信息安全服务浅析

network

信息安全服务浅析

信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。根据服务的具体形式不同，信息安全服务可分为安全工程、安全咨询和培训两种。
（1）安全工程指为信息系统进行安全方案设计开发、安全集成验证测试、运行监控和维护。
（2）安全咨询和培训指从事信息系统安全咨询、培训、宣传和其它安全工程之外服务的业务。包括上面提出并制订信息系统安全方案，提供安全管理与操作规定的服务，提供安全性测试和监控，安全方案试验，在公开场合或媒体s宣讲传播安全知识的活动，信息系统安全的专家活动和政策制订工作，从事信息系统安全教育工作，其它可能影响系统安全性能的有偿或无偿服务或技术活动。

信息安全服务资质评估
信息安全服务资质评估是对信息安全服务提供者的资质状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定，是在其基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上，针对不同的服务种类，采用一定的权值综合考虑后确定，并由国家认证机构授予相应的资质级别。
信息安全服务评估组织，是指对提供信息安全服务的组织的资质等级进行评估认证的第三方机构。在我国，信息系统安全服务资质由认证中心及其授测评机构进行评估，由认证中心进行认证。
信息系统安全服务资质认证是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行认证。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立的、公正的评判依据。

信息安全工程及能力级别
信息安全工程是一组与信息安全相关的工程过程的集合，在应用到系统的开发、集成、操作、管理、维护和改进等整个生命同期中，应满足一组安全要求并能在系统中得到体现。信息安全工程至少包括以下11个基本过程：
①评估安全对系统的影响；
②评估系统面临的安全威胁；
③评估系统的安全弱点；
④评估系统的安全风险；
⑤确定系统的安全需求；
⑥为系统提供必要的安全信息；
⑦监测系统的安全状况；
⑧管理系统的安全控制；
⑨安全协调；
⑩检验并证实安全性；
○11建立并提供安全性保证证据。
信息安全工程过程的能力级别是用于评价组织完成已定义的安全工程过程的能力，直接反映组织的成熟程度。能力级别按成熟性排序，表示依次增加的组织能力。
信息安全服务组织的工程能力分为五个级别，即：
1级：基本执行级；
2级：计划跟踪级；
3级：充分定义级；
4级：量化控制级；
5级：连续改进级。
各级执行过程并没有特殊要求。组织可以按所选择的任何方式和顺序，自由地计划、定义、控制、跟踪和改进他们的过程。高级别能力依赖于低级别能力，因此组织在达到高级别之前必须满足低级别的要求。
（1）基本执行级
处于本能力级别的组织是基于个人的知识和努力去执行一些基本过程，而未经严格的计划和跟踪。能提供的证据是该过程的工作产品（输出）。由于缺乏适当控制，工作产品的一致性、性能和质量会存在极大的差异。
基本执行级只有一个“执行过程”要求，要求机构拥有执行过程，以某种方式执行一些基本过程，从而为顾客提供提供产品和/或服务。
（2）计划跟踪级
处理本能力级别的组织计划并跟踪执行本组织已定义的过程，验证是否执行了特定的步骤，工作产品是否符合指定的标准和需求，测量用于跟踪过程的执行情况。组织能够基于实际执行活动进行管理。处于计划跟踪级的组织能够：
①制定过程执行计划
过程执行的计划涉及到过程文档的编制，执行过程的相应工作的提供、过程实施的计划、过程执行中的培训、过程资源的分配以及过程执行的责任分配。
②规范化执行
此要求注重于控制覆盖过程的总数。需要列出过程执行计划的使用、基本标准和程序的过程执行、配置管理下依过程产品的工
作产品。
③验证执行
确认过程按预定的方式执行。涉及到验证执行过程与可应用的标准和程序是一致的以及对工作产品的审计。
④跟踪执行
此要求注重于组织控制项目进展的能力。组织通过可测量的计划跟踪过程的执行情况，当过程实施与计划产生重大偏离时应采取纠正措施。
（3）充分定义级
处于本能力级别的组织执行充分定义的过程。组织依据对已批准发布的、文档化的标准过程进行适当裁减，来充分定义组织的过程。
本级与计划跟踪级的主要区别在于利用组织范围内的标准过程来管理和规划。处于充分定义级的组织能够：
①定义标准过程
该要求注重于组织标准过程的制度化。一个组织的标准过程可能需要裁剪以适合特定环境的使用，因此，要求组织提出标准过程的文档，并为满足特定用途对标准过程进行裁剪。
②执行已定义过程
该要求注重于执行充分定义过程的可重复性。要求组织使用制度化过程，并对有缺陷的过程结果和工作产品进行复查，执行过程并使用结果数据。
③协调项目和组织活动
该要求注重项目和组织活动的协调。大的工程通常由多个组协作完成，缺乏协调将会导致延误和不可比对的结果。因此应确定组内、级间、组外活动的协调。
（4）定量控制级
处于本能力级别的组织应收集和分析执行的详细测量，获得对过程能力和改进能力的量化理解以预测执行情况。这个级执行的管理是客观的，工作产品是质量是量化的。这一级与充分定义级的主要区别在于定义的过程是定量的表示和控制。处于这一级的组织能够：
①建立可测量的质量目标
该要求注重对组织所开发的产品（包括工作产品）建立可测量的质量目标。
②客观地管理执行
该要求注重于确定过程能力的量化测量，并使用量化测量来管理这一过程。提出了确定量化过程能力和以量化测量作为修正行动的基础。
（5）连续改进级
处于本能力级别的组织基于组织的商务目标，并针对过程有效性和效率建立量化执行目标。通过执行已定义的过程和有创见的新概念、新技术的量化反馈来保证对这些目标进行连续的过程改进。
这一级与定量控制级的主要区别在于已定义的过程和标准过程基于对这些过程变化效果的量化理解，进行连续调整和改进。处于这一级的组织能够：
①改进组织能力
该要求注重在整个组织范围内使用标准过程，并在相同的使用环境中进行比较。在使用这些过程时，寻找改进标准过程的机会，分析产生的缺陷以识别对标准过程的进行改进的可能性。
②改进过程有效性
该要求注重于制定处于连续受控改进状态下的标准过程。组织能消除标准过程产生缺陷的原因，并提出连续改进的标准过程。

