信息安全服務資質(zhì)認證要求.doc

備案號：信息安全服務資質(zhì)認證要求ISCCC XXX XXX-2007信息安全服務資質(zhì)認證要求Certification Requirements for Qualification of Information Security Service Provider (備案送審稿)-發(fā)布-實施中國信息安全認證中心 發(fā)布目錄前 言31適用范圍42定義42.1信息安全服務42.2信息安全服務提供者42.3信息安全服務資質(zhì)等級42.4信息安全工程過程能力級別43服務類型與資質(zhì)評定原則43.1信息安全服務的類型43.2信息安全服務資質(zhì)等級的評判原則44認證具體要求54.1基本資格54.1.1獨立法人54.1.2法律要求64.2基本能力64.2.1資產(chǎn)與規(guī)模64.2.2人員素質(zhì)與構(gòu)成64.2.3設備、設施與環(huán)境74.2.4業(yè)績74.3質(zhì)量管理能力74.3.1體系和管理職責74.3.2資源管理84.3.3項目過程管理104.3.4測量、分析和改進124.3.5客戶服務134.3.6技術(shù)能力更新144.4安全工程過程能力144.4.1風險過程144.4.2工程過程164.4.3保證過程195引用標準與參考文獻205.1計算機信息系統(tǒng)安全保護等級劃分準則205.2系統(tǒng)安全工程能力成熟模型205.3系統(tǒng)安全工程能力成熟模型評定方法205.4信息系統(tǒng)安全工程手冊205.5軟件工程能力成熟模型206附錄系統(tǒng)安全工程主要術(shù)語216.1組織216.2項目216.3系統(tǒng)216.4安全工程216.5安全工程生命期216.6工作產(chǎn)品226.7顧客226.8過程226.9過程能力226.10制度化236.11過程管理23前 言本技術(shù)規(guī)范屬于信息安全服務資質(zhì)認證要求。本技術(shù)規(guī)范根據(jù)我國信息安全服務管理的現(xiàn)狀，并參考了相關(guān)技術(shù)規(guī)范而制定。本技術(shù)規(guī)范由中國信息安全認證中心（ISCCC）提出并歸口。本技術(shù)規(guī)范主要起草單位：中國信息安全認證中心。中國信息安全認證中心 質(zhì)量文件-QP04 信息安全服務資質(zhì)認證具體要求1 適用范圍本要求適用于評估機構(gòu)對提供信息安全服務的組織進行信息安全服務資質(zhì)的評估；信息安全服務的需方對服務提供方的選擇依據(jù)；作為國家主管部門對評估對象進行管理和檢查的技術(shù)規(guī)范。另外，也可為信息安全服務提供組織改進自身能力提供指導。2 定義2.1 信息安全服務信息安全服務是指信息安全工程的設計、實施、測試、運行和維護，以及相關(guān)的咨詢和培訓活動。2.2 信息安全服務提供者信息安全服務提供者是指信息安全工程方案設計組織、承建信息安全工程的組織以及提供有關(guān)信息安全培訓的組織。2.3 信息安全服務資質(zhì)等級信息安全服務資質(zhì)等級是指一個組織提供信息安全服務的綜合能力。包括技術(shù)能力、組織結(jié)構(gòu)與管理、資源配置、安全工程過程能力、業(yè)績和質(zhì)量保證等多個方面。2.4 信息安全工程過程能力級別信息安全工程過程能力級別是指提供信息安全服務的組織在完成工程、項目時，執(zhí)行組織已定義過程的能力成熟程度。3 服務類型與資質(zhì)評定原則3.1 信息安全服務的類型信息安全服務的類型主要指一個組織按照合同或協(xié)議，為另一個組織所履行的安全服務的具體形式，目前我們只針對安全工程服務進行資質(zhì)認證。安全工程類指為信息系統(tǒng)進行安全方案設計（開發(fā)）、實施（安全集成)、驗證（測試）、培訓、運行（監(jiān)控）和維護；3.2 信息安全服務資質(zhì)等級的評判原則信息安全服務資質(zhì)評估是對信息安全服務提供者的資格狀況、技術(shù)實力和實施安全工程過程質(zhì)量保證能力等方面的具體衡量和評價。