什么是信息安全服務資質?
隨著我國信息化和信息安全保障工作的不斷深入推進,以應急處理、風險評估、信息系統安全集成、災難備份與恢復、軟件開發、安全運維,工業控制系統安全,網絡安全審計服務資質認證
為主要內容的信息安全服務在信息安全保障中的作用日益突出。加強和規范信息安全服務資質管理已成為信息安全管理的重要基礎性工作。
通過對信息安全服務分類分級的資質認證,可以對信息安全服務提供商的基本資格、管理能力、技術能力和服務過程能力等方面進行權威、客觀、公正的評價,證明其服務能力,滿足社會對服務的選擇需求。同時,認證過程也將有效促進服務提供方完善自身管理體系,提高服務質量和水平,引導行業健康規范發展。
一、應急處理服務資質認證簡介
信息安全應急處理服務是通過制定應急計劃使得影響網絡與信息系統安全的安全事件能夠得到及時響應,并在安全事件一旦發生后進行標識、記錄、分類和處理,直到受影響的業務恢復正常運行的過程。應急處理服務是保障業務連續性的重要手段之一,它涵蓋了在安全事件發生后為了維持和恢復關鍵業務所進行的系列活動。
二、風險評估服務資質認證簡介
信息安全風險評估是信息安全保障的基礎性工作和重要環節,貫穿于網絡和信息系統建設運行的全過程。服務提供者通過對信息系統提供風險評估服務,系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和安全整改措施,防范和消除信息安全風險,或將風險控制在可接受的水平,為網絡和信息安全保障提供科學依據。
三、信息系統安全集成服務資質認證簡介
信息系統安全集成服務是指從事計算機應用系統工程和網絡系統工程的安全需求界定、安全設計、建設實施、安全保證的活動。信息系統安全集成包括在新建信息系統的結構化設計中考慮信息安全保證因素,從而使建設完成后的信息系統滿足建設方或使用方的安全需求而開展的活動。也包括在已有信息系統的基礎上額外增加信息安全子系統或信息安全設備等,通常被稱為安全優化或安全加固。
四、信息系統災難備份與恢復服務資質認證簡介
信息系統災難備份與恢復服務是將信息系統的數據、數據處理系統、網絡系統、基礎設施、專業技術支持能力和運行管理能力進行備份,并在災難發生時,將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態,將其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態,而設計和提供的活動。
五,軟件安全開發服務資質認證簡介
通過對軟件開發過程的控制,將開發的軟件存在的風險控制在可接受的水平。
軟件安全開發資質認證是對軟件開發方的基本資格、管理能力、技術能力和軟件安全過程能力等方面進行評價。安全軟件開發服務資質級別是衡量服務提供方的軟件安全開發服務資格和能力的尺度。
六、安全運維服務資質認證簡介
通過技術設施安全評估,技術設施安全加固,安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢,協助組織的信息系統管理人員進行信息系統的安全運維工作,以發現并修復信息系統中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時加以響應。
安全運維資質認證是對安全運維服務方的基本資格、管理能力、技術能力和安全運維過程能力等方面進行評價。安全運維服務資質級別是衡量服務提供方的安全運維服務資格和能力的尺度。
七,網絡安全審計服務資質認證
網絡安全審計是指網絡安全審計機構對被審計方所屬的計算機信息系統的安全性、可靠性和經濟性進行檢查、監督,通過獲取審計證據并對其進行客觀評價所開展的系統的、獨立的、形成文件的活動。
網絡安全審計服務資質認證是對網絡安全審計服務方的基本資格、管理能力、技術能力和網絡安全審計過程能力等方面進行評價。網絡安全審計服務資質級別是衡量服務提供方的網絡安全審計服務資格和能力的尺度。網絡安全審計資質級別分為一級、二級、三級共三個級別,其中一級最高,三級最低。
八 工業控制安全服務資質認證
工業控制系統安全服務圍繞提升工業控制系統的高可用性和業務連續性,提升功能安全、物理安全和信息安全的保障能力為目標,涉及工業控制系統設計、建設、運維和技改各個階段,主要包括系統集成、系統運維、應急處理、風險評估等工業控制系統安全服務,形成系統的、獨立的、形成文件的過程。
工業控制系統安全服務資質認證是對工業控制系統安全服務方的基本資格、管理能力、技術能力和工業控制系統安全服務過程能力等方面進行評價。工業控制系統安全服務資質級別是衡量服務提供方的工業控制系統安全服務資格和能力的尺度。工業控制系統安全資質級別分為一級、二級、三級共三個級別,其中一級最高,三級最低。
企業為什么需要信息安全服務資質
· 服務資質認證有助于信息安全提供商提高自身能力,
· 規范管理與技術,擴大服務商的影響;
· 服務資質認證是需方選擇的依據,可以提高需方對服務商的信任度。
申請信息安全服務資質企業需要準備哪些條件呢?
