? 本文由瑞和信誠為您搜集整理���,希望對您企業(yè)的發(fā)展有所幫助�。如果您想了解更多有關(guān)于信息安全服務(wù)資質(zhì)認(rèn)證���,請聯(lián)系瑞和信誠資深專業(yè)咨詢師:010-64439282��。
什么是信息安全資質(zhì)認(rèn)證���?
信息安全服務(wù)資質(zhì)是對信息系統(tǒng)安全服務(wù)的提供者的技術(shù)、資源�、法律、管理等方面的資質(zhì)和能力�����,以及其穩(wěn)定性�����、可靠性進(jìn)行評估����,并依據(jù)公開的標(biāo)準(zhǔn)和程序,對其安全服務(wù)保障能力進(jìn)行認(rèn)定的過程�����。目前分為:信息安全工程類���、信息安全災(zāi)難恢復(fù)類�、安全開發(fā)類。
一�����、安全工程類
信息安全服務(wù)(安全工程類)資質(zhì)認(rèn)定是對信息安全工程服務(wù)提供者的綜合實力的客觀評價和確認(rèn)�����,信息安全服務(wù)(安全工程類)資質(zhì)級別反映了信息安全工程服務(wù)提供者從事信息安全工程服務(wù)保障能力的成熟程度����。資質(zhì)級別劃分的主要依據(jù)包括:基本資格與基本能力要求、安全工程過程能力要求����、項目與組織管理能力要求和其他補(bǔ)充要求等。
信息安全服務(wù)資質(zhì)分為五個級別��,由一級到五級依次遞增��,一級是最基本級別��,五級為最高級別�����。
一級:基本執(zhí)行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續(xù)改進(jìn)級
申請安全工程類(一級)企業(yè)需要具備哪些條件呢? (安全工程類二�、三、四�����、五級申請條件請咨詢010-64439282)
1����、申請信息安全服務(wù)(安全工程類一級)資質(zhì)的組織必須是一個獨(dú)立的實體����,具有工商行政管理部門頒發(fā)的營業(yè)執(zhí)照,并遵守國家現(xiàn)行法律法規(guī)�����。
2�、組織與管理要求 - 必須擁有健全的組織和管理體系,為持續(xù)的信息安全工程服務(wù)提供保障����;
- 必須具有專業(yè)從事信息安全工程服務(wù)的隊伍和相應(yīng)的質(zhì)量保證;
- 與安全工程服務(wù)相關(guān)的所有成員要簽訂保密合同,并遵守有關(guān)法律法規(guī)��。
3���、技術(shù)能力要求 - 了解信息系統(tǒng)技術(shù)的最新動向�����,有能力掌握信息系統(tǒng)的最新技術(shù)����;
- 具有不斷的技術(shù)更新能力����;
- 具有對信息系統(tǒng)面臨的安全威脅、存在的安全隱患進(jìn)行信息收集��、識別���、分析和提供防范措施的能力��;
- 能根據(jù)對用戶信息系統(tǒng)風(fēng)險的分析���,向用戶建議有效的安全保護(hù)策略及建立完善的安全管理制度��;
- 具有對發(fā)生的突發(fā)性安全事件進(jìn)行分析和解決的能力�;
- 具有對市場上的信息系統(tǒng)產(chǎn)品進(jìn)行功能分析����,提出安全策略和安全解決方案及安全產(chǎn)品的系統(tǒng)集成能力;
- 具有根據(jù)服務(wù)業(yè)務(wù)的需求開發(fā)信息系統(tǒng)應(yīng)用����、產(chǎn)品或支持性工具的能力�����;
- 具有對集成的信息系統(tǒng)進(jìn)行檢測和驗證的能力�;
- 有能力對信息系統(tǒng)系統(tǒng)進(jìn)行有效的維護(hù);
- 有跟蹤��、了解���、掌握���、應(yīng)用國際、國家和行業(yè)標(biāo)準(zhǔn)的能力�����。
4、人員構(gòu)成與素質(zhì)要求 - 具有充足的人力資源和合理的人員結(jié)構(gòu)�����;
