信息安全安全服务资质认证要求

1、PAGE24备案号：信息安全服务资质认证要求ISCCC XXX XXX-2007信息安全服务资质认证要求Certification Requirements for Qualification of Information Security Service Provider (备案送审稿)-发布-实施中国信息安全认证中心 发布目录 TOC o 1-3 h z u HYPERLINK l _Toc1 前 言 PAGEREF _Toc1 h 3 HYPERLINK l _Toc2 1适用范围 PAGEREF _Toc2 h 4 HYPERLINK l _Toc3 2定义 PAGEREF _Toc3

2、 h 4 HYPERLINK l _Toc4 信息安全服务 PAGEREF _Toc4 h 4 HYPERLINK l _Toc5 信息安全服务提供者 PAGEREF _Toc5 h 4 HYPERLINK l _Toc6 信息安全服务资质等级 PAGEREF _Toc6 h 4 HYPERLINK l _Toc7 信息安全工程过程能力级别 PAGEREF _Toc7 h 4 HYPERLINK l _Toc8 3服务类型与资质评定原则 PAGEREF _Toc8 h 4 HYPERLINK l _Toc9 信息安全服务的类型 PAGEREF _Toc9 h 4 HYPERLINK l _To

3、c0 信息安全服务资质等级的评判原则 PAGEREF _Toc0 h 4 HYPERLINK l _Toc1 4认证具体要求 PAGEREF _Toc1 h 5 HYPERLINK l _Toc2 基本资格 PAGEREF _Toc2 h 5 HYPERLINK l _Toc3 独立法人 PAGEREF _Toc3 h 5 HYPERLINK l _Toc4 法律要求 PAGEREF _Toc4 h 6 HYPERLINK l _Toc5 基本能力 PAGEREF _Toc5 h 6 HYPERLINK l _Toc6 资产与规模 PAGEREF _Toc6 h 6 HYPERLINK l _

4、Toc7 人员素质与构成 PAGEREF _Toc7 h 6 HYPERLINK l _Toc8 设备、设施与环境 PAGEREF _Toc8 h 7 HYPERLINK l _Toc9 业绩 PAGEREF _Toc9 h 7 HYPERLINK l _Toc0 质量管理能力 PAGEREF _Toc0 h 7 HYPERLINK l _Toc1 体系和管理职责 PAGEREF _Toc1 h 7 HYPERLINK l _Toc2 资源管理 PAGEREF _Toc2 h 8 HYPERLINK l _Toc3 项目过程管理 PAGEREF _Toc3 h 10 HYPERLINK l _

5、Toc4 测量、分析和改进 PAGEREF _Toc4 h 12 HYPERLINK l _Toc5 客户服务 PAGEREF _Toc5 h 13 HYPERLINK l _Toc6 技术能力更新 PAGEREF _Toc6 h 14 HYPERLINK l _Toc7 安全工程过程能力 PAGEREF _Toc7 h 14 HYPERLINK l _Toc8 风险过程 PAGEREF _Toc8 h 14 HYPERLINK l _Toc9 工程过程 PAGEREF _Toc9 h 16 HYPERLINK l _Toc0 保证过程 PAGEREF _Toc0 h 19 HYPERLINK

6、 l _Toc1 5引用标准与参考文献 PAGEREF _Toc1 h 20 HYPERLINK l _Toc2 计算机信息系统安全保护等级划分准则 PAGEREF _Toc2 h 20 HYPERLINK l _Toc3 系统安全工程能力成熟模型 PAGEREF _Toc3 h 20 HYPERLINK l _Toc4 系统安全工程能力成熟模型评定方法 PAGEREF _Toc4 h 20 HYPERLINK l _Toc5 信息系统安全工程手册 PAGEREF _Toc5 h 20 HYPERLINK l _Toc6 软件工程能力成熟模型 PAGEREF _Toc6 h 20 HYPERL

