简介
【信息安全服务资质】是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。
通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行quanwei、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
适用范围
涉及信息安全服务行业,信息系统安全运营服务的提供者;
评定方向
信息安全风险评估
对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的过程。
信息安全应急处理
为应对信息系统运行过程中突发/重大信息安全事件的发生所做的准备,在事件发生时,按照既定的程序对事件进行处理,以及在事件发生后所采取措施的过程。
信息系统安全集成
按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行集成的行为或活动。
信息系统灾难备份与恢复
将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的过程。
软件安全开发
为解决软件产品的漏洞问题,而将安全活动集成到系统开发和软件质量保证活动中,在软件开发的每个关键点嵌入安全要素,通过安全需求分析、安全设计、安全编码、安全测试等专业手段,解决各阶段可能出现的安全问题,有效减少软件产品潜在的漏洞数量,提高软件产品安全质量的活动。
信息系统安全运维
从面向业务的运维服务出发,依据安全需求对信息系统进行安全运维准备、安全运维实施,并对实施安全运维服务的有效性进行评审,从而进行持续性改进,全过程、全生命周期地为信息系统运行提供安全保障的过程。
网络安全审计
是指网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经济性进行检查、监督,通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件的活动。
证书级别
信息安全服务资质认证级别分为一级、二级、三级共 3 个级别,其中一级Zui高。
证书有效期为 3 年。在有效期内,证书的有效性依赖网安中心的监督审核获得保持。证书有效期届满前 30天内,认证委托人未提出终止使用认证证书,且监督审核结果合格的,网安中心应换发新证书。
监督审核:网安中心委派审核组对信息安全服务提供者进行现场审核,原则上采取事先不通知的方式。监督审核周期不大于12个月。
申报条件
(1)拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要;
(2)技术负责人应具备与申报类别一致的信息安全服务管理能力;
(3)从事信息安全服务6个月以上;
(4)建立并运行文档、项目、保密、供应商管理程序;
(5)应配备承担信息安全服务所需的安全、可信的软硬件工具和设备;
(6)建立和制定信息安全服务所需的流程和规范,并遵照实施;
通用评价要求
◆办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
◆人员能力要求
技术负责人应具备与申报类别一致的信息安全服务管理能力;项目负责人、项目工程师应具备与申报类别一致的信息安全服务技术能力。
◆业绩要求
三级:
a)从事信息安全服务6个月以上。
b) 近3年内签订并完成至少1个信息安全服务项目。
二级:
a) 从事信息安全服务3年以上,或取得信息安全服务三级1年以上。
b) 近3年内签订并完成至少6个信息安全服务项目。
一级:
a) 从事信息安全服务5年以上,或取得信息安全服务二级1年以上。
b) 近3年内签订并完成至少10个信息安全服务项目。
◆服务管理要求
a)建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确项目产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。
b)建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程,提供项目风险管理记录。
c) 建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。
d) 建立与运行供应商管理程序,确保其供应商满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向)。
◆技术工具要求
应配备承担信息安全服务所需的安全、可信的软硬件工具和设备。
认证一级的单位,关键软硬件工具和设备的安全性应获得第三方评价或者证明。。
◆服务技术要求
建立和制定信息安全服务所需的流程和规范,并遵照实施。
申报流程
