免费咨询热线:18206123702 免费咨询热线:18206123702
| 级别 | 三级 | 二级 | 一级 |
| 基本要求 |
三级基本要求 1.1. 法律地位要求 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。 1.2. 财务资信要求 近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事 务所出具的近 3 年财务审计报告。 1.3. 办公场所要求 拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。 1.4. 人员素质与资质要求 a) 组织负责人拥有2年以上信息技术领域管理经历。 b) 技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信 息安全技术工作2年以上。 c) 财务负责人具有财务系列初级以上职称。 d) 从事信息安全服务人员10名以上。 e) 拥有信息安全专业认证(与申报类别一致)人员2名以上。 f) 拥有项目管理资格证书人员1名以上。 1.5. 业绩要求 a) 从事信息安全服务(与申报类别一致)1年以上。 b) 近3年内签订并完成至少1个信息安全服务(与申报类别一致)项目。 1.6. 服务管理要求 a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。 b) 建立人员管理程序和能力考核指标;制定业务和技能培训计划,定期对相关人员开展培训 和考核。 c) 建立文档控制程序,明确文档管理职责,任命管理人员,确保项目文档资料妥善保管。 d) 建立项目管理制度,并按照制度执行。 e) 提供资源,确保信息安全服务项目的实施。 1.7. 服务合同要求 a) 了解客户及所处的行业对信息安全服务的特定要求。 b) 确定信息安全服务范围。 c) 应签订信息安全服务合同或协议。 1.8. 服务安全要求 a) 满足法律法规对服务安全的要求。 b) 满足与客户签订服务合同中的安全要求。 c) 制定保密管理制度,明确岗位保密责任。 d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员 了解客户的相关要求。 e) 与相关人员签订保密协议,并进行保密教育。 f) 确保其供应商满足上述服务安全要求。 1.9. 服务技术要求 a) 建立信息安全服务(与申报类别一致)流程。 b) 制定信息安全服务(与申报类别一致)规范并按照规范实施。 |
二级基本要求 2.1. 法律地位要求 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。 2.2. 财务资信要求 近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近 3 年财务审计报告。 2.3. 办公场所要求 拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。 2.4. 人员素质与资质要求 a) 组织负责人拥有3年以上信息技术领域管理经历。 b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信息安全技术工作5年以上。 c) 财务负责人具有财务系列中级以上职称。 d) 从事信息安全服务人员30名以上。 e) 拥有信息安全专业认证(与申报类别一致)人员6名以上。 f) 拥有项目管理资格证书人员2名以上。 2.5. 技术工具要求 a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。 b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版 本控制。 2.6. 业绩要求 a) 从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)三级资质1年以上。 b) 近三年内签订并完成至少6个信息安全服务项目(与申报类别一致)。 2.7. 服务管理要求 a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。 b) 建立项目管理制度,并按照制度执行。 c) 参照国际或国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并有效运行。 d) 参照国际或国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并有效运行。 e) 提供资源,确保信息安全服务项目的实施。 2.8. 服务合同要求 a) 了解客户及所处的行业对信息安全服务的特定要求。 b) 确定信息安全服务范围。 c) 应签订信息安全服务合同或协议。 d) 合同应明确信息安全服务的行为规范。 2.9. 服务安全要求 a) 满足法律法规对服务安全的要求。 b) 满足与客户签订服务合同中的安全要求。 c) 制定保密管理制度,明确岗位保密责任。 d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。 e) 与相关人员签订保密协议,并进行保密教育。 f) 确保其供应商满足上述服务安全要求。 2.10. 服务技术要求 a) 建立信息安全服务(与申报类别一致)流程。 b) 制定信息安全服务(与申报类别一致)规范并按照规范实施。 |