7、INK l _Toc7 6附录系统安全工程主要术语 PAGEREF _Toc7 h 21 HYPERLINK l _Toc8 组织 PAGEREF _Toc8 h 21 HYPERLINK l _Toc9 项目 PAGEREF _Toc9 h 21 HYPERLINK l _Toc0 系统 PAGEREF _Toc0 h 21 HYPERLINK l _Toc1 安全工程 PAGEREF _Toc1 h 21 HYPERLINK l _Toc2 安全工程生命期 PAGEREF _Toc2 h 21 HYPERLINK l _Toc3 工作产品 PAGEREF _Toc3 h 22 HYPERL

8、INK l _Toc4 顾客 PAGEREF _Toc4 h 22 HYPERLINK l _Toc5 过程 PAGEREF _Toc5 h 22 HYPERLINK l _Toc6 过程能力 PAGEREF _Toc6 h 22 HYPERLINK l _Toc7 制度化 PAGEREF _Toc7 h 23 HYPERLINK l _Toc8 过程管理 PAGEREF _Toc8 h 23前 言本技术规范属于信息安全服务资质认证要求。本技术规范根据我国信息安全服务管理的现状，并参考了相关技术规范而制定。本技术规范由中国信息安全认证中心（ISCCC）提出并归口。本技术规范主要起草单位：中国信

9、息安全认证中心。适用范围本要求适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估；信息安全服务的需方对服务提供方的选择依据；作为国家主管部门对评估对象进行管理和检查的技术规范。另外，也可为信息安全服务提供组织改进自身能力提供指导。定义信息安全服务信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。信息安全服务提供者信息安全服务提供者是指信息安全工程方案设计组织、承建信息安全工程的组织以及提供有关信息安全培训的组织。信息安全服务资质等级信息安全服务资质等级是指一个组织提供信息安全服务的综合能力。包括技术能力、组织结构与管理、资源配置、安全工程过程能

10、力、业绩和质量保证等多个方面。信息安全工程过程能力级别信息安全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目时，执行组织已定义过程的能力成熟程度。服务类型与资质评定原则信息安全服务的类型信息安全服务的类型主要指一个组织按照合同或协议，为另一个组织所履行的安全服务的具体形式，目前我们只针对安全工程服务进行资质认证。安全工程类指为信息系统进行安全方案设计（开发）、实施（安全集成)、验证（测试）、培训、运行（监控）和维护；信息安全服务资质等级的评判原则信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定，是在其

11、基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上，针对不同的服务种类，采用一定的权值综合考虑后确定，并由国家认证机构授予相应的资质级别。信息安全服务的资质等级的划分遵循以下原则：综合考虑原则： 信息安全服务资质等级的划分必须对组织的综合能力进行考察，它主要与组织的资格状况、技术实力、信息安全工程过程能力等级以及其他要求有关。与现行国家有关主管部门颁布的法律、法规、规章、制度相一致的原则：安全策略要保持与现行的法律、法规、规章、制度相一致，不能相抵触。与我国已发布或即将发布的有关信息安全的标准相一致的原则：我国已发布许多与安全服务有关的标

12、准，本评估准则的资质等级划分必须与这些标准相一致。与组织的基本能力水平紧密结合的原则：一个组织的基本能力是评估其资质等级的基本要求，有些基本能力要求可能决定一个组织是否具备参与资质评定的资格。与信息安全服务工程过程能力等级紧密结合的原则：工程过程能力等级是反映组织实施工程的成熟程度，是评定资质的重要依据。可裁剪原则：安全服务有多种类型，对不同类型的安全服务可进行适当的裁剪。可操作性原则具有实际操作的可行性。认证具体要求对安全工程类的信息安全服务资质认证提出了具体的评估要求。该要求分四个部分：第一、二部分为管理要求；第三、四部分为资质能力要求。基本资格独立法人申请组织必须是一个独立的实体，具有独

13、立法人资格。法律要求申请组织必须遵守国家现行法律、法规的规定。在所有经营活动中没有触犯知识产权保护等有关法律的行为。基本能力 资产与规模 资产规模：申请组织的注册资本应在100 万元以上，资产总额在200 万元以上。财务状况：申请组织应具有近3 年良好的财务状况。安全工程服务利润：申请组织在最近一年安全工程服务方面的利润应在20 万以上或占利润总额的10%以上。 人员素质与构成 技术人员申请组织从事安全工程服务的专业技术人员应不少于15 人。 人员素质申请组织从事安全工程服务的专业技术人员大学本科以上学历所占比例不小于70%，硕士要求所占比例不小于10%。 组织负责人申请组织总经理或负责系统安