資質(zhì)等級的評定，是在其基本資格和能力水平、安全工程項目的組織管理水平、安全工程基本過程的實施和控制能力等方面的單項評估結(jié)果基礎(chǔ)上，針對不同的服務種類，采用一定的權(quán)值綜合考慮后確定，并由國家認證機構(gòu)授予相應的資質(zhì)級別。信息安全服務的資質(zhì)等級的劃分遵循以下原則：1) 綜合考慮原則： 信息安全服務資質(zhì)等級的劃分必須對組織的綜合能力進行考察，它主要與組織的資格狀況、技術(shù)實力、信息安全工程過程能力等級以及其他要求有關(guān)。2) 與現(xiàn)行國家有關(guān)主管部門頒布的法律、法規(guī)、規(guī)章、制度相一致的原則：安全策略要保持與現(xiàn)行的法律、法規(guī)、規(guī)章、制度相一致，不能相抵觸。3) 與我國已發(fā)布或即將發(fā)布的有關(guān)信息安全的標準相一致的原則：我國已發(fā)布許多與安全服務有關(guān)的標準，本評估準則的資質(zhì)等級劃分必須與這些標準相一致。4) 與組織的基本能力水平緊密結(jié)合的原則：一個組織的基本能力是評估其資質(zhì)等級的基本要求，有些基本能力要求可能決定一個組織是否具備參與資質(zhì)評定的資格。5) 與信息安全服務工程過程能力等級緊密結(jié)合的原則：工程過程能力等級是反映組織實施工程的成熟程度，是評定資質(zhì)的重要依據(jù)。6) 可裁剪原則：安全服務有多種類型，對不同類型的安全服務可進行適當?shù)牟眉簟?) 可操作性原則具有實際操作的可行性。4 認證具體要求對安全工程類的信息安全服務資質(zhì)認證提出了具體的評估要求。該要求分四個部分：第一、二部分為管理要求；第三、四部分為資質(zhì)能力要求。4.1 基本資格4.1.1 獨立法人申請組織必須是一個獨立的實體，具有獨立法人資格。4.1.2 法律要求申請組織必須遵守國家現(xiàn)行法律、法規(guī)的規(guī)定。在所有經(jīng)營活動中沒有觸犯知識產(chǎn)權(quán)保護等有關(guān)法律的行為。4.2 基本能力4.2.1 資產(chǎn)與規(guī)模4.2.2.1 資產(chǎn)規(guī)模：申請組織的注冊資本應在100 萬元以上，資產(chǎn)總額在200 萬元以上。4.2.2.2 財務狀況：申請組織應具有近3 年良好的財務狀況。4.2.2.3 安全工程服務利潤：申請組織在最近一年安全工程服務方面的利潤應在20 萬以上或占利潤總額的10%以上。4.2.2 人員素質(zhì)與構(gòu)成4.2.2.1 技術(shù)人員申請組織從事安全工程服務的專業(yè)技術(shù)人員應不少于15 人。4.2.2.2 人員素質(zhì)申請組織從事安全工程服務的專業(yè)技術(shù)人員大學本科以上學歷所占比例不小于70%，碩士要求所占比例不小于10%。4.2.2.3 組織負責人申請組織總經(jīng)理或負責系統(tǒng)安全集成工作的副總經(jīng)理須具有5 年以上從事信息安全領(lǐng)域企業(yè)管理工作經(jīng)歷。4.2.2.4 安全技術(shù)負責人申請組織的信息安全技術(shù)負責人須具有信息安全領(lǐng)域相關(guān)專業(yè)的中級以上職稱(或碩士以上學歷)且從事信息安全服務工作不少于4 年，或具有本科以上學歷且從事信息安全服務工作不少于6年，承擔的安全項目總額在150萬以上。4.2.2.5 財務負責人申請組織的財務負責人須是會計師以上職稱。4.2.2.6 人員背景審查申請組織的主要服務人員需要進行背景審查、備案、管理，包括主要技術(shù)負責人、項目經(jīng)理等關(guān)鍵人員，其他服務人員需要備案管理。4.2.3 設備、設施與環(huán)境4.2.3.1 工作環(huán)境申請組織應有固定的工作場所，工作環(huán)境符合信息安全場所環(huán)境要求。4.2.3.2 測試模擬環(huán)境申請組織應有企業(yè)具有與所承擔項目相適應的測試環(huán)境和設備。4.2.3.3 安全服務工具申請組織應有滿足信息安全服務的技術(shù)開發(fā)、測試工具。