|
|
安全集成服务资质信息系统安全集成服务资质 一、简介 信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。 二、信息系统安全集成服务资质分级评价要求 信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。 根据服务提供者的机构注册资金、从业经验、人员素质要求、项目经验、管理能力和技术能力等要素,可将服务提供者的资质划分为三个级别。 三级信息系统安全集成服务资质要求: 1、基本资格 (1) 基本条件:具有中华人民共和国境内的独立法人资格,具有相关部门颁发的合法经营资格;近两年内经济状况良好,财务数据真实可信,并应经国家相关部门认定的会计师事务所核实;具有固定的工作场所。遵守国家现行法律、法规的规定; (2) 注册资本:产权关系明晰,注册资本不少于200 万元人民币; (3) 人员素质要求:机构人员总数30 人以上;信息系统安全集成服务人员10 名以上;本科以上学历人员占机构总人数比例在60%以上; (4) 具有信息系统安全服务相关的资质人员至少2 人(如,CISAW,信息安全管理体系审核员、CISSP,CISA 等);至少有1 人具有项目管理的资格证书。 (5) 主要负责人应具有2 年以上从事信息技术领域企业管理经历,主要技术负责人应获得电子信息技术类高级职称且从事安全集成技术工作不少于2 年,财务负责人应具有初级以上职称; (6) 从业时间:从事信息系统安全集成服务一年以上; (7) 从业经验:独立完成中小型企业的信息系统集成项目;近三年内至少完成4 个以上完整的信息安全集成项目,按合同要求质量合格,已通过验收并投入实际应用,项目合同总金额 不少于300 万元人民币。至少完成一个100 万以上的安全集成项目。 2、管理能力 基本管理能力要求:服务提供者应采取技术和管理措施确保客户信息的安全、可控,这些信息包括但不限于客户资料、集成活动中产生的文档、最终安全集成报告等;制定保密管理要求,明确保密岗位与职责,定期对服务人员进行保密教育与培训,并签订《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责落实;建立人员管理程序,使每一位服务人员持续满足岗位职责的需求;制定安全集成技能培训计划,定期对服务人员进行培训、指导、考核;制定规范的项目管理制度,并按照项目管理制度实施,具体包括在项目实施过程中如何与组织内外的交流机制、规划关键技术活动、分配资源、指派责任、设立项目的里程碑及评审要求、日常的监督检查要求、编制过程文档、提供工具、确保培训、策划过程等,以保证安全服务的质量;制定项目风险管理制度,评估项目风险,制定项目风险控制措施并跟踪其有效性;制定符合标准要求的安全集成方案、报告等文档模板;制定针对供方的管理要求,包括准确识别供方提供的服务或系统构件及其专业资质和能力;并与供方的有效沟通机制等。 3、技术能力 基本技术能力要求服务提供者应:具备安全集成有关的工作流程及操作规范;具备制定安全集成方案并能够按照该方案实施的能力;能够提供信息系统安全集成服务报告、系统使用指南等文档;具备对安全集成完成的系统进行检测和验证的能力;熟悉国内外主流的信息技术产品、信息安全产品的功能及特性;(5) 具有满足项目需要的开发、测试工具或模拟环境;有专门的技术人员关注并掌握信息安全技术、标准和法规;关注国内外权威机构发布的安全公告及漏洞公告,对最新的安全相关技术进行研究。 二级信息系统安全集成服务资质要求: 1、基本资格 (1) 基本条件(与三级一致); (2) 注册资本:产权关系明晰,注册资本不少于1000 万元人民币; (3) 人员素质要求:人员总数100 人以上;信息系统安全集成服务人员20 名以上;本科以上学历人员占机构总人数比例在70%以上; (4) 具有信息系统安全集成服务相关的资质人员至少6 人(如,CISAW,信息安全管理体系审核员、CISSP,CISA 等);至少有2 人具有项目管理的资格证书。 (5) 主要负责人应具有3年以上从事电子信息技术领域企业管理经历,主要技术负责人应获得电子信息技术类高级职称且从事安全集成技术工作不少于3年,财务负责人应具有中级以上职称。 (6) 从业时间:从事信息系统安全集成服务三年以上; (7) 从业经验:独立完成省级范围的信息安全集成项目或大型企业的信息安全集成项目;近三年内至少完成6 个以上完整的信息安全集成项目且无客户投诉,项目合同总金额不少于1000 万元人民币;至少完成一个200 万以上的集成项目。 