? 本文由瑞和信誠為您搜集整理,希望對您企業(yè)的發(fā)展有所幫助。如果您想了解更多有關于信息安全服務資質(zhì)認證,請聯(lián)系瑞和信誠資深專業(yè)咨詢師:010-64439282。
“信息安全服務資質(zhì)認定”是對信息安全服務的提供者的技術、資源、法律、管理等方面的資質(zhì)、能力和穩(wěn)定性、可靠性進行評估,依據(jù)公開的標準和程序,對其安全服務保障能力進行評定和確認。為我國信息安全服務行業(yè)的發(fā)展和政府主管部門的信息安全管理以及全社會選擇信息安全服務提供一種獨立、公正的評判依據(jù)。
信息安全服務資質(zhì)是對信息系統(tǒng)安全服務的提供者的技術、資源、法律、管理等方面的資質(zhì)和能力,以及其穩(wěn)定性、可靠性進行評估,并依據(jù)公開的標準和程序,對其安全服務保障能力進行認定的過程。目前分為:信息安全工程類、信息安全災難恢復類、安全開發(fā)類。
一、安全工程類
信息安全服務(安全工程類)資質(zhì)認定是對信息安全工程服務提供者的綜合實力的客觀評價和確認,信息安全服務(安全工程類)資質(zhì)級別反映了信息安全工程服務提供者從事信息安全工程服務保障能力的成熟程度。資質(zhì)級別劃分的主要依據(jù)包括:基本資格與基本能力要求、安全工程過程能力要求、項目與組織管理能力要求和其他補充要求等。
信息安全服務資質(zhì)分為五個級別,由一級到五級依次遞增,一級是最基本級別,五級為最高級別。
一級:基本執(zhí)行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續(xù)改進級
申請安全工程類(一級)企業(yè)需要具備哪些條件呢? (安全工程類二、三、四、五級申請條件請咨詢010-64439282)
1、申請信息安全服務(安全工程類一級)資質(zhì)的組織必須是一個獨立的實體,具有工商行政管理部門頒發(fā)的營業(yè)執(zhí)照,并遵守國家現(xiàn)行法律法規(guī)。
2、組織與管理要求 - 必須擁有健全的組織和管理體系,為持續(xù)的信息安全工程服務提供保障;
- 必須具有專業(yè)從事信息安全工程服務的隊伍和相應的質(zhì)量保證;
- 與安全工程服務相關的所有成員要簽訂保密合同,并遵守有關法律法規(guī)。
3、技術能力要求 - 了解信息系統(tǒng)技術的最新動向,有能力掌握信息系統(tǒng)的最新技術;
- 具有不斷的技術更新能力;
- 具有對信息系統(tǒng)面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析和提供防范措施的能力;
- 能根據(jù)對用戶信息系統(tǒng)風險的分析,向用戶建議有效的安全保護策略及建立完善的安全管理制度;
- 具有對發(fā)生的突發(fā)性安全事件進行分析和解決的能力;
- 具有對市場上的信息系統(tǒng)產(chǎn)品進行功能分析,提出安全策略和安全解決方案及安全產(chǎn)品的系統(tǒng)集成能力;
- 具有根據(jù)服務業(yè)務的需求開發(fā)信息系統(tǒng)應用、產(chǎn)品或支持性工具的能力;
- 具有對集成的信息系統(tǒng)進行檢測和驗證的能力;
- 有能力對信息系統(tǒng)系統(tǒng)進行有效的維護;
- 有跟蹤、了解、掌握、應用國際、國家和行業(yè)標準的能力。
4、人員構成與素質(zhì)要求 - 具有充足的人力資源和合理的人員結構;
- 所有與信息安全服務有關的管理和銷售人員應具有基本的信息安全知識;
- 有相對穩(wěn)定的從事信息安全服務的技術隊伍;
