一、資質(zhì)概念
信息安全服務(wù)資質(zhì)是對(duì)信息系統(tǒng)安全服務(wù)的提供者的技術(shù)���、資源�����、法律����、管理等方面的資質(zhì)和能力��,以及其穩(wěn)定性��、可靠性進(jìn)行評(píng)估��,并依據(jù)公開的標(biāo)準(zhǔn)和程序���,對(duì)其安全服務(wù)保障能力進(jìn)行認(rèn)證的過程�����。
二��、資質(zhì)級(jí)別
信息安全服務(wù)資質(zhì)級(jí)別分為一級(jí)���、二級(jí)�����、三級(jí)��,其中一級(jí)最高�����,三級(jí)最低�����。資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度��。
三��、認(rèn)證類別
1、安全集成服務(wù)資質(zhì)
信息系統(tǒng)安全集成服務(wù)是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)���、建設(shè)實(shí)施���、安全保證的活動(dòng)。安全集成服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現(xiàn):基本資格���、服務(wù)管理能力�����、服務(wù)技術(shù)能力和服務(wù)過程能力�����;服務(wù)人員的能力主要從掌握的知識(shí)����、安全集成服務(wù)的經(jīng)驗(yàn)等綜合評(píng)定����。
2、安全運(yùn)維服務(wù)資質(zhì)
通過技術(shù)設(shè)施安全評(píng)估���,技術(shù)設(shè)施安全加固�,安全漏洞補(bǔ)丁通告、安全事件響應(yīng)以及信息安全運(yùn)維咨詢�����,協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的安全運(yùn)維工作����,以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的安全隱患,降低安全隱患被非法利用的可能性����,并在安全隱患被利用后及時(shí)加以響應(yīng)。
安全運(yùn)維資質(zhì)認(rèn)證是對(duì)安全運(yùn)維服務(wù)方的基本資格�、管理能力、技術(shù)能力和安全運(yùn)維過程能力等方面進(jìn)行評(píng)價(jià)����。
3、風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)
信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)�,貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程。風(fēng)險(xiǎn)評(píng)估服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現(xiàn):基本資格��、服務(wù)管理能力�����、服務(wù)技術(shù)能力和服務(wù)過程能力;服務(wù)人員的能力主要從掌握的知識(shí)����、風(fēng)險(xiǎn)評(píng)估服務(wù)的經(jīng)驗(yàn)等綜合評(píng)定����。
4、應(yīng)急服務(wù)資質(zhì)
信息安全應(yīng)急處理服務(wù)是通過制定應(yīng)急計(jì)劃使得影響網(wǎng)絡(luò)與信息系統(tǒng)安全的安全事件能夠得到及時(shí)響應(yīng)��,并在安全事件一旦發(fā)生后進(jìn)行標(biāo)識(shí)����、記錄、分類和處理���,直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過程��。應(yīng)急處理服務(wù)是保障業(yè)務(wù)連續(xù)性的重要手段之一�����,它涵蓋了在安全事件發(fā)生后為了維持和恢復(fù)關(guān)鍵業(yè)務(wù)所進(jìn)行的系列活動(dòng)���。
信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證是對(duì)應(yīng)急處理服務(wù)提供方的基本資格��、管理能力�、技術(shù)能力和應(yīng)急處理服務(wù)過程能力等方面進(jìn)行評(píng)價(jià)���。
5��、軟件安全開發(fā)服務(wù)資質(zhì)
通過對(duì)軟件開發(fā)過程的控制��,將開發(fā)的軟件存在的風(fēng)險(xiǎn)控制在可接受的水平��。軟件安全開發(fā)資質(zhì)認(rèn)證是對(duì)軟件開發(fā)方的基本資格��、管理能力�����、技術(shù)能力和軟件安全過程能力等方面進(jìn)行評(píng)價(jià)�����。
6���、信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)