4.2.3.4 組織與技術(shù)隊伍具有勝任信息安全服務的專職人員隊伍和組織管理體系。4.2.4 業(yè)績4.2.4.1 從業(yè)經(jīng)驗申請組織應從事信息安全服務行業(yè)的時間在3年以上。4.2.4.2 工程經(jīng)驗申請組織必須承接過的3個以上的工程，并實踐過完整的信息安全工程過程。4.2.4.3 工程水平在高級別的認證要求中，工程質(zhì)量需要到客戶現(xiàn)場進行真實性審查，與用戶進行交流，是否真正達到他們的安全要求。4.2.4.4工程規(guī)模申請組織近年完成的信息安全服務工程項目總值應在200 萬元以上。4.2.4.5工程狀況申請組織所做安全工程項目應沒有出現(xiàn)驗收未通過的情況。4.3 質(zhì)量管理能力4.3.1 體系和管理職責4.3.1.1 質(zhì)量管理體系4.3.1.1.1 質(zhì)量管理體系的建立申請組織應依據(jù)合適的標準建立覆蓋信息安全工程服務的質(zhì)量管理體系，編制相應的體系文件。4.3.1.1.2 組織和管理架構(gòu)申請組織應建立合理的組織架構(gòu)和管理架構(gòu)來滿足信息安全工程服務的實施和管理，應建立相對獨立的信息安全工程服務技術(shù)部門，應建立有效的技術(shù)管理、質(zhì)量管理和組織管理機制。4.3.1.1.3 質(zhì)量管理體系的實施申請組織應實施建立的質(zhì)量管理體系。4.3.1.2 管理承諾4.3.1.1 質(zhì)量方針申請組織應制定并確定質(zhì)量方針。4.3.1.2.2 職責和權(quán)限申請組織應配備充足的崗位人員并明確規(guī)定各崗位的職責和權(quán)限來滿足質(zhì)量管理體系的有效實施，崗位職責還應包含安全職責。申請組織應指定一名技術(shù)管理者來滿足該組織的技術(shù)管理要求的實施，應指定一名質(zhì)量管理者（或管理者代表）來滿足質(zhì)量管理要求的實施。4.3.1.2.3 內(nèi)部溝通申請組織應建立適當?shù)臋C制來滿足對質(zhì)量管理體系有效性的溝通。4.3.2 資源管理4.3.2.1 文件控制4.3.2.1.1 文件控制程序申請組織應制定有效合理的文件控制程序。4.3.2.1.2 文件評審申請組織應在文件批準發(fā)布前對文件進行有效的評審，以保證文件是充分的和適宜的。4.3.2.1.3 文件批準發(fā)布申請組織應對正式使用的文件進行批準和發(fā)布，以明確文件的有效性。4.3.2.1.4 文件分發(fā)申請組織應建立有效的文件發(fā)放機制，并進行文件的有效發(fā)放，以保證文件相關(guān)方能及時得到文件的有效版本。4.3.2.1.5文件有效性、唯一性標識申請組織應對文件進行有效性的唯一性標識，以防止無效文件的使用或?qū)o效文件的誤用。4.3.2.2 保密與所有權(quán)保護控制4.3.2.2.1 保密與所有權(quán)保護程序申請組織應對文件進行有效性和唯一性標識，以防止無效文件的使用或?qū)ξ募恼`用。申請組織應建立保密和所有權(quán)保護程序，以保護客戶的秘密和保護客戶所有權(quán)。4.3.2.2.2 保密協(xié)議申請組織應與員工簽訂保密協(xié)議，以明確員工在信息保護和所有權(quán)保護方面的責任和義務。申請組織也應與客戶簽訂保密協(xié)議或明確本組織對客戶的保密責任，以明確雙方在保密和所有權(quán)保護方面的責任和義務。4.3.2.2.3 客戶信息保護申請組織應制定具體措施保護客戶的秘密和所有權(quán)，并得以執(zhí)行。4.3.2.3 人員控制4.3.2.3.1 人員管理程序申請組織應建立人員管理的程序，以使每個員工滿足崗位職責的要求。4.3.2.3.2 人員能力確認申請組織應在對每個員工的資格和能力進行確認，以使所有員工滿足其上崗要求。4.3.2.3.3 人員培訓申請組織應對員工實施培訓，以使員工能獲得滿足崗位職責要求和信息安全工程服務要求的知識、技能。培訓還應包括員工安全意識和安全職責的培訓。4.3.2.3.4 人員考評申請組織應對員工進行技術(shù)和能力的考核和評價，以確認每個員工獲得了滿足崗位要求、安全工程服務要求的知識和能力。