ICS 01.040.35 RB F 10/19 备案号：43669 中华人民共和国认证认可行业标准 RB/T201—2013 信息系统安全集成服务资质 认证评价要求 Evaluation requirements for service capability certification-of information-system security integration 2013-12-02发布 2014-06-15实施 中国国家认证认可监督管理委员会 发布 RB/T201—2013 目 次 前言 1 范围 2 规范性引用文件 3术语、定义和缩略语· 3.1术语和定义 3.2缩略语 4基本要求 4.1基本条件 4.2基本管理能力 4.3 基本技术能力 5服务过程要求 5.1 安全集成服务过程概述 5.2 集成准备 5.3 方案设计 5.4 建设实施 5.5 安全保障 6 各级评价要求 6.1 概述 6.2 三级要求 6.3 二级要求 6.4 一级要求 10 7评价要求 11 附录A（资料性附录） 信息系统安全集成服务资质认证要求简表 12 参考文献 14 RB/T 201—2013 前 本标准按照GB/T1.1-一2009给出的规则起草， 本标准由国家认证认可监督管理委员会提出并归口。 本标准起草单位：中国信息安全认证中心、国家质量监督检验检疫总局标准法规中心、华为技术有 限公司。 本标准主要起草人：翟亚红、曹雅斌、陈晓桦、张斌、张志军、宋志刚、李强、路明、李宗洋。 RB/T201-2013 信息系统安全集成服务资质 认证评价要求 1范围 本标准规定了信息系统安全集成（以下简称“安全集成”)服务提供者应具备的基本要求、服务过程 要求以及各个级别的具体要求。 本标准适用于评价机构对服务提供者的服务能力进行评价，也适用于信息系统所有者选择服务提 供者，有关管理部门对服务提供者进行管理，以及服务提供者自我能力改进等。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T5271.8一2001信息技术词汇第8部分：安全 GB/T20261—2006信息技术系统安全工程能力成熟度模型 3术语、定义和缩略语 GB/T5271.8--2001《信息技术词汇第8部分：安全》、GB/T20261--2006《信息技术系统安全 工程能力成熟度模型》界定的以及下列术语、定义和缩略语均适用于本文件。 3.1术语和定义 安全集成securityintegration 按照信息系统建设的安全需求，采用信息系统安全工程的方法和理论，将安全单元、产品部件进行 集成的过程。安全集成包括在新建信息系统的结构化设计中考虑信息安全保障因素，从而使建设完成 后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增 加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。安全集成服务通常包括计算 机应用系统工程和网络系统工程的安全需求确定、方案设计、建设实施、安全保障等活动。 3.2缩略语 CISAW信息安全保障从业人员认证（certifiedinformationsecurityassuranceworker） CISSP注册信息系统安全专家（certifiedinformationsystemsecurityprofessional） CISA注册信息安全审核员（certifiedinformationsecurityauditor） PMP项目管理专业人员资格认证（projectmanagementprofessional) 4基本要求 4.1基本条件 服务提供者应： a）具有中华人民共和国境内的独立法人资格和相关部门颁发的合法经营资格，具备独立承担民 1 RB/T201—2013 事责任的能力； b) 具有良好的商业信誉和健全的财务会计制度；近两年内经济状况良好，财务数据真实可信，并 应经国家相关部门认定的会计师事务所核实； c）具有固定的工作场所及提供服务所必需的设备和专业技术能力； d)i 遵守国家现行法律、法规的规定。 