信息安全服务资质等级划分
信息安全服务资质等级是对安全服务组织综合实力的客观评价，反映了安全服务组织的信息安全服务资质、水平和能力。资质等级划分的主要标准包括基本资格要求、基本能力要求、安全工程过程能力和其他补充要求等。
基本资格要求是评定安全服务组织资质等级的起评条件，申请资质等级的安全服务组织必须是独立法人，具有安全服务许可资格并满足保密要求。
基本能力要求是评定安全服务组织资质等级的基础，申请资质等级的安全服务组织在评定过程中体现的能力差异将成为资质等级划分的重要依据；根据具体服务类型和业务范围，可针对性地裁剪基本能力要求。对从事不同类型服务的组织有不同的基本要求。基本能力要求从管理、规模和资产、质量保证、技术能力、人员构成与素质、设备设施与环境、业绩和培训等方面来评定。
安全工程过程能力级别是评定安全服务组织资质的主要依据，标志着服务组织提供给客户的安全服务专业水平和质量保证程度。对提供不同类型服务的组织有不同的安全工程要求，即根据具体的服务类型和业务范围，可针对性地裁剪安全工程过程要求。安全工程过程能力级别的高低，标志着从事安全服务的组织能力成熟程度，即已完成过程的管理和制度化程度的.主要对如何评估安全对系统的影响、如何对系统安全威胁进行评估、如何对系统安全弱点进行评估、如何对系统安全风险进行评估、如何确定系统的安全需求、如何提供系统的安全输入、如何监测系统的安全状况、如何进行安全控制的管理、如何进行安全协调、如何检验和证实系统的安全性和如何建立系统安全的保证证据这11个过程来考查。根据具体服务类型和业务范围，将适当增加有关工程、技术或管理要求。
安全服务资质等级分为5级，由1级到5级递增，如表3-1所示。

