023-8656 7363
130 4739 3316

專注于IT服務的科技咨詢公司

安全工程類

信息安全服務(安全工程類)資質認定是對信息安全工程服務提供者的綜合實力的客觀評價和確認,信息安全服務(安全工程類)資質級別反映了信息安全工程服務提供者從事信息安全工程服務保障能力的成熟程度.資質級別劃分的主要依據包括:基本資格與基本能力要求、安全工程過程能力要求、項目與組織管理能力要求和其他補充要求等.

您當前位置 > 主頁 > 服務項目 > 信息安全服務資質 > 詳情

安全工程類

簡介:信息安全服務資質是對信息系統安全服務的提供者的技術、資源、法律、管理等方面的資質和能力,以及其穩定性、可靠性進行評估,并依據公開的標準和程序,對其安全服務保障能力進行認定的過程。
級別:一級最低,五級最高,目前最高申請三級。
級別 一級 二級 三級
基本要求 申請信息安全服務(安全工程類一級)資質的組織需要在基本資格和基本能力、安全工程過程能力和項目與組織過程能力等幾個方面符合《信息安全服務資質具體要求(安全工程類一級)》的規定。
一、 基本資格要求
申請信息安全服務(安全工程類一級)資質的組織必須是一個獨立的實體,具有工商行政管理部門頒發的營業執照,并遵守國家現行法律法規。
二、 基本能力要求
2.1 組織與管理要求
(1.)必須擁有健全的組織和管理體系,為持續的信息安全工程服務提供保障;
(2.).必須具有專業從事信息安全工程服務的隊伍和相應的質量保證;
(3.) 與安全工程服務相關的所有成員要簽訂保密合同,并遵守有關法律法規。
2.2技術能力要求
(1.)了解信息系統技術的最新動向,有能力掌握信息系統的最新技術;
(2.) 具有不斷的技術更新能力;
(3.)具有對信息系統面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析和提供防范措施的能力;
(4.)能根據對用戶信息系統風險的分析,向用戶建議有效的安全保護策略及建立完善的安全管理制度;
(5.)具有對發生的突發性安全事件進行分析和解決的能力;
(6.)具有對市場上的信息系統產品進行功能分析,提出安全策略和安全解決方案及安全產品的系統集成能力;
(7.)具有根據服務業務的需求開發信息系統應用、產品或支持性工具的能力;
(8.)具有對集成的信息系統進行檢測和驗證的能力;
(9.)有能力對信息系統系統進行有效的維護;
(10.)有跟蹤、了解、掌握、應用國際、國家和行業標準的能力。
2.3人員構成與素質要求
(1.) 具有充足的人力資源和合理的人員結構;
(2.) 所有與信息安全服務有關的管理和銷售人員應具有基本的信息安全知識;
(3.) 有相對穩定的從事信息安全服務的技術隊伍;
(4.) 技術骨干人員應系統地掌握信息系統安全基礎理論和核心技術,并有足夠的專業工作經驗;
(5.) 必須有2名以上(含2名)專職的注冊信息安全專業人員(CISP)。
2.4 設備、設施與環境要求
(1.) 具有固定的工作場所和良好的工作環境;
(2.) 具有先進的開發、測試或模擬環境;
(3.) 具有先進的開發、生產和測試設備;
(4.) 具有實施相關服務必需的開發、生產和測試工具。
2.5 規模與資產要求
(1.) 有足夠的注冊資金和充足的流動資金;
(2.) 具有與所申請安全服務業務范圍、承擔的安全工程規模相適應的服務體系;
(3.) 有足夠的人員從事直接與信息安全服務相關的活動。
2.6 業績要求
(1.) 應有從事信息安全服務的經驗;
(2.) 近3年內在信息安全工程服務方面,沒有出現驗收未通過的情況。
申請信息安全服務(安全工程類二級)資質的組織必須:
1.是具有獨立法人地位的實體;
2.獲得相關主管部門的批準;
3.遵守國家現行法律法規;
4.已獲信息安全服務(安全工程類一級)資質,且資質證書在有效期內;
5.達到其他補充要求。
申請信息安全工程服務三級資質的組織必須:
1.是具有獨立法人地位的實體;
2.獲得相關主管部門的批準;
3.遵守國家現行法律法規;
4.已獲信息安全工程服務二級資質滿一年以上;
5.達到其他補充要求。
類別要求 安全工程過程能力要求
安全工程過程能力是評價信息安全工程服務專業水平高低的標志申請組織應能實施以下11個安全工程過程域