4.3.2.4 設備與工具控制4.3.2.4.1 設備、設施管理程序申請組織應制定用于安全工程服務的設備和工具的管理程序，以滿足信息安全工程服務對設備和工具的準確性、穩(wěn)定性和安全性要求。4.3.2.4.2 設備、工具的可用性確認申請組織應對設備、工具的性能進行確認，以保證設備、工具在使用時的準確性、穩(wěn)定性和安全性。4.3.2.5 采購控制4.3.2.5.1 采購控制程序申請組織應制定采購產(chǎn)品、工具、設備和服務的控制程序，以確保采購對象滿足信息安全工程服務的要求。4.3.2.5.2 確定采購需求申請組織應在采購前提供并確認采購的需求，包括功能、性能等技術(shù)要求。對服務采購需提出服務資格、能力、質(zhì)量方面的要求。4.3.2.5.3 選擇合格的供應方申請組織應評價供應方的能力，以確認供應方是否有能力提供符合要求的產(chǎn)品、設備、工具或服務。申請組織應與合格供應方保持溝通，以確定其供應持續(xù)滿足要求。4.3.2.5.4 采購驗收申請組織應對采購的產(chǎn)品、設備、工具或服務進行驗收，以確定所采購的產(chǎn)品、設備、工具或服務滿足了采購需求。4.3.3 項目過程管理.2.54.3.3.1 客戶要求評審4.3.3.1.1 評審客戶要求的程序申請組織應制定評審客戶要求的管理程序。4.3.3.1.2 客戶要求評審申請組織應在信息安全工程服務項目正式啟動前，全面了解客戶的需求，并充分評審自身滿足客戶需求的能力，盡可能與客戶就所有技術(shù)或資金、工期或進度等方面達成一致共識，以確定客戶的要求是否能得到充分滿足。4.3.3.2 規(guī)劃技術(shù)活動4.3.3.2.1 規(guī)劃技術(shù)活動規(guī)范申請組織應制定規(guī)劃技術(shù)活動的規(guī)范，以便信息安全工程服務中技術(shù)規(guī)劃活動各方面因素得到充分考慮。4.3.3.2.2 識別關(guān)鍵資源申請組織應識別對項目技術(shù)上的成功起關(guān)鍵作用的資源，以便關(guān)鍵資源問題能得到解決。4.3.3.2.3 預算項目費用申請組織應進行項目費用的預算，以便項目能得到充分資金支持。4.3.3.2.4 確定工程技術(shù)過程申請組織應確定項目的工程技術(shù)過程，并確定整個生命期的技術(shù)活動。4.3.3.2.5 設立技術(shù)指標申請組織應設立項目的技術(shù)指標來滿足客戶要求。4.3.3.2.6 制定項目工程計劃申請組織應制定項目整個生命期的工程進度和技術(shù)開發(fā)管理計劃。4.3.3.2.7 評審并認可工程計劃申請組織應組織工程相關(guān)方對工程計劃進行評審，并獲得工程相關(guān)方的認可。4.3.3.3 項目風險管理4.3.3.3.1 項目風險管理規(guī)范申請組織應制定項目風險管理的規(guī)范，以便于實施項目的風險管理。4.3.3.3.2 評估項目風險申請組織應通過有效的識別、分析項目風險，并制定出相應的風險控制措施。4.3.3.3.3 跟蹤風險控制活動申請組織應實施制定的風險控制措施并及時跟蹤風險降低措施的有效性，對發(fā)生的問題及時修正相應的風險控制措施。4.3.3.4 配置管理4.3.3.4.1 建立配置管理方法申請組織應充分理解配置管理在本組織內(nèi)部的意義，根據(jù)組織的規(guī)模、業(yè)務和特點選擇配置管理的工具，建立配置管理的方法和流程。4.3.3.4.2 管理配置單元申請組織能夠明確信息安全工程服務的流程并能夠合理地劃分工作基線，識別配置單元。4.3.3.4.3 維護配置單元申請組織應確定的產(chǎn)品基線和配置單元，建立信息知識倉庫，實施配置管理，以便及時掌握業(yè)務開展的動態(tài)。4.3.3.4.4 控制變化狀態(tài)申請組織應實時關(guān)注項目的進展和業(yè)務的變更情況，及時對工作基線和配置單元做出必要的調(diào)整，以適應不斷變化的工作需要。4.3.3.4.5 重視溝通申請組織應及時將變化了的配置狀態(tài)通過有效的渠道通知所有相關(guān)的人員，保證版本的正確使用和變更的有效性。