企业管理服务领跑者!
一、应急处理服务资质认证简介
信息安全服务资质-应急处理是通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应,并在安全事件一旦发生后进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程、信息安全服务资质-应急处理是保障业务连续性的重要手段之一,它涵盖了在安全事件发生后为了维持和恢复关键业务所进行的系列活动。
信息安全服务资质-应急处理认证是对应急处理服务提供方的基本资格、管理能力、技术能力和应急处理服务过程能力等方面进行评价。信息安全服务资质-应急处理资质级别是衡量服务提供方应急处理服务资格和能力的尺度,信息安全服务资质-应急处理分为三级,其中一级最高,三级最低。
二、信息安全应急处理评价要求
三级评价要求:
1、法律地位要求
在中华人民共和国境内注册的独立法人组织。
2、财务资信要求
近3年财务状况良好,并能够近3年财务审计报告。
3、办公场所要求
有固定的办公及营业地点。
4、人员素质与资质要求
(1)组织负责人拥有2年以上信息技术领域管理经历。
(2)技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信息安全技术工作2年以上。
(3)财务负责人具有财务系列初级以上职称。
(4)从事信息安全服务人员10名以上。
(5)拥有信息安全专业认证人员2名以上。
(6)拥有项目管理资格证书1名以上。
5、业绩要求
从事信息安全服务1年以上且近3年内签订并完成至少1个信息安全服务项目。
6、服务管理要求
(1)建立人员管理程序和能力考核指标;制定业务和技能;培训计划,定期对相关人员开展培训和考核。
(2)建立文档控制程序,明确文档管理职责,任命管理人员,确保项目文档资料妥善保管。
(3)建立项目管理制度,并按照制度执行。
(4)提供资源,确保信息安全服务项目的实施。
7、服务合同要求
了解客户及所处行业对信息安全服务的特定要求,确定信息安全服务范围,应签订信息安全服务合同或协议。
8、服务安全要求
(1)满足法律法规对服务安全的要求。
(2)满足与客户签订服务合同中的安全要求。
(3)制定保密管理制度,明确岗位保密责任。
(4)按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
(5)与相关人员签订保密协议,并进行密保教育。
(6)确保其供应商满足上述服务安全要求。
9、服务技术要求
(1)制定信息安全服务流程。
(2)制定信息安全服务规范并按照规范实施。
二级评价要求:
1、法律地位要求
在中华人民共和国境内注册的独立法人组织。
2、财务资信要求
近3年财务状况良好,并能够近3年财务审计报告。
3、办公场所要求
有固定的办公及营业地点。
4、人员素质与资质要求
(1)组织负责人拥有3年以上信息技术领域管理经历。
(2)技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称,且从事信息安全技术工作5年以上。
(3)财务负责人具有财务系列中级以上职称。
(4)从事信息安全服务人员30名以上。
(5)拥有信息安全专业认证人员6名以上。
(6)拥有项目管理资格证书2名以上。
5、业绩要求
从事信息安全服务3年以上,或取得信息安全服务三级资质1年以上,且近3年内签订并完成至少6个信息安全服务项目。
6、服务管理要求
(1)建立项目管理制度,并按照制度执行。
(2)建立业务范围覆盖信息安全服务的质量管理体系并有效运行。
(3)建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并有效运行。
(4)提供资源,确保信息安全服务项目的实施。
7、服务合同要求
了解客户及所处行业对信息安全服务的特定要求,确定信息安全服务范围,应签订信息安全服务合同或协议,合同应明确信息安全服务的行为规范。
8、服务安全要求
(1)满足法律法规对服务安全的要求。
(2)满足与客户签订服务合同中的安全要求。
(3)制定保密管理制度,明确岗位保密责任。
(4)按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
(5)与相关人员签订保密协议,并进行密保教育。
(6)确保其供应商满足上述服务安全要求。
9、服务技术要求
(1)制定信息安全服务流程。
(2)制定信息安全服务规范并按照规范实施。
