信息安全離我們遠(yuǎn)嗎？

前言

我做為一個(gè)IT技術(shù)人員已經(jīng)很多年了，剛開(kāi)始時(shí)對(duì)什么信息安全和數(shù)據(jù)安全沒(méi)啥概念，只知道數(shù)據(jù)丟失就去找唄，找不回來(lái)就算了。系統(tǒng)中毒了，那就殺唄，殺不掉就算了。沒(méi)有從源頭上去杜絕出現(xiàn)這些情況的發(fā)生，后來(lái)有了一些安全設(shè)備，于是我們就是簡(jiǎn)單加上防火墻、IDS、IPS、WAF等，以期待能杜絕此類事情的發(fā)生?？墒掠谠高`，還是會(huì)頻繁的發(fā)生此類情況的發(fā)生，為什么呢？關(guān)鍵就是沒(méi)有一套信息安全防范體系和制度。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、微信小程序定制開(kāi)發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了福綿免費(fèi)建站歡迎大家使用！

國(guó)家還專門(mén)為信息安全成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組由習(xí)大大領(lǐng)導(dǎo)，可見(jiàn)因?yàn)楝F(xiàn)在大數(shù)據(jù)時(shí)代對(duì)網(wǎng)絡(luò)信息安全上重視程度，后來(lái)此小組改為中國(guó)中央網(wǎng)絡(luò)安全和信息化委員會(huì)。

那么我們?cè)撛鯓咏⒆约旱男畔踩w系呢？這里我從一家信息系統(tǒng)集成公司的角度來(lái)講解，首先我們了解國(guó)家信息安全體系認(rèn)證機(jī)構(gòu)是什么，這樣企業(yè)才能得到正規(guī)的安全認(rèn)證。

中國(guó)信息安全認(rèn)證中心是經(jīng)中央編制委員會(huì)批準(zhǔn)成立，由信息化工作辦公室、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)等八部委授權(quán)，依據(jù)國(guó)家有關(guān)強(qiáng)制性產(chǎn)品認(rèn)證、信息安全管理的法律法規(guī)，負(fù)責(zé)實(shí)施信息安全認(rèn)證的專門(mén)機(jī)構(gòu)。中國(guó)信息安全認(rèn)證中心為國(guó)家質(zhì)檢總局直屬事業(yè)單位。中心簡(jiǎn)稱為信息認(rèn)證中心；英文全稱：China Information Security Certification Center;英文縮寫(xiě)：ISCCC。

在中心它可以對(duì)產(chǎn)品、體系、服務(wù)、人員進(jìn)行不同的認(rèn)證，以得到我們各自所需的認(rèn)證結(jié)果。這里我只介紹信息安全管理、信息技術(shù)－服務(wù)管理體系，信息安全服務(wù)資質(zhì)認(rèn)證（信息系統(tǒng)安全集成服務(wù)、安全運(yùn)維服務(wù)資質(zhì)、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全應(yīng)急處理服務(wù)），信息安全人員認(rèn)證。

我們做為一個(gè)信息系統(tǒng)集成企業(yè)要做哪些認(rèn)證好呢？我覺(jué)得應(yīng)該做好下面的認(rèn)證（標(biāo)黑部分），信息安全認(rèn)證架構(gòu)圖：

一、信息安全管理體系

（InformationSecurityManagementSystems,ISMS）是組織整體管理體系的一個(gè)部分，是基于風(fēng)險(xiǎn)評(píng)估建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和持續(xù)改進(jìn)信息安全等一系列的管理活動(dòng)，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法的體系。

GB/T22080/ISO/IEC27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)，它要求組織通過(guò)一系列的過(guò)程，如確定信息安全管理體系范圍，制定信息安全方針和策略，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)和控制措施等，是組織達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的，以預(yù)防為主的信息安全管理方式。

                                                        （證書(shū)模板）

二、信息技術(shù)—服務(wù)管理體系

（InformationTechnologyServiceManagementSystems,ITSMS）的目標(biāo)是以合適的成本提供滿足客戶質(zhì)量要求的IT服務(wù)，從流程、人員和技術(shù)三方面提升IT的效率和效用，強(qiáng)調(diào)將企業(yè)的運(yùn)營(yíng)目標(biāo)、業(yè)務(wù)需求與IT服務(wù)提供相協(xié)調(diào)一致。

