四川联众达信息技术咨询有限公司,资质代办,系统集成,管理体系,安防资质,知识产权,工商注册,代理记账,财务咨询,商标代理,管理体系,涉密资质,信息化咨询,供应链物流
资质办理
  • 概述
  • 服务

    CISAW信息安全服务资质概述

    • 规范性引用文件

    下列文件中的条款通过本文件引用而成为本文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本文件,然而,鼓励根据本文件达成协议的各方研究可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本文件。

        CNCA/CTS 0052-2007《 信息安全服务资质认证技术规范》
        YDT1799-2008《 网络与信息安全应急处理服务资质评估方法》
        ISCCC-SV-002:2010《 信息安全风险评估服务资质认证实施规则》
        ISCCC-SV-003:2014《 信息系统安全集成服务资质认证实施规则》
        ISCCC-SV-004:2012《 信息系统灾难备份与恢复服务资质认证实施规则》
        GB/T 5271.8-2001《 信息技术词汇第8部分:安全》中的术语和定义适用于本标准。


    • 术语与定义
        1. 信息安全服务
        由供应商、组织机构或人员执行的一个安全过程或任务。( ISO/IEC TR 15443-1:2005《信息技术安全技术 信息技术安全保障框架 第一部分:总揽和框架》)
        2. 信息安全服务资质
        信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。
        3. 信息安全风险评估
        运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水平。
        4. 信息安全应急处理
        制定应急处理计划,组织实施演练,并在出现网络与信息系统安全事故时,及时实施应急处理ISCCC-SV-001:2015 信息安全服务资质认证实施规则计划的过程。
        5. 信息系统安全集成
        在从事网络系统、应用系统、安防系统、建筑智能化系统的集成过程中, 所进行的安全需求界定、安全设计、 安全实施、 安全保障等活动。
        6. 信息系统灾难备份与恢复
        将信息系统的数据、数据处理系统、网络系统、 基础设施、专业技术支持能力和运行管理能力进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、 将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动,分为资源服务类( A 类)、技术服务类( B 类)两个类别。
        7. 软件安全开发
        通过对软件开发过程的控制, 将开发的软件存在的风险控制在可接受的水平。
        8. 信息系统安全运维
        通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、 安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。

    认证申请:

    认证的基本环节:

    1. 认证申请与受理; 
    2. 文档审核;
    3. 现场审核;
    4. 认证决定;
    5. 年度监督审核。
    初次申请服务资质认证时,申请单位应填写认证申请书,并提交资格、能力方面的证明材料。申请材料通常包括:
    ■  服务资质认证申请书; 
    ■  独立法人资格证明材料;
    ■  从事信息安全服务的相关资质证明;
    ■  工作保密制度及相应组织监管体系的证明材料;
    ■  与信息安全风险评估服务人员签订的保密协议复印件;
    ■  人员构成与素质证明材料;
    ■  公司组织结构证明材料;
    ■  具备固定办公场所的证明材料;
    ■  项目管理制度文档;
    ■  信息安全服务质量管理文件;
    ■  项目案例及业绩证明材料;
    ■  信息安全服务能力证明材料等。

    三、关于认证依据:

    对特定类别的信息安全服务,有具体的评价标准。例如,信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008),信息安全风险评估服务资质认证的依据是《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。

    四、关于认证流程:

    参见网站上的《信息安全服务资质认证实施规则》(ISCCC-SV-001)及认证流程图。认证周期一般是10周,包括自申请被正式受理之日起至颁发认证证书时止所实际发生的时间,不包括由于申请单位准备或补充材料的时间。

     