14、全集成工作的副总经理须具有5 年以上从事信息安全领域企业管理工作经历。 安全技术负责人申请组织的信息安全技术负责人须具有信息安全领域相关专业的中级以上职称(或硕士以上学历)且从事信息安全服务工作不少于4 年，或具有本科以上学历且从事信息安全服务工作不少于6年，承担的安全项目总额在150万以上。 财务负责人申请组织的财务负责人须是会计师以上职称。 人员背景审查申请组织的主要服务人员需要进行背景审查、备案、管理，包括主要技术负责人、项目经理等关键人员，其他服务人员需要备案管理。设备、设施与环境 工作环境申请组织应有固定的工作场所，工作环境符合信息安全场所环境要求。 测试模拟环境申请组织应有企业具有

15、与所承担项目相适应的测试环境和设备。 安全服务工具申请组织应有满足信息安全服务的技术开发、测试工具。 组织与技术队伍具有胜任信息安全服务的专职人员队伍和组织管理体系。业绩 从业经验申请组织应从事信息安全服务行业的时间在3年以上。 工程经验申请组织必须承接过的3个以上的工程，并实践过完整的信息安全工程过程。 工程水平在高级别的认证要求中，工程质量需要到客户现场进行真实性审查，与用户进行交流，是否真正达到他们的安全要求。工程规模申请组织近年完成的信息安全服务工程项目总值应在200 万元以上。工程状况申请组织所做安全工程项目应没有出现验收未通过的情况。质量管理能力体系和管理职责 质量管理体系.1 质

16、量管理体系的建立申请组织应依据合适的标准建立覆盖信息安全工程服务的质量管理体系，编制相应的体系文件。.2 组织和管理架构申请组织应建立合理的组织架构和管理架构来满足信息安全工程服务的实施和管理，应建立相对独立的信息安全工程服务技术部门，应建立有效的技术管理、质量管理和组织管理机制。.3 质量管理体系的实施申请组织应实施建立的质量管理体系。 管理承诺 质量方针申请组织应制定并确定质量方针。.2 职责和权限申请组织应配备充足的岗位人员并明确规定各岗位的职责和权限来满足质量管理体系的有效实施，岗位职责还应包含安全职责。申请组织应指定一名技术管理者来满足该组织的技术管理要求的实施，应指定一名质量管理者

17、（或管理者代表）来满足质量管理要求的实施。.3 内部沟通申请组织应建立适当的机制来满足对质量管理体系有效性的沟通。资源管理 文件控制.1 文件控制程序申请组织应制定有效合理的文件控制程序。.2 文件评审申请组织应在文件批准发布前对文件进行有效的评审，以保证文件是充分的和适宜的。.3 文件批准发布申请组织应对正式使用的文件进行批准和发布，以明确文件的有效性。.4 文件分发申请组织应建立有效的文件发放机制，并进行文件的有效发放，以保证文件相关方能及时得到文件的有效版本。.5文件有效性、唯一性标识申请组织应对文件进行有效性的唯一性标识，以防止无效文件的使用或对无效文件的误用。 保密与所有权保护控制.

18、1 保密与所有权保护程序申请组织应对文件进行有效性和唯一性标识，以防止无效文件的使用或对文件的误用。申请组织应建立保密和所有权保护程序，以保护客户的秘密和保护客户所有权。.2 保密协议申请组织应与员工签订保密协议，以明确员工在信息保护和所有权保护方面的责任和义务。申请组织也应与客户签订保密协议或明确本组织对客户的保密责任，以明确双方在保密和所有权保护方面的责任和义务。.3 客户信息保护申请组织应制定具体措施保护客户的秘密和所有权，并得以执行。 人员控制.1 人员管理程序申请组织应建立人员管理的程序，以使每个员工满足岗位职责的要求。.2 人员能力确认申请组织应在对每个员工的资格和能力进行确认，以