　GB/T24405.1/ISO/IEC20000-1是建立和維護(hù)信息技術(shù)服務(wù)管理體系的標(biāo)準(zhǔn)，規(guī)定了IT組織在向其內(nèi)外部客戶提供IT服務(wù)和支持過(guò)程中所需完成的工作。通過(guò)這些規(guī)定，信息技術(shù)服務(wù)管理體系展示了一套完整的IT服務(wù)管理流程，旨在幫助IT組織識(shí)別并管理IT服務(wù)的關(guān)鍵流程，保證向業(yè)務(wù)和客戶有效地提供高質(zhì)量的IT服務(wù)。

                                                    （證書(shū)模板）

信息技術(shù)運(yùn)維服務(wù)管理制度：

第一節(jié) 總則

1、為加強(qiáng)公司信息技術(shù)運(yùn)維服務(wù)的安全管理，保證公司信息系統(tǒng)運(yùn)行環(huán)境的穩(wěn)定，特制定本制度。

2、本制度所稱信息技術(shù)運(yùn)維服務(wù)，是指公司以簽訂合同的方式，到委托客戶單位承擔(dān)信息技術(shù)服務(wù)，主要包括信息技術(shù)咨詢服務(wù)、運(yùn)行維護(hù)服務(wù)、技術(shù)培訓(xùn)及其它相關(guān)信息化建設(shè)服務(wù)等。

3、安全管理是以安全為目的，進(jìn)行有關(guān)安全工作的方針，決策、計(jì)劃、組織、指揮、協(xié)調(diào)、控制等職能，合理有效地使用人力、財(cái)力、物力、時(shí)間和信息，為達(dá)到預(yù)定的安全防范而進(jìn)行的各種活動(dòng)的總和，稱為安全管理。

4、運(yùn)維服務(wù)安全管理遵循關(guān)于安全的所有商業(yè)準(zhǔn)則及適當(dāng)?shù)耐獠糠?、法?guī)。

第二節(jié) 運(yùn)維服務(wù)范圍

5、運(yùn)維服務(wù)包括信息技術(shù)咨詢服務(wù)、運(yùn)行維護(hù)服務(wù)、技術(shù)培訓(xùn)等。

6、咨詢服務(wù)：

6.1根據(jù)客戶的信息化建設(shè)總體部署，協(xié)助客戶制定切實(shí)可行的技術(shù)實(shí)施方案。

6.2對(duì)客戶現(xiàn)有的信息技術(shù)基礎(chǔ)架構(gòu)、設(shè)備運(yùn)行狀態(tài)和應(yīng)用情況進(jìn)行診斷和評(píng)估，提出合理化的解決方案。

6.3根據(jù)客戶的實(shí)際情況提出備份方案和應(yīng)急方案。

6.4其他信息技術(shù)咨詢服務(wù)。

7、運(yùn)行維護(hù)服務(wù)：

7.1軟硬件設(shè)備安裝、升級(jí)服務(wù)。

7.2硬件的設(shè)備維修和保養(yǎng)。

7.3根據(jù)客戶業(yè)務(wù)變化，提供應(yīng)用系統(tǒng)功能性的需求解決方案及執(zhí)行服務(wù)。

7.4系統(tǒng)定期巡檢和整體性能評(píng)估。

7.5日常業(yè)務(wù)數(shù)據(jù)問(wèn)題的處理服務(wù)。

7.6其他運(yùn)行維護(hù)服務(wù)。

8、技術(shù)培訓(xùn)：根據(jù)客戶的實(shí)際情況，提供相關(guān)的技術(shù)培訓(xùn)。

第三節(jié) 運(yùn)維服務(wù)安全管理

9、運(yùn)維服務(wù)安全管理應(yīng)按照“安全第一、預(yù)防為主”的原則，采取科學(xué)有效的安全管理措施，應(yīng)用確保信息安全的技術(shù)手段，建立權(quán)責(zé)明確、覆蓋信息化全過(guò)程的崗位責(zé)任制，對(duì)信息化全過(guò)程實(shí)行嚴(yán)格監(jiān)督和管理，確保信息安全。

10、成立由分管領(lǐng)導(dǎo)同志信息化外包管理組織，明確信息化管理的部門(mén)、人員及職責(zé)。

11、建立信息建設(shè)安全保密制度，與客戶方簽訂安全保密協(xié)議或合同，明確符合安全管理及其它相關(guān)制度的要求。并對(duì)服務(wù)人員進(jìn)行安全保密教育。

