什么是信息安全服務資質?
隨著我國信息化和信息安全保障工作的不斷深入推進,以應急處理、風險評估、信息系統(tǒng)安全集成、災難備份與恢復、軟件開發(fā)、安全運維,工業(yè)控制系統(tǒng)安全,網(wǎng)絡安全審計服務資質認證
為主要內容的信息安全服務在信息安全保障中的作用日益突出。加強和規(guī)范信息安全服務資質管理已成為信息安全管理的重要基礎性工作。
通過對信息安全服務分類分級的資質認證,可以對信息安全服務提供商的基本資格、管理能力、技術能力和服務過程能力等方面進行權威、客觀、公正的評價,證明其服務能力,滿足社會對服務的選擇需求。同時,認證過程也將有效促進服務提供方完善自身管理體系,提高服務質量和水平,引導行業(yè)健康規(guī)范發(fā)展。
一、應急處理服務資質認證簡介
信息安全應急處理服務是通過制定應急計劃使得影響網(wǎng)絡與信息系統(tǒng)安全的安全事件能夠得到及時響應,并在安全事件一旦發(fā)生后進行標識、記錄、分類和處理,直到受影響的業(yè)務恢復正常運行的過程。應急處理服務是保障業(yè)務連續(xù)性的重要手段之一,它涵蓋了在安全事件發(fā)生后為了維持和恢復關鍵業(yè)務所進行的系列活動。
二、風險評估服務資質認證簡介
信息安全風險評估是信息安全保障的基礎性工作和重要環(huán)節(jié),貫穿于網(wǎng)絡和信息系統(tǒng)建設運行的全過程。服務提供者通過對信息系統(tǒng)提供風險評估服務,系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和安全整改措施,防范和消除信息安全風險,或將風險控制在可接受的水平,為網(wǎng)絡和信息安全保障提供科學依據(jù)。
三、信息系統(tǒng)安全集成服務資質認證簡介
信息系統(tǒng)安全集成服務是指從事計算機應用系統(tǒng)工程和網(wǎng)絡系統(tǒng)工程的安全需求界定、安全設計、建設實施、安全保證的活動。信息系統(tǒng)安全集成包括在新建信息系統(tǒng)的結構化設計中考慮信息安全保證因素,從而使建設完成后的信息系統(tǒng)滿足建設方或使用方的安全需求而開展的活動。也包括在已有信息系統(tǒng)的基礎上額外增加信息安全子系統(tǒng)或信息安全設備等,通常被稱為安全優(yōu)化或安全加固。
四、信息系統(tǒng)災難備份與恢復服務資質認證簡介
信息系統(tǒng)災難備份與恢復服務是將信息系統(tǒng)的數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡系統(tǒng)、基礎設施、專業(yè)技術支持能力和運行管理能力進行備份,并在災難發(fā)生時,將信息系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài),將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài),而設計和提供的活動。
五,軟件安全開發(fā)服務資質認證簡介
通過對軟件開發(fā)過程的控制,將開發(fā)的軟件存在的風險控制在可接受的水平。
軟件安全開發(fā)資質認證是對軟件開發(fā)方的基本資格、管理能力、技術能力和軟件安全過程能力等方面進行評價。安全軟件開發(fā)服務資質級別是衡量服務提供方的軟件安全開發(fā)服務資格和能力的尺度。
六、安全運維服務資質認證簡介
通過技術設施安全評估,技術設施安全加固,安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢,協(xié)助組織的信息系統(tǒng)管理人員進行信息系統(tǒng)的安全運維工作,以發(fā)現(xiàn)并修復信息系統(tǒng)中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時加以響應。
安全運維資質認證是對安全運維服務方的基本資格、管理能力、技術能力和安全運維過程能力等方面進行評價。安全運維服務資質級別是衡量服務提供方的安全運維服務資格和能力的尺度。
七,網(wǎng)絡安全審計服務資質認證
網(wǎng)絡安全審計是指網(wǎng)絡安全審計機構對被審計方所屬的計算機信息系統(tǒng)的安全性、可靠性和經(jīng)濟性進行檢查、監(jiān)督,通過獲取審計證據(jù)并對其進行客觀評價所開展的系統(tǒng)的、獨立的、形成文件的活動。
網(wǎng)絡安全審計服務資質認證是對網(wǎng)絡安全審計服務方的基本資格、管理能力、技術能力和網(wǎng)絡安全審計過程能力等方面進行評價。網(wǎng)絡安全審計服務資質級別是衡量服務提供方的網(wǎng)絡安全審計服務資格和能力的尺度。網(wǎng)絡安全審計資質級別分為一級、二級、三級共三個級別,其中一級最高,三級最低。
八 工業(yè)控制安全服務資質認證
工業(yè)控制系統(tǒng)安全服務圍繞提升工業(yè)控制系統(tǒng)的高可用性和業(yè)務連續(xù)性,提升功能安全、物理安全和信息安全的保障能力為目標,涉及工業(yè)控制系統(tǒng)設計、建設、運維和技改各個階段,主要包括系統(tǒng)集成、系統(tǒng)運維、應急處理、風險評估等工業(yè)控制系統(tǒng)安全服務,形成系統(tǒng)的、獨立的、形成文件的過程。
工業(yè)控制系統(tǒng)安全服務資質認證是對工業(yè)控制系統(tǒng)安全服務方的基本資格、管理能力、技術能力和工業(yè)控制系統(tǒng)安全服務過程能力等方面進行評價。工業(yè)控制系統(tǒng)安全服務資質級別是衡量服務提供方的工業(yè)控制系統(tǒng)安全服務資格和能力的尺度。工業(yè)控制系統(tǒng)安全資質級別分為一級、二級、三級共三個級別,其中一級最高,三級最低。
企業(yè)為什么需要信息安全服務資質
· 服務資質認證有助于信息安全提供商提高自身能力,
· 規(guī)范管理與技術,擴大服務商的影響;
· 服務資質認證是需方選擇的依據(jù),可以提高需方對服務商的信任度。
申請信息安全服務資質企業(yè)需要準備哪些條件呢?