(1.)評估系統面臨的安全威脅
(2.)評估系統的脆弱性
(3.) 評估安全對系統的影響
(4.)評估系統的安全風險
(5.) 確定系統的安全需求
(6.)為系統提供必要的安全輸入
(7.)管理系統的安全控制
(8.)監測系統的安全狀況
(9.)安全協調
(10.)檢驗并證實系統的安全性;
(11.) 建立并提供安全性保證論據
項目和組織過程能力要求
項目和組織過程能力是評價信息安全工程服務規范性和質量保證成熟度標志 ,申請組織應能實施以下6個項目和組織過程域:
(1.) 質量保證
(2.)管理項目風險
(3.) 規劃技術活動
(4.)監控技術活動
(5.)提供不斷發展的技能和知識
(6.)與供應商協調.
一、 基本能力要求
基本能力的要求包括:技術能力要求,資源配置要求(包括人員構成與素質要求、設備、設施與環境要,規模與資產要求和業績要求。 申請信息安全服務(安全工程類二級)資質的組織應該:
1.從事信息安全服務行業3年以上
2.注冊資本應在100萬元以上,資產總額在200萬元以上;
3.近3年的財務狀況良好;
4.從事信息安全服務的人力資源充足、人員結構合理、技術隊伍相對穩定,擁有專職的注冊信息安全專業人員(CISP)數量不少于從事安全工程服務專業技術人員的10%,但不得少于4人;
5.實踐過完整的安全工程過程;
6.近3年完成信息安全服務工程項目總值應在200萬元以上。
二、質量管理要求
申請信息安全服務(安全工程類二級)資質的組織,在質量管理方面應該:
1.建立合理的組織架構來滿足信息安全工程服務的實施和管理,信息安全工程服務技術部門相對獨立;
2.建立合理的管理架構來滿足信息安全服務的管理,建立有效的技術管理、質量管理和組織管理機制;
3.建立有效的質量管理體系,至少滿足支持信息安全工程技術能力達到計劃跟蹤級所需的相關管理能力要求。
三、安全工程過程能力要求
安全工程過程能力方面的要求是信息安全工程服務資質的核心要求。
申請信息安全服務(安全工程類二級)資質的組織應該:
1.在按照一級所要求的各個過程域最佳實踐的基礎上將實踐上升為理論,形成規范指導工程過程有計劃、規范化地實施;
2.驗證工程實施過程與規范的一致性;
3.通過可測量的計劃跟蹤過程的實施情況,當過程實施與計劃產生重大偏離時應采取糾正措施。
另外,對安全設計和系統安全工程實施方面提出了具體要求。
一、基本能力要求
基本能力的要求包括:資產與規模要求,資源配置要求(包括人員構成與素質要求、設備、設施與環境要求),組織管理要求以及業績要求。
申請信息安全服務三級資質的組織應該:
1.從事信息安全服務行業5年以上;
2.注冊資本應在5000萬元以上;
3.近3年的財務狀況良好;
4.從事信息安全服務的人力資源充足、人員結構合理、技術隊伍相對穩定,擁有專職的注冊信息安全專業人員(CISP)數量不少于從事安全工程服務專業技術人員的10%,且不得少于12人(或10名CISP獲證人員和8名CISM獲證人員);
5.實踐過一到兩個完整的安全工程過程;
6.近3年完成信息安全服務工程項目總值應在3000萬元以上。
7.近3年所做安全工程項目沒有出現驗收未通過的情況,且未發生過嚴重的信息安全服務事故。
二、 質量管理要求
申請信息安全工程服務三級資質的組織,在質量管理方面應該:
1.建立合理的組織架構來滿足信息安全工程服務的實施和管理,有獨立的信息安全工程服務技術部門;
2.建立合理的管理架構來滿足信息安全服務的管理,建立有效的技術管理、質量管理和組織管理機制;
3.建立有效的質量管理體系,至少滿足支持信息安全工程技術能力達到充分定義級所需的相關管理能力要求;
4.建立有效的信息安全管理體系,能滿足企業自身信息安全管理能力要求。
三、安全工程過程能力要求
安全工程過程能力方面的要求是信息安全工程服務資質的核心要求。
申請信息安全工程服務三級資質的組織應該:
1.在按照三級所要求的各個過程域理論基礎上,充分定義組織的信息安全工程服務過程,形成文檔化標準過程;
2.依據對已批準發布的、文檔化的標準過程進行適當裁減,來充分定義組織的過程,并在實施工程過程中按照標準化的組織過程執行;
3.開展項目和組織活動的協調,包括組內、組間以及組外活動的協調。
頒證機構 中國信息安全測評中心 中國信息安全測評中心 中國信息安全測評中心