19、使所有员工满足其上岗要求。.3 人员培训申请组织应对员工实施培训，以使员工能获得满足岗位职责要求和信息安全工程服务要求的知识、技能。培训还应包括员工安全意识和安全职责的培训。.4 人员考评申请组织应对员工进行技术和能力的考核和评价，以确认每个员工获得了满足岗位要求、安全工程服务要求的知识和能力。 设备与工具控制.1 设备、设施管理程序申请组织应制定用于安全工程服务的设备和工具的管理程序，以满足信息安全工程服务对设备和工具的准确性、稳定性和安全性要求。.2 设备、工具的可用性确认申请组织应对设备、工具的性能进行确认，以保证设备、工具在使用时的准确性、稳定性和安全性。 采购控制.1 采购控制程序申

20、请组织应制定采购产品、工具、设备和服务的控制程序，以确保采购对象满足信息安全工程服务的要求。.2 确定采购需求申请组织应在采购前提供并确认采购的需求，包括功能、性能等技术要求。对服务采购需提出服务资格、能力、质量方面的要求。.3 选择合格的供应方申请组织应评价供应方的能力，以确认供应方是否有能力提供符合要求的产品、设备、工具或服务。申请组织应与合格供应方保持沟通，以确定其供应持续满足要求。.4 采购验收申请组织应对采购的产品、设备、工具或服务进行验收，以确定所采购的产品、设备、工具或服务满足了采购需求。项目过程管理 客户要求评审.1 评审客户要求的程序申请组织应制定评审客户要求的管理程序。.2

21、 客户要求评审申请组织应在信息安全工程服务项目正式启动前，全面了解客户的需求，并充分评审自身满足客户需求的能力，尽可能与客户就所有技术或资金、工期或进度等方面达成一致共识，以确定客户的要求是否能得到充分满足。 规划技术活动.1 规划技术活动规范申请组织应制定规划技术活动的规范，以便信息安全工程服务中技术规划活动各方面因素得到充分考虑。.2 识别关键资源申请组织应识别对项目技术上的成功起关键作用的资源，以便关键资源问题能得到解决。.3 预算项目费用申请组织应进行项目费用的预算，以便项目能得到充分资金支持。.4 确定工程技术过程申请组织应确定项目的工程技术过程，并确定整个生命期的技术活动。.5 设

22、立技术指标申请组织应设立项目的技术指标来满足客户要求。.6 制定项目工程计划申请组织应制定项目整个生命期的工程进度和技术开发管理计划。.7 评审并认可工程计划申请组织应组织工程相关方对工程计划进行评审，并获得工程相关方的认可。 项目风险管理.1 项目风险管理规范申请组织应制定项目风险管理的规范，以便于实施项目的风险管理。.2 评估项目风险申请组织应通过有效的识别、分析项目风险，并制定出相应的风险控制措施。.3 跟踪风险控制活动申请组织应实施制定的风险控制措施并及时跟踪风险降低措施的有效性，对发生的问题及时修正相应的风险控制措施。 配置管理.1 建立配置管理方法申请组织应充分理解配置管理在本组织

23、内部的意义，根据组织的规模、业务和特点选择配置管理的工具，建立配置管理的方法和流程。.2 管理配置单元申请组织能够明确信息安全工程服务的流程并能够合理地划分工作基线，识别配置单元。.3 维护配置单元申请组织应确定的产品基线和配置单元，建立信息知识仓库，实施配置管理，以便及时掌握业务开展的动态。.4 控制变化状态申请组织应实时关注项目的进展和业务的变更情况，及时对工作基线和配置单元做出必要的调整，以适应不断变化的工作需要。.5 重视沟通申请组织应及时将变化了的配置状态通过有效的渠道通知所有相关的人员，保证版本的正确使用和变更的有效性。测量、分析和改进 质量保证申请组织应及时将变化了的配置状态通过

