信息系統(tǒng)安全服務(wù)資質(zhì)測評認(rèn)證指引

1、國家信息安全測評信息安全服務(wù)資質(zhì)申請指南（大數(shù)據(jù)安全類一級）（試行）? 版權(quán) 2017 中國信息安全測評中心2017年 9月1日中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請指南（大數(shù)據(jù)安全類一級）目錄目錄 2引言 4一、 認(rèn)定依據(jù).5二、 級別劃分.5三、 一級資質(zhì)要求 .53.1基本資格要求 .63.2基本能力要求 .63.2.1組織與管理要求 .63.2.2技術(shù)能力要求 .63.2.3人員構(gòu)成與素質(zhì)要求 .73.2.4設(shè)備、設(shè)施與環(huán)境要求 .73.2.5規(guī)模與資產(chǎn)要求 .73.2.6業(yè)績要求 .73.3大數(shù)據(jù)安全服務(wù)過程能力要求. 83.4項目和組織過程能力要求 .8四、 二

2、級資質(zhì)要求 .錯誤！未定義書簽。3.1基本資格要求 .錯誤！未定義書簽。3.2基本能力要求 .錯誤！未定義書簽。3.3質(zhì)量管理要求 .錯誤！未定義書簽。3.4大數(shù)據(jù)安全服務(wù)過程能力要求 .錯誤！未定義書簽。五、 三級資質(zhì)要求 .錯誤！未定義書簽。3.1基本資格要求 .錯誤！未定義書簽。3.2基本能力要求 .錯誤！未定義書簽。3.3質(zhì)量管理要求 .錯誤！未定義書簽。3.4大數(shù)據(jù)安全服務(wù)過程能力要求 .錯誤！未定義書簽。六、 資質(zhì)認(rèn)定 .94.1認(rèn)定流程圖 .94.2申請階段 .104.3資格審查階段 .104.4能力測評階段 .104.4.1 靜態(tài)評估 .104.4.2 現(xiàn)場審核 .114.4.

3、3 綜合評定 .114.4.4 資質(zhì)審定 .114.5 證書發(fā)放階段 .11七、 監(jiān)督、維持和升級 .12八、 處置 .12九、 爭議、投訴與申訴 .12十、 獲證組織檔案 .13十一、費用及周期 .13發(fā)布日期：2017 年 9月 1日第2頁共14頁中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請指南（大數(shù)據(jù)安全類一級）發(fā)布日期：2017 年 9月 1日第3頁共14頁中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請指南（大數(shù)據(jù)安全類一級）引言中國信息安全測評中心（以下簡稱CNITSEC）是經(jīng)中央批準(zhǔn)成立、代表國家開展信息安全測評的職能機(jī)構(gòu)， 依據(jù)國家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息

4、安全管理的政策、法律、法規(guī)，管理和運行國家信息安全測評體系。中國信息安全測評中心的主要職能是：1. 對國內(nèi)外信息安全產(chǎn)品和信息技術(shù)進(jìn)行測評；2. 對國內(nèi)信息系統(tǒng)和工程進(jìn)行安全性評估；3. 對提供信息系統(tǒng)安全服務(wù)的組織和單位進(jìn)行評估；4. 對信息安全專業(yè)人員的資質(zhì)進(jìn)行評估?！靶畔踩?wù)資質(zhì)認(rèn)定”是對信息安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)、能力和穩(wěn)定性、可靠性進(jìn)行評估，依據(jù)公開的標(biāo)準(zhǔn)和程序，對其安全服務(wù)保障能力進(jìn)行評定和確認(rèn)。為我國信息安全服務(wù)行業(yè)的發(fā)展和政府主管部門的信息安全管理以及全社會選擇信息安全服務(wù)提供一種獨立、公正的評判依據(jù)。本指南適用于所有向CNITSEC 提出大數(shù)