2、 管理能力 (1) 基本管理能力(与三级一致); (2) 制定项目质量管理计划,跟踪项目过程和结果的质量。 3、技术能力 (1) 基本技术能力(与三级一致); (2) 应具有足够的技术力量根据服务业务的需求,开发信息安全产品或支持性工具的能力。 一级信息系统安全集成服务资质要求 1、基本资格 (1) 基本条件(与三级一致); (2) 注册资本:产权关系明晰,注册资本不少于2000 万元人民币; (3) 人员素质要求:人员总数200 人以上;信息系统安全集成服务人员30 名以上;本科以上学历人员占机构总人数比例在80%以上; (4) 具有信息系统安全服务相关的资质人员至少10 人(如,CISAW,信息安全管理体系审核员、CISSP,CISA 等);至少有5 人具有项目管理的资格证书。 (5) 主要负责人应具有5 年以上从事电子信息技术领域企业管理经历,主要技术负责人应获得电子信息类高级职称且从事系统集成技术工作不少于5 年,财务负责人应具有中级以上职称。 (6) 从业时间:从事信息系统安全集成服务五年以上; (7) 从业经验:独立完成全国范围的信息安全集成项目;近三年内至少完成并通过验收的10个以上完整的信息系统安全集成服务项目且无客户投诉,项目合同总金额不少于2000 万元人民币;至少完成一个500 万以上的安全集成项目。 2、管理能力 (1) 基本管理能力(参见第4.2 节); (2) 制定服务质量持续改进的制度,跟踪其落实情况; (3) 参考GB/T 22080-2008/ISO/IEC 27001:2005《信息技术 安全技术 信息安全管理体系要求》标准建立信息安全管理体系并运行三个月以上。 3、技术能力 (1) 基本技术能力(参见第4.3 节要求); (2) 应具有足够的技术力量根据服务业务的需求,开发信息安全产品或支持性工具的能力; (3) 应具有足够的技术力量,对市场上普通使用的信息安全产品进行功能分析、提出安全策略及对安全产品进行集成的能力; (4) 至少提供一个已完成的信息系统,经国家(或行业)权威机构或专家组验证其安全性符合要求。 三、信息系统安全集成服务资质认证流程 1、提交申请 申请方自愿向认证机构提交信息系统安全集成服务资质认证申请。申请方应提交的文件 (1) 信息系统安全集成服务资质认证申请书; (2) 独立法人资格证明材料; (3) 从事信息系统安全集成服务的相关资质证明; (4) 工作保密制度及相应组织监管体系已建立的证明材料; (5) 与信息系统安全集成服务人员签订的保密协议复印件; (6) 人员构成与素质证明材料; (7) 公司组织结构证明材料; (8) 具备固定办公场所的证明材料; (9) 项目管理制度文档; (10) 安全集成服务流程; (11) 安全集成服务规范性文件; (12) 安全集成服务质量管理文件(一、二级); (13) 信息安全管理体系文件及设施情况的材料(一级); (14) 项目案例及业绩证明材料等。 2、文档审核 认证机构应根据认证依据、程序等要求,及时对申请方提交的申请文件和资料进行审核并保存审核记录,以确保: (1) 认证要求规定明确并得到理解; (2) 认证机构和申请方之间在理解上的差异得到解决; (3) 对于申请的认证范围、工作场所和任何特殊要求,认证机构均有能力开展认证服务。 3、现场审核 认证机构应组成审核组,依据相关标准和审核要求,对申请方进行现场审核。现场审核的内容主要包括: (1) 通过检查、观察、访谈,对申请方的信息系统安全集成服务技术能力进行验证; (2) 通过检查、观察、访谈,对申请方的信息系统安全集成服务管理能力进行验证; (3) 观察服务模拟演示或见证现场服务。 4、 认证决定 认证评价及认证决定是由认证决定委员会执行。认证决定委员会至少由3 名以上(含3 名)奇数认证决定人员组成。认证决定人员依据认证标准、信息系统安全集成服务资质认证程序与实施规则的要求及相关标准,结合审核过程中收集的信息(对于存在不符合项的情况,必须通过整改并由审核组验证通过),对审核结果进行综合评价,做出“通过认证”或 “不通过认证”的决定。必要时,认证决定委员会应对申请方满足认证依据的情况进行风险评估,以做出是否授予认证的决定。对于符合认证要求的申请方,认证机构应颁发认证证书并在相关媒体上予以公告。对于不符合认证要求的申请方,认证机构应以书面的形式明示其不能获得认证的原因。
|