- 技術骨干人員應系統(tǒng)地掌握信息系統(tǒng)安全基礎理論和核心技術,并有足夠的專業(yè)工作經(jīng)驗;
- 必須有2名以上(含2名)專職的注冊信息安全專業(yè)人員(CISP)。
5、設備、設施與環(huán)境要求 - 具有固定的工作場所和良好的工作環(huán)境;
- 具有先進的開發(fā)、測試或模擬環(huán)境;
- 具有先進的開發(fā)、生產(chǎn)和測試設備;
- 具有實施相關服務必需的開發(fā)、生產(chǎn)和測試工具。
6、規(guī)模與資產(chǎn)要求 - 有足夠的注冊資金和充足的流動資金;
- 具有與所申請安全服務業(yè)務范圍、承擔的安全工程規(guī)模相適應的服務體系;
- 有足夠的人員從事直接與信息安全服務相關的活動。
7、業(yè)績要求 - 應有從事信息安全服務的經(jīng)驗;
- 近3年內(nèi)在信息安全工程服務方面,沒有出現(xiàn)驗收未通過的情況。
8、安全工程過程能力要求,申請組織應能實施以下11個安全工程過程域: - 評估系統(tǒng)面臨的安全威脅;
- 評估系統(tǒng)的脆弱性;
- 評估安全對系統(tǒng)的影響;
- 評估系統(tǒng)的安全風險;
- 確定系統(tǒng)的安全需求;
- 為系統(tǒng)提供必要的安全輸入;
- 管理系統(tǒng)的安全控制;
- 監(jiān)測系統(tǒng)的安全狀況;
- 安全協(xié)調(diào);
- 檢驗并證實系統(tǒng)的安全性;
- 建立并提供安全性保證論據(jù)。
9、項目和組織過程能力要求,申請組織應能實施以下6個項目和組織過程域: - 質(zhì)量保證;
- 管理項目風險;
- 規(guī)劃技術活動;
- 監(jiān)控技術活動;
- 提供不斷發(fā)展的技能和知識;
- 與供應商協(xié)調(diào)。
二、信息安全災難恢復 信息安全災難恢復服務資質(zhì)級別是對提供信息安全災難恢復服務組織綜合實力的客觀評價,反映了組織的信息安全災難恢復服務資格、水平和能力。資質(zhì)級別劃分的主要依據(jù)包括:基本資格要求、基本能力要求、災難恢復服務過程能力和其他補充要求等。
災難恢復服務過程能力級別是評定信息安全災難恢復服務組織資質(zhì)的主要標志,標志著服務組織提供給客戶的災難恢復服務專業(yè)水平和質(zhì)量保證程度。
《信息安全災難恢復服務資質(zhì)評估準則》將信息安全災難恢復服務組織的過程能力分為五個級別,由一級到五級依次遞增,一級是最基本級別,五級為最高級別。
一級:基本執(zhí)行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續(xù)改進級
申請災難恢復類(一級)企業(yè)需要具備哪些條件呢? (災難恢復類二、三、四、五級申請條件請咨詢010-64439282)
1、組織與管理要求 - 必須擁有健全的組織機構和管理體系,為持續(xù)的信息安全災難恢復服務提供保證;
- 必須具有專業(yè)從事信息安全災難恢復服務的隊伍和相應的質(zhì)保體系;
- 從事信息安全災難恢復服務的所有成員要簽訂保密合同,并遵守有關法律法規(guī)。
2、技術能力要求 - 了解信息安全技術的最新動向,有能力掌握信息系統(tǒng)領域的最新技術;
- 具有不斷的技術更新能力;
- 具有對信息系統(tǒng)面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析和提供防范措施的能力;
- 能根據(jù)對用戶信息系統(tǒng)風險的分析,向用戶建議有效的安全保護策略及建立完善的安全管理制度;