12、制定信息化加工過(guò)程管理、信息化成果驗(yàn)收與交接、存儲(chǔ)介質(zhì)管理等操作規(guī)程或規(guī)章制度。

13、運(yùn)維服務(wù)方的人員素質(zhì)、技術(shù)與管理水平能夠滿足擬承擔(dān)項(xiàng)目的要求，進(jìn)行相應(yīng)的安全資質(zhì)管理。

14、運(yùn)維服務(wù)方配備專人負(fù)責(zé)安全保密工作，負(fù)責(zé)日常信息安全監(jiān)督、檢查、指導(dǎo)工作。對(duì)服務(wù)方提供的服務(wù)進(jìn)行安全性監(jiān)督與評(píng)估，采取安全措施對(duì)訪問(wèn)實(shí)施控制，出現(xiàn)問(wèn)題應(yīng)遵照合同規(guī)定及時(shí)處理和報(bào)告，確保其提供的服務(wù)符合客戶內(nèi)部控制要求。

15、對(duì)運(yùn)維服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行的安全狀況應(yīng)定期進(jìn)行評(píng)估，當(dāng)出現(xiàn)重大安全問(wèn)題或隱患時(shí)應(yīng)進(jìn)行重新評(píng)估，提出改進(jìn)意見(jiàn)，直至停止運(yùn)維服務(wù)。

16、使用運(yùn)維服務(wù)方設(shè)備的，對(duì)其進(jìn)行必要的安全檢查。

17、在重要安全區(qū)域，對(duì)外部人員的每次訪問(wèn)進(jìn)行風(fēng)險(xiǎn)控制；必要時(shí)應(yīng)外部人員的訪問(wèn)進(jìn)行限制。

第四節(jié) 附則

18、本制度由我公司負(fù)責(zé)解釋

19、本制度自發(fā)布之日起生效執(zhí)行。

三、信息安全服務(wù)資質(zhì)認(rèn)證簡(jiǎn)介

隨著我國(guó)信息化和信息安全保障工作的不斷深入推進(jìn)，以應(yīng)急處理、風(fēng)險(xiǎn)評(píng)估、災(zāi)難恢復(fù)、系統(tǒng)測(cè)評(píng)、安全運(yùn)維、安全審計(jì)、安全培訓(xùn)和安全咨詢等為主要內(nèi)容的信息安全服務(wù)在信息安全保障中的作用日益突出。加強(qiáng)和規(guī)范信息安全服務(wù)資質(zhì)管理已成為信息安全管理的重要基礎(chǔ)性工作。

　我中心是經(jīng)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)批準(zhǔn)，可以從事信息安全服務(wù)資質(zhì)認(rèn)證的機(jī)構(gòu)（《認(rèn)證機(jī)構(gòu)批準(zhǔn)書(shū)》CNCA-R-2007-138），并獲得了中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)的認(rèn)可（證書(shū)編號(hào)：No. CNAS CO66-V）。服務(wù)資質(zhì)認(rèn)證工作是我中心的核心業(yè)務(wù)之一。

　按照分類分級(jí)的工作思路，目前我中心已經(jīng)開(kāi)展了信息安全應(yīng)急處理和風(fēng)險(xiǎn)評(píng)估兩類服務(wù)資質(zhì)工作。

對(duì)服務(wù)資質(zhì)認(rèn)證工作具體介紹如下：

　一、基本概念

　信息安全服務(wù)資質(zhì)是信息安全服務(wù)機(jī)構(gòu)提供安全服務(wù)的一種資格，包括法律地位、資源狀況、管理水平、 技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國(guó)家法律法規(guī)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則，對(duì)提供信息安全服務(wù)機(jī)構(gòu)的信息安全服務(wù)資質(zhì)進(jìn)行評(píng)價(jià)。

　應(yīng)急處理服務(wù)是對(duì)影響計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行為(事件)進(jìn)行標(biāo)識(shí)、記錄、分類和處理，直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過(guò)程。（用1799概述里面一段一句的內(nèi)容）

　風(fēng)險(xiǎn)評(píng)估服務(wù)是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，以求防范和化解信息安全風(fēng)險(xiǎn)，或?qū)L(fēng)險(xiǎn)控制在可接受的水平。