24、有效的渠道通知到所有相关的人员， 保证版本的正确使用和变更的有效性。.1 质量保证的规范申请组织应该依据本组织的特点和信息安全工程服务的特点制定出一套适宜的质量保证规范，以确保组织的服务能力。.2 产品检验申请组织应根据产品的质量要求，制定出产品检验的标准和流程，并严格执行产品检验规定，保证工作产品能够满足预期的质量要求。.3 过程监督申请组织应能够识别信息安全工程服务的过程，并且能够制定出过程监督的方法和流程，确保信息安全工程过程的受控。.4 不合格处置及验证申请组织应该有办法对不合格进行识别处置，并明确处置的方式、方法、职责和流程，以最大限度地减小资源浪费、提高服务质量。申请组织应该对不合

25、格品的处置结果进行验证，以便对不合格进行有效控制。.5 追溯不合格品对于已经投入使用的不合格品，申请组织应该制定有效的措施实现对其的控制，避免因此而造成对工程服务质量的影响。.6 质量信息收集统计和分析申请组织应建立畅通的渠道搜集来自多方的信息反馈，有能力对质量信息和反馈及抱怨信息进行收集和整理，能够对信息作出正确的判断并采取适当的处置措施。申请组织应有方法对搜集到的数据进行统计和分析，有记录对结果提供证据，有条件发现质量改进的机会，有结论支持质量改进的建议，有行动发起质量改进活动。.7 质量记录申请组织应规定记录的范围，记录的要求和记录的管理，确保记录的客观真实性和可再现性。 纠正与预防措施

26、.1 制定文档化的程序申请组织应制定出纠正措施控制程序，制定出预防措施控制程序，明确职责和流程。.2 制定纠正和预防措施并实施申请组织应有能力分析出不合格产生的原因并采取有效的措施消除不合格产生的根源。申请组织应有能力发现潜在的不合格并采取有效的措施杜绝潜在不合格的实际发生。.3 验证纠正和预防措施的有效性申请组织应该对纠正措施的实施效果进行验证。客户服务申请组织应该对预防措施的实施效果进行验证。提供咨询服务申请组织应就信息安全工程服务的有关事项回答客户的疑问，有义务向客户解释信息安全工程服务的内涵和意义。 用户意见的收集申请组织应规定多种渠道和方法，尽可能创造和客户沟通的机会，收集客户的信息

27、反馈，不断调整和改进自己的工作。技术能力更新 建立技术更新的方法和途径申请组织应有技术更新的意识，应有技术更新的方法和途径，以证明组织有能力进行技术更新活动。 新技术的信息收集申请组织应有能力识别新技术，并有规定的渠道搜集新技术的信息。 新技术的应用申请组织应在新技术的获取上进行资源投入，为新技术的应用创造充分和适宜的环境，并应用新技术，以便保持技术更新能力。 制定培训计划申请组织应重视培训活动，并将员工在职培训作为技术更新的重要手段。应有技术的前瞻性和先见性，应规划组织的技术培训活动并制定详细的技术培训计划。 维护培训材料申请组织应对培训的教材进行更新和维护，以此作为技术更新的证据。 验证技

28、术更新的效果申请组织应对各种技术更新措施的实施效果进行评价和验证，以便从中发现不断改进的机会。安全工程过程能力风险过程 评估系统面临的安全威胁.1 安全威胁评估的规范申请组织应有信息安全威胁分析的规范，规定安全威胁分析的依据、步骤和方法。.2 确定系统面临的安全威胁申请组织应能通过一定的方法、手段确定系统面临的所有自然威胁和人为威胁。.3 分析系统面临的安全威胁申请组织应能依据一定的测量、分析方法，分析系统面临的安全威胁，并能明确描述。.4 监视安全威胁的变化申请组织应监视安全威胁的变化情况，当安全威胁变化时能有效处理。 评估系统的脆弱性.1 安全脆弱性评估的规范申请组织应有信息安全脆弱性分析