- 具有對發(fā)生的突發(fā)性災難事件進行分析和解決的能力;
- 具有對市場上的信息系統(tǒng)產(chǎn)品進行功能分析,提出安全策略和安全解決方案及安全產(chǎn)品的系統(tǒng)集成能力;
- 具有根據(jù)服務業(yè)務的需求開發(fā)信息系統(tǒng)應用、產(chǎn)品或支持性工具的能力;
- 具有對集成的信息系統(tǒng)進行檢測和驗證的能力;
- 有能力對信息系統(tǒng)系統(tǒng)進行有效的維護;
- 有跟蹤、了解、掌握、應用國際、國家和行業(yè)標準的能力。
3、人員構成與素質(zhì)要求 - 具有充足的人力資源和合理的人員結構;
- 所有與信息安全災難恢復服務有關的管理和銷售人員應具有基本的信息安全知識;
- 有相對穩(wěn)定的從事信息安全災難恢復服務的專業(yè)技術隊伍,專業(yè)隊伍人員應系統(tǒng)地掌握信息安全災難恢復及信息安全災難恢復基礎理論和核心技術,并有足夠的專業(yè)工作經(jīng)驗;
- 從事信息安全災難恢復服務的管理、銷售和技術的專業(yè)人員中,擁有CNITSEC專業(yè)資質(zhì)證書的人員不少于總人數(shù)的10%,其中必須至少有2名具有CISP-DRP資質(zhì)的人員,4名具有CISM-DRP資質(zhì)的人員。
4、設備、設施與環(huán)境要求 - 具有固定的工作場所和良好的工作環(huán)境;
- 具有先進的開發(fā)、測試或模擬環(huán)境;
- 具有先進的開發(fā)、生產(chǎn)和測試設備;
- 具有實施相關服務必需的開發(fā)、生產(chǎn)和測試工具。
5、規(guī)模與資產(chǎn)要求 - 有足夠的注冊資金和充足的流動資金,其中注冊資產(chǎn)應在100萬元以上,流動資金占注冊資產(chǎn)的20%以上;
- 近3年的財務狀況良好,提供相應證明;
- 申請信息安全災難恢復服務的組織應具有與所申請災難恢復服務業(yè)務范圍、承擔的災難恢復服務規(guī)模相適應的服務體系;
- 有足夠的人員從事直接與信息安全災難恢復服務相關的活動。
6、業(yè)績要求 - 從事信息安全服務3年以上;
- 近3年完成的信息安全災難恢復服務的項目總值應在100萬以上;
- 近3年內(nèi)在信息安全災難恢復服務方面,沒有出現(xiàn)驗收未通過的項目。
三、安全開發(fā)類 信息安全服務(安全開發(fā)類)資質(zhì)認定是對信息安全開發(fā)服務提供者的綜合實力的客觀評價和確認,信息安全服務(安全開發(fā)類)資質(zhì)級別反映了信息安全開發(fā)服務提供者從事信息安全開發(fā)保障能力的成熟程度。資質(zhì)級別劃分的主要依據(jù)包括:基本資格與基本能力要求、安全開發(fā)過程能力要求、項目與組織管理能力要求和其他補充要求等。
信息安全服務資質(zhì)分為五個級別,由一級到五級依次遞增,一級是最基本級別,五級為最高級別。
一級:基本執(zhí)行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續(xù)改進級
申請安全開發(fā)類(一級)企業(yè)需要具備哪些條件呢? (安全開發(fā)類二、三、四、五級申請條件請咨詢010-64439282)
1、組織與管理要求 - 必須擁有健全的組織和管理體系,為持續(xù)的信息安全開發(fā)服務提供保障;
- 必須具有專業(yè)從事信息安全開發(fā)的隊伍和相應的質(zhì)量保證;
- 必須具有比較完善的安全管理機制,保證開發(fā)的產(chǎn)品安全;
- 與安全開發(fā)服務相關的所有成員要簽訂保密合同,并遵守有關法律法規(guī)。