　通過(guò)對(duì)信息安全服務(wù)分類分級(jí)的資質(zhì)認(rèn)證，可以對(duì)信息安全服務(wù)提供商的基本資格、管理能力、技術(shù)能力和服務(wù)過(guò)程能力等方面進(jìn)行權(quán)威、客觀、公正的評(píng)價(jià)，證明其服務(wù)能力，滿足社會(huì)對(duì)服務(wù)的選擇需求。同時(shí)，認(rèn)證過(guò)程也將有效促進(jìn)服務(wù)提供方完善自身管理體系，提高服務(wù)質(zhì)量和水平，引導(dǎo)行業(yè)健康規(guī)范發(fā)展。

　二、關(guān)于認(rèn)證申請(qǐng)：

　認(rèn)證的基本環(huán)節(jié)：

　認(rèn)證申請(qǐng)與受理；

　文檔審核；

　現(xiàn)場(chǎng)審核；

　認(rèn)證決定；

　年度監(jiān)督審核。

　初次申請(qǐng)服務(wù)資質(zhì)認(rèn)證時(shí)，申請(qǐng)單位應(yīng)填寫(xiě)認(rèn)證申請(qǐng)書(shū)，并提交資格、能力方面的證明材料。申請(qǐng)材料通常包括：

　服務(wù)資質(zhì)認(rèn)證申請(qǐng)書(shū)；

　獨(dú)立法人資格證明材料；

　從事信息安全服務(wù)的相關(guān)資質(zhì)證明；

　工作保密制度及相應(yīng)組織監(jiān)管體系的證明材料；

　與信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)人員簽訂的保密協(xié)議復(fù)印件；

　人員構(gòu)成與素質(zhì)證明材料；

　公司組織結(jié)構(gòu)證明材料；

　具備固定辦公場(chǎng)所的證明材料；

　項(xiàng)目管理制度文檔；

　信息安全服務(wù)質(zhì)量管理文件；

　項(xiàng)目案例及業(yè)績(jī)證明材料；

　信息安全服務(wù)能力證明材料等。

　三、關(guān)于認(rèn)證依據(jù)：

　對(duì)特定類別的信息安全服務(wù)，有具體的評(píng)價(jià)標(biāo)準(zhǔn)。例如，信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證的依據(jù)是《網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評(píng)估方法》（YD/T 1799-2008），信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證的依據(jù)是《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 20984-2007）與《信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》(ISCCC-SV-002)。

　四、關(guān)于認(rèn)證流程：

　參見(jiàn)我中心網(wǎng)站上的《信息安全服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》(ISCCC-SV-001)及認(rèn)證流程圖。認(rèn)證周期一般是10周，包括自申請(qǐng)被正式受理之日起至頒發(fā)認(rèn)證證書(shū)時(shí)止所實(shí)際發(fā)生的時(shí)間，不包括由于申請(qǐng)單位準(zhǔn)備或補(bǔ)充材料的時(shí)間。

3.1信息系統(tǒng)安全集成服務(wù)

是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證的活動(dòng)。信息系統(tǒng)安全集成包括在新建信息系統(tǒng)的結(jié)構(gòu)化設(shè)計(jì)中考慮信息安全保證因素，從而使建設(shè)完成后的信息系統(tǒng)滿足建設(shè)方或使用方的安全需求而開(kāi)展的活動(dòng)。也包括在已有信息系統(tǒng)的基礎(chǔ)上額外增加信息安全子系統(tǒng)或信息安全設(shè)備等，通常被稱為安全優(yōu)化或安全加固。
　　信息系統(tǒng)安全集成服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度。資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別，其中一級(jí)最高，三級(jí)最低。安全集成服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現(xiàn)：基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力；服務(wù)人員的能力主要從掌握的知識(shí)、安全集成服務(wù)的經(jīng)驗(yàn)等綜合評(píng)定。

3.2 安全運(yùn)維服務(wù)資質(zhì)認(rèn)證

通過(guò)技術(shù)設(shè)施安全評(píng)估，技術(shù)設(shè)施安全加固，安全漏洞補(bǔ)丁通告、安全事件響應(yīng)以及信息安全運(yùn)維咨詢，協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的安全運(yùn)維工作，以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時(shí)加以響應(yīng)。

　安全運(yùn)維資質(zhì)認(rèn)證是對(duì)安全運(yùn)維服務(wù)方的基本資格、管理能力、技術(shù)能力和安全運(yùn)維過(guò)程能力等方面進(jìn)行評(píng)價(jià)。安全運(yùn)維服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供方的安全運(yùn)維服務(wù)資格和能力的尺度。