4.3.4 測量、分析和改進4.3.4.1 質(zhì)量保證申請組織應及時將變化了的配置狀態(tài)通過有效的渠道通知到所有相關(guān)的人員， 保證版本的正確使用和變更的有效性。4.3.4.1.1 質(zhì)量保證的規(guī)范申請組織應該依據(jù)本組織的特點和信息安全工程服務的特點制定出一套適宜的質(zhì)量保證規(guī)范，以確保組織的服務能力。4.3.4.1.2 產(chǎn)品檢驗申請組織應根據(jù)產(chǎn)品的質(zhì)量要求，制定出產(chǎn)品檢驗的標準和流程，并嚴格執(zhí)行產(chǎn)品檢驗規(guī)定，保證工作產(chǎn)品能夠滿足預期的質(zhì)量要求。4.3.4.1.3 過程監(jiān)督申請組織應能夠識別信息安全工程服務的過程，并且能夠制定出過程監(jiān)督的方法和流程，確保信息安全工程過程的受控。4.3.4.1.4 不合格處置及驗證申請組織應該有辦法對不合格進行識別處置，并明確處置的方式、方法、職責和流程，以最大限度地減小資源浪費、提高服務質(zhì)量。申請組織應該對不合格品的處置結(jié)果進行驗證，以便對不合格進行有效控制。4.3.4.1.5 追溯不合格品對于已經(jīng)投入使用的不合格品，申請組織應該制定有效的措施實現(xiàn)對其的控制，避免因此而造成對工程服務質(zhì)量的影響。4.3.4.1.6 質(zhì)量信息收集統(tǒng)計和分析申請組織應建立暢通的渠道搜集來自多方的信息反饋，有能力對質(zhì)量信息和反饋及抱怨信息進行收集和整理，能夠?qū)π畔⒆鞒稣_的判斷并采取適當?shù)奶幹么胧?。申請組織應有方法對搜集到的數(shù)據(jù)進行統(tǒng)計和分析，有記錄對結(jié)果提供證據(jù)，有條件發(fā)現(xiàn)質(zhì)量改進的機會，有結(jié)論支持質(zhì)量改進的建議，有行動發(fā)起質(zhì)量改進活動。4.3.4.1.7 質(zhì)量記錄申請組織應規(guī)定記錄的范圍，記錄的要求和記錄的管理，確保記錄的客觀真實性和可再現(xiàn)性。4.3.4.2 糾正與預防措施4.3.4.2.1 制定文檔化的程序申請組織應制定出糾正措施控制程序，制定出預防措施控制程序，明確職責和流程。4.3.4.2.2 制定糾正和預防措施并實施申請組織應有能力分析出不合格產(chǎn)生的原因并采取有效的措施消除不合格產(chǎn)生的根源。申請組織應有能力發(fā)現(xiàn)潛在的不合格并采取有效的措施杜絕潛在不合格的實際發(fā)生。4.3.4.2.3 驗證糾正和預防措施的有效性申請組織應該對糾正措施的實施效果進行驗證。4.3.5 客戶服務申請組織應該對預防措施的實施效果進行驗證。4.3.5.1提供咨詢服務申請組織應就信息安全工程服務的有關(guān)事項回答客戶的疑問，有義務向客戶解釋信息安全工程服務的內(nèi)涵和意義。4.3.5.2 用戶意見的收集申請組織應規(guī)定多種渠道和方法，盡可能創(chuàng)造和客戶溝通的機會，收集客戶的信息反饋，不斷調(diào)整和改進自己的工作。4.3.6 技術(shù)能力更新4.3.6.1 建立技術(shù)更新的方法和途徑申請組織應有技術(shù)更新的意識，應有技術(shù)更新的方法和途徑，以證明組織有能力進行技術(shù)更新活動。4.3.6.2 新技術(shù)的信息收集申請組織應有能力識別新技術(shù)，并有規(guī)定的渠道搜集新技術(shù)的信息。4.3.6.3 新技術(shù)的應用申請組織應在新技術(shù)的獲取上進行資源投入，為新技術(shù)的應用創(chuàng)造充分和適宜的環(huán)境，并應用新技術(shù)，以便保持技術(shù)更新能力。4.3.6.4 制定培訓計劃申請組織應重視培訓活動，并將員工在職培訓作為技術(shù)更新的重要手段。應有技術(shù)的前瞻性和先見性，應規(guī)劃組織的技術(shù)培訓活動并制定詳細的技術(shù)培訓計劃。4.3.6.5 維護培訓材料申請組織應對培訓的教材進行更新和維護，以此作為技術(shù)更新的證據(jù)。