2127
为确保安全认证咨询服务的有序进行,特提出以下原则:
3.1保密原则。
要求评估单位与用户签订保密协议,在信息安全认证咨询服务过程中严格遵循保密原则,在评估过程中采取严格的管理措施,确保涉及的任何用户保密信息不会泄露给第三方单位或个人,不得利用此信息损害用户利益。
3.2最小影响原则。
要求从项目管理和技术应用层面,最大限度地减少认证咨询服务实施过程对设计院现有信息系统和网络正常运行的可能影响;要求制定认证咨询服务过程中的风险规避计划和应急措施。
3.3规范原则。
要求评估机构在充分总结多年信息系统安全认证咨询服务实践经验的基础上,确定规范的方案;在信息安全认证咨询服务任务执行过程中,通过规范的项目管理,严格控制人员、项目实施、质量保证和时间进度。
3.4标准化原则。
3.5完整性原则。
完整性原则包括以下两个层次:
评估内容的完整性——在认证咨询服务工作中,需要综合考虑评估信息系统的技术措施、人员、业务和运行维护,包括信息安全管理系统和信息技术服务管理系统的认证咨询服务合同要求。
评估过程的完整性——要求信息安全评估过程遵循科学、规范、严谨的原则。
3.6互动原则。
在信息安全管理体系和信息技术服务管理体系认证咨询服务过程中,要求用户单位人员参与,双方共同组成项目实施部门,确保项目实施效果,提高设计院的整体安全技能和安全意识。
长按屏幕识别二维码
打开手机扫描二维码