資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別，其中一級(jí)最高，三級(jí)最低。

3.3 信息安全風(fēng)險(xiǎn)評(píng)估

是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程。服務(wù)提供者通過(guò)對(duì)信息系統(tǒng)提供風(fēng)險(xiǎn)評(píng)估服務(wù)，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全整改措施，防范和消除信息安全風(fēng)險(xiǎn)，或?qū)L(fēng)險(xiǎn)控制在可接受的水平，為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)。

　信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度。風(fēng)險(xiǎn)評(píng)估服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現(xiàn)：基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力；服務(wù)人員的能力主要從掌握的知識(shí)、風(fēng)險(xiǎn)評(píng)估服務(wù)的經(jīng)驗(yàn)等綜合評(píng)定。對(duì)服務(wù)提供方的背景審查主要指客戶投訴、違法違紀(jì)行為等；服務(wù)人員的背景審查主要指行業(yè)主管部門(mén)或使用單位對(duì)從事風(fēng)險(xiǎn)評(píng)估服務(wù)的人員進(jìn)行必要的審查。

　資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別，其中一級(jí)最高，三級(jí)最低。

3.4 信息安全應(yīng)急處理服務(wù)

是通過(guò)制定應(yīng)急計(jì)劃使得影響網(wǎng)絡(luò)與信息系統(tǒng)安全的安全事件能夠得到及時(shí)響應(yīng)，并在安全事件一旦發(fā)生后進(jìn)行標(biāo)識(shí)、記錄、分類和處理，直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過(guò)程。應(yīng)急處理服務(wù)是保障業(yè)務(wù)連續(xù)性的重要手段之一，它涵蓋了在安全事件發(fā)生后為了維持和恢復(fù)關(guān)鍵業(yè)務(wù)所進(jìn)行的系列活動(dòng)。

信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證是對(duì)應(yīng)急處理服務(wù)提供方的基本資格、管理能力、技術(shù)能力和應(yīng)急處理服務(wù)過(guò)程能力等方面進(jìn)行評(píng)價(jià)。信息安全應(yīng)急處理服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供方應(yīng)急處理服務(wù)資格和能力的尺度，應(yīng)急處理服務(wù)資質(zhì)分為三級(jí)，其中一級(jí)最高，三級(jí)最低。

四、信息安全人員認(rèn)證與培訓(xùn)簡(jiǎn)介

中國(guó)信息安全認(rèn)證中心（ISCCC）是國(guó)家批準(zhǔn)的信息安全專業(yè)認(rèn)證與培訓(xùn)機(jī)構(gòu)。ISCCC的服務(wù)宗旨是保障國(guó)家信息安全，促進(jìn)各類組織信息安全技術(shù)水平和管理水平的提高，提升信息安全的社會(huì)認(rèn)知度及從業(yè)人員的專業(yè)水平。目前開(kāi)展的人員認(rèn)證與培訓(xùn)業(yè)務(wù)包括：信息安全從業(yè)人員資格認(rèn)證、信息安全認(rèn)證從業(yè)人員培訓(xùn)和信息安全技術(shù)與意識(shí)培訓(xùn)。
　　ISCCC推出了“信息安全保障從業(yè)人員認(rèn)證（CISAW）”和 “信息安全保障預(yù)備從業(yè)人員認(rèn)證（CISAC）”，以期推動(dòng)我國(guó)信息安全保障的人才隊(duì)伍建設(shè)，提高從業(yè)人員的職業(yè)素養(yǎng)，加強(qiáng)后備人才培養(yǎng)。
　　ISCCC開(kāi)展了面向信息安全產(chǎn)品認(rèn)證工廠檢查員、信息安全服務(wù)資質(zhì)認(rèn)證評(píng)審員、信息安全管理體系(ISO/IEC27001)認(rèn)證審核員、IT 服務(wù)管理體系(ISO/IEC20000-1)認(rèn)證審核員、信息安全管理體系和IT服務(wù)管理咨詢師等信息安全認(rèn)證從業(yè)人員的培訓(xùn)工作，期望能夠進(jìn)一步提高信息安全認(rèn)證相關(guān)人員的執(zhí)業(yè)水平，從而保障信息安全認(rèn)證質(zhì)量。
　　ISCCC專門(mén)開(kāi)發(fā)了信息安全技術(shù)培訓(xùn)和信息安全意識(shí)教育的系列基礎(chǔ)課程，并以此為基礎(chǔ)，依據(jù)不同組織的實(shí)際需求，開(kāi)展量身定制的個(gè)性化培訓(xùn)服務(wù)，旨在提高各類組織的信息安全保障能力和全民信息安全意識(shí)。