4.3.6.6 驗證技術(shù)更新的效果申請組織應對各種技術(shù)更新措施的實施效果進行評價和驗證，以便從中發(fā)現(xiàn)不斷改進的機會。4.4 安全工程過程能力4.4.1 風險過程4.4.1.1 評估系統(tǒng)面臨的安全威脅4.4.1.1.1 安全威脅評估的規(guī)范申請組織應有信息安全威脅分析的規(guī)范，規(guī)定安全威脅分析的依據(jù)、步驟和方法。4.4.1.1.2 確定系統(tǒng)面臨的安全威脅申請組織應能通過一定的方法、手段確定系統(tǒng)面臨的所有自然威脅和人為威脅。4.4.1.1.3 分析系統(tǒng)面臨的安全威脅申請組織應能依據(jù)一定的測量、分析方法，分析系統(tǒng)面臨的安全威脅，并能明確描述。4.4.1.1.4 監(jiān)視安全威脅的變化申請組織應監(jiān)視安全威脅的變化情況，當安全威脅變化時能有效處理。4.4.1.2 評估系統(tǒng)的脆弱性4.4.1.2.1 安全脆弱性評估的規(guī)范申請組織應有信息安全脆弱性分析的規(guī)范，規(guī)定安全脆弱性分析的依據(jù)、步驟和方法。4.4.1.2.2 分析安全機制方面的脆弱性申請組織應能通過一定的方法、手段確定安全機制方面的脆弱性，并進行分析。4.4.1.2.3 分析技術(shù)性的安全脆弱性申請組織應能通過工具和人工分析，得出系統(tǒng)的技術(shù)性安全脆弱性。4.4.1.2.4 綜合分析安全脆弱性申請組織應能綜合分析技術(shù)性和非技術(shù)性的安全脆弱性，以及特定脆弱性的組合，并產(chǎn)生分析結(jié)果。4.4.1.2.5 監(jiān)視安全脆弱性的變化申請組織應監(jiān)視安全脆弱性的變化，當安全脆弱性變化時，應能有效處理。4.4.1.3 評估安全對系統(tǒng)的影響4.4.1.3.1 評估安全對系統(tǒng)影響的規(guī)范申請組織應有評估安全對系統(tǒng)影響的規(guī)范，規(guī)定資產(chǎn)分類和重要性劃分的原則和依據(jù)，分析和描述影響的后果和可能性的方式、方法。4.4.1.3.2 確定關(guān)鍵資產(chǎn)申請組織應能識別、分析、確定關(guān)鍵資產(chǎn)。4.4.1.3.3 分析影響申請組織應能用有效的度量和權(quán)重分析影響，能對它作明確的描述，并依據(jù)一定的原則進行優(yōu)先級排列。4.4.1.3.4 監(jiān)視影響的變化申請組織應監(jiān)視影響的變化，當影響發(fā)生變化時，應能有效處理。4.4.1.4 評估系統(tǒng)的安全風險4.4.1.4.1 安全風險評估的規(guī)范申請組織應該建立安全評估的規(guī)范，規(guī)范包括應有明確的風險分析方法指導實施，規(guī)定安全風險評估的流程、步驟及各步驟的方法等。4.4.1.4.2 對暴露的識別和分析申請組織應能識別威脅、脆弱性和影響組合產(chǎn)生的暴露，分析暴露發(fā)生的可能性。（“暴露”指可能對系統(tǒng)造成重大傷害的威脅、脆弱性和影響的組合。）4.4.1.4.3 安全風險評估申請組織應根據(jù)暴露分析情況，依據(jù)一定的評估方法確定系統(tǒng)在特定環(huán)境下的安全風險，并根據(jù)安全風險分析的理論對既定的安全風險進行優(yōu)先級排列。另外，還應進行安全風險不確定的分析，通過建立安全保證證據(jù)來降低風險的不確定性。4.4.1.4.4 制定安全保護措施和風險降低的指導申請組織應根據(jù)風險評估的結(jié)果制定安全保護措施和風險降低的指導。4.4.1.4.5 監(jiān)視風險及特征變化申請組織應監(jiān)視風險的變化，當風險發(fā)生變化時，應能有效處理。4.4.2 工程過程4.4.2.1 確定安全需求4.4.2.1.1 安全需求確定的規(guī)范申請組織應制定確定安全需求的規(guī)范。4.4.2.1.2 獲取客戶對安全需求的理解申請組織應該通過特定的方式收集所有用于全面理解顧客安全需求所需的信息，并經(jīng)過加工整理，得到客戶所需安全的描述。4.4.2.1.3 識別可用的法律、策略和約束申請組織應考慮到適用于系統(tǒng)目標的法律、法規(guī)、標準、外部的影響和約束。