- 所有與信息安全服務(wù)有關(guān)的管理和銷售人員應(yīng)具有基本的信息安全知識����;
- 有相對穩(wěn)定的從事信息安全服務(wù)的技術(shù)隊伍;
- 技術(shù)骨干人員應(yīng)系統(tǒng)地掌握信息系統(tǒng)安全基礎(chǔ)理論和核心技術(shù)���,并有足夠的專業(yè)工作經(jīng)驗�;
- 必須有2名以上(含2名)專職的注冊信息安全專業(yè)人員(CISP)�����。
5��、設(shè)備���、設(shè)施與環(huán)境要求 - 具有固定的工作場所和良好的工作環(huán)境�����;
- 具有先進(jìn)的開發(fā)�、測試或模擬環(huán)境;
- 具有先進(jìn)的開發(fā)�、生產(chǎn)和測試設(shè)備;
- 具有實施相關(guān)服務(wù)必需的開發(fā)��、生產(chǎn)和測試工具�。
6、規(guī)模與資產(chǎn)要求 - 有足夠的注冊資金和充足的流動資金����;
- 具有與所申請安全服務(wù)業(yè)務(wù)范圍、承擔(dān)的安全工程規(guī)模相適應(yīng)的服務(wù)體系��;
- 有足夠的人員從事直接與信息安全服務(wù)相關(guān)的活動����。
7�����、業(yè)績要求 - 應(yīng)有從事信息安全服務(wù)的經(jīng)驗��;
- 近3年內(nèi)在信息安全工程服務(wù)方面����,沒有出現(xiàn)驗收未通過的情況��。
8���、安全工程過程能力要求,申請組織應(yīng)能實施以下11個安全工程過程域: - 評估系統(tǒng)面臨的安全威脅����;
- 評估系統(tǒng)的脆弱性;
- 評估安全對系統(tǒng)的影響�����;
- 評估系統(tǒng)的安全風(fēng)險���;
- 確定系統(tǒng)的安全需求�����;
- 為系統(tǒng)提供必要的安全輸入�����;
- 管理系統(tǒng)的安全控制�����;
- 監(jiān)測系統(tǒng)的安全狀況�����;
- 安全協(xié)調(diào)�;
- 檢驗并證實系統(tǒng)的安全性;
- 建立并提供安全性保證論據(jù)�����。
9���、項目和組織過程能力要求��,申請組織應(yīng)能實施以下6個項目和組織過程域: - 質(zhì)量保證����;
- 管理項目風(fēng)險����;
- 規(guī)劃技術(shù)活動��;
- 監(jiān)控技術(shù)活動;
- 提供不斷發(fā)展的技能和知識��;
- 與供應(yīng)商協(xié)調(diào)�����。
二����、信息安全災(zāi)難恢復(fù)
信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)級別是對提供信息安全災(zāi)難恢復(fù)服務(wù)組織綜合實力的客觀評價,反映了組織的信息安全災(zāi)難恢復(fù)服務(wù)資格�、水平和能力。資質(zhì)級別劃分的主要依據(jù)包括:基本資格要求����、基本能力要求、災(zāi)難恢復(fù)服務(wù)過程能力和其他補(bǔ)充要求等����。
災(zāi)難恢復(fù)服務(wù)過程能力級別是評定信息安全災(zāi)難恢復(fù)服務(wù)組織資質(zhì)的主要標(biāo)志,標(biāo)志著服務(wù)組織提供給客戶的災(zāi)難恢復(fù)服務(wù)專業(yè)水平和質(zhì)量保證程度�����。
《信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)評估準(zhǔn)則》將信息安全災(zāi)難恢復(fù)服務(wù)組織的過程能力分為五個級別,由一級到五級依次遞增����,一級是最基本級別,五級為最高級別��。
一級:基本執(zhí)行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續(xù)改進(jìn)級
