思誉顾问机构咨询热线:0755-86610833/29468916
让科技为企业赋能
信息技术
您当前所在位置:首页 >> 信息技术 >>  > CCRC-信息安全服务资质 >> 详细内容

信息安全服务资质-CCRC

  随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

 一、信息安全服务资质基本介绍

  信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。

  应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。

  风险评估服务是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水平。

  通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。

  二、信息安全服务资质包含的专业:

  1、安全集成服务资质认证

  2、风险评估服务资质认证

  3、软件安全开发服务资质认证

  4、安全运维服务资质认证

  5、应急处理服务资质认证

  6、灾难备份与恢复服务资质认证

  7、工业控制安全服务资质认证

  8、网络安全审计服务资质认证

  1、信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。

  2、信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平,为网络和信息安全保障提供科学依据。

  3、软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。

  4、安全运维资质认证是通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。

  信息安全应急处理服务是通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应,并在安全事件一旦发生后进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。应急处理服务是保障业务连续性的重要手段之一,它涵盖了在安全事件发生后为了维持和恢复关键业务所进行的系列活动。

  三、信息安全服务资质认证申请的流程及材料:

  认证的基本环节:

  认证申请与受理;

  文档审核;

  现场审核;

  认证决定;

  年度监督审核。

  初次申请服务资质认证时,申请单位应填写认证申请书,并提交资格、能力方面的证明材料。申请材料通常包括:

  服务资质认证申请书;

  独立法人资格证明材料;

  从事信息安全服务的相关资质证明;

  工作保密制度及相应组织监管体系的证明材料;

  与信息安全风险评估服务人员签订的保密协议复印件;

  人员构成与素质证明材料;

  公司组织结构证明材料;

  具备固定办公场所的证明材料;

  项目管理制度文档;

  信息安全服务质量管理文件;

  项目案例及业绩证明材料;

  信息安全服务能力证明材料等。

  四、信息安全服务资质的评价申请基本要求:

  通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维、网络安全审计、工业控制系统安全服务等类别的信息安全服务认证评价,均分为三个级别,其中一级最高。

  1.法律地位要求

  a) 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。

  b) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。

  2. 财务资信要求

  组织经营状况正常,建立财务管理制度,可为安全服务提供必要的财务支持。

  3. 办公场所要求

  拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。

  4. 人员能力要求

  a) 组织负责人拥有2年以上信息技术领域管理经历。

  b) 技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致),评价要求等。

  c) 项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格等。

  5. 业绩要求

  a) 从事信息安全服务(与申报类别一致)4个月以上。

  b) (监督审核时)近1年内签订并完成至少1个信息安全服务(与申报类别一致)项目。

  6. 服务管理要求

  a) 建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。

  b) 制定服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。

  c) 建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确项目产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。

  d) 建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程,提供项目风险管理记录。

  e) 建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。

  f) 建立与运行供应商管理程序,确保其供应商满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向)。

  g) 建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。

  7. 服务技术要求

  a) 建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。

  b) 制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。

  认证流程说明:

  1、 准备阶段

  申请组织根据自身实际情况确定需要申请的服务资质类型,登录中国信息安全认证中心 网站,下载《信息安全服务资质认证自评估表-公共管理》、《信息安全服务资质认证申请 书》,实施自评估后(具体自评估表的填写方法可参考中心网站上的《信息安全服务资质认 证自评估表填写指南》),将上述文档及自评估证明材料提交中心。

  (注:申请三级信息安全服务资质的组织,需要在《信息安全服务资质认证自评估表- 公共管理》的24-服务技术、25-服务过程文档模板这两个条目中,提供相应的证明材料。

  申请三级信息安全服务资质的组织,原则上无需填写技术部分的自评估表,但如申请 组织已经具备了实施完成并通过验收的信息安全服务项目案例,也可下载并填写相应的技 术方向的自评估表,准备技术部分的自评估证明材料,提交中心作为参考。)

  2、 非现场审核及商务阶段(此阶段工作应在三周内完成,如需要申请组织补充材料,应在五周内完成)

  项目管理人员指派审核组长,协调审查员组建审核组; 审核组长编制《非现场审核计划》,通过项目管理人员发送给审核组全体成员; 审核组对申请组织提交的材料进行非现场审核工作,判断该组织目前对外提供的信息安