4.4.2.1.4 定義安全需求申請組織應根據(jù)可適用的法律、法規(guī)、標準、客戶安全需求以及系統(tǒng)的約束條件定義出系統(tǒng)的安全需求，包括那些通過非技術(shù)手段提供的需求。4.4.2.1.5 達成安全共識申請組織應與各個相關(guān)方面溝通，并針對存在的問題對安全需求進行修改，直到達成一個完整的、一致的滿足策略、法律和用戶需求的安全需求。4.4.2.2 安全設計4.4.2.2.1 安全設計的規(guī)范申請組織要制定安全設計的規(guī)范，明確安全設計的流程，方法等。4.4.2.2.2 高層設計申請組織應考慮系統(tǒng)的體系結(jié)構(gòu)、設計和實現(xiàn)的需求，制定相應的設計原則和建議、安全體系結(jié)構(gòu)建議、保護的原則，得到安全模型、安全體系結(jié)構(gòu)，進行信任分析。4.4.2.2.3 安全機制分配申請組織應確定所有的安全機制都能對應到高層安全設計，并且所有的高層安全設計都有具體的安全機制來保證。4.4.2.2.4 確定安全產(chǎn)品申請組織應根據(jù)系統(tǒng)的需求，按照一定的依據(jù)給出候選產(chǎn)品列表。根據(jù)系統(tǒng)的需求，確定需要定制的安全產(chǎn)品列表和他們的技術(shù)指標和功能要求。4.4.2.2.5 接口限定申請組織應設計出安全系統(tǒng)與其它系統(tǒng)之間的接口并進行優(yōu)化。4.4.2.2.6 提供安全工程指南4.4.2.3 工程實施4.4.2.3.1 工程實施的規(guī)范申請組織應提供安全工程指南。申請組織應制定指導安全工程實施的規(guī)范。4.4.2.3.2 工程的實施申請組織應制定實施建議（包括指導系統(tǒng)實現(xiàn)的規(guī)則或約束），申請組織應根據(jù)實施建議和系統(tǒng)的詳細安全設計文檔制定工程實施計劃，并按照預定的經(jīng)用戶和有關(guān)方同意后的計劃進行工程實施，給出實施情況描述文檔。4.4.2.3.3 系統(tǒng)的試運行申請組織應對系統(tǒng)進行試運行，檢查系統(tǒng)的穩(wěn)定性和可靠性，并對試運行過程中出現(xiàn)的問題進行整改，給出工程整改報告和試運行情況報告。4.4.2.3.4 工程的驗收申請組織應與客戶和相關(guān)參與者一道按照合同的要求對實施好的工程進行驗收，給出工程驗收報告。4.4.2.3.5 工程的交付申請組織應給用戶提交相應文檔以確保用戶擁有系統(tǒng)安全運行所需的相關(guān)知識。這些文檔包括管理員手冊、用戶手冊、安全輪廓、系統(tǒng)配置指令和系統(tǒng)安全服務條款等。4.4.2.4 安全管理控制4.4.2.4.1 安全管理控制的規(guī)范申請組織應制定安全管理控制的規(guī)范。4.4.2.4.2 建立安全職責申請組織應為系統(tǒng)的安全運行制定出相應的安全職責。4.4.2.4.3 管理安全配置申請組織應對與系統(tǒng)相關(guān)的各個組件的安全配置進行管理，以達到整體的安全。4.4.2.4.4 安全意識和培訓申請組織應實施對系統(tǒng)使用者和管理員安全意識的教育和培訓。4.4.2.5 監(jiān)視安全狀況4.4.2.5.1 監(jiān)視安全狀況的規(guī)范申請組織應制定監(jiān)視安全狀態(tài)的規(guī)范。4.4.2.5.2 監(jiān)視變化申請組織應監(jiān)視威脅、脆弱性、影響、風險和環(huán)境方面的變化，及時寫出變化報告，并對變化的影響進行定期評估。4.4.2.5.3 檢查安全狀況申請組織應分析安全相關(guān)性信息的歷史和事件記錄，并標明他們的來源，然后對其進行分析和歸納，得出事件記錄的分析描述。按照一定的策略檢測安全防護措施的執(zhí)行情況，以便得出安全防護措施執(zhí)行中的變化。申請組織應對威脅環(huán)境、運行要求和系統(tǒng)配置的變化進行綜合考慮，得出檢查報告。