信息安全行业:法律法规、管理体系、产品标准、服务资质、工程师能力
一、法律法规、标准规范(管理体系、过程、产品)、认证(机构服务资质、工程师专业能力)
1. 法律法规
《中华人民共和国网络安全法》
《等级保护2.0标准》
《通用数据保护条例》 2018年5月25日 欧洲联盟出台《GDPR》,儿童网络隐私保护法(COPPA)、患者数据法(SFS 2008:355)
《网络安全法》、
《数据安全法》、
《个人信息保护法》
《网络数据安全管理条例》 自2025年1月1日起施行
2. 管理体系标准 --国家认证认可监督管理委员会
IS09001 -质量管理体系证书
IS020000 -信息技术服务管理体系认证
ISO27001 -信息安全管理体系认证, 包括两个部分:BS7799-1信息安全管理实施规则,BS7799-2信息安全管理体系规范。 认证机构必需是经过CNCA国家认证监督委员会(认监委)
ISO27701 -隐私信息管理体系认证
ISO27017 -云服务信息安全管理体系认证
ISO27018 -公有云个人可识别信息管理体系认证
3. 过程标准
// 国家标准全文公开系统: https://openstd.samr.gov.cn/bzgk/gb/index
// 全国标准信息公共服务平台: https://std.samr.gov.cn
【等级保护·相关】
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 信息系统安全等级保护实施指南》(GBT25058-2010)
《信息安全技术 信息系统安全等级保护定级指南》(GBT22240-2008)
《信息安全技术 网络安全等级保护设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 信息系统安全等级保护测评过程指南》(GBT28449-2012)
【数据安全·相关】
*《信息安全技术 网络数据处理安全要求》(GB/T 41479-2022)
*《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)
《数据管理能力成熟度评估模型DCMM》(GB/T 36073-2018)
《信息安全技术 数据安全能力成熟度模型DSMM》(GB/T 37988-2019)
《数据安全技术 数据分类分级规则》(GB/T 43697-2024)
《20230257-T-469 数据安全技术 数据安全风险评估方法
《20240405-T-469 数据安全技术 数据安全保护要求
《20230256-T-469 数据安全技术 数据安全评估机构能力要求
《20240331-T-469 数据安全技术 数据接口安全风险监测方法
《20240401-T-469 数据安全技术 数据安全和个人信息保护社会责任指南
《YD/T 4558-2023 数据安全治理能力通用评估方法
*《YD/T 3956-2024 电信领域数据安全风险评估规范
*《 工业领域数据安全风险评估规范
《DB4403/T 439—2024 公共数据安全评估方法
《JR/T 0197-2020 金融数据安全--数据安全分级指南
《YD/T 3736-2020 电信运营商大数据安全风险及需求
《YD/T 3801-2020 电信网和互联网数据安全风险评估实施方法
4. 产品标准
5. (机构)资质测评与审核
(DJCP)《网络安全等级测评与检测评估机构服务认证证书》 -由公安部第三研究所颁发
CNAS-CI01-A018《检验机构能力认可准则在网络安全等级测评领域的应用说明》 -由CNAS中国合格评定国家认可委员会颁发
《数据安全服务能力·评定资格证书》(数据安全评估、数据安全建设) -由“中国计算机行业协会数据安全专业委员会” + “中国软件评测中心CSTC”联合颁发
CCRC信息安全服务资质(风险评估/应急处理/安全集成/安全运维/软件安全开发) -由CCRC“中国网络安全审查认证和市场监管大数据中心”(原,中国网络安全审查技术与认证中心),内设ISCCC“国家信息安全产品质量检验检测中心” https://www.isccc.gov.cn/ycpd/gjxxaqcprz/
CNITSEC信息安全服务资质(信息安全工程、信息安全灾难恢复、安全开发、风险评估、信息系统审计、云计算安全、数据安全、安全运营) -由中国信息安全测评中心(CNITSEC)(简称:国测)的测评与审核 http://www.itsec.gov.cn/fwzz/
《国家信息安全漏洞库(CNNVD)技术支撑单位等级证书(三级)》 -由中国信息安全测评中心CNITSEC(简称:国测)的测评与审核, http://www.itsec.gov.cn/
ITSS信息技术服务标准证书 -由中国电子工业标准化技术协会信息技术服务分会认证。
CESSCN通信网络安全服务能力评定证书(风险评估、安全设计与集成、应急响应服务、安全培训) -由中国通信企业协会通信网络安全专业委员会颁发
6. (工程师)能力认证
CCRC-->DSO 数据安全官 DCO 数据合规官
CISP-->DSG 注册数据安全治理专业人员
ISACA-->CDPSE 国际注册数据隐私安全专家
CSA --> CDSP 数据安全认证专家
二、主体(授权机构、认可机构、认证机构、企业)
1. 标准-制定机构
2. 监管-授权机构,授权第三方提供认证服务
中国国家认证认可监督管理委员会CNCA
3. 技术-认证/验证机构,提供标准测评,证书发放
对提供信息安全服务的组织和单位资质进行审核、评估和认定。
是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。目前分为:等八大类。
北京赛迪认证中心
公安部第三研究所--认证中心 认证和发放《网络安全等级测评与检测评估机构服务认证证书》,《网络安全等级保护测评机构服务认证获证机构名录》