2、技術能力要求 - 了解信息技術的最新動向,有能力掌握信息系統(tǒng)的最新技術;
- 具有不斷的技術更新能力;
- 具有對信息系統(tǒng)和信息技術產(chǎn)品面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析和提供防范措施的能力;
- 具有對用戶信息系統(tǒng)和信息技術產(chǎn)品安全風險的分析和處理能力;
- 具有對開發(fā)的產(chǎn)品進行安全檢測和驗證的能力;
- 具有對信息技術產(chǎn)品安全進行有效維護的能力;
- 有跟蹤、了解、掌握、應用國際、國家和行業(yè)標準的能力。
3、人員構成與素質(zhì)要求 - 具有充足的人力資源和合理的人員結構;
- 所有與信息安全開發(fā)有關人員應具有基本的信息安全知識;
- 有相對穩(wěn)定的從事信息安全開發(fā)的技術隊伍;
- 技術骨干人員應系統(tǒng)地掌握信息安全基礎理論和核心技術,并有足夠的專業(yè)工作經(jīng)驗;
- 必須有2名以上(含2名)專職的注冊信息安全專業(yè)人員(CISE或CISD)。
4、設備、設施與環(huán)境要求 - 具有固定的工作場所和良好的工作環(huán)境;
- 具有先進的開發(fā)、生產(chǎn)和測試設備與工具;
5、規(guī)模與資產(chǎn)要求 - 有足夠的注冊資金和充足的流動資金;
- 具有與所申請安全服務業(yè)務范圍、承擔的安全開發(fā)規(guī)模相適應的服務體系;
- 有足夠的人員從事與信息安全開發(fā)相關的活動。
6、業(yè)績要求 - 應有從事信息安全開發(fā)的經(jīng)驗;
- 近3年內(nèi)在信息安全開發(fā)方面,沒有出現(xiàn)驗收未通過的情況。
7、安全開發(fā)過程能力要求。申請組織應能實施以下9個安全開發(fā)過程域: - 安全意識和安全教育;
- 啟動安全開發(fā)過程;
- 產(chǎn)品風險評估和分析;
- 定義安全設計原則;
- 提供安全文檔和安全配置工具;
- 進行安全編碼;
- 進行安全測試;
- 安全最終評審與產(chǎn)品發(fā)布;
- 安全響應服務。
8、項目和組織過程能力要求,申請組織應能實施以下6個項目和組織過程域: - 質(zhì)量保證;
- 管理配置;
- 管理項目風險;
- 規(guī)劃技術活動;
- 監(jiān)控技術活動;
- 提供不斷發(fā)展的技能和知識;
- 與供應商協(xié)調(diào)。
四、風險評估類 信息安全服務(風險評估類)資質(zhì)認定是對信息安全風險評估服務提供者的綜合實力的客觀評價和確認,信息安全服務(風險評估類)資質(zhì)級別反映了信息安全風險評估服務提供者從事信息安全風險評估服務保障能力的成熟程度。資質(zhì)級別劃分的主要依據(jù)包括:基本資格與基本能力要求、安全風險評估過程能力要求、項目與組織管理能力要求和其他補充要求等。
信息安全服務資質(zhì)分為五個級別,由一級到五級依次遞增,一級是最基本級別,五級為最高級別。
一級:基本執(zhí)行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續(xù)改進級
申請風險評估類(一級)企業(yè)需要具備哪些條件呢? (風險評估類二、三、四、五級申請條件請咨詢010-64439282)
基本資格要求:申請信息安全服務(風險評估一級)資質(zhì)的組織必須是一個獨立的實體,具有工商行政管理部門頒發(fā)的營業(yè)執(zhí)照,并遵守國家現(xiàn)行法律法規(guī)。
1、組織與管理要求 - 必須擁有健全的組織和管理體系,為持續(xù)的信息安全風險評估服務提供保障;