4.4.2.5.4 安全突發(fā)事件響應申請組織應利用歷史事件的數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)和其它系統(tǒng)信息以及完整性工具診斷出安全突發(fā)事件，制定突發(fā)事件的響應計劃，并報告安全突發(fā)事件。4.4.2.5.5 保護安全監(jiān)視的記錄數(shù)據(jù)申請組織應通過對歸檔日志的定期檢查和對歸檔日志使用進行記錄來確保安全監(jiān)視記錄數(shù)據(jù)的安全性。4.4.2.6 安全協(xié)調(diào)4.4.2.6.1 安全協(xié)調(diào)的規(guī)范申請組織應制定安全協(xié)調(diào)的規(guī)范。4.4.2.6.2 定義協(xié)調(diào)目標申請組織應通過制定信息共享協(xié)議、工作組的成員關(guān)系和日程表、工作組之間及用戶之間溝通安全相關(guān)信息的過程和程序來建立組織內(nèi)部或與其他組織之間的聯(lián)系和義務關(guān)系。4.4.2.6.3 確定協(xié)調(diào)機制申請組織應通過制定溝通計劃，列出通信基礎(chǔ)設施的要求，共享會議報告、報文、備忘錄的模板的方式來進行協(xié)調(diào)。4.4.2.6.4 協(xié)調(diào)的促進申請組織應有處理沖突的程序，協(xié)調(diào)會議的議程安排等具體的文檔來提高協(xié)調(diào)的質(zhì)量。申請組織應按照協(xié)調(diào)安全的規(guī)范得出的有關(guān)安全的決定和建議。4.4.3 保證過程4.4.3.1 檢驗并證實安全性4.4.3.1.1 檢驗和證實安全性的規(guī)范申請組織應建立檢驗和證實系統(tǒng)安全性的規(guī)范。4.4.3.1.2 執(zhí)行安全性檢驗和證實申請組織應檢查所做的安全工程實施情況，工程實施應滿足安全需求/安全目標。申請組織應對檢驗的結(jié)果進行證實，確保達到安全需求/安全目標的要求。4.4.3.1.3 收集檢驗和證實的記錄作為證據(jù)申請組織應為其他工程組收集檢驗和證實的結(jié)果。4.4.3.2 建立安全保證論據(jù)4.4.3.2.1 建立安全保證論據(jù)的規(guī)范申請組織應有建立安全保證論據(jù)的規(guī)范。4.4.3.2.2 確定安全保證目標申請組織應同用戶方、服務方、進行安全保證認定/認證方確定安全保證目標。申請組織應定義安全保證策略來描述如何滿足用戶安全保證目標的計劃，確定相關(guān)責任方。4.4.3.2.3 收集和分析安全保證的證據(jù)申請組織應按照安全保證策略收集并分析安全保證證據(jù)以及支持安全保證所需的附加證據(jù)。4.4.3.2.4 提供安全保證論據(jù)申請組織應分析所有安全保證證據(jù)，提供論據(jù)說明用戶的安全需求已得到滿足。5 引用標準與參考文獻5.1 計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999，國家質(zhì)量技術(shù)監(jiān)督局）；5.2 系統(tǒng)安全工程能力成熟模型（SSE-CMM，V2.0）5.3 系統(tǒng)安全工程能力成熟模型評定方法（SSAM，V2.0）；5.4 信息系統(tǒng)安全工程手冊5.5 軟件工程能力成熟模型（SW-CMM，V1.1）6 附錄系統(tǒng)安全工程主要術(shù)語6.1 組織組織定義為：公司內(nèi)部的單位、整個公司或其它實體(如政府機構(gòu)或服務分支機構(gòu))。組織中通常存在許多項目，并作為一個整體加以管理。組織內(nèi)的所有項目一般遵循上層管理的公共策略。一個組織機構(gòu)可能由同一地方分布的或地理上分布的項目與基礎(chǔ)支持設施所組成。術(shù)語“組織”的使用意味著一個支持共同戰(zhàn)略、商務和過程相關(guān)功能的基礎(chǔ)設施。為了服務提供的有效性，必須存在一個基礎(chǔ)設施并對其加以維護。6.2 項目項目是各種實施活動和資源的總和，這些實施活動和資源用于開發(fā)或維護一個特定的產(chǎn)品或提供一種服務。產(chǎn)品可能包括硬件、軟件及其它部件。一個項目往往有自己的資金，成本帳目和交付時