產品介紹
     中國信息安全測評中心是經中央批準成立的國家信息安全權威測評機構,職能是開展信息安全漏洞分析和風險評估工作,對信息技術產品、信息系統和工程的安全性進行測試與評估。對信息安全服務和人員的資質進行審核與評價。
    信息安全服務資質認定”是對信息安全服務的提供者的技術、資源、法律、管理等方面的資質、能力和穩定性、可靠性進行評估,依據公開的標準和程序,對其安全服務保障能力進行評定和確認。為我國信息安全服務行業的發展和政府主管部門的信息安全管理以及全社會選擇信息安全服務提供一種獨立、公正的評判依據。
     信息安全服務(安全工程類)資質認定是對信息安全工程服務提供者的綜合實力的客觀評價和確認,信息安全服務(安全工程類)資質級別反映了信息安全工程服務提供者從事信息安全工程服務保障能力的成熟程度。資質級別劃分的主要依據包括:基本資格與基本能力要求、安全工程過程能力要求、項目與組織管理能力要求和其他補充要求等。
    信息安全服務資質分為五個級別,由一級到五級依次遞增,一級是最基本級別,五級為最高級別。
    一級:基本執行級
    二級:計劃跟蹤級
    三級:充分定義級
    四級:量化控制級
    五級:持續改進級

常見問題:
1.申請信息安全服務資質的周期?
從簽訂《信息安全服務資質測評委托協議》至信息安全服務資質證書頒發,周期為三個月。周期時間不包含由于申請單位原因(如,資料補充、商務流程延誤或申請方無法按照約定時間進行現場評審等)造成的延期。


2.信息安全服務資質證書的有效期?
信息安全服務資質證書的有效期為三年。


3.申請單位未獲取CISP資格證書,能否進行信息安全服務資質申請?
申請單位擁有注冊信息安全專業人員是申請信息安全服務資質的基本條件,必須滿足。但申請單位可以在進行CISP培訓的同時申請服務資質。


4.申請信息安全服務資質的企業應具備哪些基本資格?
具備獨立法人資格,能夠對外獨立承擔民事責任(分公司不能夠獨立申請)。
經營范圍涵蓋信息安全。


5.申請書如何準備?
明確資質申請是企業整體行為,不是某一個部門或某一個崗位能夠獨立完成。對應不同的填寫內容,盡量落實到不同的職責部門填寫。

資質申請評估要求 企業配合填寫的職能部門
基本資格能力 行政、人事、財務、商務等
項目和組織管理能力 質量管理、項目管理、采購等
服務資質技術過程能力 技術、項目管理等


6.怎樣辦理維持換證申請?
證書到期前三個月提交申請。
維持申請流程與首次申請流程一致。


7.資質的維持申請能否延用首次申請資料?
不能。應提供公司的最新狀況信息,并以近三年的項目資料作為申請書的過程證據。

服務案例查看更多

理财知识