申請災(zāi)難恢復(fù)類(一級)企業(yè)需要具備哪些條件呢�����? (災(zāi)難恢復(fù)類二����、三、四����、五級申請條件請咨詢010-64439282)
1、組織與管理要求 - 必須擁有健全的組織機(jī)構(gòu)和管理體系�,為持續(xù)的信息安全災(zāi)難恢復(fù)服務(wù)提供保證;
- 必須具有專業(yè)從事信息安全災(zāi)難恢復(fù)服務(wù)的隊伍和相應(yīng)的質(zhì)保體系�����;
- 從事信息安全災(zāi)難恢復(fù)服務(wù)的所有成員要簽訂保密合同��,并遵守有關(guān)法律法規(guī)�。
2、技術(shù)能力要求 - 了解信息安全技術(shù)的最新動向���,有能力掌握信息系統(tǒng)領(lǐng)域的最新技術(shù)����;
- 具有不斷的技術(shù)更新能力��;
- 具有對信息系統(tǒng)面臨的安全威脅�、存在的安全隱患進(jìn)行信息收集、識別��、分析和提供防范措施的能力���;
- 能根據(jù)對用戶信息系統(tǒng)風(fēng)險的分析����,向用戶建議有效的安全保護(hù)策略及建立完善的安全管理制度�;
- 具有對發(fā)生的突發(fā)性災(zāi)難事件進(jìn)行分析和解決的能力;
- 具有對市場上的信息系統(tǒng)產(chǎn)品進(jìn)行功能分析�����,提出安全策略和安全解決方案及安全產(chǎn)品的系統(tǒng)集成能力;
- 具有根據(jù)服務(wù)業(yè)務(wù)的需求開發(fā)信息系統(tǒng)應(yīng)用�、產(chǎn)品或支持性工具的能力;
- 具有對集成的信息系統(tǒng)進(jìn)行檢測和驗證的能力�����;
- 有能力對信息系統(tǒng)系統(tǒng)進(jìn)行有效的維護(hù)�����;
- 有跟蹤����、了解、掌握�、應(yīng)用國際、國家和行業(yè)標(biāo)準(zhǔn)的能力���。
3�����、人員構(gòu)成與素質(zhì)要求 - 具有充足的人力資源和合理的人員結(jié)構(gòu)�;
- 所有與信息安全災(zāi)難恢復(fù)服務(wù)有關(guān)的管理和銷售人員應(yīng)具有基本的信息安全知識���;
- 有相對穩(wěn)定的從事信息安全災(zāi)難恢復(fù)服務(wù)的專業(yè)技術(shù)隊伍��,專業(yè)隊伍人員應(yīng)系統(tǒng)地掌握信息安全災(zāi)難恢復(fù)及信息安全災(zāi)難恢復(fù)基礎(chǔ)理論和核心技術(shù)����,并有足夠的專業(yè)工作經(jīng)驗��;
- 從事信息安全災(zāi)難恢復(fù)服務(wù)的管理�����、銷售和技術(shù)的專業(yè)人員中��,擁有CNITSEC專業(yè)資質(zhì)證書的人員不少于總?cè)藬?shù)的10%���,其中必須至少有2名具有CISP-DRP資質(zhì)的人員�����,4名具有CISM-DRP資質(zhì)的人員��。
4�、設(shè)備�、設(shè)施與環(huán)境要求 - 具有固定的工作場所和良好的工作環(huán)境���;
- 具有先進(jìn)的開發(fā)、測試或模擬環(huán)境���;
- 具有先進(jìn)的開發(fā)�、生產(chǎn)和測試設(shè)備�����;
- 具有實施相關(guān)服務(wù)必需的開發(fā)�、生產(chǎn)和測試工具。
5�����、規(guī)模與資產(chǎn)要求 - 有足夠的注冊資金和充足的流動資金����,其中注冊資產(chǎn)應(yīng)在100萬元以上,流動資金占注冊資產(chǎn)的20%以上���;
- 近3年的財務(wù)狀況良好����,提供相應(yīng)證明;
- 申請信息安全災(zāi)難恢復(fù)服務(wù)的組織應(yīng)具有與所申請災(zāi)難恢復(fù)服務(wù)業(yè)務(wù)范圍�����、承擔(dān)的災(zāi)難恢復(fù)服務(wù)規(guī)模相適應(yīng)的服務(wù)體系�����;
