RB_T 201-2013信息系统安全集成服务资质认证评价要求.pdf

ICS 01.040.35F 10/19RB备案号：43669中华人民共和国认证认可行业标准RB/T 201—2013信息系统安全集成服务资质认证评价要求Evaluation requirements for service capability certification-ofinformation-system security integration2013-12-02 发布2014-06-15实施中国国家认证认可监督管理委员会发布 RB/T 201—2013目次前言1范围2规范性引用文件3 术语、定义和缩略语·3.1 术语和定义3.2缩略语 基本要求4 4.1基本条件4.2基本管理能力4.3基本技术能力5　服务过程要求5.1安全集成服务过程概述5.2集成准备5.3方案设计5.4建设实施5.5安全保障6各级评价要求6.1概述6.2三级要求6.3二级要求6.4一级要求107评价要求。11附录A（资料性附录）信息系统安全集成服务资质认证要求简表12参考文献14 RB/T 201—2013言前本标准按照GB/T1.1-2009给出的规则起草本标准由国家认证认可监督管理委员会提出并归口。本标准起草单位：中国信息安全认证中心、国家质量监督检验检疫总局标准法规中心、华为技术有限公司。本标准主要起草人：翟亚红、曹雅斌、陈晓桦、张斌、张志军、宋志刚、李强、路明、李宗洋。 RB/T 201--2013信息系统安全集成服务资质认证评价要求1范围本标准规定了信息系统安全集成（以下简称“安全集成”)服务提供者应具备的基本要求、服务过程要求以及各个级别的具体要求。本标准适用于评价机构对服务提供者的服务能力进行评价，也适用于信息系统所有者选择服务提供者，有关管理部门对服务提供者进行管理，以及服务提供者自我能力改进等。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件,其必威体育精装版版本(包括所有的修改单)适用于本文件。GB/T5271.8—2001　信息技术词汇　第8部分：安全GB/T20261—2006信息技术系统安全工程能力成熟度模型3术语、定义和缩略语GB/T5271.8--2001《信息技术词汇第8部分：安全》、GB/T20261--2006《信息技术系统安全工程能力成熟度模型》界定的以及下列术语、定义和缩略语均适用于本文件。3.1术语和定义安全集成security integration按照信息系统建设的安全需求，采用信息系统安全工程的方法和理论，将安全单元、产品部件进行集成的过程。安全集成包括在新建信息系统的结构化设计中考虑信息安全保障因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。安全集成服务通常包括计算机应用系统工程和网络系统工程的安全需求确定、方案设计、建设实施、安全保障等活动。3.2缩略语CISAW 信息安全保障从业人员认证(certified information security assurance worker)CISSP 注册信息系统安全专家(certified information system security professional)CISA注册信息安全审核员(certified information security auditor)PMP项目管理专业人员资格认证(project management professional)4　基本要求4.1基本条件服务提供者应：a）具有中华人民共和国境内的独立法人资格和相关部门颁发的合法经营资格，具备独立承担民1 RB/T 201—2013事责任的能力；b）具有良好的商业信誉和健全的财务会计制度；近两年内经济状况良好，财务数据真实可信，并应经国家相关部门认定的会计师事务所核实；c）具具有固定的工作场所及提供服务所必需的设备和专业技术能力；d）遵守国家现行法律、法规的规定。4.22基本管理能力服务提供者应：a）采取技术和管理措施确保客户信息的安全、可控，这些信息包括但不限于客户资料、集成活动中产生的文档、最终安全集成报告等；b）制定必威体育官网网址管理制度，明确必威体育官网网址岗位与职责，定期对服务人员进行必威体育官网网址教育与培训，并签订《必威体育官网网址责任书》，规定应当履行的安全必威体育官网网址义务和承担的法律责任，并负责落实；c）建立人员管理制度，使每一位服务人员持续满足岗位职责的需求；制定安全集成技能培训计划,定期对服务人员进行培训、指导、考核；d）建立项目管理制度,并按照项目管理制度实施，包括建立与组织内外的交流机制、规划关键技术活动、分配资源与责任、设立里程碑及评审要求、明确监督检查要求、编制过程文档、提供工具、开展培训、策