信息安全服务资质证书(共8篇)
篇1:信息安全服务资质证书
国家信息安全测评
信息安全服务资质申请指南
(安全工程类一级)
2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
一、认定依据................................................................................................................................4
二、级别划分................................................................................................................................4三、一级资质要求........................................................................................................................4
3.1 基本资格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5
3.2.1 组织与管理要求.....................................................................................................5 3.2.2 技术能力要求.........................................................................................................5 3.2.3 人员构成与素质要求.............................................................................................6 3.2.4 设备、设施与环境要求.........................................................................................6 3.2.5 规模与资产要求.....................................................................................................6 3.2.6 业绩要求.................................................................................................................6 3.3 安全工程过程能力要求...................................................................................................7 3.4 项目和组织过程能力要求...............................................................................................7
四、资质认定................................................................................................................................8
4.1认定流程图........................................................................................................................8 4.2申请阶段.............................................................................................................................9 4.3资格审查阶段.....................................................................................................................9 4.4能力测评阶段.....................................................................................................................9
4.4.1静态评估..................................................................................................................9 4.4.2现场审核................................................................................................................10 4.4.3综合评定................................................................................................................10 4.4.4资质审定................................................................................................................10 4.5证书发放阶段...................................................................................................................10
五、监督、维持和升级..............................................................................................................11
六、处置......................................................................................................................................11
七、争议、投诉与申诉..............................................................................................................11
八、获证组织档案......................................................................................................................12
九、费用及周期..........................................................................................................................12
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
引言
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:
1.为信息技术安全性提供测评服务; 2.信息安全漏洞分析; 3.信息安全风险评估;
4.信息技术产品、信息系统和工程安全测试与评估; 5.信息安全服务和信息安全人员资质测评; 6.信息安全技术咨询、工程监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC提出信息安全工程服务一级资质申请的境内外组织。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
一、认定依据
信息安全工程服务资质认定是对信息安全工程服务提供者的资格状况、技术实力和安全工程实施过程质量保证能力等方面的具体衡量和评价。
信息安全工程服务资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全工程服务资质具体要求,在对申请组织的基本资格、技术实力、信息安全工程服务能力以及安全工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全工程服务资质认定是对信息安全工程服务提供者的综合实力的客观评价和确认,信息安全工程服务资质级别反映了信息安全工程服务提供者从事信息安全工程服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全工程过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级 二级:计划跟踪级 三级:充分定义级 四级:量化控制级 五级:持续改进级三、一级资质要求
申请信息安全工程服务一级资质的组织需要在基本资格和基本能力、安全工程过程能力和项目与组织过程能力等几个方面符合《信息安全工程服务一级资质具体要求》的规定。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
3.1 基本资格要求
申请信息安全工程服务资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求 3.2.1 组织与管理要求
1.必须拥有健全的组织和管理体系,为持续的信息安全工程服务提供保障;
2.必须具有专业从事信息安全工程服务的队伍和相应的质量保证; 3.与安全工程服务相关的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求
1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术; 2.具有不断的技术更新能力;
3.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
4.能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;
5.具有对发生的突发性安全事件进行分析和解决的能力;
6.具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;
7.具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力;
8.具有对集成的信息系统进行检测和验证的能力; 9.有能力对信息系统系统进行有效的维护;
10.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
3.2.3 人员构成与素质要求
1.具有充足的人力资源和合理的人员结构;
2.所有与信息安全服务有关的管理和销售人员应具有基本的信息安全知识;
3.有相对稳定的从事信息安全服务的技术队伍;
4.技术骨干人员应系统地掌握信息系统安全基础理论和核心技术,并有足够的专业工作经验;
5.必须有2名以上(含2名)专职的注册信息安全专业人员(CISP)。
3.2.4 设备、设施与环境要求
1.具有固定的工作场所和良好的工作环境; 2.具有先进的开发、测试或模拟环境; 3.具有先进的开发、生产和测试设备;
4.具有实施相关服务必需的开发、生产和测试工具。
3.2.5 规模与资产要求
1.有足够的注册资金和充足的流动资金;
2.具有与所申请安全服务业务范围、承担的安全工程规模相适应的服务体系;
3.有足够的人员从事直接与信息安全服务相关的活动。
3.2.6 业绩要求