信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)是將信息系統(tǒng)的數(shù)據(jù)�����、數(shù)據(jù)處理系統(tǒng)���、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施��、專業(yè)技術(shù)支持能力和運(yùn)行管理能力進(jìn)行備份�����,并在災(zāi)難發(fā)生時(shí)�,將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)�����,將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)�,而設(shè)計(jì)和提供的活動(dòng)。
7��、工業(yè)控制安全服務(wù)資質(zhì)
工業(yè)控制系統(tǒng)安全服務(wù)圍繞提升工業(yè)控制系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性�,提升功能安全、物理安全和信息安全的保障能力為目標(biāo)���,涉及工業(yè)控制系統(tǒng)設(shè)計(jì)����、建設(shè)、運(yùn)維和技改各個(gè)階段�,主要包括系統(tǒng)集成、系統(tǒng)運(yùn)維��、應(yīng)急處理���、風(fēng)險(xiǎn)評(píng)估等工業(yè)控制系統(tǒng)安全服務(wù)���,形成系統(tǒng)的、獨(dú)立的���、形成文件的過程��。
工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)認(rèn)證是對(duì)工業(yè)控制系統(tǒng)安全服務(wù)方的基本資格�、管理能力�����、技術(shù)能力和工業(yè)控制系統(tǒng)安全服務(wù)過程能力等方面進(jìn)行評(píng)價(jià)。
8����、網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)認(rèn)證
網(wǎng)絡(luò)安全審計(jì)是指網(wǎng)絡(luò)安全審計(jì)機(jī)構(gòu)對(duì)被審計(jì)方所屬的計(jì)算機(jī)信息系統(tǒng)的安全性、可靠性和經(jīng)濟(jì)性進(jìn)行檢查���、監(jiān)督����,通過獲取審計(jì)證據(jù)并對(duì)其進(jìn)行客觀評(píng)價(jià)所開展的系統(tǒng)的����、獨(dú)立的�����、形成文件的活動(dòng)�。
網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)認(rèn)證是對(duì)網(wǎng)絡(luò)安全審計(jì)服務(wù)方的基本資格、管理能力����、技術(shù)能力和網(wǎng)絡(luò)安全審計(jì)過程能力等方面進(jìn)行評(píng)價(jià)。
四�、認(rèn)證依據(jù)
對(duì)特定類別的信息安全服務(wù),有具體的評(píng)價(jià)標(biāo)準(zhǔn)���。例如����,信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證的依據(jù)是《網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評(píng)估方法》(YD/T 1799-2008),信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證的依據(jù)是《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T 20984-2007)與《信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》(ISCCC-SV-002)���。
五��、通用要求
通用評(píng)價(jià)要求適用于風(fēng)險(xiǎn)評(píng)估�����、安全集成�、應(yīng)急處理���、災(zāi)難備份與恢復(fù)����、軟件安全開發(fā)�、安全運(yùn)維等類別的信息安全服務(wù)認(rèn)證評(píng)價(jià),均分為三個(gè)級(jí)別����。
申請(qǐng)一級(jí)資質(zhì)時(shí)��,要求需要取得信息安全服務(wù)(與申報(bào)類別一致)二級(jí)資質(zhì)1 年以上����。(行業(yè)領(lǐng)頭企業(yè)除外)�。
六、認(rèn)證流程
認(rèn)證的基本環(huán)節(jié):認(rèn)證申請(qǐng)與受理—文檔審核—現(xiàn)場(chǎng)審核—認(rèn)證決定—年度監(jiān)督審核���。
認(rèn)證周期一般是10周�����,包括自申請(qǐng)被正式受理之日起至頒發(fā)認(rèn)證證書時(shí)止所實(shí)際發(fā)生的時(shí)間����,不包括由于申請(qǐng)單位準(zhǔn)備或補(bǔ)充材料的時(shí)間��。
七��、認(rèn)證意義
(1)是企業(yè)能力獲得第三方權(quán)威機(jī)構(gòu)認(rèn)證認(rèn)可的依據(jù)����;
(2)是需方選擇的依據(jù),可以提高需方對(duì)服務(wù)商的信任度���;
(3)規(guī)范管理與技術(shù)����,提高客戶滿意度���;
(4)拓寬企業(yè)的業(yè)務(wù)范圍�,獲得更多業(yè)務(wù)機(jī)會(huì)����。
如您有咨詢、實(shí)施���、認(rèn)證需求���,歡迎撥打賽鵬信息專家熱線 18911305506 進(jìn)行詳細(xì)咨詢!