人員的認(rèn)證分為9大類三級(jí)認(rèn)證，預(yù)備認(rèn)證、資格認(rèn)證、專業(yè)認(rèn)證。其中專業(yè)認(rèn)證又分為專業(yè)級(jí)和專業(yè)高級(jí)。如下圖：

其它就是關(guān)于國(guó)家對(duì)信息安全保護(hù)等級(jí)劃分和涉密分級(jí)保護(hù)的概念要做個(gè)初步的認(rèn)識(shí)。

五、信息系統(tǒng)的安全保護(hù)等級(jí)分

總共分為以下五級(jí)：

第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。

第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。

第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。

第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。

5.1 等級(jí)保護(hù)的實(shí)施與管理

我這里只摘錄其中主要條款：

第九條

信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》具體實(shí)施等級(jí)保護(hù)工作。

第十條

信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。有主管部門(mén)的，應(yīng)當(dāng)經(jīng)主管部門(mén)審核批準(zhǔn)。

跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門(mén)統(tǒng)一確定安全保護(hù)等級(jí)。

對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的，運(yùn)營(yíng)、使用單位或者主管部門(mén)應(yīng)當(dāng)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。

第十一條

信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開(kāi)展信息系統(tǒng)安全建設(shè)或者改建工作。

第十二條

在信息系統(tǒng)建設(shè)過(guò)程中，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù) 服務(wù)器技術(shù)要求》、《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671-2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。

第十六條

辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)，應(yīng)當(dāng)填寫(xiě)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料：

（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明；

（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；

（三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；

（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；

（五）測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告；

（六）信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見(jiàn)；

（七）主管部門(mén)審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)。

5.2 涉密信息系統(tǒng)的分級(jí)保護(hù)管理

我這里只摘錄其中主要條款：

第二十四條

涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求，按照國(guó)家保密工作部門(mén)有關(guān)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。

非涉密信息系統(tǒng)不得處理國(guó)家秘密信息等。

第二十五條

涉密信息系統(tǒng)按照所處理信息的最高密級(jí)，由低到高分為秘密、機(jī)密、絕密三個(gè)等級(jí)。

涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上，依據(jù)涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法和國(guó)家保密標(biāo)準(zhǔn)BMB17-2006《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》確定系統(tǒng)等級(jí)。對(duì)于包含多個(gè)安全域的涉密信息系統(tǒng)，各安全域可以分別確定保護(hù)等級(jí)。

保密工作部門(mén)和機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進(jìn)行系統(tǒng)定級(jí)。

第三十條

涉密信息系統(tǒng)建設(shè)使用單位在申請(qǐng)系統(tǒng)審批或者備案時(shí)，應(yīng)當(dāng)提交以下材料：

（一）系統(tǒng)設(shè)計(jì)、實(shí)施方案及審查論證意見(jiàn)；

（二）系統(tǒng)承建單位資質(zhì)證明材料；

（三）系統(tǒng)建設(shè)和工程監(jiān)理情況報(bào)告；

（四）系統(tǒng)安全保密檢測(cè)評(píng)估報(bào)告；

（五）系統(tǒng)安全保密組織機(jī)構(gòu)和管理制度情況；

（六）其他有關(guān)材料。

5.3 等級(jí)保護(hù)所對(duì)應(yīng)的輸出

整個(gè)等保跟市場(chǎng)需求之間的關(guān)系可以總結(jié)為：新要求——新產(chǎn)品——滿足等級(jí)保護(hù)測(cè)評(píng)分?jǐn)?shù)——備案成功。從下表中可以看到新增要求項(xiàng)集中在***防范、惡意代碼防范、集中管控、安全審計(jì)等方面。