1.从事信息安全服务1年以上; 2.至少承接过2个以上的安全工程项目;
3.近3年完成的信息安全服务的项目总值应在100万以上;
4.近3年内在信息安全工程服务方面,没有出现验收未通过的项目。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
3.3 安全工程过程能力要求
安全工程过程能力是评价信息安全工程服务专业水平高低的标志。申请组织应能实施以下11个安全工程过程域: 1.评估系统面临的安全威胁; 2.评估系统的脆弱性; 3.评估安全对系统的影响; 4.评估系统的安全风险; 5.确定系统的安全需求; 6.为系统提供必要的安全输入; 7.管理系统的安全控制; 8.监测系统的安全状况; 9.安全协调;
10.检验并证实系统的安全性; 11.建立并提供安全性保证论据。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价信息安全工程服务规范性和质量保证成熟度标志。
申请组织应能实施以下8个项目和组织过程域: 1.质量保证; 2.管理配置; 3.管理项目风险; 4.监控技术活动; 5.规划技术活动; 6.管理系统工程支持环境; 7.提供不断发展的技能和知识; 8.与供应商协调。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
四、资质认定
4.1认定流程图
申请委托人申请不受理形式化审查申请阶段资格审查阶段受理决定受理静态评估现场审核限期整改综合评定不通过综合评定通过资质审定不通过发证决定抽样检查通过证书发放不予发证能力测评阶段证书发放阶段公告证后监督证后监督阶段
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
4.2申请阶段
申请组织应首先到CNITSEC网站(http://ITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将向申请组织发出受理通知书,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段
当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.4.1静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全工程服务能力做出基本判断,初步确定申请组织的信息安全工程服务能力水平状况,发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
为现场审核做准备。如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
4.4.2现场审核
现场审核是对申请组织从事信息安全工程服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定
在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全工程服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。逾期未整改的,视作整改不符合。
4.4.4资质审定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全工程服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段
资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全工程过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。根据申请组织的变化情况,CNITSEC将进行换证维持的资质审查或进一步要求进行现场审核,以确定获证组织符合信息安全工程服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://ITSEC申请二级资质。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证企业的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上,升级,确认或者复核换证时,只需补交所要求的相应材料,CNITSEC实行记录累加制度。
九、费用及周期
信息安全服务资质认定收费划分为如下四个部分:
(一)申请费:2000元
(二)测评费:3000元/人日
(三)审定与注册费(含证书费):3000元
(四)年金(含标志使用费):5000元/年
获得一级资质证书总体费用:
2000(申请费)+3000×3×2(三人二日测评费)+3000(审定与注册费)+5000(一年年金)=28000元。
申请组织还应承担因现场审核活动审核组成员所发生的交通和食宿费用。
从受理到颁发证书的周期为三个月,但由于申请方原因(如,资料补充需要的时间等)造成的时间不计算在内。
发布日期:2008年8月1日
篇2:信息安全服务资质证书
金振朝
有媒体报道,某在线金融产品导购和销售平台正式对外宣布已获得国内首张金融信息服务牌照,这也意味某金融超市已获得央行、证监会等监管机构认可,成为全国首家获得金融信息服务牌照的互联网金融公司。
更为吸引眼球的是,该报道还声称该平台获得的金融信息牌照,是由央行、银监会、北京市工商局、北京市金融工作局等多家政府机构核准颁发。该牌照获取难度相当大,目前全国范围内,获得此一资质牌照的只有该平台和另外一家互联网金融公司。
那么,究竟什么是金融信息牌照?如何能获得该牌照?颁发该牌照的机构和法律依据是什么?对此类问题,笔者进行了一些探寻。
经了解,一般认为,金融信息服务业是金融行业的核心成分与新生力量。其有三个大版块组合而成:金融资讯、第三方支付、网络信贷。关于什么是金融信息服务资质,笔者未见到有关权威定义,也未见有关法律法规有明确规定。
笔者在baidu上输入金融信息服务资格证搜索,除了一些个人金融相关从业资格,亦未发现该种资质证书。(见图1)