- 有足夠的人員從事直接與信息安全災(zāi)難恢復(fù)服務(wù)相關(guān)的活動���。
6、業(yè)績要求 - 從事信息安全服務(wù)3年以上�;
- 近3年完成的信息安全災(zāi)難恢復(fù)服務(wù)的項目總值應(yīng)在100萬以上;
- 近3年內(nèi)在信息安全災(zāi)難恢復(fù)服務(wù)方面��,沒有出現(xiàn)驗收未通過的項目����。
三、安全開發(fā)類
信息安全服務(wù)(安全開發(fā)類)資質(zhì)認(rèn)定是對信息安全開發(fā)服務(wù)提供者的綜合實力的客觀評價和確認(rèn)�,信息安全服務(wù)(安全開發(fā)類)資質(zhì)級別反映了信息安全開發(fā)服務(wù)提供者從事信息安全開發(fā)保障能力的成熟程度。資質(zhì)級別劃分的主要依據(jù)包括:基本資格與基本能力要求�、安全開發(fā)過程能力要求、項目與組織管理能力要求和其他補(bǔ)充要求等���。
信息安全服務(wù)資質(zhì)分為五個級別���,由一級到五級依次遞增�����,一級是最基本級別�����,五級為最高級別����。
一級:基本執(zhí)行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續(xù)改進(jìn)級
申請安全開發(fā)類(一級)企業(yè)需要具備哪些條件呢����? (安全開發(fā)類二、三��、四�����、五級申請條件請咨詢010-64439282)
1���、組織與管理要求 - 必須擁有健全的組織和管理體系��,為持續(xù)的信息安全開發(fā)服務(wù)提供保障��;
- 必須具有專業(yè)從事信息安全開發(fā)的隊伍和相應(yīng)的質(zhì)量保證����;
- 必須具有比較完善的安全管理機(jī)制,保證開發(fā)的產(chǎn)品安全���;
- 與安全開發(fā)服務(wù)相關(guān)的所有成員要簽訂保密合同,并遵守有關(guān)法律法規(guī)��。
2�、技術(shù)能力要求 - 了解信息技術(shù)的最新動向,有能力掌握信息系統(tǒng)的最新技術(shù)���;
- 具有不斷的技術(shù)更新能力����;
- 具有對信息系統(tǒng)和信息技術(shù)產(chǎn)品面臨的安全威脅����、存在的安全隱患進(jìn)行信息收集���、識別、分析和提供防范措施的能力�����;
- 具有對用戶信息系統(tǒng)和信息技術(shù)產(chǎn)品安全風(fēng)險的分析和處理能力���;
- 具有對開發(fā)的產(chǎn)品進(jìn)行安全檢測和驗證的能力���;
- 具有對信息技術(shù)產(chǎn)品安全進(jìn)行有效維護(hù)的能力;
- 有跟蹤��、了解���、掌握����、應(yīng)用國際�、國家和行業(yè)標(biāo)準(zhǔn)的能力。
3�����、人員構(gòu)成與素質(zhì)要求 - 具有充足的人力資源和合理的人員結(jié)構(gòu);
- 所有與信息安全開發(fā)有關(guān)人員應(yīng)具有基本的信息安全知識��;
- 有相對穩(wěn)定的從事信息安全開發(fā)的技術(shù)隊伍�;
- 技術(shù)骨干人員應(yīng)系統(tǒng)地掌握信息安全基礎(chǔ)理論和核心技術(shù),并有足夠的專業(yè)工作經(jīng)驗�;
- 必須有2名以上(含2名)專職的注冊信息安全專業(yè)人員(CISE或CISD)。
4��、設(shè)備���、設(shè)施與環(huán)境要求 - 具有固定的工作場所和良好的工作環(huán)境��;
- 具有先進(jìn)的開發(fā)����、生產(chǎn)和測試設(shè)備與工具���;
5、規(guī)模與資產(chǎn)要求 - 有足夠的注冊資金和充足的流動資金����;