  全服务管理及技术能力是否符合《信息安全服务 规范》的要求。如满足要求,审核组长在 通知项目管理人员向申请组织出具《受理通知单》(如申请组织有需求,也可签订《服务资 质认证合同》)、收取认证费用后,编写《非现场审核报告》,并汇总《信息安全服务资质 认证公共管理审核记录表》等审核材料提交中心进行认证决定;如不满足要求,审核组长通 知申请组织补充材料重新提交,并对补充材料进行审核(如申请组织所补充的材料仍无法 满足要求,审核组长应将此情况告知项目管理人员,项目管理人员通知申请组织目前尚不 能满足申请资质的条件)。

  3、 认证决定阶段(此阶段工作应在两周内完成)

  中心认证决定人员对审核组长提交的审核材料进行认证决定;

  如认证决定通过,则通知项目管理人员进行制证;如认证决定不通过,则通知申请组织 不通过原因。

  4、 制证阶段(此阶段工作应在一周内完成)

  项目管理人员制作证书,并邮寄给申请组织。

  (注:申请三级信息安全服务资质的组织,无论是否提交已实施完成并通过验收的信 息安全服务项目案例,只要通过认证决定,所颁发的证书有效期均为一年。在第一次现场 监督审核时,必须提供在该年度实施完成并通过验收的信息安全服务项目案例。)

 信息安全服务资质认证的申请条件:

  一级评价要求

  1、申请条件

  取得信息安全服务(与申报类别一致)二级资质1 年以上。(行业领头企业除外)

  2、法律地位要求

  在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。

  3、财务资信要求

  近3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3 年财务审计报告。

  4、办公场所要求

  拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。

  5、人员素质与资质要求

  a.组织负责人拥有4年以上信息技术领域管理经历。

  b.技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称,且从事信息安全技术工作8年以上。

  c.财务负责人拥有财务系列高级职称,或取得中级职称8年以上。

  d.从事信息安全技术服务人员50名以上。

  e.拥有信息安全专业认证人员(与申报类别一致)10名以上。

  f.拥有项目管理资格证书人员5名以上。

  6、技术工具要求

  a. 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。

  b.具备承担信息安全服务(与申报类别一致)项目所需的安全工具,如漏洞扫描工具、渗透

  测试工具、协议分析仪等。

  7、业绩要求

  a.从事信息安全服务(与申报类别一致)5年以上。

  b.近三年内至少签订并完成10个信息安全服务项目(与申报类别一致)。

  二级评价要求

  1、法律地位要求

  在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。

  2、财务资信要求

  近3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3 年财务审计报告。

  3、办公场所要求

  拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。

  4、人员素质与资质要求

  a.组织负责人拥有3年以上信息技术领域管理经历。

  b. 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事

  信息安全技术工作5年以上。

  c.财务负责人具有财务系列中级以上职称。

  d.从事信息安全服务人员30名以上。

  e. 拥有信息安全专业认证(与申报类别一致)人员6名以上。

  f.拥有项目管理资格证书人员2名以上。

  5、技术工具要求

  a.具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。

  b. 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版

  本控制。

  6、业绩要求

  a.从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)三级资质1年以上。

  b.近三年内签订并完成至少6个信息安全服务项目(与申报类别一致)。

  三级评价要求

  1、法律地位要求在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。

  2、财务资信要求

  近3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3 年财务审计报告。

  3、办公场所要求

  拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。

  4.人员素质与资质要求

  a.组织负责人拥有2年以上信息技术领域管理经历。

  b.技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信

  息安全技术工作2年以上。

  c.财务负责人具有财务系列初级以上职称。

  d.从事信息安全服务人员10名以上。

  e.拥有信息安全专业认证(与申报类别一致)人员2名以上。

  f.拥有项目管理资格证书人员1名以上。

  5、业绩要求

  a、从事信息安全服务(与申报类别一致)1年以上。

  b、近3年内签订并完成至少1个信息安全服务(与申报类别一致)项目。

思誉微信公众号

本文作者:深圳市思誉企业管理咨询有限公司

版权所有 转载时必须以连接形式注明作者和原始出处

分享到: 更多