一级基本要求 1.1. 申请条件 取得信息安全服务(与申报类别一致)二级资质 1 年以上。(行业领头企业除外) 1.2. 法律地位要求 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。 1.3. 财务资信要求 近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事 务所出具的近 3 年财务审计报告。 1.4. 办公场所要求 拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。 1.5. 人员素质与资质要求 a) 组织负责人拥有4年以上信息技术领域管理经历。 b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称,且从事信息安全技术工作8年以上。 c) 财务负责人拥有财务系列高级职称,或取得中级职称8年以上。 d) 从事信息安全技术服务人员50名以上。 e) 拥有信息安全专业认证人员(与申报类别一致)10名以上。 f) 拥有项目管理资格证书人员5名以上。 1.6. 技术工具要求 a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。 b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,如漏洞扫描工具、渗透测试工具、协议分析仪等。 1.7. 业绩要求 a) 从事信息安全服务(与申报类别一致)5年以上。 b) 近三年内至少签订并完成10个信息安全服务项目(与申报类别一致)。 1.8. 服务管理要求 a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。 b) 建立项目管理制度,并按照制度执行。 c) 参照国际、国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并提供有效运行的相关证明。 d) 参照国际、国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并提供有效运行的相关证明。 e) 提供足够资源,确保信息安全服务项目的实施。 1.9. 服务合同要求 a) 了解客户及所处的行业对信息安全服务的特定要求。 b) 确定信息安全服务范围。 c) 应签订信息安全服务合同或协议。 d) 合同应明确信息安全服务的行为规范。 e) 合同应明确信息安全服务的安全要求。 1.10. 服务安全要求 a) 满足法律法规对服务安全的要求。 b) 满足与客户签订服务合同中的安全要求。 c) 制定保密管理制度,明确岗位保密责任。 d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。 e) 与相关人员签订保密协议,并进行保密教育。 f) 确保其供应商满足上述服务安全要求。 1.11. 服务技术要求 a) 建立信息安全服务(与申报类别一致)流程。 b) 制定信息安全服务(与申报类别一致)规范,并按照规范实施 |
| 类别要求 |
安全运维服务资质专业评价要求针对服务准备、服务实施、监视评审、持续改进四个阶段进行,具体分级要求如下: F1 三级要求 F1.1准备阶段 F1.1.1需求调研与分析 a) 采集客户对信息系统运维服务时间的需求。 b) 进行信息系统运维预算,定义运维服务。 c) 与客户进行沟通,达成共识并形成记录。 F1.1.2运维服务设计 a) 制定安全运维服务目录,包括但不限于:初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。 b) 对信息系统相关的IT资产进行识别。 c) 对安全设备进行日常维护及监控,并记录硬件故障。 d) 提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。 e) 采集系统配置、流量信息、系统状态等安全信息。 f) 收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。 F1.1.3运维服务导入 a) 收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性。 b) 专业人员负责安全管理的接口。 c) 建立服务目录。 d) 建立事件响应和解决的机制,有基本的安全运维报告模式。 F1.1.4明确服务协议特殊要求 a) 明确安全事件处理与应急响应流程,包括但不限于:安全事件的分类、安全事件上报流程、安全事件处理流程、安全事件的事后处理。 b) 明确安全运维方式,包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。 F1.2运维服务实施阶段 a) 实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。 b) 实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、 升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。 c) 实施日常巡检服务:完成安全设备监控;病毒监测、查杀及网络防病毒维护,并有相关记录。 d) 实施健康检查服务:完成安全设备、业务系统的健康检查服务。 e) 实施安全事件审计服务:完成网络及安全设备日志、服务器、操作系统、网络应用的日志、并且进行记录。 f) 组建运维服务台职能,培养服务台人员的专业能力。 g) 建立事件管理程序和信息安全服务请求管理程序。 F1.3运维监视评审阶段 a) 应定期收集与分析安全运维报告的数据,包括但不限于:异常报告及时率、异常漏报率、维护作业计划的及时完成率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数。 b) 对运维实现情况进行监视测量,未能实现的目标应采取纠正预防措施。 c) 建立与分析客户满意度调查。 F1.4运维持续改进阶段 a) 应在运维过程和监视过程中识别改进项目,制定持续改进计划,包括但不限于对改进机会 的评估标准。 b) 应有文件化的程序,用以识别、记录、批准、评估、测量和报告改进措施。 c) 应采取预防措施,以消除潜在的不符合项的原因,以防止其发生。 |