4.企业
P.S. 咨询培训-辅导机构
三、具体安全项
3.1 网络安全等级保护测评资质
网络安全等级保护测评资质主要包括以下几种:
等保测评机构资质: 由公安部第三研究所颁发,评估机构的能力和资质是否达到进行等保测评的要求。
等保测评工程师资质:由国家信息安全测评中心颁发,评估个人的等保测评能力和水平是否符合要求。
等保测评实验室资质:由国家信息安全测评中心颁发,评估等保测评实验室的设备、环境和能力是否符合要求。
等保测评工具资质: 由国家信息安全测评中心颁发,评估等保测评工具的质量和安全性是否达到要求。
等保测评资质的申请流程如下:
确定信息系统的个数和每个信息系统的等保级别。
对于满足申请条件且通过复审的单位,等保办会颁发《网络安全等级保护测评机构推荐证书》。
每年1月份对所推荐测评机构进行年审。
确认定级对象,参考《定级指南》等初步确认等级,组织专家评审,主管单位审核,机关备案审查。
持定级报告和备案表等材料到机关网安部门进行备案。
等保测评的标准和要求: https://www.doc88.com/p-14787766289701.html
《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019)规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。
该标准适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全状况进行安全测评并提供指南,
也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。等级测评是依据国家网络安全等级保护管理制度规定,
按照有关管理规范和技术标准对涉及国家机密的信息系统安全保护状况进行分等级测试评估的活动。
3.2 数据安全
附录 A: 权威机构
//--国家----
公安部网络安全等级保护评估中心 CSPEC - CIIPT网络安全等级测评师
中国计算机协会数据安全专业委员会 CCIA -
*中国网络安全审查认证和市场监管大数据中心 CCRC - https://www.isccc.gov.cn/
{DSO数据安全官/DCO数据合规官}
*中国信息安全测评中心 CNISEC - CISP/CISM
{CISP-DSG注册数据安全治理专业}
//--国际-----
*国际信息系统审计与控制协会 ISACA - CDPSE/CISA/CISM
*{CDPSE 国际注册数据隐私安全专家}
*国际信息系统安全认证机构(ISC)2 - CISSP/CCSP注册云安全专家
国际云安全联盟 CSA -
{CDSP国际数据安全认证专家}
国际信息科学考试学会 EXIN -
{DPO数据保护官}
国际电子商务顾问委员会(EC-Council) - CEH道德骇客(正派黑客)认证
kali 公司 Offersive Secutity - OSCP渗透测试领域的权威认证
附录 B: 标准下载
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=BAFB47E8874764186BDB7865E8344DAF
附录 C: 浙江鑫诺检测技术有限公司证书实例
数据安全服务能力评定资格证书
一、 【认证/评定资质】
资质证书:数据安全能力成熟度DSMM认证
证书编号: CNCA-R-2003-085
发证机构:中国国家认证认可监督管理委员会CNCA
发证日期:
有效期至:
二、 【服务资质】
资质证书:数据安全能力成熟度DSMM等级证书
证书编号:
发证机构:北京赛迪认证中心
发证日期:
有效期至:
资质证书:数据安全服务能力·评定资格证书(数据安全建设、数据安全评估)
证书编号:CH
发证机构:中国计算机行业协会数据安全专业委员会 + 中国软件评测中心
发证日期:
有效期至:
资质证书:信息安全服务资质认证
证书编号:ISCCC-2014-ISV-ER-071 (+) ISCCC-2014-ISV-RA-108
发证机构:中国信息安全认证中心ISCCC
发证日期:2023-11-25
有效期至:2026-11-24
资质证书:信息安全服务资质认证(信息系统安全运维、信息安全风险评估、信息安全应急处理)
证书编号:CCRC-2024-ISV-ER-037 (+) CCRC-2024-ISV-RA-037 (+) CCRC-2044-ISV-SM-037
发证机构:中国网络安全审查认证和市场监管大数据中心CCRC/中国信息安全测评中心(CNITSEC)
发证日期:
有效期至:
三、【管理体系】
资质证书:隐私信息管理体系认证证书(IS027701)
证书编号:
发证机构:杭州万泰认证有限公司
发证日期:
有效期至:
资质证书:数据存储安全管理体系认证(IS027040)
证书编号:
发证机构:杭州万泰认证有限公司
发证日期:
有效期至:
资质证书:信息技术服务管理体系认证(ISO20000)
证书编号:0152023ITSM14R0S
发证机构:杭州万泰认证有限公司
发证日期:
有效期至:
资质证书:信息安全管理体系认证
证书编号:CNISMS016297
发证机构:江苏艾凯艾国际标准认证有限公司/杭州万泰认证有限公司
发证日期:
有效期至:
资质证书:质量管理体系认证(ISO9001)
证书编号:CNQMS016294
发证机构:中国认监委/杭州万泰认证有限公司
发证日期:
有效期至:
资质证书:中国职业健康安全管理体系认证
证书编号:15/23S0434R00
发证机构:中国认监委/杭州万泰认证有限公司
发证日期:
有效期至:
资质证书:环境管理体系认证
证书编号:15/23E0434R00
发证机构:中国认监委/杭州万泰认证有限公司
发证日期:
有效期至:
浙公网安备 33010602011771号