? 本文由瑞和信誠為您搜集整理,希望對您企業的發展有所幫助。如果您想了解更多有關于信息安全服務資質認證,請聯系瑞和信誠資深專業咨詢師:010-64439282。
“信息安全服務資質認定”是對信息安全服務的提供者的技術、資源、法律、管理等方面的資質、能力和穩定性、可靠性進行評估,依據公開的標準和程序,對其安全服務保障能力進行評定和確認。為我國信息安全服務行業的發展和政府主管部門的信息安全管理以及全社會選擇信息安全服務提供一種獨立、公正的評判依據。
信息安全服務資質是對信息系統安全服務的提供者的技術、資源、法律、管理等方面的資質和能力,以及其穩定性、可靠性進行評估,并依據公開的標準和程序,對其安全服務保障能力進行認定的過程。目前分為:信息安全工程類、信息安全災難恢復類、安全開發類。
一、安全工程類
信息安全服務(安全工程類)資質認定是對信息安全工程服務提供者的綜合實力的客觀評價和確認,信息安全服務(安全工程類)資質級別反映了信息安全工程服務提供者從事信息安全工程服務保障能力的成熟程度。資質級別劃分的主要依據包括:基本資格與基本能力要求、安全工程過程能力要求、項目與組織管理能力要求和其他補充要求等。
信息安全服務資質分為五個級別,由一級到五級依次遞增,一級是最基本級別,五級為最高級別。
一級:基本執行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續改進級
申請安全工程類(一級)企業需要具備哪些條件呢? (安全工程類二、三、四、五級申請條件請咨詢010-64439282)
1、申請信息安全服務(安全工程類一級)資質的組織必須是一個獨立的實體,具有工商行政管理部門頒發的營業執照,并遵守國家現行法律法規。
2、組織與管理要求 - 必須擁有健全的組織和管理體系,為持續的信息安全工程服務提供保障;
- 必須具有專業從事信息安全工程服務的隊伍和相應的質量保證;
- 與安全工程服務相關的所有成員要簽訂保密合同,并遵守有關法律法規。
3、技術能力要求 - 了解信息系統技術的最新動向,有能力掌握信息系統的最新技術;
- 具有不斷的技術更新能力;
- 具有對信息系統面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析和提供防范措施的能力;
- 能根據對用戶信息系統風險的分析,向用戶建議有效的安全保護策略及建立完善的安全管理制度;
- 具有對發生的突發性安全事件進行分析和解決的能力;
- 具有對市場上的信息系統產品進行功能分析,提出安全策略和安全解決方案及安全產品的系統集成能力;
- 具有根據服務業務的需求開發信息系統應用、產品或支持性工具的能力;
- 具有對集成的信息系統進行檢測和驗證的能力;
- 有能力對信息系統系統進行有效的維護;
- 有跟蹤、了解、掌握、應用國際、國家和行業標準的能力。
4、人員構成與素質要求 - 具有充足的人力資源和合理的人員結構;
- 所有與信息安全服務有關的管理和銷售人員應具有基本的信息安全知識;
- 有相對穩定的從事信息安全服務的技術隊伍;
- 技術骨干人員應系統地掌握信息系統安全基礎理論和核心技術,并有足夠的專業工作經驗;
- 必須有2名以上(含2名)專職的注冊信息安全專業人員(CISP)。
5、設備、設施與環境要求 - 具有固定的工作場所和良好的工作環境;
- 具有先進的開發、測試或模擬環境;
- 具有先進的開發、生產和測試設備;
- 具有實施相關服務必需的開發、生產和測試工具。
6、規模與資產要求 - 有足夠的注冊資金和充足的流動資金;
- 具有與所申請安全服務業務范圍、承擔的安全工程規模相適應的服務體系;
- 有足夠的人員從事直接與信息安全服務相關的活動。
7、業績要求 - 應有從事信息安全服務的經驗;
- 近3年內在信息安全工程服務方面,沒有出現驗收未通過的情況。
