信息安全服務資質

1.信息安全

信息安全，簡稱信安，意爲保護信息及信息系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀。政府、軍隊、公司、金融機構、醫院、私人企業積累瞭(le)大量的有關他們的雇員、顧客、産品、研究、金融數據的機密信息。絕大多數此類的信息現在被收集、産生、存儲在電子計算機内，並(bìng)通過網絡傳送到别的計算機。信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。

國際标準化組織（ISO）或國家某專業機構的定義是指信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡(è)意的原因而遭到破壞、更改、洩露，系統連續可靠正常地運行，信息服務不中斷(duàn)。

信息安全主要包括以下五方面的内容，即需保證信息的保密性、真實性、完整性、未授權(quán)拷貝(bèi)和所寄生系統的安全性。

2.信息安全的目标  咨詢熱(rè)線(xiàn)：010-88462211/33/55

2.1保密性(Confidentiality)是指阻止非授權的主體閱讀信息。它是信息安全一誕生就具有的特性，也是信息安全主要的研究内容之一。更通俗地講，就是說未授權的用戶不能夠獲取敏感信息。對紙質文檔信息，我們隻需要保護好文件，不被非授權者接觸(chù)即可。而對計算機及網絡環境中的信息，不僅要制止非授權者對信息的閱讀。也要阻止授權者将其訪問的信息傳(chuán)遞給非授權者，以緻信息被洩漏。

2.2完整性(Integrity)是指防止信息被未經授權的篡改
。它是保護信息保持原始的狀态，使信息保持其真實性。如果這些信息被蓄意地修改、插入、删除等，形成虛假信息将帶(dài)來嚴重的後(hòu)果。

2.3可用性(Usability)是指授權主體在需要信息時能及時得到服務的能力。可用性是在信息安全保護(hù)階段對(duì)信息安全提出的新要求
，也是在網絡化空間中必須滿足的一項信息安全要求。

2.4可控性(Controlability)是指對(duì)信息和信息系統實施安全監(jiān)控管理
，防止非法利用信息和信息系統。

2.5不可否認性(Non-repudiation)是指在網絡環境中，信息交換的雙方不能否認其在交換過(guò)程中發(fā)送信息或接收信息的行爲。

信息安全的保密性、完整性和可用性主要強調對非授權主體的控制。而對授權主體的不正當行爲如何控制呢?信息安全的可控性和不可否認性恰恰是通過對授權主體的控制，實現對保密性、完整性和可用性的有效補(bǔ)充，主要強調授權用戶隻能在授權範圍内進行合法的訪問，並(bìng)對其行爲進行監督和審查。

除瞭(le)上述的信息安全五性外，還有信息安全的可審計性(Audiability)、可鑒别性(Authenticity)等。信息安全的可審計性是指信息系統的行爲人不能否認自己的信息處(chù)理行爲。與不可否認性的信息交換過程中行爲可認定性相比，可審計性的含義更寬泛一些。信息安全的可見鑒别性是指信息的接收者能對信息的發送者的身份進行判定。它也是一個與不可否認性相關的概念。

3.實現信息安全目标基本原則  咨詢熱(rè)線(xiàn)：010-88462211/33/55

3.1最小化原則：受保護的敏感信息隻能在一定範圍内被共享，履行工作職責和職能的安全主體，在法律和相關安全策略允許的前提下，爲滿足工作需要。僅被授予其訪問信息的适當(dāng)權限，稱(chēng)爲最小化原則。敏感信息的
。知情權”一定要加以限制，是在“滿足工作需要”前提下的一種限制性開放。可以将最小化原則細分爲知所必須(need to know)和用所必須(need協峨)的原則
。

3.2分權制衡原則：在信息系統中，對所有權限應該進行适當(dāng)地劃分，使每個授權主體隻能擁有其中的一部分權限，使他們之間相互制約、相互監督，共同保證信息系統的安全。如果—個授權主體分配的權限過大，無人監督和制約，就隐含瞭(le)“濫用權力”、“一言九鼎”的安全隐患。

3.3安全隔離原則
：隔離和控制是實現信息安全的基本方法，而隔離是進行控制的基礎(chǔ)。信息安全的一個基本策略就是将信息的主體與客體分離，按照一定的安全策略，在可控和安全的前提下實施主體對(duì)客體的訪問。

在這些基本原則的基礎(chǔ)上，人們在生産(chǎn)實踐過程中還總結出的一些實施原則
，他們是基本原則的具體體現和擴展。包括：整體保護原則、誰主管誰負責原則、适度保護的等級化原則、分域保護原則、動态保護原則、多級保護原則、深度保護原則和信息流向原則等。

4.信息安全資質認(rèn)證(zhèng) 

4.1服務資質審核：對(duì)提供信息安全服務的組織和單(dān)位資質進行審核、評估和認定。

信息安全服務資質是對(duì)信息系統安全服務的提供者的技術、資源、法律、管理等方面的資質和能力，以及其穩定性、可靠性進行評估，並(bìng)依據公開的标準和程序，對(duì)其安全服務保障能力進行認定的過程。目前分爲：信息安全工程類、信息安全災難恢複類、安全運營維護類。

4.2産(chǎn)品測(cè)評：對國内外信息技術産(chǎn)品的安全性進行測(cè)評，其中包括各類信息安全産(chǎn)品如防火牆、入侵監測(cè)、安全審計、網絡隔離、VPN、智能卡、卡終端、安全管理等，以及各類非安全專用IT産(chǎn)品如操作系統、數據庫、交換機、路由器、應用軟件等。

根據測(cè)評依據及測(cè)評内容，分爲
：信息安全産(chǎn)品分級評估、信息安全産(chǎn)品認定測(cè)評、信息技術産(chǎn)品自主原創測(cè)評、源代碼安全風險評估、選型測(cè)試、定制測(cè)試。

4.3系統測(cè)評：對(duì)國内信息系統的安全性進行測(cè)試、評估。

對國内信息系統的安全性測(cè)試、評估和認定、根據依據标準及測(cè)評方法的不同，主要提供：信息安全風險評估、信息系統安全等級保護測(cè)評、信息系統安全保障能力評估、信息系統安全方案評審、電(diàn)子政務項目信息安全風險評估。

4.4人員測(cè)評：對(duì)信息安全專業人員的資質能力進行考核、評估和認定。

信息安全人員測評與資質認定，主要包括注冊(cè)信息安全專業人員（CISP）、注冊(cè)信息安全員（CISM）及安全編(biān)程等專項培訓、信息安全意識培訓。