择天记,好看的历史书籍推荐,古风小说

? ? ? ?隨著我國信息化和信息安全保障工作的不斷深入推進，以應急處理、風險評估、災難恢復、系統(tǒng)測評、安全運維、安全審計、安全培訓和安全咨詢等為主要內容的信息安全服務在信息安全保障中的作用日益突出。成都CCRC認證加強和規(guī)范信息安全服務資質管理已成為信息安全管理的重要基礎性工作。
? ? ? 就目前申報企業(yè)數(shù)量由多到少依次排序為：安全集成—安全運維--風險評估---應急處理---軟件安全--災難備份與恢復。其中傳統(tǒng)的信息化企業(yè)有集成和運維業(yè)務，企業(yè)大多會選擇申請安全集成和安全運維。風險評估和應急處理對企業(yè)從業(yè)經(jīng)驗成功項目案例實施有更專業(yè)的要求，需要根據(jù)不同的項目詳細分析。
一.安全集成服務資質
? ? ?1、工具和技術手段：漏洞檢測工具，配置基線核查、源代碼審計等等;
? ? ?2、業(yè)績項目和規(guī)范：項目中要有信息安全服務的流程和規(guī)范；實施的信息安全服務項目案例，而且案例中所體現(xiàn)的信息安全服務過程能夠符合《信息安全服務規(guī)范》的要求；申請三級需要對應專業(yè)2個項目，申請二級需要近三年的6個項目；
? ? ?3、公共管理和安全集成專業(yè)方向與評估表對標。
? ? （一）公共管理包含；法律地位、財務資信、辦公場所、人員要求、服務管理要求（人員管理文檔管理保密管理項目管理合同管理供應商管理，體系建設要求），技術工具要求等；
? ? （二）項目業(yè)績：信息安全服務資質對企業(yè)在對外開展信息安全服務的一些關鍵環(huán)節(jié)和過程，也有相應的要求；要將公司現(xiàn)有的業(yè)務模式，與資質的要求進行融合，并按照資質規(guī)范的要求，形成相應的對標輸出；
? ? ? 4、安全集成項目階段：集成準備方案設計建設實施和安全保障四個階段要在傳統(tǒng)系統(tǒng)集成項目實施過程中融入“安全性”思維，并貫穿集成項目實施的整個過程，不能是單獨的設備采買和安裝，要把“安全性”思維貫穿始終，保證交付客戶的集成項目不應僅僅是“可用”的，而且應該是“高安全性、低風險的”。
? ? ? 5、適合申請安全集成的組織類型：
? ? ?目前的經(jīng)營范圍包括集成項目實施的組織：
? ? ?? 致力于提供高品質集成服務的組織，不再定位自身僅僅是“賣設備”的組織；

? ? ?? 所開展的項目類型為硬件集成、軟件集成、軟硬件集成三種形式均可，但項目的主要環(huán)節(jié)需要覆蓋需求分析、方案設計、建設實施、安全保障四個主要環(huán)節(jié)。

