協(xié)調(diào)項(xiàng)目和組織活動(dòng)

該要求注重項(xiàng)目和組織活動(dòng)的協(xié)調(diào)。大的工程通常由多個(gè)組協(xié)作完成，缺乏協(xié)調(diào)將會(huì)導(dǎo)致延誤和不可比對(duì)的結(jié)果。因此應(yīng)確定組內(nèi)、組間、組外活動(dòng)的協(xié)調(diào)。

A.4定量控制級(jí)

本能力級(jí)別的組織應(yīng)收集和分析執(zhí)行的詳細(xì)測(cè)量，獲得對(duì)過程能力和改進(jìn)能力的量化理解以預(yù)測(cè)執(zhí)行情況。本能力級(jí)別執(zhí)行的管理是客觀的，工作結(jié)果的質(zhì)量是可量化的。本級(jí)與充分定義級(jí)的主要區(qū)別在于定義的過程是定量可控的。

1)建立可測(cè)量的質(zhì)量目標(biāo)

該要求注重對(duì)組織所開發(fā)的產(chǎn)品（包括工作結(jié)果）建立可測(cè)量的質(zhì)量目標(biāo)。

2)客觀地管理執(zhí)行

該要求注重于確定過程能力的量化測(cè)量并使用量化測(cè)量來管理這一過程。提出了確定量化過程能力和以量化測(cè)量作為修正行動(dòng)的基礎(chǔ)。

A.5持續(xù)改進(jìn)級(jí)

本能力級(jí)別的組織基于組織的商務(wù)目標(biāo)，并針對(duì)過程有效性和效率建立量化執(zhí)行目標(biāo)。通過執(zhí)行已定義的過程和有創(chuàng)見的新概念、新技術(shù)的量化反饋來保證對(duì)這些目標(biāo)進(jìn)行連續(xù)的過程改進(jìn)。

本級(jí)與定量控制級(jí)的主要區(qū)別在于已定義的過程和標(biāo)準(zhǔn)過程基于對(duì)這些過程變化效果的量化理解，進(jìn)行連續(xù)調(diào)整和改進(jìn)。

1)改進(jìn)組織能力

該要求注重在整個(gè)組織范圍內(nèi)使用標(biāo)準(zhǔn)過程，并在同的使用中進(jìn)行比較。在使用這些過程時(shí)，尋找改進(jìn)標(biāo)準(zhǔn)過程的機(jī)會(huì)，分析產(chǎn)生的缺陷以識(shí)別對(duì)標(biāo)準(zhǔn)過程的進(jìn)行改進(jìn)的可能性。

2)改進(jìn)過程有效性

該要求注重于制定處于連續(xù)受控改進(jìn)狀態(tài)下的標(biāo)準(zhǔn)過程。組織能消除標(biāo)準(zhǔn)過程產(chǎn)生缺陷的原因，并提出連續(xù)改進(jìn)的標(biāo)準(zhǔn)過程。

附錄B各級(jí)資質(zhì)要求對(duì)照表

附錄C參考標(biāo)準(zhǔn)

ISO/IEC21827:2008信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型

SSE-CMM3.0:2003系統(tǒng)安全工程能力成熟度模型

ISO29151個(gè)人可識(shí)別信息安全認(rèn)證

ISO29151個(gè)人可識(shí)別信息安全認(rèn)證 2020年8月13日，ISO29151個(gè)人可識(shí)別信息安全認(rèn)證是國(guó)際通行的個(gè)人身份信息保護(hù)指南，涵蓋26個(gè)控制域，181……

企業(yè)怎么辦理供應(yīng)鏈安全管理體系認(rèn)證？

企業(yè)怎么辦理供應(yīng)鏈安全管理體系認(rèn)證？ 2020年8月8號(hào)，供應(yīng)鏈安全管理體系認(rèn)證證書ISO28000是應(yīng)運(yùn)輸和物流行業(yè)對(duì)共同安全管理標(biāo)準(zhǔn)的需求而……

iso27001認(rèn)證要求？

iso27001認(rèn)證要求？ISO 27001是信息安全管理體系國(guó)際標(biāo)準(zhǔn)，被廣泛應(yīng)用于企業(yè)信息安全保護(hù)。要進(jìn)行ISO 27001認(rèn)證，需要通過一系列的審查和評(píng)……

ISO27701隱私管理體系認(rèn)證對(duì)企業(yè)有什么意義?

ISO27701隱私管理體系認(rèn)證對(duì)企業(yè)有什么意義? 2020年8月25日，市場(chǎng)對(duì)ISO27701標(biāo)準(zhǔn)的發(fā)布有很大的期待。ISO27701的標(biāo)題為“隱私信息管理的ISO……

中企認(rèn)證咨詢網(wǎng)積累了豐富的國(guó)際質(zhì)量認(rèn)證工作經(jīng)驗(yàn)，各項(xiàng)業(yè)務(wù)均成果卓著。始終以服務(wù)國(guó)家經(jīng)濟(jì)社會(huì)發(fā)展和提升人民生活品質(zhì)為己任，依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù)，著力開展節(jié)能。在積極促進(jìn)國(guó)際貿(mào)易，調(diào)整經(jīng)濟(jì)結(jié)構(gòu)，保護(hù)消費(fèi)者安全健康，構(gòu)建社會(huì)誠(chéng)信體系，參與"兩型"社會(huì)建設(shè)等方面做出了積極貢獻(xiàn)。同時(shí)，自身獲得了跨越式發(fā)展，已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu)，可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念，正在朝著建立社會(huì)公信力高，有較強(qiáng)創(chuàng)新能力、市場(chǎng)競(jìng)爭(zhēng)能力和可持續(xù)發(fā)展能力，向業(yè)界有較高知名度的國(guó)際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行，優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開展，為順利實(shí)現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。

中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識(shí)產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗(yàn)廠咨詢、商務(wù)部信用等級(jí)、誠(chéng)信信用等級(jí)、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價(jià)格實(shí)惠，證書真實(shí)有效，認(rèn)監(jiān)委可查，如有疑問，可點(diǎn)擊了解詳情，竭誠(chéng)為您服務(wù)!