- 必須具有專業(yè)從事信息安全風險評估服務的隊伍和相應的質(zhì)量保證;
- 與安全風險評估服務相關的所有成員要簽訂保密合同,并遵守有關法律法規(guī)。
2、技術能力要求 - 了解信息系統(tǒng)技術的最新動向,有能力掌握信息系統(tǒng)的最新技術;
- 具有不斷的技術更新能力;
- 具有對信息系統(tǒng)的狀況進行調(diào)研、分析和描述的能力;
- 具有對信息系統(tǒng)面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析能力;
- 具有對信息系統(tǒng)的資產(chǎn)及其影響進行識別、分析和評估的能力;
- 具有對信息系統(tǒng)的脆弱性進行識別分析和評估的能力;
- 具有根據(jù)信息安全風險的結果提出應對安全措施的能力;
- 具有應用國際國內(nèi)最新信息安全風險評估方法的能力;
- 有跟蹤、了解、掌握、應用國際、國家和行業(yè)標準的能力。
3、人員構成與素質(zhì)要求 - 具有充足的人力資源和合理的人員結構;
- 所有與信息安全服務有關的管理和銷售人員應具有基本的信息安全知識;
- 有相對穩(wěn)定的從事信息安全風險評估服務的技術隊伍;
- 技術骨干人員應系統(tǒng)地掌握信息系統(tǒng)安全基礎理論和核心技術,并有足夠的專業(yè)工作經(jīng)驗;
- 必須有2名以上(含2名)專職的注冊信息安全專業(yè)人員(CISP)。
4、設備、設施與環(huán)境要求 - 具有固定的工作場所和良好的工作環(huán)境;
- 具有實施信息安全風險評估服務的相關工具和設備。
5、規(guī)模與資產(chǎn)要求 - 有足夠的注冊資金和充足的流動資金;
- 具有與所申請安全服務業(yè)務范圍、承擔的安全風險評估規(guī)模相適應的服務體系;
- 有足夠的人員從事直接與信息安全風險評估服務相關的活動。
6、業(yè)績要求 - 應有從事信息安全風險評估服務的經(jīng)驗;
- 近3年內(nèi)在信息安全風險評估服務方面,沒有出現(xiàn)驗收未通過的情況。
7、安全風險評估過程能力要求,申請組織應能實施以下6個安全風險評估過程域: - 風險評估準備
- 評估系統(tǒng)資產(chǎn)的影響;
- 評估系統(tǒng)存在的脆弱性;
- 評估系統(tǒng)面臨的安全威脅;
- 評估系統(tǒng)已有的安全措施;
- 評估系統(tǒng)的安全風險。
8、項目和組織過程能力要求,申請組織應能實施以下6個項目和組織過程域: - 質(zhì)量保證;
- 管理項目風險;
- 規(guī)劃技術活動;
- 監(jiān)控技術活動;
- 提供不斷發(fā)展的技能和知識;
- 與供應商協(xié)調(diào)。
信息安全服務資質(zhì)申請流程圖
為什么選擇瑞和信誠?
◆ 優(yōu)秀的管理團隊
◆ 市場部前期的專業(yè)解答;
◆ 咨詢部入場的專業(yè)梳理;
◆ 商務部后期的專業(yè)跟進;
◆ 呈給您專業(yè)的優(yōu)質(zhì)服務;
瑞和信誠迄今為止咨詢的企業(yè)多達800余家,咨詢的企業(yè)涵蓋眾多領域,如冶金、油井勘測、機械制造、物業(yè)服務、建筑施工、園林綠化等眾多行業(yè),因其謙虛細致的工作作風,嚴謹認真的工作態(tài)度、扎實穩(wěn)健的咨詢功底,贏得了企業(yè)的眾多好評!
以上文章由瑞和信誠為您搜集整理,希望對您企業(yè)的發(fā)展有所幫助。如果您想了解更多有關于信息安全服務資質(zhì)認證,請聯(lián)系瑞和信誠資深專業(yè)咨詢師:010-64439282(或者直接掃描下方二維碼)。
|