二.安全運維服務資質
? ? ? 1、什么是安全運維
? ? ? 通過技術設施安全評估，技術設施安全加固，安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢，協(xié)助組織的信息系統(tǒng)管理人員進行信息系統(tǒng)的安全運維工作，以發(fā)現(xiàn)并修復信息系統(tǒng)中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時加以響應。隨著信息系統(tǒng)運行，其自身存在的脆弱性和面臨的威脅都在發(fā)生變化，安全運維就是在系統(tǒng)運行期間，不斷發(fā)現(xiàn)問題和解決問題，并優(yōu)化安全策略，建立防護、檢測和恢復的閉環(huán)安全機制，保證業(yè)務系統(tǒng)持續(xù)安全。
? ? ? 2、業(yè)績項目和規(guī)范
? ? （1）集成項目實施完成后，希望能夠為客戶提供長期運維服務的組織；
? ? （2）所開展的運維項目類型為硬件運維、應用系統(tǒng)運維、或硬件與應用系統(tǒng)運維均可，項目的主要環(huán)節(jié)需要覆蓋需求分析、方案設計、運維實施、運維服務報告編寫等階段；
? ? ? 3、公共管理和安全運維專業(yè)方向與評估表對標；
? ?（1）公共管理包含；法律地位、財務資信、辦公場所、人員要求、服務管理要求（人員管理文檔管理保密管理項目管理合同管理供應商管理，體系建設要求），技術工具要求等；
? ?（2）項目業(yè)績：信息安全服務資質對企業(yè)在對外開展信息安全服務的一些關鍵環(huán)節(jié)和過程，也有相應的要求；要將公司現(xiàn)有的業(yè)務模式，與資質的要求進行融合，并按照資質規(guī)范的要求，形成相應的對標輸出；
? ?（3）安全運維項目：避免選擇純硬件維護或者純軟件維護的項目，典型項目應該涉及預警、防護、檢測和恢復等環(huán)節(jié)的內容。
? ?（4）安全運維的項目階段：運維設計實施運維方案設計服務實施（信息系統(tǒng)配置管理數(shù)據(jù)庫、安全配置庫、配置檢查記錄日志保存記錄與日志審計分析記錄、報告；漏掃記錄、安全加固記錄、補丁安裝記錄、病毒查殺記錄等）。
? ? ?4、適合申請安全運維的組織類型：
在傳統(tǒng)IT運維項目實施過程中融入“安全性”思維，并貫穿運維項目實施的整個過程：
? ?（1）針對客戶安全運維需求的挖掘與分析；
? ?（2）能夠將安全需求在運維方案中進行落地；
? ?（3）在運維服務開展過程中，通過多種手段（資產(chǎn)梳理、配置優(yōu)化、漏洞檢測、安全審計、狀態(tài)監(jiān)控、滲透測試等），能夠發(fā)現(xiàn)問題和隱患，控制風險，使運維對象的信息安全風險保持在偏低水平；
? ?（4）針對運維服務過程中發(fā)現(xiàn)的問題能夠及時閉環(huán)處理、分析總結。
三.強化電網(wǎng)安全
? ? ? 1、什么是風險評估
? ? ? ? 依據(jù)國際或國家標準中明確的風險計算模型，來對所評估對象目前所存在的信息安全風險進行分析的服務過程；
? ? ? ? 服務過程可主要分為評估對象的業(yè)務流程分析、資產(chǎn)分析、威脅分析、脆弱性分析、風險分析、風險處置等階段；
? ? ? ? 通過現(xiàn)場實地觀察、人員訪談、技術測試、數(shù)據(jù)分析等實施方法；
? ? ? ? 服務過程往往需要依靠專業(yè)檢測工具來輔助；
? ? ? 2、哪些企業(yè)適合申請風險評估
? ? ? ? 致力于對外提供安全咨詢、安全檢測與加固、風險分析、IT治理等服務的組織；
? ? ? ? 希望作為中立的第三方，向需求方提供服務的組織；
? ? ? 3、風險評估工具
? ? ? 基于技術的工具：
? ? ? 掃描工具：包括主機掃描、網(wǎng)絡掃描、數(shù)據(jù)庫掃描，用于分析系統(tǒng)的常見漏洞；
? ? ? 入侵檢測系統(tǒng)（IDS）：用于收集與統(tǒng)計威脅數(shù)據(jù)；
? ? ? 滲透性測試工具：黑客工具，用于人工滲透，評估系統(tǒng)的深層次漏洞；
? ? ? 主機安全性審計工具：用于分析主機系統(tǒng)配置的安全性；
? ? ? 信息安全服務資質申請要素之四：公共管理和安全運維專業(yè)方向與評估表對標；
? ? ? 4、公共管理和項目要求
? ? ?（1）公共管理包含；法律地位、財務資信、辦公場所、人員要求、服務管理要求（人員管理文檔管理保密管理項目管理合同管理供應商管理，體系建設要求），技術工具要求等。
? ? ?（2）項目說明：
? ? ? ?? 在信息安全管理體系中涉及到了風險評估的相關概念，在信息安全服務資質也涉及到了風險評估，兩者在能力要求和方法論上是一致的。