    CISAW信息安全服务资质

    通用评价要求


          通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维等类别的信息安全服务认证评价, 均分为三个级别,其中一级最高。
        1. 三级评价要求
            1.1. 法律地位要求
        在中华人民共和国境内注册的独立法人组织, 发展历程清晰, 产权关系明确。
            1.2. 财务资信要求
        近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近 3 年财务审计报告。
        1.3. 办公场所要求
        拥有长期固定办公场所和相适应的办公条件, 能够满足机构设置及其业务需要。
            1.4. 人员素质与资质要求
        a) 组织负责人拥有2年以上信息技术领域管理经历。
        b) 技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信息安全技术工作2年以上。
        c) 财务负责人具有财务系列初级以上职称。
        d) 从事信息安全服务人员10名以上。
        e) 拥有信息安全专业认证(与申报类别一致) 人员2名以上。
        f) 拥有项目管理资格证书人员1名以上。
            1.5. 业绩要求
        a) 从事信息安全服务(与申报类别一致) 1年以上。
        b) 近3年内签订并完成至少1个信息安全服务(与申报类别一致) 项目。
            1.6. 服务管理要求
        a) 遵循国家相关法律法规、标准要求, 无违法违规记录,资信状况良好。
        b) 建立人员管理程序和能力考核指标; 制定业务和技能培训计划,定期对相关人员开展培训和考核。
        c) 建立文档控制程序,明确文档管理职责,任命管理人员,确保项目文档资料妥善保管。
        d) 建立项目管理制度,并按照制度执行。
        e) 提供资源,确保信息安全服务项目的实施。
            1.7. 服务合同要求
        a) 了解客户及所处的行业对信息安全服务的特定要求。
        b) 确定信息安全服务范围。
        c) 应签订信息安全服务合同或协议。
            1.8. 服务安全要求
        a) 满足法律法规对服务安全的要求。
        b) 满足与客户签订服务合同中的安全要求。
        c) 制定保密管理制度,明确岗位保密责任。
        d) 按照客户要求, 对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
        e) 与相关人员签订保密协议,并进行保密教育。
        f) 确保其供应商满足上述服务安全要求。
            1.9. 服务技术要求
        a) 建立信息安全服务(与申报类别一致)流程。
        b) 制定信息安全服务(与申报类别一致)规范并按照规范实施。
       
        2. 二级评价要求
            2.1. 法律地位要求
        在中华人民共和国境内注册的独立法人组织, 发展历程清晰, 产权关系明确。
            2.2. 财务资信要求
        近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近 3 年财务审计报告。
            2.3. 办公场所要求
        拥有长期固定办公场所和相适应的办公条件, 能够满足机构设置及其业务需要。
            2.4. 人员素质与资质要求
        a) 组织负责人拥有3年以上信息技术领域管理经历。
        b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信息安全技术工作5年以上。
        c) 财务负责人具有财务系列中级以上职称。
        d) 从事信息安全服务人员30名以上。
        e) 拥有信息安全专业认证(与申报类别一致) 人员6名以上。
        f) 拥有项目管理资格证书人员2名以上。
          nbsp;  2.5. 技术工具要求
        a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
        b) 具备承担信息安全服务(与申报类别一致) 项目所需的安全工具,并对工具进行管理和版本控制。
            2.6. 业绩要求
        a) 从事信息安全服务(与申报类别一致) 3年以上,或取得信息安全服务(与申报类别一致)    三级资质1年以上。
        b) 近三年内签订并完成至少6个信息安全服务项目(与申报类别一致) 。
            2.7. 服务管理要求
        a) 遵循国家相关法律法规、标准要求, 无违法违规记录,资信状况良好。
        b) 建立项目管理制度,并按照制度执行。
        c) 参照国际或国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并有效运行。
        d) 参照国际或国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并有效运行。
        e) 提供资源,确保信息安全服务项目的实施。
            2.8. 服务合同要求
        a) 了解客户及所处的行业对信息安全服务的特定要求。
        b) 确定信息安全服务范围。
        c) 应签订信息安全服务合同或协议。
        d) 合同应明确信息安全服务的行为规范。
            2.9. 服务安全要求
        a) 满足法律法规对服务安全的要求。
        b) 满足与客户签订服务合同中的安全要求。
        c) 制定保密管理制度,明确岗位保密责任。
        d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
        e) 与相关人员签订保密协议,并进行保密教育。
        f) 确保其供应商满足上述服务安全要求。
            2.10. 服务技术要求
        a) 建立信息安全服务(与申报类别一致)流程。
        b) 制定信息安全服务(与申报类别一致)规范并按照规范实施。
      
