信息安全服务资质

信息安全,简称信安,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。政府、军队、公司、金融机构、医院、私人企业积累了大量的有关他们的雇员、顾客、产品、研究、金融数据的机密信息。绝大多数此类的信息现在被收集、产生、存储在电子计算机内,并通过网络传送到别的计算机。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

  • 在线QQ:: 987109030
  • 联系电话:: 13701153675
  • 服务对象:: 为高端组织提供信息安全服务的组织

1.信息安全

信息安全,简称信安,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。政府、军队、公司、金融机构、医院、私人企业积累了大量的有关他们的雇员、顾客、产品、研究、金融数据的机密信息。绝大多数此类的信息现在被收集、产生、存储在电子计算机内,并通过网络传送到别的计算机。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

国际标准化组织(ISO)或国家某专业机构的定义是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

2.信息安全的目标  咨询热线:010-88462211/33/55

2.1保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。

2.2完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。

2.3可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。

2.4可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。

2.5不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。

信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。

除了上述的信息安全五性外,还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比,可审计性的含义更宽泛一些。信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。

3.实现信息安全目标基本原则  咨询热线:010-88462211/33/55

3.1最小化原则:受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。

3.2分权制衡原则:在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。

3.3安全隔离原则:隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。

在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。

4.信息安全资质认证 

4.1服务资质审核:对提供信息安全服务的组织和单位资质进行审核、评估和认定。

信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。目前分为:信息安全工程类、信息安全灾难恢复类、安全运营维护类。

4.2产品测评:对国内外信息技术产品的安全性进行测评,其中包括各类信息安全产品如防火墙、入侵监测、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等,以及各类非安全专用IT产品如操作系统、数据库、交换机、路由器、应用软件等。

根据测评依据及测评内容,分为:信息安全产品分级评估、信息安全产品认定测评、信息技术产品自主原创测评、源代码安全风险评估、选型测试、定制测试。

4.3系统测评:对国内信息系统的安全性进行测试、评估。

对国内信息系统的安全性测试、评估和认定、根据依据标准及测评方法的不同,主要提供:信息安全风险评估、信息系统安全等级保护测评、信息系统安全保障能力评估、信息系统安全方案评审、电子政务项目信息安全风险评估。

4.4人员测评:对信息安全专业人员的资质能力进行考核、评估和认定。

信息安全人员测评与资质认定,主要包括注册信息安全专业人员(CISP)、注册信息安全员(CISM)及安全编程等专项培训、信息安全意识培训。


国家标准分强制性标准(GB)和推荐性标准(GB/T)。对强制性标准,从设计、生产.....到产品包装等等一路下来的每个环节都必须符合标准要求;而推荐性标准可以依据国标,也可以采用行业相关的标准。如果个人依照国家标准设计某一个产品,不管是依据GB还是GB/T,那么只能说明该产品采用国家标准设计,不能说该产品符合国标。产品是不是符合国标需要国家的相关部门(具体好要看哪类产品)来认证,而且在产品设计投产之前就要取得相应的资质,并且在有关行管部门备案,这样才能作为后续合同中的技术依据。

国家标准分强制性标准(GB)和推荐性标准(GB/T)。对强制性标准,从设计、生产.....到产品包装等等一路下来的每个环节都必须符合标准要求;而推荐性标准可以依据国标,也可以采用行业相关的标准。如果个人依照国家标准设计某一个产品,不管是依据GB还是GB/T,那么只能说明该产品采用国家标准设计,不能说该产品符合国标。产品是不是符合国标需要国家的相关部门(具体好要看哪类产品)来认证,而且在产品设计投产之前就要取得相应的资质,并且在有关行管部门备案,这样才能作为后续合同中的技术依据。

国家标准分强制性标准(GB)和推荐性标准(GB/T)。对强制性标准,从设计、生产.....到产品包装等等一路下来的每个环节都必须符合标准要求;而推荐性标准可以依据国标,也可以采用行业相关的标准。如果个人依照国家标准设计某一个产品,不管是依据GB还是GB/T,那么只能说明该产品采用国家标准设计,不能说该产品符合国标。产品是不是符合国标需要国家的相关部门(具体好要看哪类产品)来认证,而且在产品设计投产之前就要取得相应的资质,并且在有关行管部门备案,这样才能作为后续合同中的技术依据。

标签: 信息安全
电话咨询
认证服务
在线留言
QQ客服