? ? ? ?? 具備跟蹤、驗證信息安全漏洞的能力。
? ? ? ?? 三級：至少有一個完成的風險評估項目，該系統(tǒng)的用戶數(shù)在1,000以上；具備從管理或（和）技術層面對脆弱性進行識別的能力。具備跟蹤信息安全漏洞的能力。
? ? ? ? ? 二級：針對多種類型組織，多行業(yè)組織，至少完成一個風險評估項目，該系統(tǒng)的用戶數(shù)在10,000以上；具備從管理和技術層面對脆弱性進行識別的能力。具備跟蹤、驗證信息安全漏洞的能力。
四.成都CCRC認證信息安全應急處理服務資質
? ? ? 1、應急處理的幾個階段
? ? ? 準備階段→檢測階段→抑制階段→根除階段→恢復階段→總結階段
? ? ? 2、什么是應急處理項目
? ? （1）盡量選擇真實發(fā)生的安全事件的應急而不是應急演練類項目；
? ? （2）選擇的案例盡量是網(wǎng)絡信息安全類事件的應急；
? ? （3）盡量不選擇預防性的應急案例，這種案例一般不能很好體現(xiàn)應急事件的臨場分析、處置能力。
五.軟件安全開發(fā)服務資質
? ? ? 1、軟件安全開發(fā)服務資質
? ? ? 通過對軟件開發(fā)過程的控制，將開發(fā)的軟件存在的風險控制在可接受的水平。軟件安全開發(fā)資質認證是對軟件開發(fā)方的基本資格、管理能力、技術能力和軟件安全過程能力等方面進行評價。安全軟件開發(fā)服務資質級別是衡量服務提供方的軟件安全開發(fā)服務資格和能力的尺度。資質級別分為一級、二級、三級共三個級別，其中一級最高，三級最低。
? ? ? 2、軟件開發(fā)要有哪些內容
? ? ? 安全需求分析；
? ? ? 安全設計落實安全需求；
? ? ? 安全編碼過程實現(xiàn)安全設計；
? ? ? 安全測試檢驗安全功能；
? ? ? 試運行，監(jiān)測安全功能正常發(fā)揮作用；
? ? ? 持續(xù)為所開發(fā)的系統(tǒng)提供版本升級、打補丁等維保服務；
? ? ? 3、軟件安全開發(fā)各個階段
? ? ? 準備階段-開發(fā)管理計劃、風險管理、配置管理，變更管理；
? ? ? 需求階段--需求分析調研項目背景信息，收集項目需求，明確軟件功能、性能及安全方面的要求；
? ? ? 設計階段--軟件設計說明書；
? ? ? 編碼階段--安全編碼，代碼審查；
? ? ? 測試階段一級二級要求；
? ? ? 驗收階段--系統(tǒng)試運行；
6.信息系統(tǒng)災難備份與恢復
? ? ? 1、機房場地和選址要求
? 　機房場地要求
? ?（1）災備中心所在地域抗震設防烈度，該中心抗震設防類別。
? ?（2）高架地板面積不低于1000/2000/5000平米。
? ?（3）災備中心建筑耐火等級。
? ?（4）災備中心建設等級滿足國標A級或國際T3以上機房要求。
? ?（5）災備中心的場地應自有產(chǎn)權，或者簽署有剩余期限不少于5年的長期租賃合同
? ? ? 2、選址要求
? ? ?災難備份中心與生產(chǎn)中心同時遭受同類風險具備通信、電力資源和交通條件統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結合。
? ?（1）穩(wěn)定的自然環(huán)境
? ?（2）便捷的交通環(huán)境
? ?（3）安全的區(qū)域環(huán)境
? ? ? 3、災備中心要求
? ? ? 基礎設施要求：計算機機房應符合有關國家標準工作輔助設施和生活設施要符合災難恢復目標的要求；
? ? ? 抗震設防要求：按國家規(guī)定的權限批準作為一個地區(qū)抗震設防的地震烈度稱為抗震設防烈度。一般情況下，抗震設防烈度可采用中國地震參數(shù)區(qū)劃圖的地震基本烈度。
? ? ? 耐火等級：是衡量建筑物耐火程度的分級標度。它由組成建筑物的構件的燃燒性能和耐火極限來確定；
? ? ? 機房場地要求：新風換氣系統(tǒng)，機房內正壓，確保機房潔凈度。
? ? ? 4、需要關注
? ? ? 信息系統(tǒng)災難備份與恢復服務資質分：A類和B類
? ? ? A類：主要看災備中心場地資源要求、基礎設施要求、災備中心運維管理要求
? ? ? B類：只要看設計方案要求、預案和演練要求
CCRC的費用問題
? ? ? CCRC信息安全服務資質認證費用主要包含以下4種：
? ? ? 1、咨詢費（根據(jù)企業(yè)規(guī)模、企業(yè)實際條件評估后確定）;
? ? ? 2、審核官費;
? ? ? 3、信息安全保障人員考試費用（如申報企業(yè)本身沒有信息安全保障人員，則需要有這一項費用，需要安排人員進行考試獲證）;
? ? ? 4、成都CCRC認證審核員差旅費（如線下審核，則有這一項費用，具體標準可與咨詢機構和審核老師詳細溝通）。

news

新聞資訊

投標必備|5分鐘幫你搞清成都CCRC認證信息安全服務資質