随着我国信息化和信息安全事业的发展,以应急处理、风险评估、灾难恢复、系统评估、安全运维、安全审计、安全培训和安全咨询为主要内容的信息安全服务在信息安全中的作用日益凸显。加强和规范信息安全服务资质管理已成为信息安全管理的一项重要基础工作。
# 1.什么样的产品需要申请网络服务资质?
1.安全集成
2.安全操作和维护
3.急救
4.软件安全性
5.灾难备份和恢复
6.工业控制安全
7.网络安全审计
# 2.企业获得服务资质有哪些要求?
1.在中华人民共和国境内注册的独立法人组织,有明确的发展历史和产权关系。
2.有长期固定的办公场所和适宜的办公条件,能够满足机构设置和业务需要。
3.人员能力要求:组织负责人具有2年以上信息技术领域管理经验;技术总监有信息安全服务。
4.性能要求:
a)从事信息安全服务(与申报类别一致)6个月以上。
b)在最近一年签署并完成至少一个信息安全服务(与申报的类别一致)项目。
5.服务管理要求:
a)建立并运行人员管理程序,明确保安服务人员的服务能力要求,明确保安服务人员的岗位。
职责、技术能力要求,并通过评估证明其能够胜任其职责。
b)制定服务人员的能力培训计划,包括与网络和信息安全相关的技术、技能、管理和意识。
并执行计划,确保服务人员持续胜任其职责。
c)建立并运行文件管理程序,包括组织管理、服务过程管理、质量管理等。并明确项目生产
生产、放行、保存、传输、使用(包括交付和内部使用)和废弃的文件控制。
d)建立并运行项目管理程序,明确服务项目的组织、策划、实施、风险控制、交付等环节。
操作程序,提供项目风险管理记录。
e)建立并运行保密管理程序,明确岗位保密责任,签订保密协议,能够及时向相关人员提供访问权限。
进行保密教育。
f)建立并运行供应商管理程序,确保其供应商满足服务安全要求(仅适用于安全集成和安全
运维、灾难备份和恢复方向)。
g)建立合同管理程序,制定统一的合同模板,按照合同约定实施信息安全服务项目。根据客户
要求,保护敏感的客户信息和知识产权信息,并确保服务人员了解客户。
的相关要求。
#三。信息安全风险评估服务的专业评估要求
信息安全风险评估服务的专业评估要求应在评估准备、风险识别、风险分析和风险处置四个过程中进行。项目实施过程应形成文件,具体评分要求如下:
A1 三级要求
申请三级认证的机构至少有一个已完成的风险评估项目,系统用户数在1000人以上;具备从管理或(和)技术层面识别漏洞的能力;能够跟踪信息安全漏洞。
A2 二级要求
申请二级机构,除满足三级能力要求外,还应满足以下要求:申请二级认证的机构应至少完成一个针对各类机构、多行业机构的风险评估项目,系统用户数在1万人以上;具有从管理和技术方面识别漏洞的能力;有能力追踪和超越