        3. 一级评价要求
            3.1. 申请条件
        取得信息安全服务(与申报类别一致)二级资质 1 年以上。(行业领头企业除外)
            3.2. 法律地位要求
        在中华人民共和国境内注册的独立法人组织, 发展历程清晰, 产权关系明确。
            3.3. 财务资信要求
        近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近 3 年财务审计报告。
            3.4. 办公场所要求
        拥有长期固定办公场所和相适应的办公条件, 能够满足机构设置及其业务需要。
            3.5. 人员素质与资质要求
        a) 组织负责人拥有4年以上信息技术领域管理经历。
        b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称,且从事信息安全技术工作8年以上。
        c) 财务负责人拥有财务系列高级职称, 或取得中级职称8年以上。
        d) 从事信息安全技术服务人员50名以上。
        e) 拥有信息安全专业认证人员(与申报类别一致) 10名以上。
        f) 拥有项目管理资格证书人员5名以上。
            3.6. 技术工具要求
        a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
        ) 具备承担信息安全服务(与申报类别一致) 项目所需的安全工具,如漏洞扫描工具、渗透测试工具、协议分析仪等。
            3.7. 业绩要求
        a) 从事信息安全服务(与申报类别一致) 5年以上。
        b) 近三年内至少签订并完成10个信息安全服务项目(与申报类别一致) 。
            3.8. 服务管理要求
        a) 遵循国家相关法律法规、标准要求, 无违法违规记录,资信状况良好。
        b) 建立项目管理制度,并按照制度执行。
        c) 参照国际、国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并提供有效运行的相关证明。
        d) 参照国际、国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系, 并提供有效运行的相关证明。
        e) 提供足够资源,确保信息安全服务项目的实施。
            3.9. 服务合同要求
        a) 了解客户及所处的行业对信息安全服务的特定要求。
        b) 确定信息安全服务范围。
        c) 应签订信息安全服务合同或协议。
        d) 合同应明确信息安全服务的行为规范。
        e) 合同应明确信息安全服务的安全要求。
            3.10. 服务安全要求
        a) 满足法律法规对服务安全的要求。
        b) 满足与客户签订服务合同中的安全要求。
        c) 制定保密管理制度,明确岗位保密责任。
        d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
        e) 与相关人员签订保密协议,并进行保密教育。
        f) 确保其供应商满足上述服务安全要求。
            3.11. 服务技术要求
        a) 建立信息安全服务(与申报类别一致)流程。
        b) 制定信息安全服务(与申报类别一致)规范,并按照规范实施

     

    认证申请:


    认证的基本环节:


    1. 认证申请与受理;

    2. 文档审核;

    3. 现场审核;

    4. 认证决定;

    5. 年度监督审核。


    初次申请服务资质认证时,申请单位应填写认证申请书,并提交资格、能力方面的证明材料。申请材料通常包括:


    ■  服务资质认证申请书;

    ■  独立法人资格证明材料;

    ■  从事信息安全服务的相关资质证明;

    ■  工作保密制度及相应组织监管体系的证明材料;

    ■  与信息安全风险评估服务人员签订的保密协议复印件;

    ■  人员构成与素质证明材料;

    ■  公司组织结构证明材料;

    ■  具备固定办公场所的证明材料;

    ■  项目管理制度文档;

    ■  信息安全服务质量管理文件;

    ■  项目案例及业绩证明材料;

    ■  信息安全服务能力证明材料等。


    三、关于认证依据:


    对特定类别的信息安全服务,有具体的评价标准。例如,信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008),信息安全风险评估服务资质认证的依据是《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。




    四、关于认证流程:


    参见网站上的《信息安全服务资质认证实施规则》(ISCCC-SV-001)及认证流程图。认证周期一般是10周,包括自申请被正式受理之日起至颁发认证证书时止所实际发生的时间,不包括由于申请单位准备或补充材料的时间。

欢迎咨询四川联众达信息技术咨询有限公司