信息安全服务资质申请指南安全工程类二级

《信息安全服务资质申请指南安全工程类二级》由会员分享，可在线阅读，更多相关《信息安全服务资质申请指南安全工程类二级（12页珍藏版）》请在装配图网上搜索。

1、中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南（安全工程类二级）国家信息安全测评信息安全服务资质申请指南(安全工程类二级) 版权01中国信息安全测评中心20年月1日目录目录。.2引言。.一、认定依据4二、级别划分4三、二级资质要求4. 基本资格要求53.2 基本能力要求5.质量管理要求63。4安全工程过程能力要求四、资质认定7。1认定流程图4.2申请阶段8.3资格审查阶段84能力测评阶段84。4。静态评估4。2现场审核944。综合评定4。.4资质审定9。5证书发放阶段9五、监督、维持和升级10六、处置七、争议、投诉与申诉0八、获证组织档案1九、费用及周期11十、联系方式2引言中

2、国信息安全测评中心(以下简称NTSEC）是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评体系.中国信息安全测评中心的主要职能是:1. 对国内外信息安全产品和信息技术进行测评;2. 对国内信息系统和工程进行安全性评估；3. 对提供信息系统安全服务的组织和单位进行评估；4. 对信息安全专业人员的资质进行评估。“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认为我国信息安全服务行业的发展和政

3、府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。本指南适用于所有向CNITSEC申请信息安全服务资质(安全工程类二级）的境内外组织。一、 认定依据信息安全服务(安全工程类）资质认定是对信息安全工程服务提供者的资格状况、技术实力和信息安全工程实施过程质量保证能力等方面的具体衡量和评价。信息安全服务（安全工程类）资质级别的评定，是依据信息安全服务资质评估准则和不同级别的信息安全服务资质(安全工程类)具体要求，在对申请组织的基本资格、技术实力、信息安全工程服务能力以及安全工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别

4、。二、 级别划分信息安全服务（安全工程类）资质认定是对信息安全工程服务提供者的综合实力的客观评价和确认，信息安全服务（安全工程类）资质级别反映了信息安全工程服务提供者从事信息安全工程服务保障能力的成熟程度。资质级别划分的主要依据包括：基本资格与基本能力要求、安全工程过程能力要求、项目与组织管理能力要求和其他补充要求等。信息安全服务资质分为五个级别,由一级到五级依次递增，一级是最基本级别，五级为最高级别. 一级:基本执行级二级:计划跟踪级三级:充分定义级四级:量化控制级五级:持续改进级三、 二级资质要求信息安全服务资质（安全工程类二级）为计划跟踪级,要求满足基本资格的信息安全工程服务组织通过建立

5、有效的质量管理体系,使安全工程能力方面实施安全工程的过程规范被定义、标准化和文档化,实施工程过程时能普遍按照规范执行,通过跟踪发现工程过程中的重大偏离并采取纠正措施，从而使组织的安全工程能力达到部分可重复的水平.申请信息安全服务（安全工程类二级)资质的组织需要在基本资格、基本能力、质量管理和安全工程过程能力等几个方面符合信息安全服务资质具体要求(安全工程类二级）的规定。3.1 基本资格要求基本资格要求是评定信息安全服务资质的起评条件。申请信息安全服务(安全工程类二级）资质的组织必须:1. 是具有独立法人地位的实体;2. 获得相关主管部门的批准；3. 遵守国家现行法律法规;4. 已获信息安全服务

6、（安全工程类一级）资质,且资质证书在有效期内;5. 达到其他补充要求32 基本能力要求基本能力的要求包括:技术能力要求，资源配置要求(包括人员构成与素质要求、设备、设施与环境要求），规模与资产要求和业绩要求。申请信息安全服务(安全工程类二级）资质的组织应该:1. 从事信息安全服务行业3年以上;2. 注册资本应在0万元以上,资产总额在200万元以上；3. 近年的财务状况良好；4. 从事信息安全服务的人力资源充足、人员结构合理、技术队伍相对稳定,拥有专职的注册信息安全专业人员（CIS)数量不少于从事安全工程服务专业技术人员的0%，但不得少于4人；5. 实践过完整的安全工程过程；6. 近3年完成信息

7、安全服务工程项目总值应在0万元以上。.3质量管理要求申请信息安全服务（安全工程类二级)资质的组织,在质量管理方面应该:1. 建立合理的组织架构来满足信息安全工程服务的实施和管理,信息安全工程服务技术部门相对独立;2. 建立合理的管理架构来满足信息安全服务的管理,建立有效的技术管理、质量管理和组织管理机制；3. 建立有效的质量管理体系,至少满足支持信息安全工程技术能力达到计划跟踪级所需的相关管理能力要求。3.4安全工程过程能力要求安全工程过程能力方面的要求是信息安全工程服务资质的核心要求。申请信息安全服务(安全工程类二级）资质的组织应该:1. 在按照一级所要求的各个过程域最佳实践的基础上将实践上

