随着我国信息化和信息安全事业的发展,以应急处理、风险评估、灾难恢复、系统评估、安全运维、安全审计、安全培训和安全咨询为主要内容的信息安全服务在信息安全中的作用日益凸显。加强和规范信息安全服务资质管理已成为信息安全管理的一项重要基础工作。
信息安全服务资质是根据公开的标准和程序,对信息系统安全服务提供者的技术、资源、法律、管理等资质和能力及其稳定性和可靠性进行评估,并对其安全服务保障能力进行认证的过程。
资质级别
资质级别分为一级、二级、三级,其中一级最高,三级最低。资质级别是衡量服务商服务能力的标尺。
认证类别
1、安全集成服务资质
信息安全集成服务是指计算机应用系统工程和网络系统工程的安全需求定义、安全设计、建设和实施、安全保障等活动。
安全服务商的服务能力主要体现在以下四个方面:基本资质、服务管理能力、服务技术能力和服务流程能力;服务人员的能力主要从安全集成服务的知识和经验进行综合评价。
2、安全运维服务资质
通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通知、安全事件响应和信息安全运维咨询,协助组织信息系统管理人员开展信息系统安全运维工作,发现并修复信息系统存在的安全隐患,降低安全隐患被非法利用的可能性,在安全隐患被利用后及时响应。
安全运维资质认证是对安全运维服务提供者的基本资质、管理能力、技术能力和安全运维流程能力进行评价。
3、风险评估服务资质
信息安全风险评估是信息安全的基础工作和重要环节,贯穿于网络和信息系统建设和运行的全过程。
风险评估服务商的服务能力主要体现在以下四个方面:基本资质、服务管理能力、服务技术能力和服务流程能力;服务人员的能力主要从风险评估服务的知识和经验进行综合评价。
4、应急服务资质
信息安全应急处置服务是通过制定应急预案,及时应对影响网络和信息系统安全的安全事件,一旦发生安全事件,对其进行识别、记录、分类和处理,直至受影响业务恢复正常运营的过程。应急响应服务是保障业务连续性的重要手段之一,涵盖了安全事件发生后维护和恢复关键业务的一系列活动。
信息应急响应服务资质认证是评价应急响应服务提供者的基本资质、管理能力、技术能力和应急响应服务流程能力。
5、软件安全开发服务资质
通过控制软件开发过程,可以将开发软件的风险控制在可接受的水平。
软件开发资质认证是评价软件开发人员的基本资质、管理能力、技术能力和软件安全流程能力。
6、信息系统灾难备份与恢复服务资质
信息灾难备份与恢复服务是为备份信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力,将信息系统从灾难导致的故障或瘫痪状态恢复到正常运行状态,将支持的业务功能从灾难导致的异常状态恢复到灾难发生时的可接受状态而设计和提供的活动。
7、工业控制安全服务资质
工业控制系统安全服务旨在提高工业控制系统的高可用性和业务连续性,以及功能安全、物理安全和信息安全的保障能力。它们涉及工业控制系统设计、建设、运维和技术改造的各个阶段,主要包括系统集成、系统运维、应急处理、风险评估等工业控制系统安全服务,形成系统化、独立化、文件化的过程。
工业控制系统安全服务资质认证是对工业控制系统安全服务提供者的基本资质、管理能力、技术能力和安全服务过程能力进行评价。
8、网络安全审计服务资质认证
网络安全审计是指网络安全审计机构对被审计单位所属计算机信息系统的安全性、可靠性和经济性进行检查和监督,获取审计证据并进行客观评价的系统、独立、有据可查的活动。
网络安全审计服务资质认证是评价网络安全审计服务提供者的基本资质、管理能力、技术能力和网络安全审计流程能力。
认证意义
1.是企业获得第三方权威机构认证认可能力的基础;
2.是买方选择的依据,可以提高买方对服务商的信任度;
3.规范管理和技术,提高客户满意度;
4.拓宽企业经营范围,获得更多商机。