资质等级	说明
1级	达到全部基本资格要求和基本能力要求；执行基本的安全工程过程，安全工程过程达到1级。
2级	达到全部基本资格要求和基本能力要求；执行基本的安全工程过程，安全工程过程能力达到2级
3级	达到全部基本资格要求和基本能力要求；执行基本的安全工程过程，安全工程过程能力达到3级。
4级	达到全部基本资格要求和基本能力要求；执行基本的安全工程过程，安全工程过程能力达到4级。
5级	达到全部基本资格要求和基本能力要求；执行基本的安全工程过程，安全工程过程能力达到5级，使安全工程过程质量实现优化运作。

    表3-2提出了实现等级资质所必须达到的基本要求，服务组织根据自身情况可实现更多或更高的要求。

表3-2    安全服务资质等级要求

资质等级	基本资格要求	基本能力要求	安全工程能力级别	其它补充要求
1级	全部满足	基本满足 不同服务类型可裁剪	1级 不同服务类型可裁剪	无
2级	全部满足	基本满足 不同服务类型可裁剪	2级 不同服务类型可裁剪	针对性补充要求
3级	全部满足	基本满足 不同服务类型可裁剪	3级 不同服务类型可裁剪	针对性补充要求
4级	全部满足	基本满足 不同服务类型可裁剪	4级 不同服务类型可裁剪	针对性补充要求
5级	全部满足	基本满足 不同服务类型可裁剪	5级 不同服务类型可裁剪	针对性补充要求

    ISO 9000系列标准
信息安全服务单位应当按ISO 9000标准的要求，切实加强全面质量管理。
    （1）ISO 9000系列标准的由来和发展    ISO9000系列标准是一系列通用的质量管理体系标准。它是顺应世界经济贸易一体化发展趋势而建立和发展起来的。它自问世以来，已被许多国家采用或等效采用，且得到众多组织和机构的接受和认可，各国的采购商和供应商对该标准也都普遍认同，并将条例ISO9000系列标准的要求作为国际商贸活动中建立相互信任关系的基石，从而促进了国际商贸活动的发展。    ISO9000系列标准是国际标准化组织（英文简称ISO）于1986年最早发布的质量管理体系的国际标准，先后三个版本：①1987年版ISO9000系列国际标准，是1986-1992年发布的ISO8402《质量——术语》、ISO9000《质量管理和质量保证标准——选择使用指南》、ISO9001《质量体系——设计开发、生产、安装和服务的质量保证模式》、ISO9002《质量体系——生产和安装的质量保证模式》、ISO9003《质量体系——最终检验和试验的质量保证模式》、ISO9004《质量管理和质量体系要素——指南》等6项标准。②1994年版ISO9000系列标准，是ISO于1994年发布的ISO8402、ISO9000、ISO9001、ISO9002、 ISO9003和ISO9004-1等6项标准，并陆续发布了其他10项指南标准，使该系列标准从1987年的6项发展到16项。③2000年版的ISO9000系列标准，是ISO于2000年12月12日发布，它用ISO9000、ISO9001、ISO9004三项国际标准，分别取代了1994年版的ISO8402、ISO9000、ISO9001、ISO9002、ISO9003和ISO9004-1，以后发布了2000年版ISO19011标准，这样就形成了下列四项基本标准（核心标准）：    ISO9000：质量管理体系——基础和术语    ISO9001：质量管理体系——要求    ISO9004：质量管理体系——指南    ISO19011：质量和环境管理体系——审核指南    （2）ISO9000系列标准的构成    为了便于了解ISO9000系列标准，先简单介绍1994版ISO9000系列标准，如图3-2所示。