8、升为理论,形成规范指导工程过程有计划、规范化地实施;2. 验证工程实施过程与规范的一致性;3. 通过可测量的计划跟踪过程的实施情况，当过程实施与计划产生重大偏离时应采取纠正措施。另外,对安全设计和系统安全工程实施方面提出了具体要求。四、 资质认定4。1认定流程图4.申请阶段申请组织应首先到CNITSC网站(htp：/www。itc.gov.n )查看并下载信息安全服务资质评估准则、信息安全服务资质申请指南(安全工程类二级)和信息安全服务资质申请书(安全工程类二级）及有关附件,认真阅读上述文档，了解资质认定的流程及相关情况，确定本组织满足二级资质的基本资格要求和基本能力要求申请组织当决定申请信息

9、安全服务资质（安全工程类二级）后，根据信息安全服务资质申请书（安全工程类二级)的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CIT,同时提交申请费。在向NIE递交申请书前,须逐项检查所填报的材料的完整性和正确性.4.3资格审查阶段CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查，以确认申请单位是否满足资质的基本资格要求,提交资料是否完整资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通如果资格审查阶段发现有不符合要求的内容,CNTEC将要求申请组织补充资料等。当通过资格审查阶段后,CNSEC将与申请组织签订合同,正

10、式受理该申请，并通知相关费用的缴纳事宜等.4.4能力测评阶段当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤.44.1静态评估静态评估是对申请组织资料进行符合性审查，是对申请组织的信息安全工程服务能力做出基本判断,初步确定申请组织的信息安全工程服务能力水平状况，为现场审核做准备。如果静态评估阶段发现有不符合要求的内容,NITEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。4.4.2现场审核现场审核是对申请组织从事信息安全工程服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构

11、成及素质、经营业绩、资产状况等方面）进行核实和确认。通过静态评估后，CNITEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求，并对整改效果进行验证。4.4.3综合评定在综合评定阶段，将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全工程服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。对评定结果不符合的,IS将要求申请组织限期整改。申请组织完成整改并向CNSE提交整改报告后，ITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。逾期未整改的，视作整改不符合。4.4。4资

12、质审定根据综合评定的报告，CNIEC技术委员会将组织技术专家对申请组织的信息安全工程服务资质进行审查，并最终做出是否通过的决定。5证书发放阶段资质审定通过后,NITEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。申请组织领取二级资质证书时需将一级资质证书交回CNITSEC。五、 监督、维持和升级获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全工程过程能力。NISC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。证书在三年有效期内实行年确认制度,每三年进行一次维持换证。获证后，每年在证书签发之日前

13、30天内,获证组织要向CNTSEC提交年度调查表,并到CNSEC办理年检ITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CITS将暂停或取消证书.在证书有效期届满前9天内,由获证组织提出维持换证申请。NTSEC将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合信息安全工程服务能力二级资质要求的持续性。若获证组织相关资料变动时,须及时通知CNITEC,并申请更改。若获证组织实体发生变化，需要进行资质证书的转移,可到CITSEC网站（tp：/www。itseov.n ）下载并填写信息安全服务资质变更申请书,并提出资质转移申请。获证组织获证后，可根据自

14、身能力的提升情况，向CNITS申请三级资质。六、 处置获证组织存在违规行为时，NC有权视组织违规情节轻重予以以下处置：警告、限期整改、暂停证书、取消证书。七、 争议、投诉与申诉对CTSEC所作的评审、复查、处置等决定有异议时,可向CNTEC提出书面申诉CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CITSEC在调查基础上做出结论。获证组织应妥善处理因组织自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNTEC将在必要时查阅获证组织的申诉投诉记录。八、 获证组织档案CISE将对每个获证组织建立专项档案,所有资料将保存10年以上。九、 费用及周期信息安全服务资质认定

15、收费划分为如下四个部分:（一） 申请费:2000元（二） 测评费：3000元/人日（三） 审定与注册费(含证书费):300元（四） 年金(含标志使用费):5000元年测评费将根据测评过程的工作日进行具体核算。对于中小型规模的组织,首次申请测评过程工作日至少为静态评估人日、现场审核人日和综合评估2人日；证书维持测评过程工作日至少为静态评估2人日、现场审核4人1日和综合评估人日.对规模较大的或跨地域的组织，针对申请组织的具体情况需要增加测评过程的工作日。申请组织还应承担因现场审核活动审核组成员所发生的交通和食宿费用。从受理到颁发证书的周期为三个月,期间由于申请方原因(如，资料补充需要的时间等)造成的时间延误不计算在内。十、 联系方式名称：中国信息安全测评中心资质评估处地 址：中国北京市海淀区上地西路号院1号楼邮 编：10085传 真:00-824110咨询电话:首次申请:01082341582、108231566证书维持：0-31582、108231553发布日期：2011年1月1日 第12页 共12页