023-8656 7363
130 4739 3316

專注于IT服務的科技咨詢公司

風險評估

運用科學的方法和手段,系統地分析通信網絡及相關系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,并提出有針對性的抵御威脅的防護對策和安全措施,防范和化解通信網絡及相關系統安全風險,將風險控制在可接受的水平,為最大限度地保障通信網絡及相關系統的安全提供科學依據.

您當前位置 > 主頁 > 服務項目 > 信息安全服務資質 > 詳情

風險評估

簡介:運用科學的方法和手段,系統地分析通信網絡及相關系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,并提出有針對性的抵御威脅的防護對策和安全措施,防范和化解通信網絡及相關系統安全風險,將風險控制在可接受的水平,為最大限度地保障通信網絡及相關系統的安全提供科學依據。
級別:一級最低,三級最高。
級別 一級 二級 三級
基本要求 通信網絡安全服務能力等級基本要求:
1 法律要求
1) 在中華人民共和國境內注冊成立(港澳臺地區除外);
2) 由中國公民投資、中國法人投資或者國家投資的,具有獨立法人資格及相關部門頒發的合法經營資格的企事業單位(港澳臺地區除外);
3) 從事涉密的通信網絡安全服務單位必須滿足國家保密機關的相關要求;
4) 從事通信網絡安全服務工作一年以上且無違法記錄;
5) 法人及主要業務、技術人員無犯罪記錄
2 組織與管理要求
1) 擁有健全的組織與管理體系,擁有清晰的組織結構圖,具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等內部管理制度,并能有效組織實施與考核;
2) 落實保密規章制度,對通信網絡安全服務保密,制度中至少規定了:保守安全服務過程中知悉的國家秘密、商業秘密、技術秘密和公民隱私信息,具備嚴格的控制方法來防范服務過程中產生的泄密風險,不得出售或者非法向其他組織和個人提供在安全檢測過程所獲信息,具備相應的控制辦法;
3) 建立人員管理程序,明確保密崗位與職責,定期對安全服務人員進行安全保密教育與培訓,并簽訂保密責任書,規定應當履行的安全保密義務和承擔的法律責任。
3 設備、設施與環境要求
1) 具有固定的辦公場所;
2) 具有專門從事通信網絡安全服務的相關工具或軟件;
3) 具有進行安全服務所必須的實驗環境。
4 項目管理要求
1) 具有成文的項目管理制度,并提供項目管理制度有效運行的證據,例如管理制度流程中具有核心流程、支持流程、管理流程等制度體系;
2) 具有對員工進行安全技術、項目管理的培訓機制和計劃,并有效組織實施與考核的相關記錄。
5 質量保證要求
1) 建立并落實質量管理體系,并提供質量保證有效實現的證據;
2) 能夠自行評估服務質量的狀況,并能對服務質量進行持續改進。
通信網絡安全服務能力等級基本要求:
1 法律要求
1) 在中華人民共和國境內注冊成立(港澳臺地區除外);
2) 由中國公民投資、中國法人投資或者國家投資的,具有獨立法人資格及相關部門頒發的合法經營資格的企事業單位(港澳臺地區除外);
3) 從事涉密的通信網絡安全服務單位必須滿足國家保密機關的相關要求;
4) 從事通信網絡安全服務工作一年以上且無違法記錄;
5) 法人及主要業務、技術人員無犯罪記錄
2 組織與管理要求
1) 擁有健全的組織與管理體系,擁有清晰的組織結構圖,具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等內部管理制度,并能有效組織實施與考核;
2) 落實保密規章制度,對通信網絡安全服務保密,制度中至少規定了:保守安全服務過程中知悉的國家秘密、商業秘密、技術秘密和公民隱私信息,具備嚴格的控制方法來防范服務過程中產生的泄密風險,不得出售或者非法向其他組織和個人提供在安全檢測過程所獲信息,具備相應的控制辦法;
3) 建立人員管理程序,明確保密崗位與職責,定期對安全服務人員進行安全保密教育與培訓,并簽訂保密責任書,規定應當履行的安全保密義務和承擔的法律責任。
3 設備、設施與環境要求
1) 具有固定的辦公場所;
2) 具有專門從事通信網絡安全服務的相關工具或軟件;
3) 具有進行安全服務所必須的實驗環境。
4 項目管理要求
1) 具有成文的項目管理制度,并提供項目管理制度有效運行的證據,例如管理制度流程中具有核心流程、支持流程、管理流程等制度體系;
2) 具有對員工進行安全技術、項目管理的培訓機制和計劃,并有效組織實施與考核的相關記錄。
5 質量保證要求
1) 建立并落實質量管理體系,并提供質量保證有效實現的證據;
2) 能夠自行評估服務質量的狀況,并能對服務質量進行持續改進。
通信網絡安全服務能力等級基本要求:
1 法律要求
1) 在中華人民共和國境內注冊成立(港澳臺地區除外);
2) 由中國公民投資、中國法人投資或者國家投資的,具有獨立法人資格及相關部門頒發的合法經營資格的企事業單位(港澳臺地區除外);
3) 從事涉密的通信網絡安全服務單位必須滿足國家保密機關的相關要求;