安全威脅識(shí)別所采用的方法主要有：文檔查閱、問(wèn)卷調(diào)查、人工核查、工具檢測(cè)、***性測(cè)試等。

（1）安全技術(shù)威脅性核查

物理環(huán)境安全	（1）安全措施：機(jī)房選址、建筑物的物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)等。   （2）核查方法：現(xiàn)場(chǎng)查看、詢問(wèn)物理環(huán)境現(xiàn)狀，驗(yàn)證安全措施的有效性。
網(wǎng)絡(luò)安全	（1）安全措施：網(wǎng)絡(luò)拓?fù)鋱D，vlan劃分，網(wǎng)絡(luò)訪問(wèn)控制，網(wǎng)絡(luò)設(shè)備防護(hù)，安全審計(jì)，邊界完整性檢查，***防范，惡意代碼防范等。   （2）核查方法：查看網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)安全設(shè)備的安全策略、配置等相關(guān)文檔，詢問(wèn)相關(guān)人員，查看網(wǎng)絡(luò)設(shè)備的硬件配置情況，手工或自動(dòng)查看或檢測(cè)網(wǎng)絡(luò)設(shè)備的軟件安裝和配置情況，查看和驗(yàn)證身份鑒別、訪問(wèn)控制、安全審計(jì)等安全功能，檢查分析網(wǎng)絡(luò)和安全設(shè)備日志記錄，利用工具探測(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，掃描網(wǎng)絡(luò)安全設(shè)備存在的漏洞，探測(cè)網(wǎng)絡(luò)非法接入或外聯(lián)情況，測(cè)試網(wǎng)絡(luò)流量、網(wǎng)絡(luò)設(shè)備負(fù)荷承載能力以及網(wǎng)絡(luò)帶寬，手工或自動(dòng)查看和檢測(cè)安全措施的使用情況并驗(yàn)證其有效性等。
主機(jī)系統(tǒng)安全	（1）安全措施：身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、***防范、惡意代碼防范、資源控制等。      （2）核查方法：手工或自動(dòng)查看或檢測(cè)主機(jī)硬件設(shè)備的配置情況以及軟件系統(tǒng)的安裝配置情況，查看軟件系統(tǒng)的自啟動(dòng)和運(yùn)行情況，查看和驗(yàn)證身份鑒別、訪問(wèn)控制、安全審計(jì)等安全功能，查看并分析主機(jī)系統(tǒng)運(yùn)行產(chǎn)生的歷史數(shù)據(jù)（如鑒別信息、上網(wǎng)痕跡），檢查并分析軟件系統(tǒng)日志記錄，利用工具掃描主機(jī)系統(tǒng)存在的漏洞，測(cè)試主機(jī)系統(tǒng)的性能，手工或自動(dòng)查看或檢測(cè)安全措施的使用情況并驗(yàn)證其有效性等。
應(yīng)用系統(tǒng)安全	（1）安全措施：身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制等。      （2）核查方法：查閱應(yīng)用系統(tǒng)的需求、設(shè)計(jì)、測(cè)試、運(yùn)行報(bào)告等相關(guān)文檔，檢查應(yīng)用系統(tǒng)在架構(gòu)設(shè)計(jì)方面的安全性（包括應(yīng)用系統(tǒng)各功能模塊的容錯(cuò)保障、各功能模塊在交互過(guò)程中的安全機(jī)制、以及多個(gè)應(yīng)用系統(tǒng)之間數(shù)據(jù)交互接口的安全機(jī)制等），審查應(yīng)用系統(tǒng)源代碼，手工或自動(dòng)查看或檢測(cè)應(yīng)用系統(tǒng)的安裝配置情況，查看和驗(yàn)證身份鑒別、訪問(wèn)控制、安全審計(jì)等安全功能，查看并分析主機(jī)系統(tǒng)運(yùn)行產(chǎn)生的歷史數(shù)據(jù)（如用戶登錄、操作記錄），檢查并分析應(yīng)該系統(tǒng)日志記錄，利用掃描工具檢測(cè)應(yīng)用系統(tǒng)存在的漏洞，測(cè)試應(yīng)用系統(tǒng)的性能，手工或自動(dòng)查看或檢測(cè)安全措施的使用情況并驗(yàn)證其有效性等。
數(shù)據(jù)安全	（1）安全措施：數(shù)據(jù)完整性保護(hù)措施、數(shù)據(jù)保密性保護(hù)措施、備份和恢復(fù)等。     （2）核查方法：通信協(xié)議分析、數(shù)據(jù)破解、數(shù)據(jù)完整性校驗(yàn)等。