10、技术工具要求
(1)具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
(2)具备承担信息安全服务项目所需的安全工具,并对工具进行管理和版本控制。
一级评价要求:
1、申请条件
取得信息安全服务二级资质1年以上(行业龙头企业除外)
2、财务资信要求
近3年财务状况良好,并能够近3年财务审计报告。
3、办公场所要求
有固定的办公及营业地点。
4、人员素质与资质要求
(1)组织负责人拥有4年以上信息技术领域管理经历。
(2)技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称,且从事信息安全技术工作8年以上。
(3)财务负责人具有财务系列高级以上职称,或取得中级职称8年以上。
(4)从事信息安全服务人员50名以上。
(5)拥有信息安全专业认证人员10名以上。
(6)拥有项目管理资格证书5名以上。
5、业绩要求
从事信息安全服务5年以上且近3年内签订并完成至少10个信息安全服务项目。
6、服务管理要求
(1)建立项目管理制度,并按照制度执行。
(2)建立业务范围覆盖信息安全服务的质量管理体系并提供有效运行的相关证明。
(3)建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并提供有效运行的相关证明。
(4)提供资源,确保信息安全服务项目的实施。
7、服务合同要求
了解客户及所处行业对信息安全服务的特定要求,确定信息安全服务范围,应签订信息安全服务合同或协议,合同应明确信息安全服务的行为规范。
8、服务安全要求
(1)满足法律法规对服务安全的要求。
(2)满足与客户签订服务合同中的安全要求。
(3)制定保密管理制度,明确岗位保密责任。
(4)按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
(5)与相关人员签订保密协议,并进行密保教育。
(6)确保其供应商满足上述服务安全要求。
9、服务技术要求
(1)制定信息安全服务流程。
(2)制定信息安全服务规范并按照规范实施。
10、法律地位要求
在中华人民共和国境内注册的独立法人组织。
三、信息安全应急处理资质申请流程
1、自评估
组织在中国信息安全认证中心网站下载《信息安全服务资质认证自评估表-管理》=对应的技术自评估表,并实施自评估。
2、认定申请
组织依据信息安全服务资质认证程序、认证实施规则中相关要求,确定申请服务资质类别,并填写《信息安全服务资质认证申请书》。
组织向中国信息安全认证中心提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。
3、申请材料评审
中心依据认证程序和相关标准要求,对申请组织提交的认证相关材料进行评审,并确定申报资质类别和级别,签订认证合同。
4、现场评审
认证机构组织评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。特别,对申请一级资质认证的组织,必要时选择申请组织的客户进行项目实施现场见证。
现场验证符合要求后,认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。
5、认证决定
认证决定委员会由3名以上(含3名)奇数认证决定人员组成,作出认证决定。
6、证书颁发
对于符合认证要求的申请组织,颁发认证证书,并予以公示。
7、证后监督
(1)证后监督频次和方式
对获证组织实施监督,每年度(不超过12个月)进行一次监督评审。
当获得组织发生重大变更、事故或客户投诉时,可增加现场监督评审的频次。
(2)证后监督内容
监督评审除包括初次评审的内容外,还应对上一次评审中提出的观察项所采取纠正/预防措施进行验证。
(3)证后监督结论
对于通过监督评审的获证组织,做出维持认证证书有效的决定;否则,暂停或撤销其认证证书。
(4)信息通报
为确保获证组织的安全服务能力持续有效,获证组织应建立信息通报渠道,及时报告以下信息:
a、组织机构变更信息
b、安全事故、客户投诉信息
c、其他重要信息
Copyright © 2014 yonghuaxin 福州永华信信息科技有限公司 版权所有 地址:福州市闽侯县科技东路11号网讯中心A栋6层CP备16014406号
免费客服热线:15306913115QQ咨询:183846877邮箱:183846877@qq.com