通用評價要求適用于風險評估、安全集成、應急處理、災難備份與恢復、軟件安全開發(fā)、安全
運維等類別的信息安全服務認證評價,均分為三個級別,其中一級最高。
三級評價要求
1、在中華人民共和國境內注冊的獨立法人組織,發(fā)展歷程清晰,產(chǎn)權關系明確。
2、近3 年經(jīng)營狀況良好,財務數(shù)據(jù)真實可信,應提供在中華人民共和國境內登記注冊的會計師事務所出具的近3 年財務審計報告。
3、擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業(yè)務需要。
4、人員素質與資質要求
· 組織負責人擁有2年以上信息技術領域管理經(jīng)歷。
· 技術負責人獲得信息安全相關專業(yè)碩士及以上學位或電子信息技術類中級職稱,且從事信息安全技術工作2年以上。
· 財務負責人具有財務系列初級以上職稱。
· 從事信息安全服務人員10名以上。
· 擁有信息安全專業(yè)認證(與申報類別一致)人員2名以上。
· 擁有項目管理資格證書人員1名以上。
5、業(yè)績要求
· 從事信息安全服務(與申報類別一致)1年以上。
· 近3年內簽訂并完成至少1個信息安全服務(與申報類別一致)項目。
6、服務管理要求
· 遵循國家相關法律法規(guī)、標準要求,無違法違規(guī)記錄,資信狀況良好。
· 建立人員管理程序和能力考核指標;制定業(yè)務和技能培訓計劃,定期對相關人員開展培訓和考核。
· 建立文檔控制程序,明確文檔管理職責,任命管理人員,確保項目文檔資料妥善保管。
· 建立項目管理制度,并按照制度執(zhí)行。
· 提供資源,確保信息安全服務項目的實施。
7、服務合同要求
· 了解客戶及所處的行業(yè)對信息安全服務的特定要求。
· 確定信息安全服務范圍。
· 應簽訂信息安全服務合同或協(xié)議。
8、服務安全要求
· 滿足法律法規(guī)對服務安全的要求。
· 滿足與客戶簽訂服務合同中的安全要求。
· 制定保密管理制度,明確崗位保密責任。
· 按照客戶要求,對于接觸到的客戶敏感信息和知識產(chǎn)權信息予以保護,并確保服務方人員了解客戶的相關要求。
· 與相關人員簽訂保密協(xié)議,并進行保密教育。
· 確保其供應商滿足上述服務安全要求。
9、服務技術要求
· 建立信息安全服務(與申報類別一致)流程。
· 制定信息安全服務(與申報類別一致)規(guī)范并按照規(guī)范實施。
二級評價要求
1、在中華人民共和國境內注冊的獨立法人組織,發(fā)展歷程清晰,產(chǎn)權關系明確。
2、近3 年經(jīng)營狀況良好,財務數(shù)據(jù)真實可信,應提供在中華人民共和國境內登記注冊的會計師事務所出具的近3 年財務審計報告。
3、擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業(yè)務需要。
4、人員素質與資質要求
· 組織負責人擁有3年以上信息技術領域管理經(jīng)歷。
· 技術負責人應獲得信息安全相關專業(yè)碩士及以上學位或電子信息技術類中級職稱,且從事信息安全技術工作5年以上。
· 財務負責人具有財務系列中級以上職稱。
· 從事信息安全服務人員30名以上。
· 擁有信息安全專業(yè)認證(與申報類別一致)人員6名以上。
· 擁有項目管理資格證書人員2名以上。
5、技術工具要求
· 具備獨立的測試環(huán)境及必要的軟、硬件設備,用于技術培訓和模擬測試。
· 具備承擔信息安全服務(與申報類別一致)項目所需的安全工具,并對工具進行管理和版本控制。
6、業(yè)績要求
· 從事信息安全服務(與申報類別一致)3年以上,或取得信息安全服務(與申報類別一致)三級資質1年以上。
· 近三年內簽訂并完成至少6個信息安全服務項目(與申報類別一致)。
7、服務管理要求
· 遵循國家相關法律法規(guī)、標準要求,無違法違規(guī)記錄,資信狀況良好。
· 建立項目管理制度,并按照制度執(zhí)行。
· 參照國際或國內標準,建立業(yè)務范圍覆蓋信息安全服務的質量管理體系,并有效運行。
· 參照國際或國家標準,建立業(yè)務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系,并有效運行。