4.2 2基本管理能力 服务提供者应： a）采取技术和管理措施确保客户信息的安全、可控，这些信息包括但不限于客户资料、集成活动 中产生的文档、最终安全集成报告等； b）制定保密管理制度，明确保密岗位与职责，定期对服务人员进行保密教育与培训，并签订《保密 责任书》，规定应当履行的安全保密义务和承担的法律责任，并负责落实； 建立人员管理制度，使每一位服务人员持续满足岗位职责的需求；制定安全集成技能培训计 C) 划，定期对服务人员进行培训、指导、考核； 术活动、分配资源与责任、设立里程碑及评审要求、明确监督检查要求、编制过程文档、提供工 具、开展培训、策划服务过程等，以保证安全服务的质量； 建立安全集成所需的设备采购管理制度，明确规定采购流程、各环节责任，确保采购质量，控制 e)3 采购成本；准确识别供方提供的服务或系统构件，及其专业资质和能力，并与供方建立的有效 沟通机制； f）制定符合业务需求的安全集成方案、报告等文档模板。 4.3基本技术能力 服务提供者应： 配备专门的技术人员关注并掌握信息安全技术、标准和法律法规； a) b）具备安全集成有关的工作流程及操作规范； c) 具备制定安全集成方案并能够按照该方案实施的能力；能够提供安全集成服务报告、系统使用 指南等文档； d）具备对安全集成系统进行检测和验证的能力； e) 熟悉国内外主流的信息技术产品、信息安全产品的功能及特性； f) 具有满足项目需要的开发、测试工具及模拟环境； g) 配备专门的人员关注国内外权威机构发布的安全公告及漏洞公告，并对最新的安全相关技术 进行研究。 5服务过程要求 5.15 安全集成服务过程概述 安全集成服务过程分为四个阶段：集成准备、方案设计、建设实施、安全保障（见表1）。 2 RB/T201—2013 表1安全集成服务过程要求列表 阶段名称 控制措施 确定安全需求 签订服务合同 集成准备 确定服务人员 签订保密协议 方案设计 安全方案设计 协调安全 建设实施 管理安全控制 安全监控 建立保障论据 安全保障 验证和确认安全 集成准备阶段主要是确定安全需求、签订服务合同、确定服务人员、签订保密协议；方案设计阶段主 要是根据国家及有关行业的要求，充分考虑各方面的安全需求和安全背景，设计出适用的项目方案；建 设实施阶段主要是在新建或已运行的系统环境中实现项日方案的预期安全目标和效果；安全保障阶段 主要是对完成施工的信息系统进行检验、检测，监控试运行情况，证明客户安全需求得到实现。 安全集成服务过程的四个阶段包括10个主要控制措施（见表1），共43个过程要求项（集成服务各 阶段的过程要求，见表2、表3、表4、表5）。过程要求项定义了安全集成服务过程各阶段的内容要点，可 分为必备项（基本要求）和可选项（高级要求）。 表2安全集成服务准备阶段要求 集成准备阶段的要求 必备项 可选项 a) 理解安全需求 b) 识别法律、政策和约束条件 c) 识别安全背景 确定安全需求 d) 获取安全视图 /（仅限一级） e) 识别安全目标 f) 定义安全要求 V(一、二级) 达成安全协议 g) a) 明确服务范围、日标、质量等 确定服务合同 b) 明确项目保密责任和违约责任 确定服务人员和组织 确定项目人员构成 签订保密协议 签订保密协议 注：表中列出了服务过程中所有级别均需满足的项为必备项，只有一级和或二级需要满足的项为可选项。 RB/T201—2013 表3安全集成服务方案设计阶段要求 方案设计阶段要求 必备项 可选项 a) 理解安全需求 确定安全约束条件和考虑事项 b) 识别安全集成项目方案 c) 方案设计 (P 评审项目方案 J e) 提供安全集成指南 V（仅限一级） 提供安全运行指南 f) V(一、二级) 注：表中列出了服务过程中所有级别均需满足的项为必备项，只有一级和或二级需要满足的项为可选项。 表4安全集成服务建设实施阶段要求 建设实施阶段要求 必备项 可选项 制定协调目标 a) b) 识别协调机制 协调安全 促进安全协调 (3 d) 协调安全决策和建议 V(仅限级） 建立安全职责 a) b) 管理安全控制措施的配置 /（仅限一级） 管理安全控制 c) 管理安全意识、培训和教育 V(一、二级) d) 定期维护与管理安全控制机制 V(仅限一级) a) 分析事件记录 J b) 监控变化 c) 识别安全事件 安全监控 d) 监控安全防护措施 V（仅限一级） e) 评审安全态势 V(仅限一级） f) 管理安全事件响应 g) 保存安全监控结果 注：表中列出了服务过程中所有级别均需满足的项为必备项，只有一级和或二别需要满足的项为可选项。 表5安全集成服务安全保障阶段要求 安全保障阶段要求 必备项 可选项 识别保障目标 (e b) J 制定保障策略 c) 控制保障证据 建立保障论据 (P 分析保障证据 V(一、二级) (a 提供保障论据 制定测量准则 V（仅限一级） 4