4) 從事通信網絡安全服務工作一年以上且無違法記錄;
5) 法人及主要業務、技術人員無犯罪記錄
2 組織與管理要求
1) 擁有健全的組織與管理體系,擁有清晰的組織結構圖,具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等內部管理制度,并能有效組織實施與考核;
2) 落實保密規章制度,對通信網絡安全服務保密,制度中至少規定了:保守安全服務過程中知悉的國家秘密、商業秘密、技術秘密和公民隱私信息,具備嚴格的控制方法來防范服務過程中產生的泄密風險,不得出售或者非法向其他組織和個人提供在安全檢測過程所獲信息,具備相應的控制辦法;
3) 建立人員管理程序,明確保密崗位與職責,定期對安全服務人員進行安全保密教育與培訓,并簽訂保密責任書,規定應當履行的安全保密義務和承擔的法律責任。
3 設備、設施與環境要求
1) 具有固定的辦公場所;
2) 具有專門從事通信網絡安全服務的相關工具或軟件;
3) 具有進行安全服務所必須的實驗環境。
4 項目管理要求
1) 具有成文的項目管理制度,并提供項目管理制度有效運行的證據,例如管理制度流程中具有核心流程、支持流程、管理流程等制度體系;
2) 具有對員工進行安全技術、項目管理的培訓機制和計劃,并有效組織實施與考核的相關記錄。
5 質量保證要求
1) 建立并落實質量管理體系,并提供質量保證有效實現的證據;
2) 能夠自行評估服務質量的狀況,并能對服務質量進行持續改進。
類別要求 1.1 資格要求
1) 從事電信網和互聯網第三方安全風險評估服務的組織應符合基本要求的所有條款;
2) 進行涉密集成的組織必須獲得國家保密部門的能力證書。
1.2 規模與資產
1) 單位正式編制員工應不少于15人;
2) 注冊資金應不少于100萬元人民幣。
1.3 人員構成和素質要求
1) 直接從事風險評估服務的人員不低于8人,大學本科以上學歷不少于80%;
2) 從事風險評估的組織內至少應有2名具備2年以上電信網和互聯網領域風險評估項目經驗的安全工程師。
1.4 業績要求
1) 單位應具備1年以上的安全行業從業時間;
2) 至少有2個項目中涉及風險評估服務的金額超過10萬元人民幣;
3) 近3年內至少成功完成2個風險評估項目,且終驗通過;
4) 近1年沒有出現因各階段驗收未通過或企業自身原因而廢止的風險評估服務項目。
1.5 組織與管理要求
1)應擁有健全的組織與管理體系;
2)應制定符合國家保密部門要求的保密制度;
3)應落實保密規章制度和執行保密技術標準;
4) 應建立人員管理程序,明確保密崗位與職責,定期對安全服務人員進行安全保密教育與培訓,并簽訂保密責任書,規定應當履行的安全保密義務和承擔的法律責任。
1.6 質量保證要求
1) 應建立并落實質量管理體系;
2) 應能夠自行評估服務質量的狀況,并能對服務質量進行持續改進;
3) 從事風險評估服務的組織應建立相關投訴、應急響應服務機制。
1.7 項目管理要求
1) 應具有成文的項目管理制度,并符合相關項目管理標準;
2) 應具有系統地對員工進行安全技術、項目管理、保密規章制度的培訓機制和計劃,并能有效組織實施與考核;
3) 應能提供項目管理制度可有效運行的證據。
1.8 技術能力要求
1) 應對電信網和互聯網的整體概念有一定了解;
2) 應能夠獨立完成電信網和互聯網網絡單元IP層面安全滲透測試;
3) 應具有確定網絡的安全需求的能力;
4) 應具有對網絡安全系統有效維護的能力。
1.9 服務隊伍要求
1) 從事風險評估的隊伍中的相關人員應是中國公民;
2) 從事風險評估的隊伍內至少應有1名經過電信網和互聯網安全防護技術和標準的系統培訓的安全工程師;
3) 從事風險評估的隊伍內應至少有2名經過國家和相關機構認可、針對安全風險評估服務能力的安全工程師(有相關的能力證書如:CIW、CISP、CISSP、CISA等)。
1.10 設備、設施與環境要求
1) 應具有固定的辦公場所;
2) 應具有專門從事電信網和互聯網安全風險評估服務的相關工具或軟件,如漏洞掃描工具、安全基線核查、網站安全檢測工具等。
1.11 服務過程能力要求
從事風險評估的組織應具有以下基本能力:
- 評估系統安全威脅的能力;
- 評估系統脆弱性的能力;
- 評估安全對系統的影響的能力;
- 評估系統安全風險的能力;
- 確定系統的安全需求的能力;
- 確定系統的安全輸入的能力;
- 進行管理安全控制的能力;
- 進行監測系統安全狀況的能力;
- 進行安全協調的能力;
- 進行檢測和證實系統安全性的能力;
- 進行建立系統安全的保證證據的能力;
- 根據風險評估結果進行系統整改的能力。
2.1 規模與資產
1) 單位正式編制員工應不少于50人;
2) 注冊資金應不少于500萬元人民幣。
2.2 人員構成和素質要求
1) 直接從事風險評估服務的人員不低于20人,大學本科以上學歷不少于80%;
2) 從事風險評估的組織內至少應有5名具備2年以上通信領域風險評估項目經驗的安全工程師。
2.3 業績要求
1) 單位應具備2年以上的安全行業從業時間;
2) 至少有4個項目中涉及風險評估服務的金額超過10萬元人民幣;