根据《行政许可法》有关规定,设定和实施行政许可,应当依照法定的权限、范围、条件和程序。设定和实施行政许可,应当遵循公开、公平、公正的原则。有关行政许可的规定应当公布;未经公布的,不得作为实施行政许可的依据。法 律可以设定行政许可。尚未制定法律的,行政法规可以设定行政许可。尚未制定法律、行政法规的,地方性法规可以设定行政许可;尚未制定法律、行政法规和地方性法规的,因行政管理的需要,确需立即实施行政许可的,省、自治区、直辖市人民政府规章可以设定临时性的行政许可。临时性的行政许可实施满一年需要继续实施的,应当提请本级人民代表大会及其常务委员会制定地方性法规。地方性法规和省、自治区、直辖市人民政府规章,不得设定应当由国家统一确定的公民、法人或者其他组织的资格、资质的行政许可;不得设定企业或者其他组织的设立登记及其前置性行政许可。其设定的行政许可,不得限制其他地区的个人或者企业到本地区从事生产经营和提供服务,不得限制其他地区的商品进入本地区市场。
根据上述规定,如果确实存在所谓的金融信息服务资质,并且该资质属于行政许可性质,则必然前提为存在相关法律、行政法规依据,地方性法规和省、自治区、直辖市人民政府规章不宜设定这类行政许可。笔者尚未见相关法律、行政法规出台规定诸如P2P网络借贷机构的设立必须具备金融信息服务资质。
根据《金融许可证管理办法》,金融许可证是指中国银行业监督管理委员会(以下简称银监会)依法颁发的特许金融机构经营金融业务的法律文件。金融许可证制度自1994年开始实施,是以行政管理为核心的金融监管制度下建立起来的,该制度在一定时间内强化了监管当局对金融机构的管理,也增强了金融机构依法经营的意识。金融许可证适用于银监会监管的、经批准经营金融业务的金融机构。金融机构包括政策性银行、商业银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、农村资金互助社、金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司等。
该办法规定的金融机构,并未包括金融信息服务业。并且,该办法规定,金融许可证的颁发、更换、吊销等由银监会依法行使,其他任何单位和个人不得行使上述职权。可见,金融许可证与所谓的金融信息服务资质无关。
2009年4月,国务院新闻办、商务部、国家工商总局联合发布《外国机构在中国境内提供金融信息服务管理规定》,该规定所称金融信息服务,是指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场 的信息和/或者金融数据的服务。该服务不同于通讯社服务。国务院新闻办公室为外国机构在中国境内提供金融信息服务的监督管理机关。外国机构在中国境内提供金融信息服务,必须经国务院新闻办公室批准。未经国务院新闻办公室批准的外国机构,不得在中国境内提供金融信息服务。国务院商务主管部门应当自受理申请之日起30个工作日内作出批准或者不批准决定。予以批准的,发给《外商投资企业批准证书》;不予批准的,书面通知申请人并说明理由。
上述规定主要适用于外国金融信息服务提供者,并且批准证书为《外商投资企业批准证书》,亦与所谓金融信息服务资质无关。
在国内权威法律信息查询网站北大法律信息网上输入“金融信息服务”字样模糊搜寻,除了查到上述《外国机构在中国境内提供金融信息服务管理规定》外,并未见其他有关规定。(见图2)
根据《互联网信息服务管理办法》(国务院令第292号),国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。未取得许可或者未履行备案手续的,不得从事互联网信息服务。经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。英文全称为 Internet Content Provider, 简写为ICP 根据该办法规定,国家对提供互联网信息服务的ICP实行许可证制度。从而,ICP证成为网站经营的许可证,经营性网站必须办理ICP证,否则就属于非法经营。因此,办理 ICP证是企业网站合法经营的需要。从事经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证。(见图3)
因此,所谓“金融信息服务资质”,因未见相关法律规定,笔者无法对其进行法律评价,如有其存在,也似乎超出了现有法律、行政法规规定的行政许可设定范围。对于目前的国内P2P借贷平台,除了按《互联网信息服务管理办法》规定须互联网信息服务增值电信业务经营许可证外和依法办理工商注册登记外,笔者未见关于其设立的前置审批规定。
通过上述分析,所谓“某金融超市获得国内首张金融信息服务资质”,无非属于下列两类情形之一:
其一,“由央行、银监会、北京市工商局、北京市金融工作局等多家政府机构核准”,但相关核准依据并未出台,属于行政特批。
其二,实质就是互联网信息服务增值电信业务经营许可证,不过被有些人别有用心地“拿鸡毛当令箭”而已。
篇3:利用证书服务实现安全收发邮件
1前言
电子邮件在Internet上有着非常广泛的应用, 它极大地方便了人与人之间的交流和沟通, 但是邮件传输是否安全, 能否抵御网络上各种各样的攻击, 成为人们一直研究的课题。证书服务在保证电子邮件安全性中起到了重要的作用。
2公钥基础设施PKI
PKI根据公钥密码编码学提供数据加密、身份认证与确保数据完整性的功能。当发件人通过网络将数据发送给收件人时, 可以利用PKI将发送的数据加密, 在收件人的计算机收到数据后, 会验证该数据是否由发件人本人授权, 同时还可以确认数据的完整性, 即检查数据在发送过程中是否被改动。
2.1公钥加密
PKI使用公钥加密将数据加密、解密。发件人如果要发送一封经过加密的电子邮件给收件人, 其发送过程是:发件人必须先获得收件人的公钥, 利用此密钥将电子邮件加密, 由于接受方的私钥只保存在他的计算机中, 只有他的计算机才可以将此邮件解密, 因此他可以正常读取此邮件。其他用户即使成功拦截这封邮件也读不到邮件的内容, 因为他们无法获得收件人的私钥, 无法将其解密。
2.2公钥认证
发件人可以利用公钥认证对要发送的数据进行数字签名, 收件人在收到数据后, 便能通过此数字签名来验证数据是否确实是由发件人本人发出的, 同时还会检查数据在发送的过程中是否被改动。发件人如果要发送一封经过签名的电子邮件给收件人, 其发送过程是:发件人利用自己的私钥将邮件进行数字签名, 然后通过网络将邮件发送给收件人, 由于公钥和私钥是一对的, 收件人必须先获得发件人的公钥, 才可以利用此密钥来验证此封邮件是否是发件人本人发送的, 并检查此邮件是否被改动。