8、安全工程過程能力要求,申請組織應能實施以下11個安全工程過程域: - 評估系統面臨的安全威脅;
- 評估系統的脆弱性;
- 評估安全對系統的影響;
- 評估系統的安全風險;
- 確定系統的安全需求;
- 為系統提供必要的安全輸入;
- 管理系統的安全控制;
- 監測系統的安全狀況;
- 安全協調;
- 檢驗并證實系統的安全性;
- 建立并提供安全性保證論據。
9、項目和組織過程能力要求,申請組織應能實施以下6個項目和組織過程域: - 質量保證;
- 管理項目風險;
- 規劃技術活動;
- 監控技術活動;
- 提供不斷發展的技能和知識;
- 與供應商協調。
二、信息安全災難恢復
信息安全災難恢復服務資質級別是對提供信息安全災難恢復服務組織綜合實力的客觀評價,反映了組織的信息安全災難恢復服務資格、水平和能力。資質級別劃分的主要依據包括:基本資格要求、基本能力要求、災難恢復服務過程能力和其他補充要求等。
災難恢復服務過程能力級別是評定信息安全災難恢復服務組織資質的主要標志,標志著服務組織提供給客戶的災難恢復服務專業水平和質量保證程度。
《信息安全災難恢復服務資質評估準則》將信息安全災難恢復服務組織的過程能力分為五個級別,由一級到五級依次遞增,一級是最基本級別,五級為最高級別。
一級:基本執行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續改進級
申請災難恢復類(一級)企業需要具備哪些條件呢? (災難恢復類二、三、四、五級申請條件請咨詢010-64439282)
1、組織與管理要求 - 必須擁有健全的組織機構和管理體系,為持續的信息安全災難恢復服務提供保證;
- 必須具有專業從事信息安全災難恢復服務的隊伍和相應的質保體系;
- 從事信息安全災難恢復服務的所有成員要簽訂保密合同,并遵守有關法律法規。
2、技術能力要求 - 了解信息安全技術的最新動向,有能力掌握信息系統領域的最新技術;
- 具有不斷的技術更新能力;
- 具有對信息系統面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析和提供防范措施的能力;
- 能根據對用戶信息系統風險的分析,向用戶建議有效的安全保護策略及建立完善的安全管理制度;
- 具有對發生的突發性災難事件進行分析和解決的能力;
- 具有對市場上的信息系統產品進行功能分析,提出安全策略和安全解決方案及安全產品的系統集成能力;
- 具有根據服務業務的需求開發信息系統應用、產品或支持性工具的能力;
- 具有對集成的信息系統進行檢測和驗證的能力;
- 有能力對信息系統系統進行有效的維護;
- 有跟蹤、了解、掌握、應用國際、國家和行業標準的能力。
3、人員構成與素質要求 - 具有充足的人力資源和合理的人員結構;
- 所有與信息安全災難恢復服務有關的管理和銷售人員應具有基本的信息安全知識;
- 有相對穩定的從事信息安全災難恢復服務的專業技術隊伍,專業隊伍人員應系統地掌握信息安全災難恢復及信息安全災難恢復基礎理論和核心技術,并有足夠的專業工作經驗;
- 從事信息安全災難恢復服務的管理、銷售和技術的專業人員中,擁有CNITSEC專業資質證書的人員不少于總人數的10%,其中必須至少有2名具有CISP-DRP資質的人員,4名具有CISM-DRP資質的人員。
4、設備、設施與環境要求 - 具有固定的工作場所和良好的工作環境;
- 具有先進的開發、測試或模擬環境;
- 具有先進的開發、生產和測試設備;
- 具有實施相關服務必需的開發、生產和測試工具。
5、規模與資產要求 - 有足夠的注冊資金和充足的流動資金,其中注冊資產應在100萬元以上,流動資金占注冊資產的20%以上;
- 近3年的財務狀況良好,提供相應證明;