图3-2 1994版ISO9000系列标准的构成
其中ISO9000标准是采用和选择ISO9000系列标准的总指南，即指导性文件。它规定了选择和使用ISO9001至ISO9004的原则与方法，并阐明了质量管理、质量体系、质量保证和质量控制等基本概念及其相互关系。ISO9001、ISO9002、和ISO9003提供了三种在外部质量保证条件下的三种质量保证模式，可提供合同双方选用，它们分别代表三种不同技术和合同管理能力的合同要求。这三种质量管理保证模式相互包容，ISO9001涵盖ISO9002，ISO9002包含ISO9003.仅各自内涵有些差异。ISO9004是在内部质量管理条件下，指导企业建立健全有效的质量体系。通常，一个完善的质量体系是综合考虑了企业风险、费用和利益几个方面，实际上成为促进企业质量管理控制最佳化的重要手段。ISO9004提出并阐述了质量管理体系一般应包括的基本要素，即内容包括的要求项目。企业应该根据市场环境、产品类型、生产特点和用户需要等具体情况选择相应的要素和采用这些要素的程度。一个企业往往同时处于外部质量保证（如合同环境）和侧部质量管理（如非合同环境）两种环境之中，也就是说企业的产品，一方面面向广泛市场，另一方面按新所签合同提供给需方。
    2000年版ISO9000系列标准与1994年版相比，结构和内容都发生了很大变化，其主要特点是：①增加了通用性。标准的结构和内容更好地适用于所有产品类别、不同规模和各种类型组织。1994年版标准主要针对生产硬件产品的组织，不便于生产软件、流程性材料和提供服务的组织实施质量管理体系的需要。②增加了协调性，强调ISO9001作为要求的标准和ISO9004作为指南的标准的协调一致性（两个标准条款对应，标题一致），有利于组织的业绩的持续改进，同时，明确引用了PDCA循环，达到了与ISO14000标准的协调一致。③标准中提出了八项质量管理原则，并得到了充分体现。八项质量管理原则是：以顾客为中心、领导作用、全员参与、过程方法、体系方法、持续改进、以事实为决策依据、互利的供需关系。④采用“过程方法”的模式结构，逻辑性更强，相关性更好。⑤突出“持续改进”是提高质量管理体系有效性和效率的重要手段。
    （3）ISO9000系列标准的实施
    企业实施ISO9000系列标准，主要包括以下五个阶段：①组织策划；②总体设计；③体系建立；④编制文件；⑤实施运行。见图3-3.

图3-3 质量体系建立或完善的工作过程
（4）质量管理体系认证
    企业质量管理体系认证是指依据国际通用的ISO9000系列标准，经过国家认可的质量管理体系认证机构对企业的质量管理体系进行全面审核和评价，对于符合条件需求的，通过颁发认证证书的形式，证明企业质量管理和质量保证能力符合相应标准要求的活动。
    质量管理体系认证的目的在于：使供方向需方提供可靠的质量信誉和质量担保，为满足需方的要求，提供了可以信任的证明；同时，质量管理体系认证是为了企业实施质量管理，使企业的质量管理体系有效的运行，保证在产品形成过程中，使影响产品质量的技术、管理、人员等诸因素得到可靠的控制，极大地提高企业的竞争能力，增强该企业的信誉。
    质量管理体系认证的过程是审查质量体系要素是否符合规定的要求，评价质量管理体系运行和实现质量方针目标的有效性。这种审核着重于质量管理体系本身、产品和过程。质量管理体系认证是对质量管理体系的评估，是质量管理的一项重要内容。为了保证质量管理体系认证活动的科学、公正、可靠，审核工作必须由经过培训，考核合格并经过国家注册的审核人员担任。
    质量管理体系认证的实施程序是：
    ①认证申请前的准备；
    ②认证申请；
    ③认证申请的受理；
    ④质量字处理体系审核；
    ⑤审核与注册发证；
    ⑥获准认证后的监督管理。
    （5）ISO9000系列标准与全面质量管理的关系
    ISO9000系列标准是全面质量管理的国际标准。实施ISO9000系列标准，实现全面质量管理标准化，以标准来规范质量管理，按标准的要求建立质量体系并对其实施控制，使复杂的体系按标准化的要求进行操作，使其持续有效地运行。ISO9000系列标准要求组织的最高管理者的决定和承诺、稳定的组织结构、确定质量管理体系的模式和要素，是目前条件下实施全面质量管理的基础。
    然而，我们也必须看到，在质量管理和质量保证方面，ISO9000系列标准只规定了应该做什么，而没有规定如何去做，也没有说明为什么要去做。这是因为“如何去做”的问题涉及许多因素，例如企业类别、组织规模、文化背景等等，是比“做什么”更为困难的问题。事实上，“如何做”属于全面质量管理的方法论问题。“为什么要做”属于全面质量管理的价值观问题。由此可见，ISO9000系列标准是全面质量管理的基本标准。