发件人的电子邮件经过message hash算法的运算处理后, 产生一个message digest, 这是数字指纹;发件人的email软件利用发件人的私钥使用公钥加密算法将此message digest email软件将原电子邮件一起发送给收件人;收件人的email软件会将收到的电子邮件与数字签名分开处理, 其中电子邮件经过message hash算法的重新处理后, 产生新的message digest, 而数字签名则经过公钥加密算法的解密处理后, 可得到发件人发来的原message digest;如果新message digest与原message digest是相同的, 说明邮件没有问题, 否则就会是邮件被篡改或是由假冒身份者发来的。
3电子邮件保护证书
使用电子邮件保护证书需要在服务器端添加活动目录证书服务 (AD DS) 角色, 将企业根CA或独立根CA安装到域控制器里, 然后客户端才能申请证书。这里仅讨论如何申请证书以及如何利用证书发送经过签名或加密的电子邮件。
发件人和收件人都需要申请证书, 申请证书的前提条件是:发件人和收件人均为域中的用户, 并且在两人的用户属性中均已设置好他们的电子邮箱。
3.1利用“证书申请向导”向企业CA申请证书
1.在客户端打开MMC, 从“可用的管理单元”中添加“证书”管理单元。
2.在“个人”上单击右键, 选择“所有任务”→“申请证书”→“下一步”。
3.在“证书注册”界面里, 选择“用户”→“注册”。
4.在“证书安装结果”界面里, 单击“完成”。
在申请证书时, 公钥与私钥也同时创建完成, 并自动将私钥存储到客户端计算机的注册表中, 然后将证书申请数据与公钥一起发送到CA。
3.2利用“Web浏览器”向独立CA申请证书
如果客户端要向独立CA申请证书, 则只能利用Web浏览器向独立CA申请证书, 而不能利用证书申请向导。
1.在客户机上以用户登录。
2.将浏览器IE的“本地Internet”的安全级别降为“低”级别。
3.将CA网站加入到本地Intranet:在“本地Internet”的“安全”标签下, 单击“站点”, 选择“高级”, 在弹出的对话框中将CA网站地址添加到区域中, 然后单击“关闭”, 两次单击“确定”。
4.运行浏览器IE, 并输入以下URL地址:http://独立CA的IP地址/certsrv。
5.单击“申请证书”→“电子邮件保护证书”。
6.在“IE安全”对话框中选择“不再对此程序显示此警告”, 单击“允许”→“是”。
7.输入个人资料, 其中“电子邮件”应与所使用的邮箱相同, 然后“提交”→“是”。
8.此时证书正在挂起, 待独立CA的管理员手动发放证书后, 再连接CA, 下载证书。
9.在服务器端, 系统管理员在CA中选择“挂起的申请”, 单击右键选择“所有任务”→“颁发”, 颁发后的证书会被转移到“颁发的证书”文件夹中。
10.在客户端利用浏览器连接到独立根CA, 然后单击“查看挂起的证书申请的状态”, →“电子邮件保护证书”→“安装此证书”。
11.选择“工具”→“Internet选项”→“内容”→“证书”, 在“个人”选项卡中可以查看到此证书。
12.将浏览器IE的本地Intranet的安全级别恢复到原设置。
3.3利用证书来发送经过签名或加密的电子邮件
3.3.1发件人发送一封经过签名的电子邮件给收件人
发件人在发送电子邮件之前, 先在发件人账户的邮件属性中的“安全”标签下, 单击“签署证书”下的“选择”, 进入“选择默认账户数字ID”对话框, 选择发件人的电子邮件保护证书后单击“确定”, 然后正常创建邮件和发送邮件即可。
3.3.2收件人接收并读取经过签名的电子邮件
收件人只要在自己的“收件箱”里单击发件人发过来的邮件, 发件人就会自动加入到收件人的联系人列表中, 同时发件人的证书与公钥等相关信息也会存储到收件人的计算机中。收件人选择“工具”→“Windows联系人”, 选择发件人, 单击“打开”→“标识”标签;
打开发件人发过来的邮件, 如果没有被改动, 在邮件的“安全”处会文字说明此邮件没问题, 则单击“继续”后就可以正常阅读邮件;如果邮件“安全”处会文字说明此邮件存在的问题是什么, 并且提出安全警告, 收件人可以单击“查看数字标识”来查看证书。
3.3.3发送一封经过加密的电子邮件
发送方创建新邮件, 编辑邮件内容, 然后单击“签名与加密”图标, 然后发送即可。3.3.4收件人读取加密的电子邮件
在收件箱中双击这封经过加密的邮件, 在邮件的“安全”处会文字说明邮件已被加密。如果没有被改动, 在邮件的“安全”处会文字说明此邮件没问题, 则单击“继续”后就可以正常阅读邮件。
参考文献
篇4:信息安全服务资质证书
信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生所造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。其防范和化解信息安全风险的有效性得到了世界各国的高度认可。风险评估已成为目前各类信息安全服务中需求最为普遍的基础性服务之一。
对于风险评估工作的组织管理和实施,多年来我国政府进行了周密部署,提出了若干工作要求。强调信息安全风险评估是信息安全保障工作的基础性工作和重要环节,应贯穿于网络和信息系统建设运行的全过程,在网络与信息系统的设计、验收和运行维护阶段均应当进行信息安全风险评估。
中国信息安全认证中心作为我国设立的专业认证机构,自成立始就立足社会需求积极筹备信息安全服务资质认证。继2008年推出应急处理服务资质认证后,今年又以GB/T20984《信息安全风险评估规范》等标准为依据,完善相关技术文件,启动了信息安全风险评估服务资质认证,广大企事业单位积极申请,有力地推动了我国风险评估工作的深入实施。
篇5:信息系统集成及服务资质运行维护
第一章 总则
第一条 为做好信息系统集成及服务资质运行维护分项资质(以下称运维资质)认定工作,依据《信息系统集成及服务资质认定管理办法(暂行)》(中电联字〔2015〕1号),制定本实施办法。
第二条 本办法所称信息系统运行维护(以下称运维)服务是指采用信息技术手段及方法,依据需方提出的服务级别要求,对其所使用的信息系统运行环境、业务系统等提供的运维服务。