通用評價要求適用于風險評估、安全集成、應急處理、災難備份與恢復、軟件安全開發、安全
運維等類別的信息安全服務認證評價,均分為三個級別,其中一級最高。
三級評價要求
1、在中華人民共和國境內注冊的獨立法人組織,發展歷程清晰,產權關系明確。
2、近3 年經營狀況良好,財務數據真實可信,應提供在中華人民共和國境內登記注冊的會計師事務所出具的近3 年財務審計報告。
3、擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業務需要。
4、人員素質與資質要求
· 組織負責人擁有2年以上信息技術領域管理經歷。
· 技術負責人獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱,且從事信息安全技術工作2年以上。
· 財務負責人具有財務系列初級以上職稱。
· 從事信息安全服務人員10名以上。
· 擁有信息安全專業認證(與申報類別一致)人員2名以上。
· 擁有項目管理資格證書人員1名以上。
5、業績要求
· 從事信息安全服務(與申報類別一致)1年以上。
· 近3年內簽訂并完成至少1個信息安全服務(與申報類別一致)項目。
6、服務管理要求
· 遵循國家相關法律法規、標準要求,無違法違規記錄,資信狀況良好。
· 建立人員管理程序和能力考核指標;制定業務和技能培訓計劃,定期對相關人員開展培訓和考核。
· 建立文檔控制程序,明確文檔管理職責,任命管理人員,確保項目文檔資料妥善保管。
· 建立項目管理制度,并按照制度執行。
· 提供資源,確保信息安全服務項目的實施。
7、服務合同要求
· 了解客戶及所處的行業對信息安全服務的特定要求。
· 確定信息安全服務范圍。
· 應簽訂信息安全服務合同或協議。
8、服務安全要求
· 滿足法律法規對服務安全的要求。
· 滿足與客戶簽訂服務合同中的安全要求。
· 制定保密管理制度,明確崗位保密責任。
· 按照客戶要求,對于接觸到的客戶敏感信息和知識產權信息予以保護,并確保服務方人員了解客戶的相關要求。
· 與相關人員簽訂保密協議,并進行保密教育。
· 確保其供應商滿足上述服務安全要求。
9、服務技術要求
· 建立信息安全服務(與申報類別一致)流程。
· 制定信息安全服務(與申報類別一致)規范并按照規范實施。
二級評價要求
1、在中華人民共和國境內注冊的獨立法人組織,發展歷程清晰,產權關系明確。
2、近3 年經營狀況良好,財務數據真實可信,應提供在中華人民共和國境內登記注冊的會計師事務所出具的近3 年財務審計報告。
3、擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業務需要。
4、人員素質與資質要求
· 組織負責人擁有3年以上信息技術領域管理經歷。
· 技術負責人應獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱,且從事信息安全技術工作5年以上。
· 財務負責人具有財務系列中級以上職稱。
· 從事信息安全服務人員30名以上。
· 擁有信息安全專業認證(與申報類別一致)人員6名以上。
· 擁有項目管理資格證書人員2名以上。
5、技術工具要求
· 具備獨立的測試環境及必要的軟、硬件設備,用于技術培訓和模擬測試。
· 具備承擔信息安全服務(與申報類別一致)項目所需的安全工具,并對工具進行管理和版本控制。
6、業績要求
· 從事信息安全服務(與申報類別一致)3年以上,或取得信息安全服務(與申報類別一致)三級資質1年以上。
· 近三年內簽訂并完成至少6個信息安全服務項目(與申報類別一致)。
7、服務管理要求
· 遵循國家相關法律法規、標準要求,無違法違規記錄,資信狀況良好。
· 建立項目管理制度,并按照制度執行。