- 具有與所申請安全服務(wù)業(yè)務(wù)范圍、承擔(dān)的安全開發(fā)規(guī)模相適應(yīng)的服務(wù)體系;
- 有足夠的人員從事與信息安全開發(fā)相關(guān)的活動�����。
6����、業(yè)績要求 - 應(yīng)有從事信息安全開發(fā)的經(jīng)驗;
- 近3年內(nèi)在信息安全開發(fā)方面�����,沒有出現(xiàn)驗收未通過的情況���。
7���、安全開發(fā)過程能力要求。申請組織應(yīng)能實施以下9個安全開發(fā)過程域: - 安全意識和安全教育�����;
- 啟動安全開發(fā)過程���;
- 產(chǎn)品風(fēng)險評估和分析���;
- 定義安全設(shè)計原則��;
- 提供安全文檔和安全配置工具����;
- 進(jìn)行安全編碼����;
- 進(jìn)行安全測試;
- 安全最終評審與產(chǎn)品發(fā)布����;
- 安全響應(yīng)服務(wù)。
8�����、項目和組織過程能力要求���,申請組織應(yīng)能實施以下6個項目和組織過程域: - 質(zhì)量保證;
- 管理配置����;
- 管理項目風(fēng)險;
- 規(guī)劃技術(shù)活動;
- 監(jiān)控技術(shù)活動�;
- 提供不斷發(fā)展的技能和知識;
- 與供應(yīng)商協(xié)調(diào)����。
四、風(fēng)險評估類
信息安全服務(wù)(風(fēng)險評估類)資質(zhì)認(rèn)定是對信息安全風(fēng)險評估服務(wù)提供者的綜合實力的客觀評價和確認(rèn)����,信息安全服務(wù)(風(fēng)險評估類)資質(zhì)級別反映了信息安全風(fēng)險評估服務(wù)提供者從事信息安全風(fēng)險評估服務(wù)保障能力的成熟程度。資質(zhì)級別劃分的主要依據(jù)包括:基本資格與基本能力要求�����、安全風(fēng)險評估過程能力要求���、項目與組織管理能力要求和其他補(bǔ)充要求等���。
信息安全服務(wù)資質(zhì)分為五個級別,由一級到五級依次遞增�����,一級是最基本級別���,五級為最高級別���。
一級:基本執(zhí)行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續(xù)改進(jìn)級
申請風(fēng)險評估類(一級)企業(yè)需要具備哪些條件呢���? (風(fēng)險評估類二、三��、四�����、五級申請條件請咨詢010-64439282)
基本資格要求:申請信息安全服務(wù)(風(fēng)險評估一級)資質(zhì)的組織必須是一個獨(dú)立的實體�����,具有工商行政管理部門頒發(fā)的營業(yè)執(zhí)照�����,并遵守國家現(xiàn)行法律法規(guī)��。
1�、組織與管理要求 - 必須擁有健全的組織和管理體系,為持續(xù)的信息安全風(fēng)險評估服務(wù)提供保障�����;
- 必須具有專業(yè)從事信息安全風(fēng)險評估服務(wù)的隊伍和相應(yīng)的質(zhì)量保證����;
- 與安全風(fēng)險評估服務(wù)相關(guān)的所有成員要簽訂保密合同,并遵守有關(guān)法律法規(guī)���。
2���、技術(shù)能力要求 - 了解信息系統(tǒng)技術(shù)的最新動向,有能力掌握信息系統(tǒng)的最新技術(shù)���;
- 具有不斷的技術(shù)更新能力���;
- 具有對信息系統(tǒng)的狀況進(jìn)行調(diào)研、分析和描述的能力���;
- 具有對信息系統(tǒng)面臨的安全威脅�、存在的安全隱患進(jìn)行信息收集�、識別、分析能力��;
- 具有對信息系統(tǒng)的資產(chǎn)及其影響進(jìn)行識別、分析和評估的能力��;
- 具有對信息系統(tǒng)的脆弱性進(jìn)行識別分析和評估的能力�����;