29、的规范，规定安全脆弱性分析的依据、步骤和方法。.2 分析安全机制方面的脆弱性申请组织应能通过一定的方法、手段确定安全机制方面的脆弱性，并进行分析。.3 分析技术性的安全脆弱性申请组织应能通过工具和人工分析，得出系统的技术性安全脆弱性。.4 综合分析安全脆弱性申请组织应能综合分析技术性和非技术性的安全脆弱性，以及特定脆弱性的组合，并产生分析结果。.5 监视安全脆弱性的变化申请组织应监视安全脆弱性的变化，当安全脆弱性变化时，应能有效处理。 评估安全对系统的影响.1 评估安全对系统影响的规范申请组织应有评估安全对系统影响的规范，规定资产分类和重要性划分的原则和依据，分析和描述影响的后果和可能性的方式

30、、方法。.2 确定关键资产申请组织应能识别、分析、确定关键资产。.3 分析影响申请组织应能用有效的度量和权重分析影响，能对它作明确的描述，并依据一定的原则进行优先级排列。.4 监视影响的变化申请组织应监视影响的变化，当影响发生变化时，应能有效处理。 评估系统的安全风险.1 安全风险评估的规范申请组织应该建立安全评估的规范，规范包括应有明确的风险分析方法指导实施，规定安全风险评估的流程、步骤及各步骤的方法等。.2 对暴露的识别和分析申请组织应能识别威胁、脆弱性和影响组合产生的暴露，分析暴露发生的可能性。（“暴露”指可能对系统造成重大伤害的威胁、脆弱性和影响的组合。）.3 安全风险评估申请组织应根

31、据暴露分析情况，依据一定的评估方法确定系统在特定环境下的安全风险，并根据安全风险分析的理论对既定的安全风险进行优先级排列。另外，还应进行安全风险不确定的分析，通过建立安全保证证据来降低风险的不确定性。.4 制定安全保护措施和风险降低的指导申请组织应根据风险评估的结果制定安全保护措施和风险降低的指导。.5 监视风险及特征变化申请组织应监视风险的变化，当风险发生变化时，应能有效处理。工程过程 确定安全需求.1 安全需求确定的规范申请组织应制定确定安全需求的规范。.2 获取客户对安全需求的理解申请组织应该通过特定的方式收集所有用于全面理解顾客安全需求所需的信息，并经过加工整理，得到客户所需安全的描述

32、。.3 识别可用的法律、策略和约束申请组织应考虑到适用于系统目标的法律、法规、标准、外部的影响和约束。.4 定义安全需求申请组织应根据可适用的法律、法规、标准、客户安全需求以及系统的约束条件定义出系统的安全需求，包括那些通过非技术手段提供的需求。.5 达成安全共识申请组织应与各个相关方面沟通，并针对存在的问题对安全需求进行修改，直到达成一个完整的、一致的满足策略、法律和用户需求的安全需求。 安全设计.1 安全设计的规范申请组织要制定安全设计的规范，明确安全设计的流程，方法等。.2 高层设计申请组织应考虑系统的体系结构、设计和实现的需求，制定相应的设计原则和建议、安全体系结构建议、保护的原则，得

33、到安全模型、安全体系结构，进行信任分析。.3 安全机制分配申请组织应确定所有的安全机制都能对应到高层安全设计，并且所有的高层安全设计都有具体的安全机制来保证。.4 确定安全产品申请组织应根据系统的需求，按照一定的依据给出候选产品列表。根据系统的需求，确定需要定制的安全产品列表和他们的技术指标和功能要求。.5 接口限定申请组织应设计出安全系统与其它系统之间的接口并进行优化。.6 提供安全工程指南 工程实施.1 工程实施的规范申请组织应提供安全工程指南。申请组织应制定指导安全工程实施的规范。.2 工程的实施申请组织应制定实施建议（包括指导系统实现的规则或约束），申请组织应根据实施建议和系统的详细安

34、全设计文档制定工程实施计划，并按照预定的经用户和有关方同意后的计划进行工程实施，给出实施情况描述文档。.3 系统的试运行申请组织应对系统进行试运行，检查系统的稳定性和可靠性，并对试运行过程中出现的问题进行整改，给出工程整改报告和试运行情况报告。.4 工程的验收申请组织应与客户和相关参与者一道按照合同的要求对实施好的工程进行验收，给出工程验收报告。.5 工程的交付申请组织应给用户提交相应文档以确保用户拥有系统安全运行所需的相关知识。这些文档包括管理员手册、用户手册、安全轮廓、系统配置指令和系统安全服务条款等。 安全管理控制.1 安全管理控制的规范申请组织应制定安全管理控制的规范。.2 建立安全职

