文章导航:
怎样办理软件安全开发服务资质认证
一、基本概念 信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。 应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。(用1799概述里面一段一句的内容) 风险评估服务是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水平。 通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。 二、关于认证申请: 认证的基本环节:认证申请与受理;文档审核;现场审核;认证决定;年度监督审核。 初次申请服务资质认证时,申请单位应填写认证申请书,并提交资格、能力方面的证明材料。申请材料通常包括: 服务资质认证申请书; 独立法人资格证明材料; 从事信息安全服务的相关资质证明; 工作保密制度及相应组织监管体系的证明材料; 与信息安全风险评估服务人员签订的保密协议复印件; 人员构成与素质证明材料; 公司组织结构证明材料; 具备固定办公场所的证明材料; 项目管理制度文档; 信息安全服务质量管理文件; 项目案例及业绩证明材料; 信息安全服务能力证明材料等。 三、关于认证依据: 对特定类别的信息安全服务,有具体的评价标准。例如,信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008),信息安全风险评估服务资质认证的依据是《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。 我司专业项目: ISO9001质量管理体系认证 ISO14001环境管理体系认证 OHSAS18001职业健康安全管理体系认证 企业信用评价AAA级信用企业申报 中国中小企业诚信示范单位申报 信息系统安全集成服务资质认证 信息安全风险评估服务资质认证 信息安全应急处理服务资质认证 信息系统灾难备份与恢复服务资质认证 软件安全开发服务资质认证 信息系统安全运维服务资质认证
软件开发行业需要什么资质
软件开发行业需要的资质如下:
1.双软企业认定:指的是“软件产品登记”和“软件企业认证”。
2.高新技术企业认定:高新技术企业是在国家重点支持的高新技术领域内,持续进行研究开发与技术成果转化,形成企业核心自主知识产权,并以此为基础开展生产经营活动的企业。
3.计算机信息系统集成资质:为加强计算机信息系统集成市场的规范化管理,促进计算机信息系统集成企业能力和水平的不断提高,确保各应用领域计算机系统工程质量,信息产业部从1999年开始建立的制度。
4.信息产业部安全服务资质:中国通信工业协会设立并推出,此资质分别是行业服务方向和专业能力水平。
软件三方测评需要什么资质?
第三方软件测试是指独立于软件开发甲方、乙方的第三方承担或进行的测试工作。第三方测试有别于开发人员或用户进行的测试,其目的是为了保证测试工作的客观性。
第三方软件测试工作主要包括文档审查、功能性测试、性能效率测试、易用性测试、信息安全性测试、可移植性测试、安装性测试以及最终的验收测试等十余项。
能够做第三方软件测试的机构必须具备国家相关部门承认并颁发的资质,这不仅是对测试过程和结果的保障,更是对软件能否安全地在实际中运行的先行检测。
01 CMA资质
China Metrology Accreditation
中国计量认证CMA,只有取得计量认证合格证书的第三方检测机构,才允许在检验报告上使用CMA章,盖有CMA章的检验报告可用于产品质量评价、成果及司法鉴定,具有法律效力。
计量认证不仅是诸多行业,尤其是关系到百姓切身利益的行业评价检测机构检测能力的一种有效手段;同时也是第三方检测机构进入市场的准入证。
哨兵科技(国家工控安全质检中心西南实验室)于2020年取得CMA资质证书,专注于软件产品检测,依据GB/T 25000.51标准,覆盖10项检测范围。
02 CNAS资质
中国合格评定国家认可委员会(英文名称:China National Accreditation Service for Conformity Assessment ,英文缩写:CNAS)是根据《中华人民共和国认证认可条例》的规定,由国家认证认可监督管理委员会批准设立并授权的国家机构,统一负责对认证机构、实验室和检查机构等相关机构的认可工作。表明实验室具备了按国际认可准则开展服务的能力。
中国合格评定国家认可制度已经融入国际认可互认体系,并在国际认可互认体系中有着重要的地位,发挥着重要的作用。目前我国已与其他国家和地区的35个质量管理体系认证和环境管理体系认证认可机构签署了互认协议,已与其他国家和地区的54个实验室认可机构签署了互认协议。
就两者而言,CNAS资质认可相较于CMA资质更难获得,但其含金量和认可度更高。哨兵科技(国家工控安全质检中心西南实验室)于2021年取得CNAS资质,依据GB/T 25000.51标准,能够进行5项检测。
国际安全标准 PCI 是什么意思
PCI是由业内重要的支付产品公司联手创立的支付卡产业安全标准委员会(PCI SSC)—包括美国的Express、JCB、MasterCard和Visa—旨在规范整个产业的安全标准。
PCI SSC开发的PCI PIN交易安全(PCI PTS)标准定义了金融终端安全性的要求。前期的PCI PIN输入设备(PCI PED)标准(PCI PTS)主要关注应对物力和逻辑攻击,这些攻击行为试图从POI提取PIN码和加密密钥。根据现场经验和试验室研究,PCI PTS归纳了针对各种攻击(物力篡改、环境更改、软件接口攻击、密码分析破解攻击、政策威胁)的安全防护机制。PCI PTS旨在保护终端内部或智能卡连接通道普通格式的PIN码。
物理机制要求在入侵者打开终端、插入PIN记录装置,防止数据在PIN输入或发送端被捕获,并可阻止对终端操作的修改。逻辑上需要防止入侵者修改读卡器、控制终端的运行程序,从而达到他们恢复、记录或发送PIN码及其它敏感数据的目的。
其它要求包括磁条数据的有效保护。PCI PTS的每项要求对应于特定的攻击类别,与对抗等级有关,通常用16至35范围的数字表示。为了达到设计目标,支付终端必须能够将遭受篡改的风险(所谓的篡改值)降至最低。
按照ITSEC联合实验室声明(JIL)对智能卡的规定,攻击值方案基于所了解的相关知识、攻击持续时间、攻击者的资源和专业技术。对每种抗攻击能力划分成几个等级进行评测,每个等级有相应的额定值。考虑一种攻击形式时,可以由衡量每种类型的攻击强度值的加和表示。例如,文件类保护包括三个等级:公开、受限、加密。如果一个受限文件受到攻击,该等级的攻击值(受限文件)需要增加到攻击求和中。
抗攻击能力评估需要在具备资质的实验室进行,最终是否获得批准的决定权由PCI PTS成员掌控。由于攻击者可以接触到支付终端设备,PCI PTS特别规定了能够抵抗各种威胁、保护卡持有人敏感数据的安全等级。PCI PTS并不提供相应的解决方案,需要制造商想方设法满足这些条件的要求。PCI PTS 3.1已于2012年3月替代PCI PED 2.1标准,随着安全等级不断提升,终端厂商将面临更加严峻的设计挑战。
发布于 2023-03-05 04:27:08 回复