第三条 本办法所称运维资质认定是指中国电子信息行业联合会(以下称电子联合会)依据本实施办法对从事运维企业的整体实力、运维服务的能力和水平所进行的评价和认定。
第四条 本办法所称运维项目管理人员是指由运维服务企业正式聘用,熟悉运维技术和项目管理专业知识,具备一定运维项目管理工作经验和能力,具有较好的信誉,并受所属企业委托对运维项目进行全面管理的项目负责人。运维项目管理人员包括运维项目经理和运维高级项目经理两个等级。电子联合会对运维项目管理人员实施登记管理。
第五条 电子联合会信息系统集成资质工作委员会(以下称电子联合会资质工作委员会)负责运维资质认定和运维项目管理人员登记的管理工作。电子联合会信息系统集成资质工作办公室(以下称电子联合会资质办)作为电子联合会资质工作委员会的日常办事机构,负责运维资质认定和运维项目管理人员登记的具体组织实施工作。
运维资质认定及监督管理
一、运维资质的申请与认定、证书管理及监督管理除本办法另有规定的事项外,按《信息系统集成及服务资质认定管理办法(暂行)》(中电联字〔2015〕1号)相关要求执行。
篇6:信息安全服务资质证书
(全学网)
全国学生证书信息防伪查询服务网将收录加入全国民办的高等教育机构(非统招生源),职工技术培训学校(机构)、农村成人文化技术培训学校(机构)和其他培训机构(含社会培训机构)等中等职业培训机构,盲人学校、聋人学校、弱智学校、对两类以上残疾人进行教育的学校和附设特教班等特殊教育学校,职工高校、农民高校、管理干部学院、教育学院、独立函授学院、广播电视大学等成人高等学校,工读学校,调整后中等职业学校、中等技术学校、中等师范学校、成人中等专业学校、职业高中学校、技工学校等中等职业学校,完全中学、高级中学、其他学校附设中学班、独立设置的少数民族完全中学、独立设置的少数民族高级中学等普通高中,成人职工高中、成人农民高中等成人高中教育后所颁发的学业证书信息。查询系统不但能够鉴别学业完成证书的真伪,而且为用人单位上网查询学生信息提供了便利。
证书查询系统注意事项
1.查询目的:本系统旨在建立全国民办高等教育机构、中等职业培训机构、特殊教育学校、成人高等学校、工读学校、中等职业学校、普通高中、成人高中等(非统招生源)学生信息的学业完成证书查询平台,便于社会用人单位查找验证学校学生学业完成信息。
2.查询范围:本系统仅面向开通查询服务的院校所颁发学业完成证书的查询,各院校往年证书查询情况和院校开通状况请留意院校特别声明,不能查询的需要向院校咨询。
3.查询内容:姓名、性别、身份证号、证书编号、学习专业、科目、学习年限和毕业时间。
4.查询方法:进入查询系统主页按照毕业证书查询按区域、省份选择查询院校,填写证书编号或身份证号(单选),然后点击查询,会出现学业完成证书的电子档案,请仔细核对电子档案与所持证书的内容是否有误,内容不符则说明所持证书系伪造,并请及时和院校办公室联系。
5.查询规则:本系统面向社会查询不收取任何费用。
6.查询时间:院校开通查询系统后即可随时查询。如毕业证书查询按区域导航未查到所就读院校,说明该院校目前尚未进入本系统,如未查到证书的信息,请向院校咨询。
篇7:从业资质和信息安全排查
为进一步加强我院医疗服务水平,根据《山东省卫生计生委关于开展全省中小学生体检机构从业资质和信息安全排查的紧急通知》文件精神,结合我院实际,我院对资质审核、规范服务及信息安全进行自查情况进行了自查,自查情况如下:
一、资质审核
机厂卫生院现有职工84人,其中:专业技术人员76人,其它人员8人,注册床位数59张,承担着南苑小区、南苑新区、海通小区、胜花小区及周边地区约2.5万余人的医疗卫生、预防保健及社区服务工作。设全科、中医、妇科、口腔科、社服、防疫等6个门诊,放射科、检验科、B超室等3个医技科室,下辖石化卫生所、南苑东区卫生所和滨海看守所卫生所。按照东营区卫生局要求进行校验、注册,计量器具严格按照东营区技术监督局要求鉴定等,无超范围行医情况。
(一)医师、医技类人员资格管理
1、严格按照《中华人民共和国执业医师法》和国家中医药管理局制定的《中医师、士管理办法(试行)》执行医师注册执业管理。
2、医务科严格审查医师资质,未取得医师执业资格者及未经医师执业注册者不得独立从事医疗工作。
3、严格遵守医师执业范围,严禁超范围执业;严格执行医疗技术准入与手术分级管理制度,严禁越级开展手术。
4、对取得医师资格证的人员,须将相关资料及时报人事科,人事科签字审核后,医务科为其办理注册手续并授予处方权,《执业医师证书》、《医师资格证书》交人事科留档。
5、对新调入我院有执业资格的人员,必须在报到工作前先办理执业变更手续,再由本人提出书面申请、科室签具意见后报医务科授予处方权后,方能独立执业。
6、新分配来院并取得了医师资格的研究生,须按程序进行医师执业注册,申请处方权。
7、已取得执业助理医师资格的人员,必须在执业医师指导下从事各项诊疗活动,不能独立执业。
8、医技人员必须取得相应专业技术资格,经科室考核合格后书面报送医务科,在审核同意备案后方可独立执业和出具相关检查报告。
(二)护理类人员资格管理
1、严格按照《护士条例》执行护士注册执业管理。护理部负责本院护士注册管理工作,严格审查护士资质。
2、未取得护士执业资格者及未经护士执业注册者均不得独立从事护理工作。
3、严格遵守护士执业范围,严禁超范围执业。
4、从事护理工作的注册护理人员,必须自觉遵守《护士条例》有关规定。遵照执行卫生行政主管部门规定的其他条件。
5、对新进我院有执业资格的人员,在办理首次注册或变更执业注册后,方能独立执业。调入科室根据其实际业务能力试用1至3个月,经科室考试、考核确定能胜任本科室业务工作的,由科室出具意见后报护理部备案。
6、注册护士在特殊护理岗位工作必须经过相应岗位技能培训方可上岗。
(三)药师资格管理
1、严格按照《药品管理法》、《医疗机构药事管理暂行规定》、《处方管理办法》等法规管理医院药学专业技术人员(以下称药师)。
2、药剂科严格审查药师资质,未取得(中、西药学)药师资格者,不得独立从事药学专业技术工作。确因医院工作需要需独立执业,对取得药士而未达药师职称的药剂人员,应从事药学专业技术工作满3年,并对其人文素质、基础理论、专业技能、相关知识与技能进行必要的考试与考核,合格者,药剂科报主管院长同意,人事科备案后,可以独立从事药学专业技术工作。
3、对新调入有药师以上专业技术任职资格人员,先试用2个月,试用期满后,药剂科应进行必要的综合考试与考核,合格者,药剂科报主管院长同意,人事科备案后,可以独立从事药学专业技术工作。