- 申請信息安全災難恢復服務的組織應具有與所申請災難恢復服務業務范圍、承擔的災難恢復服務規模相適應的服務體系;
- 有足夠的人員從事直接與信息安全災難恢復服務相關的活動。
6、業績要求 - 從事信息安全服務3年以上;
- 近3年完成的信息安全災難恢復服務的項目總值應在100萬以上;
- 近3年內在信息安全災難恢復服務方面,沒有出現驗收未通過的項目。
三、安全開發類
信息安全服務(安全開發類)資質認定是對信息安全開發服務提供者的綜合實力的客觀評價和確認,信息安全服務(安全開發類)資質級別反映了信息安全開發服務提供者從事信息安全開發保障能力的成熟程度。資質級別劃分的主要依據包括:基本資格與基本能力要求、安全開發過程能力要求、項目與組織管理能力要求和其他補充要求等。
信息安全服務資質分為五個級別,由一級到五級依次遞增,一級是最基本級別,五級為最高級別。
一級:基本執行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續改進級
申請安全開發類(一級)企業需要具備哪些條件呢? (安全開發類二、三、四、五級申請條件請咨詢010-64439282)
1、組織與管理要求 - 必須擁有健全的組織和管理體系,為持續的信息安全開發服務提供保障;
- 必須具有專業從事信息安全開發的隊伍和相應的質量保證;
- 必須具有比較完善的安全管理機制,保證開發的產品安全;
- 與安全開發服務相關的所有成員要簽訂保密合同,并遵守有關法律法規。
2、技術能力要求 - 了解信息技術的最新動向,有能力掌握信息系統的最新技術;
- 具有不斷的技術更新能力;
- 具有對信息系統和信息技術產品面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析和提供防范措施的能力;
- 具有對用戶信息系統和信息技術產品安全風險的分析和處理能力;
- 具有對開發的產品進行安全檢測和驗證的能力;
- 具有對信息技術產品安全進行有效維護的能力;
- 有跟蹤、了解、掌握、應用國際、國家和行業標準的能力。
3、人員構成與素質要求 - 具有充足的人力資源和合理的人員結構;
- 所有與信息安全開發有關人員應具有基本的信息安全知識;
- 有相對穩定的從事信息安全開發的技術隊伍;
- 技術骨干人員應系統地掌握信息安全基礎理論和核心技術,并有足夠的專業工作經驗;
- 必須有2名以上(含2名)專職的注冊信息安全專業人員(CISE或CISD)。
4、設備、設施與環境要求 - 具有固定的工作場所和良好的工作環境;
- 具有先進的開發、生產和測試設備與工具;
5、規模與資產要求 - 有足夠的注冊資金和充足的流動資金;
- 具有與所申請安全服務業務范圍、承擔的安全開發規模相適應的服務體系;
- 有足夠的人員從事與信息安全開發相關的活動。
6、業績要求 - 應有從事信息安全開發的經驗;
- 近3年內在信息安全開發方面,沒有出現驗收未通過的情況。
7、安全開發過程能力要求。申請組織應能實施以下9個安全開發過程域: - 安全意識和安全教育;
- 啟動安全開發過程;
- 產品風險評估和分析;
- 定義安全設計原則;
- 提供安全文檔和安全配置工具;
- 進行安全編碼;
- 進行安全測試;
- 安全最終評審與產品發布;
- 安全響應服務。
8、項目和組織過程能力要求,申請組織應能實施以下6個項目和組織過程域: - 質量保證;
- 管理配置;
- 管理項目風險;
- 規劃技術活動;
- 監控技術活動;
- 提供不斷發展的技能和知識;
- 與供應商協調。
四、風險評估類
信息安全服務(風險評估類)資質認定是對信息安全風險評估服務提供者的綜合實力的客觀評價和確認,信息安全服務(風險評估類)資質級別反映了信息安全風險評估服務提供者從事信息安全風險評估服務保障能力的成熟程度。資質級別劃分的主要依據包括:基本資格與基本能力要求、安全風險評估過程能力要求、項目與組織管理能力要求和其他補充要求等。