3) 近3年內至少成功完成10個風險評估項目,且終驗通過;
4) 近2年沒有出現因各階段驗收未通過或企業自身原因而廢止的風險評估服務項目。
2.4 組織與管理要求
1) 應具有專門從事電信網和互聯網安全風險評估服務的部門或團隊;
2) 對項目實施過程中獲取、保存、傳播和銷毀與安全事件處理服務有關商業秘密信息等方面作出明確規定;
3) 應具有專門制定和宣貫保密制度的部門或團隊。
2.5 質量保證要求
1) 應有專門的部門或人員制定完整的質量體系,并具有健全的制度宣傳和培訓機制;
2) 質量體系應針對項目開始至項目結束各個環節有比較完善和細致的控制手段。
2.6 項目管理要求
1) 應有專門的部門或人員制定總體的項目管理體系,并具有健全的制度宣傳和培訓機制;
2) 項目管理體系應針對人和項目有明確的責權利分工,有比較明確和完善的項目過程控制記錄;
3) 至少有1名安全服務人員接受過系統的項目管理培訓,獲得過相關權威機構的認證(如PMP等)。
2.7 技術能力要求
1) 應了解電信網和互聯網安全防護系列標準,應對電信網和互聯網的整體概念和傳統網和非傳統網的若干網絡單元有一定了解;
2) 應具有國家或行業權威機構對組織能力的認可證明(如國家信息安全服務資質證書、信息安全風險評估資質證書、信息安全應急服務資質證書等);
3) 應具有專門研究電信網和互聯網技術和業務的部門或團隊;
4) 應依據電信網和互聯網安全防護體系系列標準進行安全風險評估服務;
5) 應能夠評估電信網和互聯網安全風險、脆弱性、管控能力及安全對電信網和互聯網的影響力;
6) 應具有確定電信網和互聯網的安全需求的能力;
7) 應具有對電信網和互聯網安全系統有效維護的能力;
8) 應具備切實可行的應急服務方案。
2.8 服務隊伍要求
1) 從事風險評估的隊伍內至少應有2名經過電信網和互聯網安全防護技術和標準的系統培訓安全工程師;
2) 從事風險評估的隊伍內應至少有4名經過國家和相關機構認可,針對安全風險評估服務能力的安全工程師(有相關的能力證書如:CIW、CISP、CISSP、CISA等)。
2.9 設備、設施與環境要求
1) 應具有針對網絡安全問題研究的實驗環境;
2) 應具有成熟的的工具、軟件體系。
3.1 規模與資產
1) 單位正式編制員工應不少于100人;
2) 注冊資金應不少于3000萬元人民幣。
3.2 人員構成和素質要求
1) 直接從事風險評估服務的人員不低于30人,大學本科以上學歷不少于80%;
2) 從事風險評估的組織內至少應有12名具備3年以上通信領域風險評估項目經驗的安全工程師。
3.3 業績要求
1) 單位應具備3年以上的安全行業從業時間;
2) 至少有6個項目中涉及風險評估服務的金額超過10萬元人民幣;
3) 單位風險評估服務年業績中電信網和互聯網行業比重大于或等于30%;
4) 近3年內至少成功完成20個風險評估項目,且終驗通過;
5) 近5年沒有出現因各階段驗收未通過或企業自身原因而廢止的風險評估服務項目。
3.4 組織與管理要求
1) 從事電信網和互聯網安全風險評估服務的部門或團隊應為單位二級部門;
2) 對項目實施過程中獲取、保存、傳播和銷毀與安全事件處理服務有關商業秘密信息等方面有明確的行之有效的控制手段。
3.5 質量保證要求
1) 應依據ISO 9001質量體系標準制定完善的質量體系;
2) 應依據ISO27001制定完善的信息安全管理體系規范(ISMS)。
3.6 項目管理要求
1) 項目管理制度應對項目立項、審批過程有明晰表述;
2) 項目管理制度應對項目過程有控制方法或有依據標準,應有對過程中發生的項目變更或變化進行管理的手段;
3) 項目管理制度應對項目完成后的審計、驗證、考核等內容有管理辦法;
4) 應具備項目管理制度落實的證據,可以但不限于電子文檔、會議記錄、過程管理表格等。
3.7 技術能力要求
1) 深入了解電信網和互聯網安全防護系列標準,并參與起草制定國家或行業標準,對電信網和互聯網的整體概念和傳統網和非傳統網的若干網絡單元有深入了解;
2) 參與支撐國家或行業重大項目。
3.8 服務隊伍要求
1) 從事風險評估的隊伍內至少應有5名經過電信網和互聯網安全防護技術和標準的系統培訓的安全工程師;
2) 從事風險評估服務的隊伍內應至少有10名經過國家和相關機構認可,針對安全風險評估服務能力的安全工程師(有相關的能力證書如:CIW、CISP、CISSP、CISA等);
3) 應具有產品研發團隊,其中大學本科以上學歷人員占90%以上;
4) 具有專業的安全攻防隊伍,有能力對各類主流操作系統、主流數據庫及為完成特定功能所開發的系統進行黑盒測試,并對代碼進行白盒檢查。
3.9 設備、設施與環境要求
1) 應具有專業的攻防實驗室,支撐國家相關部門;
2) 應具有自主研發的檢測工具(硬件或軟件),并獲得國家相關部門的認可;
3) 安全產品應在國家和行業領域占據領先地位,應獲得國家或行業權威認可證明。
頒證機構 中國通信企業協會通信網絡安全專業委員會 中國通信企業協會通信網絡安全專業委員會 中國通信企業協會通信網絡安全專業委員會