4、新到的院校毕业生,见习期为1年,不能独立执业。3、药士级别的工作,在上级药师指导下从事普通处方调配工作,并在药房、制剂、库房间轮转强训。见习期满后,如取得专业技术任职资格,由本人将资格证书报人事科备案,按专业技术任职资格管理;如未取得专业技术任职资格,同见习期管理。
二、体检规范服务
(一)对检测人员的要求
1、检测队人员必须是卫生专业技术人员,必须进行岗前培训,熟练掌握检测方法,考核合格后方能上岗。
2、提前到现场做好各项准备工作(如检查、校正仪器等)。
3、检测时严肃认真,操作规范,确保质量。
4、对待受检者应耐心、和蔼,遇到问题时要做细致工作。
5、检测完毕后填写记录并签名或盖章。
6、团结互助、密切配合,共同完成任务。
(二)对受检学生的要求
1、与检测人员密切配合,严肃、认真对待本次检测任务。进行形态测试时,男生只穿短裤,女生穿背心(短袖衫)和短裤。
2、守纪律、听指挥、不乱跑动、不嬉笑打闹,保持检测场所安静。
3、检测前排空大、小便。
(三)仪器设备要求
肺活量 电子肺活量计 标准对数视力表(300-500lx)、串镜、遮眼板、指示棒 一次性使用的口腔器件盒(口镜、探针、镊子)听诊器、叩诊锤、诊断床 检测项目 身 高 体 重 胸 围、腰围 血 压 脉 搏 仪器设备要求 机械式身高坐高计,仪器误差≤1%;测试误差≤0.5厘米 电子体重计、杠杆称,测试误差≤0.1千克 尼龙带尺,尼龙带尺使用前必须经钢卷尺校对,每米误差不得超过0.2厘米;试误差≤1厘米 立柱式水银血压计,医用听诊器 秒表和医用听诊器,测30秒
视 力
龋 齿
内科检查
(四)具体检测指标操作要求
1、机能指标 脉搏
受试者取坐位,右前臂平放在桌面,掌心向上。测试人员坐在右侧,以食指、中指和无名指的指端触压受试者手腕部的桡动脉,测量脉搏。测量脉搏前应先确定受试者为安静状态(即以10秒钟为单位,连续测量三个10秒钟的脉搏,若其中两次测量值相同并与另一次相差不超过一次时,即可认为受试者处于相对安静状态;否则应适当休息,直至符合要求)。测量30秒钟的脉搏,所得数值乘以2即为测量值。记录以次/1分钟为单位。血压
受试者取坐位,右臂自然前伸,平放在桌面,掌心向上。检测人员捆扎袖带时,应平整、松紧适度,肘窝部要充分暴露。摸准肱动脉的位置,将听诊器听诊头放置其上,使听诊头与皮肤密切接触,但不能用力紧压或塞在袖带下。肺活量
测试人员首先将口嘴装在文式管的进气口上,交给受试者。受试者取站立位,可做1-2次深呼吸,手握文式管手柄,将导压软管保持在文式管上方;受试者头部略向后仰,尽力深吸气直到不能再吸气为止;然后,将嘴对准口嘴缓慢地呼气,直到不能呼气为止。此时,显示屏上显示的数值即为肺活量值。测试两次,在体检表上只记录最大值,以毫升为单位,不计小数。
2、形态指标 身高
根据使用说明,用前应校对0点,并用钢尺校准身高坐高计刻度,每10.0 厘米误差不得大于0.1 厘米。同时,应检查立柱是否垂直,连接处是否紧密,有无晃动,零件有无松脱等情况,并及时纠正。受试者赤足,背向立柱站立在身高计的底板上,躯干自然挺直,头部正直,两眼平视前方。耳屏上缘与眼眶下缘最低点呈水平位。上肢自然下垂,两腿伸直。两足跟并拢,足尖分开约60°与立柱相接触,成“三点一线”站立姿势。读数时,检测人员双眼与水平压板平面等高。记录以厘米为单位,精确到小数点后1位。测量误差不得超过0.5厘米.体重
仪器进入正常工作状态后,受试者穿短衣裤、赤足,自然站立在体重计踏板的中央,保持身体平稳。等显示屏上显示的数值稳定后,检测人员记录显示的数值。记录以千克为单位,精确到小数点后1位。测量误差不得超过0.1千克准确度:要求误差不超过0.1%,即每100千克误差小于0.1千克。检验方式是以备用的10千克、20千克、30千克标准砝码(或用等重的标定重物代替)分别进行称量,检查指示读数与标准砝码误差是否在允许误差范围。受试者穿短衣裤、赤足,自然站立在体重秤量盘中央,保持身体平稳。检测人员放置适当砝码并移动游码至刻度尺平衡。记录以千克为单位,精确到小数点后1位。如记录为:28.9kg。测量误差不得超过0.1kg。胸围
尼龙带尺:使用前必须经钢尺校对,每米误差不得超过0.2cm。受检者自然站立,双肩放松,两臂自然下垂,两足分开与肩同宽,保持平静呼吸。检测人员面对受试者,将带尺上缘经背部肩胛下角下缘至胸前围绕一周。男生和未发育的女生,带尺下缘在胸前沿乳头上缘;已发育的女生,带尺在乳头上方与第四肋骨平齐。带尺围绕胸部的松紧度应适宜(皮肤不产生明显凹陷)。带尺上与“0”点相交的数值即为测量值。检测人员在受检者呼气末(平静呼吸)时读取数值。记录以厘米为单位,精确到小数点后1位。测量误差不超过1厘米。腰围
长度为1.5米,宽度为1厘米,最小刻度为0.1厘米的带尺。受检者直立,双臂适当张开下垂,双脚合并,使体重均匀分担在双脚,露出腹部皮肤,测量时平缓呼吸,不要收腹或屏气。测量时将带尺下缘经肚脐上1厘米处,水平绕一周。带尺贴近皮肤,围绕腰部的松紧度应适宜,但避免紧压使皮尺陷入皮肤内。检查皮尺是否水平时,最好有助手在场。检测人员目光与皮尺刻度在同一水平面上。带尺上与“0”点相交的数值即为测量值。
3、五官 视力
⑴视力表放置要求: 距离:5m ⑵光线:照度约300~500lx,避免阳光直射 ⑶高度:5.0一行与视力呈水平检测方法:
先右后左4.0-4.5每行不能认错1个; 4.6-5.0每行不能认错2个 5.1-5.3每行不能认错3个,否则以上一行计。矫正视力
负片提高,正片下降——近视,记录为1 负片下降,正片提高——远视,记录为2 负片、正片均不变——其他,记录为3 龋齿
口腔专业人员进行检查,按象限顺序逐牙检查,对点、隙、窝、沟等易发部位用探针重点检查,必须探诊后方可作出诊断,注意排除生理换牙和外伤失牙。
三、信息安全自查
(一)计算机安全管理制度
1、重视安全工作的思想教育,防患于未然。
2、做好安全保卫工作。
3、杜绝黄色、迷信、反动软件,严禁登录黄色、迷信、反动网站,做好计算机病毒的防范工作。
4、工作人员须随时监测机器和网络状况,确保计算机和网络安全运转。
5、下班后,工作人员必须要关妥门窗,认真检查并切断每一台微机的电源和所有电器的电源,然后切断电源总开关。
(二)操作人员权限等级分配制度
1、院领导统一确定操作人员职能权限。