- 具有根據(jù)信息安全風(fēng)險的結(jié)果提出應(yīng)對安全措施的能力����;
- 具有應(yīng)用國際國內(nèi)最新信息安全風(fēng)險評估方法的能力;
- 有跟蹤�、了解、掌握����、應(yīng)用國際、國家和行業(yè)標(biāo)準(zhǔn)的能力����。
3、人員構(gòu)成與素質(zhì)要求 - 具有充足的人力資源和合理的人員結(jié)構(gòu)��;
- 所有與信息安全服務(wù)有關(guān)的管理和銷售人員應(yīng)具有基本的信息安全知識���;
- 有相對穩(wěn)定的從事信息安全風(fēng)險評估服務(wù)的技術(shù)隊伍�;
- 技術(shù)骨干人員應(yīng)系統(tǒng)地掌握信息系統(tǒng)安全基礎(chǔ)理論和核心技術(shù),并有足夠的專業(yè)工作經(jīng)驗�;
- 必須有2名以上(含2名)專職的注冊信息安全專業(yè)人員(CISP)。
4��、設(shè)備��、設(shè)施與環(huán)境要求 - 具有固定的工作場所和良好的工作環(huán)境��;
- 具有實施信息安全風(fēng)險評估服務(wù)的相關(guān)工具和設(shè)備���。
5、規(guī)模與資產(chǎn)要求 - 有足夠的注冊資金和充足的流動資金��;
- 具有與所申請安全服務(wù)業(yè)務(wù)范圍�、承擔(dān)的安全風(fēng)險評估規(guī)模相適應(yīng)的服務(wù)體系;
- 有足夠的人員從事直接與信息安全風(fēng)險評估服務(wù)相關(guān)的活動����。
6、業(yè)績要求 - 應(yīng)有從事信息安全風(fēng)險評估服務(wù)的經(jīng)驗�����;
- 近3年內(nèi)在信息安全風(fēng)險評估服務(wù)方面����,沒有出現(xiàn)驗收未通過的情況����。
7��、安全風(fēng)險評估過程能力要求�,申請組織應(yīng)能實施以下6個安全風(fēng)險評估過程域: - 風(fēng)險評估準(zhǔn)備
- 評估系統(tǒng)資產(chǎn)的影響;
- 評估系統(tǒng)存在的脆弱性���;
- 評估系統(tǒng)面臨的安全威脅����;
- 評估系統(tǒng)已有的安全措施����;
- 評估系統(tǒng)的安全風(fēng)險。
8����、項目和組織過程能力要求,申請組織應(yīng)能實施以下6個項目和組織過程域: - 質(zhì)量保證����;
- 管理項目風(fēng)險���;
- 規(guī)劃技術(shù)活動;
- 監(jiān)控技術(shù)活動���;
- 提供不斷發(fā)展的技能和知識�����;
- 與供應(yīng)商協(xié)調(diào)。
信息安全服務(wù)資質(zhì)申請流程圖
為什么選擇瑞和信誠���?
◆ 優(yōu)秀的管理團(tuán)隊
◆ 市場部前期的專業(yè)解答����;
◆ 咨詢部入場的專業(yè)梳理���;
◆ 商務(wù)部后期的專業(yè)跟進(jìn)���;
◆ 呈給您專業(yè)的優(yōu)質(zhì)服務(wù);
瑞和信誠迄今為止咨詢的企業(yè)多達(dá)800余家��,咨詢的企業(yè)涵蓋眾多領(lǐng)域,如冶金����、油井勘測、機(jī)械制造���、物業(yè)服務(wù)����、建筑施工��、園林綠化等眾多行業(yè)�,因其謙虛細(xì)致的工作作風(fēng),嚴(yán)謹(jǐn)認(rèn)真的工作態(tài)度�����、扎實穩(wěn)健的咨詢功底����,贏得了企業(yè)的眾多好評!
以上文章由瑞和信誠為您搜集整理��,希望對您企業(yè)的發(fā)展有所幫助�。如果您想了解更多有關(guān)于信息安全服務(wù)資質(zhì)認(rèn)證���,請聯(lián)系瑞和信誠資深專業(yè)咨詢師:010-64439282(或者直接掃描下方二維碼)。
| 