（2）安全管理威脅性核查

安全管理核查主要通過(guò)查閱文檔、抽樣調(diào)查和詢問(wèn)等方法，并核查信息安全規(guī)章制度的合理性、完整性、適用性等。

安全管理組織	核查方法：查看安全管理機(jī)構(gòu)設(shè)置、職能部門(mén)設(shè)置、崗位設(shè)置、人員配置等相關(guān)文件，以及安全管理組織相關(guān)活動(dòng)記錄等文件。
安全管理策略	核查方法：查看是否存在明確的安全管理策略文件，并就安全策略有關(guān)內(nèi)容詢問(wèn)相關(guān)人員，分析策略的有效性，識(shí)別安全管理策略存在的脆弱性。
安全管理制度	核查方法：審查相關(guān)制度文件完備情況，查看制度落實(shí)的記錄，就制度有關(guān)內(nèi)容詢問(wèn)相關(guān)人員，了解制度的執(zhí)行情況，綜合識(shí)別安全管理制度存在的脆弱性。
人員安全管理	核查方法：查閱相關(guān)制度文件以及相關(guān)記錄，或要求相關(guān)人員現(xiàn)場(chǎng)執(zhí)行某些任務(wù)，或以外來(lái)人員身份訪問(wèn)等方式進(jìn)行人員安全管理脆弱性的識(shí)別。
系統(tǒng)運(yùn)維管理	核查方法：審閱系統(tǒng)運(yùn)維的相關(guān)制度文件、操作手冊(cè)、運(yùn)維記錄等，現(xiàn)場(chǎng)查看運(yùn)維情況，訪談運(yùn)維人員，讓運(yùn)維人員演示相關(guān)操作等方式進(jìn)行系統(tǒng)運(yùn)維管理脆弱性的識(shí)別。

等保安全項(xiàng)目結(jié)束時(shí)召開(kāi)評(píng)審會(huì)，參與人員一般包括：被評(píng)估組織、評(píng)估機(jī)構(gòu)及專家等。等保安全項(xiàng)目驗(yàn)收文檔如下：

工作階段	輸出文檔	文檔內(nèi)容
準(zhǔn)備階段	《系統(tǒng)調(diào)研報(bào)告》	對(duì)被評(píng)估系統(tǒng)的調(diào)查了解情況，涉及網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)情況、業(yè)務(wù)應(yīng)用等內(nèi)容。
	《風(fēng)險(xiǎn)評(píng)估方案》	根據(jù)調(diào)研情況及評(píng)估目的，確定評(píng)估的目標(biāo)、范圍、對(duì)象、工作計(jì)劃、主要技術(shù)路線、應(yīng)急預(yù)案等。
識(shí)別階段	《資產(chǎn)價(jià)值分析報(bào)告》	資產(chǎn)調(diào)查情況，分析資產(chǎn)價(jià)值，以及重要資產(chǎn)說(shuō)明。
	《威脅分析報(bào)告》	威脅調(diào)查情況，明確存在的威脅及其發(fā)生的可能性，以及嚴(yán)重威脅說(shuō)明。
	《安全技術(shù)脆弱性分析報(bào)告》	物力、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等方面的脆弱性說(shuō)明。
	《安全管理脆弱性分析報(bào)告》	安全組織、安全策略、安全制度、人員安全、系統(tǒng)運(yùn)維等方面的脆弱性說(shuō)明。
	《已有安全措施分析報(bào)告》	分析組織或信息系統(tǒng)已部署安全措施的有效性，包括技術(shù)和管理兩方面的安全管控說(shuō)明
風(fēng)險(xiǎn)分析	《風(fēng)險(xiǎn)評(píng)估報(bào)告》	對(duì)資產(chǎn)、威脅、脆弱性等評(píng)估數(shù)據(jù)進(jìn)行關(guān)聯(lián)計(jì)算、分析評(píng)價(jià)等，應(yīng)說(shuō)明風(fēng)險(xiǎn)分析模型、分析計(jì)算方法。
風(fēng)險(xiǎn)處置	《安全整改建議》	對(duì)評(píng)估中發(fā)現(xiàn)的安全問(wèn)題給予有針對(duì)性的風(fēng)險(xiǎn)處置建議

    說(shuō)到這里就籠統(tǒng)的說(shuō)完了一個(gè)集成公司對(duì)于信息安全大概要了解的信息安全內(nèi)容和需要做的安全管理和辦法，當(dāng)然還有很多不完善的地方，但能做到或了解上面所說(shuō)的所有內(nèi)容也是很不容易的，萬(wàn)事都是從零開(kāi)始的。好吧，下次我打算有時(shí)間就做了安全***防御的文章，大家耐心等待吧。

 

新聞名稱：信息安全離我們遠(yuǎn)嗎？
本文URL：http://bm7419.com/article22/igedcc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站、網(wǎng)站策劃、標(biāo)簽優(yōu)化、網(wǎng)站建設(shè)、手機(jī)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)