2、专人负责管理、维修学院所有计算机,出现重大事故应及时报上级领导。
3、用户帐号、密码由网络管理员发放,并统一管理。
4、计算机管理人员需定期维护计算机软件和数据,重要信息定期进行检查和备份。
5、网络管理员负责院用户计算机系统能够正常上网,为用户提供日常网络维护服务和日常数据备份。
(三)账号安全保密制度
1、网络用户的账号、密码不得外传、外借。
2、非法用户使用合法用户的账号进入的,追究该帐号拥有者的安全责任。
3、信息技术产品应用情况:
使用防火墙、安全网闸与入侵检测系统,有效保护信息系统安全。
4、信息安全教育培训情况:
篇8:数字证书在信息安全中的应用分析
1 数字证书的概述
1.1 数字证书的概念
数字证书实质起到的是一种检验的作用, 在进行网络活动的过程中, 可以通过数字证书的验证, 实现对信息来源的有效掌握, 进而判断出信息的安全、可靠性。数字证书之所以被称为数字证书主要是因为其内容是一堆数字代码, 由这些数字组成的数字证书, 具有着标识身份的作用, 可以避免一些有心人士在网络上进行用户身份的造假, 使得交易双方在网络上都可以得到基础性的保障, 为合作的展开奠定良好的信任基础。
1.2 数字证书的作用
要想对数字证书进行了解, 首先就要了解数字证书具有哪些方面的作用, 具体而言, 数字证书具有以下两个方面的作用:
1.2.1 对信息加密技术进行完善
网络是一个高度开放与自由的平台, 用户在进行网络操作的过程中, 要想有效保护自身的隐私, 就要依靠信息加密技术的支持, 但是信息加密技术有一个致命的漏洞, 就是其只认密码而不能对用户进行判断。也就是说, 只要掌握了用户的密码, 任何人都可以冒用用户的身份。数据证书与信息加密技术不同, 其是一种个性化的保障措施, 通过验证数据证书, 用户的身份可以得到一定的保障, 因此弥补了信息加密技术中的不足。
1.2.2 保障网络环境的安全
随着网络经济的迅速发展, 一些不法分子也将目光投注到了网络, 利用钓鱼网站、网络欺诈等方式获取经济上的利益。由于数字证书具有身份上的识别功能, 因此在网络交易的过程中数字证书还可以起到保障网络环境安全的作用, 对一些不法网站进行识别, 避免社会大众以及相关企业受到欺骗。
2 数字证书在信息安全中的应用
数字证书具有着很多基础性的功能包括电子退税以及合同签订等等, 本次研究主要针对的重点是数字证书在信息安全方面的作用, 因此笔者选取了数字证书在BZB交易以及金融领域方面的应用进行探究, 以明确显示出数字证书在信息安全方面的效果, 突出数字证书的优越性。
2.1 保障BZB交易顺利进行
数字证书在信息安全方面的功能十分的强大, 在展开交易活动的企业或者消费者, 其产生的相关数据信息, 会在数据证书的保障下得到有效的保护, 从而不会出现外泄的现象, 也就是说交易的安全和个人的隐私等得到了有效保护。尤其是在交易的过程中, 经常会涉及到一些信用卡信息、证件信息等等, 这些信息一旦外流就会对当事者造成巨大的损失, 而在应用数据证书, 可以在很大一定程度上防止这类问题的发生, 增强信息的安全可靠性。通过调查统计我们可以发现:数字证书在世界范围内已经得到普遍的认可, 并且普及程度也呈现逐年升高趋势。部分企业在对数字证书进行应用之前, 往往会评估数字证书的实效性, 通过将数字证书与传统技术的比较, 降低应用难度, 从而提高数字证书的安装和应用的效率。同时, 数字证书的设计比较人性化, 在具体验证过程中, 以商家信息验证为主, 对于消费者而言, 通过信用卡付款授权就可以达到验证效果, 这在一定程度上简化了交易过程中的难度。由此可见, 数字证书的应用, 可以有效保障BZB交易的顺利进行。
2.2 促进金融行业的发展
金融行业涵盖的内容相对比较丰富, 会对经济持续性发展产生决定性的影响。而如何保障金融领域的信息安全可靠性, 一直是有关研究人员所关注的重点问题。近些年来, 数字证书的技术不断发展成熟, 一些金融企业开始将数字证书应用于网络交易的过程中, 并取得了良好应用效果。其中, 数字证书发挥的主要作用在于:降低了操作人员身份验证的难度, 保障了网络金融交易的安全可靠性。例如, 在未应用数字证书之前, 金融操作人员每进入一个网站, 都要登录一次;每处理一个客户的问题, 都要验证一次信息, 这无疑增加了工作人员的工作量和工作压力。而在应用了数字证书后, 其可以取代传统的身份验证方式, 使得密码不再成为身份验证的唯一方式, 进而减少了工作人员登录过程中的麻烦, 使得金融交易的进行更加顺畅, 促进了整个金融行业的发展。
3 结束语
综上所述, 数字证书对于保障网络信息安全有着重要的作用, 是未来网络身份验证的主要发展趋势之一。就目前来看社会大众对数字证书的认可度并不高, 究其原因与数字证书宣传力度不够以及数字证书涉及的内容过于专业都有着一定的关系。而且在对数字证书应用一段时间以后也可以发现数字证书的应用并没有达到理想的效果, 在很多方面都存在着明显的不足。鉴于此, 我国政府以及相关研究机构应大力加强对数字证书的研究, 对其存在的问题进行不断的完善, 促进其可以在网络经济发展的过程中发挥出自己的作用, 保障网络信息的安全。
摘要:网络技术的完善使得经济发展又找到了一个新的平台, 在现代网络技术、计算机技术的支持下, 网络经济迅速的发展起来。并且随着网络经济的发展, 网络环境的稳定性, 网络交易的安全性等都成为了全社会共同关注的问题。在对电子商务安全性进行研究的过程中, 数据证书成为了保障网络经济可以安全运转的关键。鉴于此, 本文主要就数字证书在信息安全中的应用进行分析, 希望通过笔者的努力可以了解数字证书的相关知识, 提升数字证书在信息安全方面的应用, 保障网络经济的繁荣发展。
关键词:数字证书,信息安全,电子商务,网络经济
参考文献
[1]张越.数字证书在江苏质监行政权力网上公开透明运行信息系统中的应用[J].江苏科技信息, 2013 (07) .
[2]徐徐.数字证书在信息安全中的应用[J].计算机光盘软件与应用, 2014 (14) .
相关文章:
人生安全演讲稿范文01-16
银行客户经理先进材料01-16
安全是人生永恒的主题01-16
安全的人生感悟范文01-16
试卷分析教学反思 语文试卷质量分析教学反思(实用9篇)01-16
网络信息安全责任保证书01-16
传承国学文化 发展特色教育01-16
五年级日记:可爱的小白兔01-16
信息化班安全保证书01-16
