欢迎来到天天文库
浏览记录
ID:15398382
大小:232.00 KB
页数:13页
时间:2018-08-03
《信息系统安全服务资质认证指南(一级资质)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息安全服务资质认证指南国家信息安全测评认证信息系统安全服务资质认证指南(试行)发布日期:2007年5月福建省网络与信息安全测评中心共13页第13页信息安全服务资质认证指南目录引言31认证依据42等级划分43认证要求43.1基本资格要求43.2基本能力要求53.2.1组织与管理要求53.2.2技术能力要求53.2.3人员构成与素质要求53.2.4设备、设施与环境要求63.2.5规模与资产要求63.2.6业绩要求63.3安全工程过程及能力级别64认证流程95受理过程106申请书107评审108认证与公布119保持认证1210认证发展1211处置1212争议、投诉与申诉
2、1213认证企业档案1314费用及认证周期1315相关文件与表格13共13页第13页信息安全服务资质认证指南引言福建省网络与信息安全测评中心(原中国国家信息安全测评认证中心,简称FJTEC)是经中央批准成立、代表国家开展信息安全测评认证的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评认证体系。福建省网络与信息安全测评中心的主要职能是:1.对国内外信息安全产品和信息技术进行测评和认证2.对国内信息系统和工程进行安全性评估和认证3.对提供信息系统安全服务的组织和单位进行评估和认证4.对信息安全专业人员的资质进行评估和认证“
3、中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息系统安全质量以及信息安全服务资质、人员资质的最高认可。国家信息安全产品测评认证活动的技术依据是由中国国家信息安全测评认证管理委员会确认的有关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技术要求与技术规范。“信息系统安全服务资质认证”是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行认证。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判
4、依据。在我国,信息系统安全服务资质由福建省网络与信息安全测评中心及其授权测评机构进行评估,由福建省网络与信息安全测评中心进行认证。本指南适用于所有向FJTEC提出信息系统安全服务资质等级评估的境内外组织,试行期只受理一级资质认证申请。共13页第13页信息安全服务资质认证指南1认证依据信息系统安全服务资质评估是对信息系统服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定,是依据《信息系统安全服务资质评估准则》,在基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上,针
5、对不同的服务种类、对各方面能力进行综合考虑后确定,由福建省网络与信息安全测评中心给予相应的资质级别认证。2等级划分信息系统安全服务资质等级是对提供信息系统安全服务组织综合实力的客观评价,反映了组织的信息系统安全服务资格、水平和能力。资质等级划分的主要依据包括:基本资格要求、基本能力要求、安全工程过程能力和其他补充要求等。安全服务资质等级分为五级,由一级到五级依次递增,一级是最基本级别,五级为最高级别。3认证要求申请信息系统安全服务资质等级认证的组织需要符合以下几项要求:3.1基本资格要求申请信息系统安全服务资质等级认证的组织必须是一个独立的实体、具有工商行政管理部门
6、发给的合法营业执照。共13页第13页信息安全服务资质认证指南3.2基本能力要求3.2.1组织与管理要求1.必须拥有健全的组织机构和管理体系,为持续的信息系统安全服务提供保证;2.必须具有专业从事信息系统安全服务的队伍和相应的质保体系;3.从事安全服务的所有成员要签订保密合同,并遵守有关法律法规。3.2.2技术能力要求1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术;2.具有不断的技术更新能力;3.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;4.能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立
7、完善的安全管理制度;5.具有对发生的突发性安全事件进行分析和解决的能力;6.具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;7.具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力;8.具有对集成的信息系统进行检测和验证的能力;9.有能力对信息系统系统进行有效的维护;10.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。3.2.3人员构成与素质要求1.具有充足的人力资源和合理的人员结构;2.所有与信息系统安全服务有关的管理和销售人员应具有基本的信息安全知识;3.有相对稳定的从事信息系统安全服务的技术队伍;
此文档下载收益归作者所有