F2 二级要求 组织申报二级资质,除满足三级资质的所有条件外,还需满足以下要求。 F2.1运维服务准备阶段 F2.1.1需求调研与分析 a) 根据评估目标和范围,对安全运维对象中包含的信息系统,组织的资产进行分类。 b) 识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。 c) 分析客户对信息系统安全服务的需求和类型。 d) 收集与分析信息系统的可用性指标,明确可用性指标的类型。 e) 分析以往服务的数据,提取出来未来可自动化的服务。 F2.1.2运维服务设计 a) 对信息安全事件进行统计与分析; b) 编写安全运维服务目录,包括但不限于:运维监控与分析、终端安全监控、合规性运维。 c) 建立信息系统安全运维的问题管理程序。 d) 建立知识管理程序及初步形成知识库。 e) 编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。 f) 形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。 F2.1.3运维服务导入 采用流程化管理方法,基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化的信息系统安全运维工作。 F2.1.4明确服务协议特殊要求 a) 建立信息系统安全主动管理机制; b) 签订信息系统安全运维服务级别协议,承诺信息系统核心指标。 c) 建立问题管理程序。 d) 建立信息系统安全的配置库及关联关系信息。 F2.2运维服务实施阶段 a) 实施运维监控与分析并形成记录。 b) 进行合规性运维。 F2.3运维监视评审阶段 F2.3.1内审 按照计划的时间间隔执行内部审核,满足既定标准要求、安全运维服务需求和客户所提出的SMS要求,并有效实施和维护。 F2.3.2管理评审 a) 定期回顾安全运维服务,确保其持续适用和有效。 b) 管理评审输入至少包括但不限于:客户反馈、服务和流程的执行情况和符合性、当前和预测资源水平、纠正措施的进展情况、可能影响安全运维服务的变更、改进机会。 F2.4运维持续改进阶段 a) 改进机会应划分优先级,策划被批准的改进机会。 b) 改进活动应进行管理,包括但不限于:设定改进目标、确保批准的改进活动被实施、报告被实施的改进计划。 |
F3一级要求 组织申报一级资质,除满足二级资质的所有条件外,还需满足以下要求。 F3.1运维服务准备阶段 a) 内部团队之间的安全运营级别协议应和与安全运维第三方之间的的服务级别设计保持一致。 b) 安全组织中要设定安全领导小组;在采用外包模式的情况下,执行组还应包含安全运维服务供应商参与运维的人员。 c) 采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。 d) 建立安全运维可视化视图。 F3.1.1需求调研与分析 a) 基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。 b) 基于客户、业务的价值体现,形成安全运维的整体视图。 F3.1.2运维服务设计 a) 编制安全运维项目作业指导书。 b) 建设实施过程中应关注信息系统的功能、性能和安全性方面要求。 c) 改造过程中应制定测试计划及回退措施。 d) 编写安全运维服务目录,包括但不限于:安全通告及漏洞分析、应急响应服务。 F3.1.3运维服务导入 a) 基于渗透测试流程管理进行标准化的信息系统安全运维工作。 b) 编制信息安全产品和工具定制开发计划。 F3.1.4明确服务协议的特殊要求 a) 建立信息系统安全运维服务级别管理程序,签订服务级别协议。 b) 建立信息系统应急事件响应机制和恢复保障。 c) 对客户满意度进行趋势分析。 d) 建立应急响应和灾难恢复机制,形成业务连续性计划。 F3.2运维服务实施阶段 a) 实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告 b) 实施应急响应服务:制定应急响应预案,对应急事件及时响应,并对应急进行演练,形成相关记录 c) 建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。 d) 制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。 F3.3运维监视评审阶段 a) 形成体系化的审核机制及企业文化。 b) 体系化的服务监视管理,形成审核机制。 c) 定期评审客户对安全运维服务的满意度。 F3.4运维持续改进阶段 a) 持续服务改进,形成持续服务改进文化和意识。 b) 基于运维服务的缺陷,提出改进策略和方案。 c) 分析运维服务的数据并进行服务预测。 |
| 颁证机构 | 中国信息安全认证中心 | 中国信息安全认证中心 | 中国信息安全认证中心 |
| 客户案例 |
北京星华永泰科技有限公司 浙江融信科技发展有限公司 武汉南斗六星系统集成有限公司 山东华软金盾软件股份有限公司 河南凌云交汇软件有限责任公司 成都思瑞奇信息产业有限公司 天佑科技股份有限公司 |
河南腾龙信息工程有限公司 |
备案号:苏ICP备2021009440号
全国咨询热线:18206123702