· 提供資源,確保信息安全服務項目的實施。
8、服務合同要求
· 了解客戶及所處的行業(yè)對信息安全服務的特定要求。
· 確定信息安全服務范圍。
· 應簽訂信息安全服務合同或協(xié)議。
· 合同應明確信息安全服務的行為規(guī)范。
9、服務安全要求
· 滿足法律法規(guī)對服務安全的要求。
· 滿足與客戶簽訂服務合同中的安全要求。
· 制定保密管理制度,明確崗位保密責任。
· 按照客戶要求,對于接觸到的客戶敏感信息和知識產(chǎn)權信息予以保護,并確保服務方人員了解客戶的相關要求。
· 與相關人員簽訂保密協(xié)議,并進行保密教育。
· 確保其供應商滿足上述服務安全要求。
10、服務技術要求
· 建立信息安全服務(與申報類別一致)流程。
· 制定信息安全服務(與申報類別一致)規(guī)范并按照規(guī)范實施。
一級評價要求
1、取得信息安全服務(與申報類別一致)二級資質1 年以上。(行業(yè)領頭企業(yè)除外)
2、在中華人民共和國境內注冊的獨立法人組織,發(fā)展歷程清晰,產(chǎn)權關系明確。
3、近3 年經(jīng)營狀況良好,財務數(shù)據(jù)真實可信,應提供在中華人民共和國境內登記注冊的會計師事務所出具的近3 年財務審計報告。
4、擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業(yè)務需要。
5、人員素質與資質要求
· 組織負責人擁有4年以上信息技術領域管理經(jīng)歷。
· 技術負責人應獲得信息安全相關專業(yè)碩士及以上學位或電子信息技術類高級職稱,且從事信息安全技術工作8年以上。
· 財務負責人擁有財務系列高級職稱,或取得中級職稱8年以上。
· 從事信息安全技術服務人員50名以上。
· 擁有信息安全專業(yè)認證人員(與申報類別一致)10名以上。
· 擁有項目管理資格證書人員5名以上。
6、技術工具要求
· 具備獨立的測試環(huán)境及必要的軟、硬件設備,用于技術培訓和模擬測試。
· 具備承擔信息安全服務(與申報類別一致)項目所需的安全工具,如漏洞掃描工具、滲透測試工具、協(xié)議分析儀等。
7、業(yè)績要求
· 從事信息安全服務(與申報類別一致)5年以上。
· 近三年內至少簽訂并完成10個信息安全服務項目(與申報類別一致)。
8、服務管理要求
· 遵循國家相關法律法規(guī)、標準要求,無違法違規(guī)記錄,資信狀況良好。
· 建立項目管理制度,并按照制度執(zhí)行。
· 參照國際、國內標準,建立業(yè)務范圍覆蓋信息安全服務的質量管理體系,并提供有效運行的相關證明。
· 參照國際、國家標準,建立業(yè)務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系,并提供有效運行的相關證明。
· 提供足夠資源,確保信息安全服務項目的實施。
9、服務合同要求
· 了解客戶及所處的行業(yè)對信息安全服務的特定要求。
· 確定信息安全服務范圍。
· 應簽訂信息安全服務合同或協(xié)議。
· 合同應明確信息安全服務的行為規(guī)范。
· 合同應明確信息安全服務的安全要求。
10、服務安全要求
· 滿足法律法規(guī)對服務安全的要求。
· 滿足與客戶簽訂服務合同中的安全要求。
· 制定保密管理制度,明確崗位保密責任。
· 按照客戶要求,對于接觸到的客戶敏感信息和知識產(chǎn)權信息予以保護,并確保服務方人員了解客戶的相關要求。
· 與相關人員簽訂保密協(xié)議,并進行保密教育。
· 確保其供應商滿足上述服務安全要求。
11、服務技術要求
· 建立信息安全服務(與申報類別一致)流程。
· 制定信息安全服務(與申報類別一致)規(guī)范,并按照規(guī)范實施。
中企檢測認證網(wǎng)提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心
免責聲明:本文部分內容根據(jù)網(wǎng)絡信息整理,文章版權歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯(lián)系刪除并致歉!
