一、认定依据
信息安全服务(安全工程)资质认证是对信息安全工程服务供应商的资质、技术实力和信息安全工程实施过程质量保障能力进行的具体衡量和评价。
信息安全服务(安全工程)资质等级评定依据《信息安全服务资质评定标准》和不同等级信息安全服务资质(安全工程)的具体要求,由中国信息安全测评中心对申请机构的基础资质、技术实力、信息安全工程服务能力、安全工程项目组织管理水平等进行综合评估后,授予相应的资质等级。
2. 级别划分
信息安全服务(安全工程)资质认证是对信息安全工程服务商综合实力的客观评价与确认。信息安全服务(安全工程)资质等级体现了信息安全工程服务商提供信息安全工程服务能力的成熟度。资质等级划分的主要依据包括:基本资质与基本能力要求、安全工程过程能力要求、项目与组织管理能力要求以及其他补充要求。
信息安全服务资质分为五级,一级至五级依次递增,其中一级为最基础级,五级为最高级。
第一级:基础执行级
第 2 级:计划跟踪级别
第 3 级:完全定义
第四级:定量控制级
第五级:持续改进
三、一级资质要求
申请信息安全服务(一级安全工程)资质的机构,需在基础资质与基础能力、安全工程过程能力、项目和组织过程能力等方面符合《信息安全服务资质(一级安全工程)具体要求》的规定。
3.1 基本资格要求
申请信息安全服务(一级安全工程)资质的机构必须是独立的法人,具有工商管理部门颁发的营业执照,并遵守国家现行的法律法规。
3.2 基本能力要求
3.2.1组织管理要求
1.必须具有完善的组织管理体系,为信息安全工程服务的持续提供保障;
2.必须拥有专门从事信息安全工程服务的团队和相应的质量保障;
3、凡参与安全工程服务的成员单位必须签订保密合同,并遵守相关法律法规。
3.2.2 技术能力要求
1、了解信息系统技术的最新动态,能够掌握最新的信息系统技术;
2.具有持续更新技术的能力;
3.具有对信息系统面临的安全威胁和潜在的安全风险进行收集、识别、分析并提供防范措施的能力;
4.能够通过分析用户信息系统风险,向用户推荐有效的安全防护策略,建立完善的安全管理体系;
5、具有分析、解决突发安全事件的能力;
6、具有对市场上的信息系统产品进行功能分析、提出安全策略和安全解决方案、集成安全产品的能力;
7、具有根据服务业务需要开发信息系统应用程序、产品或支撑工具的能力;
8.具有对集成信息系统进行测试验证的能力;
9.具有有效维护信息系统的能力;
10.具有跟踪、了解、掌握和运用国际、国家及行业标准的能力。
3.2.3 人员构成及素质要求
1.拥有充足的人力资源和合理的人员结构;
2.所有与信息安全服务相关的管理、销售人员都应具备基本的信息安全知识;
3.拥有相对稳定的从事信息安全服务的技术团队;
4.技术骨干人员应系统掌握信息系统安全基础理论和核心技术,具有足够的专业工作经验;
5.拥有2名及以上(含2名)全职注册信息安全师(CISP)。
3.2.4 设备、设施及环境要求
1、有固定的工作地点和良好的工作环境;
2.拥有先进的开发、测试或仿真环境;
3、拥有先进的开发、生产和检测设备;
4.拥有实施相关服务所必需的开发、生产和测试工具。
3.2.5 规模和资产要求
1、有足够的注册资本和充足的营运资金;
2、有与申请保安服务业务范围、承接保安工程规模相适应的服务体系;
3.有足够的人员从事与信息安全服务直接相关的活动。
3.2.6 性能要求
1、具有信息安全服务经验;
2、近三年没有发生信息安全工程服务验收不合格的情况。
3.3 安全工程过程能力要求
安全工程过程能力是信息安全工程服务专业水平的标志,申请者应能实施以下11个安全工程过程领域:
1.评估系统面临的安全威胁;
2.评估系统的脆弱性;
3.评估安全性对系统的影响;
4.评估系统的安全风险;
5.确定系统的安全需求;
6.为系统提供必要的安全输入;
7.管理系统的安全控制;
8.监控系统的安全状况;
9.安全协调;
10.验证并确认系统的安全性;
11.建立并提供安全保障论据。
3.4 项目和组织过程能力要求
项目和组织过程能力是信息安全工程服务标准化和质量保证成熟度的指标。申请者应能够实施以下六个项目和组织过程领域:
1.质量保证;
2.管理项目风险;
3. 规划技术活动;
4. 监控技术活动;
5. 提供持续发展的技能和知识;
6.与供应商协调。
四、资质认证
4.1 识别流程
4.2 申请阶段