資質說明
隨著通信網絡的發展和用戶規模的不斷擴大,針對業務應用的網絡惡意行為甚至網絡犯罪現象日益突出,面對網絡安全問題日益突出的現象,通信運營企業越來越多的與提供網絡安全服務的第三方機構進行專業安全合作,而因為網絡安全服務必然涉及業務系統的核心單元,第三方介入的同時勢必會帶來新的安全風險。與此同時,通信運營企業在選擇通信網絡安全服務時缺乏統一的規范和標準,缺乏甄別第三方網絡安全服務能力的客觀依據。因此,加強對網絡安全服務機構的專業技術水平、服務能力和信用程度的規范和管理,對通信網絡安全保障工作具有重要意義。
通信網絡安全服務能力評定是指對通信網絡安全服務單位從事通信網絡安全服務綜合能力的評定,包括:技術能力、服務能力、質量保證能力、人員構成與素質、經營業績、資產狀況等要素。
通信網絡安全服務能力評定工作按照《通信網絡安全服務能力評定管理辦法》的有關規定,依據《通信網絡安全服務能力評定準則》對通信網絡安全服務單位的綜合服務能力進行評定。

常見問題:
1、 開展通信網絡安全服務能力評定的目的
答:為提高通信網絡安全服務質量,確保服務過程的安全可控性,促進通信網絡安全服務行業健康發展,協助政府主管部門加強對通信網絡安全服務的指導。
2、 開展通信網絡安全服務能力評定的意義
答:通信網絡安全服務能力評定可作為電信管理機構把握通信網絡安全服務整體情況的參考,可作為電信運營企業選擇通信網絡安全服務的依據,也可以作為通信網絡安全服務提供上改進自身能力的指導。
3、 通信網絡安全服務能力評定所依據的標準
答:通信網絡安全服務能力評定是依據《通信網絡安全防護管理辦法》、《電信網和互聯網第三方安全服務能力評定準則》YD/T2669-2013。
4、 通信網絡安全服務能力評定的適用范圍
答:通信網絡安全服務能力評定適用于中華人民共和國境內的通信網絡安全服務單位。
5、 通信網絡安全服務概述
答:通信網絡安全服務能力評定中的通信網絡包括電信網和互聯網,所涉及的安全服務是指為了適應通信網絡安全管理的需要,運用科學的方法和手段,通過有效的措施來保障通信網絡的正常運行,為企業提供全面或部分安全評估、設計與集成的服務,包含從安全體系到具體的技術解決措施。
6、 目前已開展了哪幾類通信網絡安全服務能力評定
答:通信網絡安全服務能力評定為兩個類型:風險評估、安全設計與集成、安全培訓、應急響應服務。

服務案例查看更多

理财知识