35、责申请组织应为系统的安全运行制定出相应的安全职责。.3 管理安全配置申请组织应对与系统相关的各个组件的安全配置进行管理，以达到整体的安全。.4 安全意识和培训申请组织应实施对系统使用者和管理员安全意识的教育和培训。 监视安全状况.1 监视安全状况的规范申请组织应制定监视安全状态的规范。.2 监视变化申请组织应监视威胁、脆弱性、影响、风险和环境方面的变化，及时写出变化报告，并对变化的影响进行定期评估。.3 检查安全状况申请组织应分析安全相关性信息的历史和事件记录，并标明他们的来源，然后对其进行分析和归纳，得出事件记录的分析描述。按照一定的策略检测安全防护措施的执行情况，以便得出安全防护措施执行中

36、的变化。申请组织应对威胁环境、运行要求和系统配置的变化进行综合考虑，得出检查报告。.4 安全突发事件响应申请组织应利用历史事件的数据、系统配置数据和其它系统信息以及完整性工具诊断出安全突发事件，制定突发事件的响应计划，并报告安全突发事件。.5 保护安全监视的记录数据申请组织应通过对归档日志的定期检查和对归档日志使用进行记录来确保安全监视记录数据的安全性。 安全协调.1 安全协调的规范申请组织应制定安全协调的规范。.2 定义协调目标申请组织应通过制定信息共享协议、工作组的成员关系和日程表、工作组之间及用户之间沟通安全相关信息的过程和程序来建立组织内部或与其他组织之间的联系和义务关系。.3 确定协

37、调机制申请组织应通过制定沟通计划，列出通信基础设施的要求，共享会议报告、报文、备忘录的模板的方式来进行协调。.4 协调的促进申请组织应有处理冲突的程序，协调会议的议程安排等具体的文档来提高协调的质量。申请组织应按照协调安全的规范得出的有关安全的决定和建议。保证过程 检验并证实安全性.1 检验和证实安全性的规范申请组织应建立检验和证实系统安全性的规范。.2 执行安全性检验和证实申请组织应检查所做的安全工程实施情况，工程实施应满足安全需求/安全目标。申请组织应对检验的结果进行证实，确保达到安全需求/安全目标的要求。.3 收集检验和证实的记录作为证据申请组织应为其他工程组收集检验和证实的结果。 建立

38、安全保证论据.1 建立安全保证论据的规范申请组织应有建立安全保证论据的规范。.2 确定安全保证目标申请组织应同用户方、服务方、进行安全保证认定/认证方确定安全保证目标。申请组织应定义安全保证策略来描述如何满足用户安全保证目标的计划，确定相关责任方。.3 收集和分析安全保证的证据申请组织应按照安全保证策略收集并分析安全保证证据以及支持安全保证所需的附加证据。.4 提供安全保证论据申请组织应分析所有安全保证证据，提供论据说明用户的安全需求已得到满足。引用标准与参考文献计算机信息系统安全保护等级划分准则（GB17859-1999，国家质量技术监督局）；系统安全工程能力成熟模型（SSE-CMM，）系统安全工程能力成熟模型评定方法（SSAM，）；信息系统安全工程手册软件工程能力成熟模型（SW-CMM，）附录系统安全工程主要术语组织组织定义为：公司内部的单位、整个公司或其它实体(如政府机构或服务分支机构)。组织中通常存在许多项目，并作为一个整体加以管理。组织内的所有项目一般遵循上层管理的公共策略。一个组织机构可能由同一地方分布的或地理上分布的项目与基础支持设施所组成。术语“组织”的使用意味着一个支持共同战略、商务和过程相关功能的基础设施。为了服务提供的有效性，必须存在一个基础设施并对其加以