申请机构应首先登陆国家信息安全认证中心网站()查看、下载《信息安全服务资质评价标准》、《信息安全服务资质申请指南(安全工程类一级)》和《信息安全服务资质申请书(安全工程类一级)》及相关附件,认真阅读上述文件,了解资质认证流程及相关情况,确定机构符合一级资质基本资质要求和基本能力要求。申请机构在决定申请信息安全服务资质时,应按照《信息安全服务资质申请书(安全工程类一级)》的要求填写申请表,加盖公章装订,将申请表及所需相关材料刻录成光盘,将纸质版和电子版材料一并报送国家信息安全认证中心。向国家信息安全认证中心提交申请前,应逐项检查所填材料的完整性和准确性。
4.3资格审查阶段
CNITSEC 收到正式申请及相关材料后,将根据所提交的材料进行资格审查,确认申请人是否符合基本资格要求、所提交的材料是否齐全。资格审查包括对申请人所提交的材料进行形式审查以及与申请人进行进一步的调查和沟通。资格审查阶段如发现有不符合要求的内容,CNITSEC 将要求申请组织补充材料。资格审查阶段通过后,CNITSEC 将与申请组织签订合同,正式受理申请,并通知缴纳相关费用。
4.4 能力评估阶段
当申请机构通过资格审查并缴纳相关费用后,资格申请进入能力评估阶段。能力评估阶段包括静态评估、现场审查、综合总结和专家评审四个步骤。
4.4.1 静态评估
静态评估是对申请机构的材料进行合规性审查,对申请机构的信息安全服务能力做出基本判断,初步确定申请机构的信息安全服务能力,为现场审计做好准备。如静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请机构进一步补充材料,以真实反映申请机构的客观情况。
4.4.2 现场审核
静态评估通过后,CNITSEC将与申请机构沟通现场审核事宜,安排审核组进行现场审核。现场审核是为了核实和确认申请机构从事信息安全服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、业务业绩、资产状况等),并收集证据。对于首次申请的机构,应进行现场审核。申请升级或保持二级及以上资质的机构,视为首次申请;对于申请第二次及以上保持证书的机构,如近三年总体情况稳定,人员和业务无重大变化,财务状况良好,业务开展正常,则不再进行现场审核,由专家评审委员会直接评审;对于申请保持证书发生重大变化的机构,北京申请人应要求派人到中心评审,外地申请人参照首次申请。
4.4.3 总结
现场审核组依据静态评估和现场审核结果,汇总申请机构的基本资质、基本能力、信息安全服务能力以及资质要求的其他内容,出具审核情况总结报告,作为专家评审的依据。现场审核组发现需要整改的不符合项,应当在报告中予以标注,并提交专家评审组审查。
4.4.4 专家评审
完成初审总结后,中心原则上每月组织一次专家评审会,对申请机构信息安全服务资质是否获准进行最终评审。专家评审组由从服务资质评审专家库中随机抽取的至少5名专家组成。现场评审组相关人员向专家组介绍相关情况,评审专家根据评审总结报告、评审过程证据及记录等作出评审意见,按照少数服从多数的原则最终作出是否通过的决定。
4.5 证书颁发阶段
资质通过专家评审、批准颁发后,由发证人员制作、审核、颁发资质证书,并在网站()、报刊杂志(中国信息安全)、公众账号(国家信息安全服务资质)等媒体上公示。
五、监控、维护与升级
合格机构需通过不断发展自身的信息安全服务体系,保持自身的基础能力和安全服务能力。国家信息安全监督管理委员会将通过投诉制度、现场见证、信息安全服务项目抽查等方式对每个合格机构的能力进行验证。特别需要指出的是,对于未接受现场审核的企业,在有效期内需保证至少一次的督导频率。
证书三年有效期内需每年确认一次,证书每三年续期一次。建议获证组织在证书到期前六个月提出续期申请。审核员将根据相关信息安全服务资质保持政策进行评估,确定获证组织是否满足信息安全服务能力要求。获证组织在获得证书后,可根据自身能力的提升,向中心申请更高级别的资质认证。
获证组织相关信息若发生变化,须及时通知中心,申请变更,审核员将及时确认信息并更新数据。
若获证组织主体发生变化,需要转移资质证书的,可以前往CNITSEC网站()下载并填写《信息安全服务资质变更申请表》,提交资质转移申请。
六、处置
当获证组织违反规定时,CNITSEC有权根据违规严重程度给予警告、限期整改、暂停认证证书、注销认证证书等处罚。
