《信息安全测评认证体系介绍课件》由会员分享,可在线阅读,更多相关《信息安全测评认证体系介绍课件(71页珍藏版)》请在装配图网上搜索。
1、评估目标ETR评估文档批准评估技术报告批准评估技术报告准备评估准备评估开展评估开展评估进行认证进行认证评估技术报告认证维持认证维持认证报告证书证书信息技术安全测试实验室信息技术安全测试实验室 信息安全认证管理委员会信息安全认证管理委员会信息技术安全认证中心信息技术安全认证中心 认证机构认证机构 Lab认可机构认可机构证书认认可可授权授权认证认证信息技术安全测试实验室信息技术安全测试实验室信息技术安全测试实验室信息技术安全测试实验室信息技术安全测试实验室信息技术安全测试实验室 CB认可机构认可机构 背景背景国内安全服务提供商水平良莠不齐行业用户单位的需求我国加入WTO带来的新的形式认证依据认证依
2、据信息系统安全服务资质评估准则 信息系统安全工程质量管理要求 国家质量技术监督局试行发布 计算机信息系统安全保护等级划分准则 ISO/IEC 17799CC(ISO/IEC 15408)SSE-CMMSSAM认证参考认证参考级别划分级别划分1 1、基本执行级、基本执行级2 2、计划跟踪级、计划跟踪级3 3、充分定义级、充分定义级4 4、量化控制级、量化控制级5 5、连续改进级、连续改进级级别递增级别递增1、基本执行级、基本执行级定义: 组织未经严格的计划和跟踪以某种方式 执行一些基本过程 。2、计划跟踪级、计划跟踪级定义: 计划并跟踪执行本组织已定义的过程。制定过程执行计划 规范化执行 验证执
3、行 跟踪执行 3、充分定义级、充分定义级定义: 执行充分定义的过程,依据对已批准发布 的、文档化的标准过程进行适当裁减,来 充分定义组织的过程。 定义标准过程 执行已定义过程 协调项目和组织活动4、量化控制级、量化控制级定义: 收集和分析执行的详细测量,获得对过程能力 和改进能力的量化理解以预测执行情况。建立可测量的质量目标 客观地管理执行 5、连续改进级、连续改进级定义: 针对过程有效性和效率建立量化执行目标,通 过执行已定义的过程和有创见的新概念、新技 术的量化反馈来保证对这些目标进行连续的过 程改进。 改进组织能力 改进过程有效性 申请委托人限期整改 申请书不予认证 形式化审查 受理决定 静态评估 现场审核 专家组评审 发证备案 公告 证后监督 抽样检查 评审决定认证决定认证流程认证流程 获证后监管措施获证后监管措施监督管理 复查换证(三年)争议、投诉与申诉 处置
信息安全测评认证体系介绍课件