· 參照國際或國內標準,建立業務范圍覆蓋信息安全服務的質量管理體系,并有效運行。
· 參照國際或國家標準,建立業務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系,并有效運行。
· 提供資源,確保信息安全服務項目的實施。
8、服務合同要求
· 了解客戶及所處的行業對信息安全服務的特定要求。
· 確定信息安全服務范圍。
· 應簽訂信息安全服務合同或協議。
· 合同應明確信息安全服務的行為規范。
9、服務安全要求
· 滿足法律法規對服務安全的要求。
· 滿足與客戶簽訂服務合同中的安全要求。
· 制定保密管理制度,明確崗位保密責任。
· 按照客戶要求,對于接觸到的客戶敏感信息和知識產權信息予以保護,并確保服務方人員了解客戶的相關要求。
· 與相關人員簽訂保密協議,并進行保密教育。
· 確保其供應商滿足上述服務安全要求。
10、服務技術要求
· 建立信息安全服務(與申報類別一致)流程。
· 制定信息安全服務(與申報類別一致)規范并按照規范實施。
一級評價要求
1、取得信息安全服務(與申報類別一致)二級資質1 年以上。(行業領頭企業除外)
2、在中華人民共和國境內注冊的獨立法人組織,發展歷程清晰,產權關系明確。
3、近3 年經營狀況良好,財務數據真實可信,應提供在中華人民共和國境內登記注冊的會計師事務所出具的近3 年財務審計報告。
4、擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業務需要。
5、人員素質與資質要求
· 組織負責人擁有4年以上信息技術領域管理經歷。
· 技術負責人應獲得信息安全相關專業碩士及以上學位或電子信息技術類高級職稱,且從事信息安全技術工作8年以上。
· 財務負責人擁有財務系列高級職稱,或取得中級職稱8年以上。
· 從事信息安全技術服務人員50名以上。
· 擁有信息安全專業認證人員(與申報類別一致)10名以上。
· 擁有項目管理資格證書人員5名以上。
6、技術工具要求
· 具備獨立的測試環境及必要的軟、硬件設備,用于技術培訓和模擬測試。
· 具備承擔信息安全服務(與申報類別一致)項目所需的安全工具,如漏洞掃描工具、滲透測試工具、協議分析儀等。
7、業績要求
· 從事信息安全服務(與申報類別一致)5年以上。
· 近三年內至少簽訂并完成10個信息安全服務項目(與申報類別一致)。
8、服務管理要求
· 遵循國家相關法律法規、標準要求,無違法違規記錄,資信狀況良好。
· 建立項目管理制度,并按照制度執行。
· 參照國際、國內標準,建立業務范圍覆蓋信息安全服務的質量管理體系,并提供有效運行的相關證明。
· 參照國際、國家標準,建立業務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系,并提供有效運行的相關證明。
· 提供足夠資源,確保信息安全服務項目的實施。
9、服務合同要求
· 了解客戶及所處的行業對信息安全服務的特定要求。
· 確定信息安全服務范圍。
· 應簽訂信息安全服務合同或協議。
· 合同應明確信息安全服務的行為規范。
· 合同應明確信息安全服務的安全要求。
10、服務安全要求
· 滿足法律法規對服務安全的要求。
· 滿足與客戶簽訂服務合同中的安全要求。
· 制定保密管理制度,明確崗位保密責任。
· 按照客戶要求,對于接觸到的客戶敏感信息和知識產權信息予以保護,并確保服務方人員了解客戶的相關要求。
· 與相關人員簽訂保密協議,并進行保密教育。
· 確保其供應商滿足上述服務安全要求。
11、服務技術要求
· 建立信息安全服務(與申報類別一致)流程。
· 制定信息安全服務(與申報類別一致)規范,并按照規范實施。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