信息安全服務資質分為五個級別,由一級到五級依次遞增,一級是最基本級別,五級為最高級別。
一級:基本執行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續改進級
申請風險評估類(一級)企業需要具備哪些條件呢? (風險評估類二、三、四、五級申請條件請咨詢010-64439282)
基本資格要求:申請信息安全服務(風險評估一級)資質的組織必須是一個獨立的實體,具有工商行政管理部門頒發的營業執照,并遵守國家現行法律法規。
1、組織與管理要求 - 必須擁有健全的組織和管理體系,為持續的信息安全風險評估服務提供保障;
- 必須具有專業從事信息安全風險評估服務的隊伍和相應的質量保證;
- 與安全風險評估服務相關的所有成員要簽訂保密合同,并遵守有關法律法規。
2、技術能力要求 - 了解信息系統技術的最新動向,有能力掌握信息系統的最新技術;
- 具有不斷的技術更新能力;
- 具有對信息系統的狀況進行調研、分析和描述的能力;
- 具有對信息系統面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析能力;
- 具有對信息系統的資產及其影響進行識別、分析和評估的能力;
- 具有對信息系統的脆弱性進行識別分析和評估的能力;
- 具有根據信息安全風險的結果提出應對安全措施的能力;
- 具有應用國際國內最新信息安全風險評估方法的能力;
- 有跟蹤、了解、掌握、應用國際、國家和行業標準的能力。
3、人員構成與素質要求 - 具有充足的人力資源和合理的人員結構;
- 所有與信息安全服務有關的管理和銷售人員應具有基本的信息安全知識;
- 有相對穩定的從事信息安全風險評估服務的技術隊伍;
- 技術骨干人員應系統地掌握信息系統安全基礎理論和核心技術,并有足夠的專業工作經驗;
- 必須有2名以上(含2名)專職的注冊信息安全專業人員(CISP)。
4、設備、設施與環境要求 - 具有固定的工作場所和良好的工作環境;
- 具有實施信息安全風險評估服務的相關工具和設備。
5、規模與資產要求 - 有足夠的注冊資金和充足的流動資金;
- 具有與所申請安全服務業務范圍、承擔的安全風險評估規模相適應的服務體系;
- 有足夠的人員從事直接與信息安全風險評估服務相關的活動。
6、業績要求 - 應有從事信息安全風險評估服務的經驗;
- 近3年內在信息安全風險評估服務方面,沒有出現驗收未通過的情況。
7、安全風險評估過程能力要求,申請組織應能實施以下6個安全風險評估過程域: - 風險評估準備
- 評估系統資產的影響;
- 評估系統存在的脆弱性;
- 評估系統面臨的安全威脅;
- 評估系統已有的安全措施;
- 評估系統的安全風險。
8、項目和組織過程能力要求,申請組織應能實施以下6個項目和組織過程域: - 質量保證;
- 管理項目風險;
- 規劃技術活動;
- 監控技術活動;
- 提供不斷發展的技能和知識;
- 與供應商協調。
信息安全服務資質申請流程圖
為什么選擇瑞和信誠?
◆ 優秀的管理團隊
◆ 市場部前期的專業解答;
◆ 咨詢部入場的專業梳理;
◆ 商務部后期的專業跟進;
◆ 呈給您專業的優質服務;
瑞和信誠迄今為止咨詢的企業多達800余家,咨詢的企業涵蓋眾多領域,如冶金、油井勘測、機械制造、物業服務、建筑施工、園林綠化等眾多行業,因其謙虛細致的工作作風,嚴謹認真的工作態度、扎實穩健的咨詢功底,贏得了企業的眾多好評!
以上文章由瑞和信誠為您搜集整理,希望對您企業的發展有所幫助。如果您想了解更多有關于信息安全服務資質認證,請聯系瑞和信誠資深專業咨詢師:010-64439282(或者直接掃描下方二維碼)。
| 