5、據(jù)安全服務(wù)一級資質(zhì)申請的境內(nèi)外組織。發(fā)布日期：2017 年 9月 1日第4頁共14頁中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請指南（大數(shù)據(jù)安全類一級）一、 認(rèn)定依據(jù)信息安全服務(wù) （大數(shù)據(jù)安全類） 資質(zhì)認(rèn)定是對大數(shù)據(jù)安全服務(wù)提供者的資格狀況、技術(shù)實力和大數(shù)據(jù)安全實施過程質(zhì)量保證能力等方面的具體衡量和評價。信息安全服務(wù)（大數(shù)據(jù)安全類）資質(zhì)級別的評定，是依據(jù)信息安全服務(wù)資質(zhì)評估準(zhǔn)則和不同級別的信息安全服務(wù)（大數(shù)據(jù)安全類）資質(zhì)具體要求，在對申請組織的基本資格、 技術(shù)實力、大數(shù)據(jù)安全服務(wù)能力以及大數(shù)據(jù)安全項目的組織管理水平等方面的評估結(jié)果基礎(chǔ)上的綜合評定后， 由中國信息安全測評中心給予相

6、應(yīng)的資質(zhì)級別。二、 級別劃分信息安全服務(wù) （大數(shù)據(jù)安全類） 資質(zhì)認(rèn)定是對大數(shù)據(jù)安全服務(wù)提供者的綜合實力的客觀評價和確認(rèn)，信息安全服務(wù)（大數(shù)據(jù)安全類）資質(zhì)級別反映了大數(shù)據(jù)安全服務(wù)提供者從事大數(shù)據(jù)安全服務(wù)保障能力的成熟程度。資質(zhì)級別劃分的主要依據(jù)包括：基本資格與基本能力要求、大數(shù)據(jù)安全服務(wù)過程能力要求、項目與組織管理能力要求和其他補充要求等。信息安全服務(wù)資質(zhì)分為五個級別， 由一級到五級依次遞增， 一級是最基本級別，五級為最高級別。一級：基本執(zhí)行級三級：計劃跟蹤級三級：充分定義級四級：量化控制級五級：持續(xù)改進(jìn)級三、 一級資質(zhì)要求申請信息安全服務(wù) （大數(shù)據(jù)安全類一級） 資質(zhì)的組織需要在基本資格和基本能

7、力、大數(shù)據(jù)安全服務(wù)過程能力和項目與組織過程能力等幾個方面符合 信息安發(fā)布日期：2017 年 9月 1日第5頁共14頁中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請指南（大數(shù)據(jù)安全類一級）全服務(wù)資質(zhì)具體要求（大數(shù)據(jù)安全類一級）的規(guī)定。3.1基本資格要求申請信息安全服務(wù)（大數(shù)據(jù)安全類一級）資質(zhì)的組織必須是一個獨立的實體，具有工商行政管理部門頒發(fā)的營業(yè)執(zhí)照，并遵守國家現(xiàn)行法律法規(guī)。3.2基本能力要求組織與管理要求1. 必須擁有健全的組織和管理體系， 為持續(xù)的大數(shù)據(jù)安全服務(wù)服務(wù)提供保障；2. 必須具有專業(yè)從事大數(shù)據(jù)安全服務(wù)的隊伍和相應(yīng)的質(zhì)量保證；3. 與大數(shù)據(jù)安全服務(wù)相關(guān)的所有成員要簽訂保

8、密合同，并遵守有關(guān)法律法規(guī)。技術(shù)能力要求1. 了解信息系統(tǒng)技術(shù)的最新動向，有能力掌握信息系統(tǒng) /平臺的最新技術(shù)；2. 具有不斷的技術(shù)更新能力；3. 具有對信息系統(tǒng) /平臺面臨的安全威脅、存在的安全隱患進(jìn)行信息收集、識別、分析和提供防范措施的能力；4. 能根據(jù)對用戶信息系統(tǒng) /平臺風(fēng)險的分析，向用戶建議有效的安全保護(hù)策略及建立完善的安全管理制度；5. 具有對發(fā)生的突發(fā)性數(shù)據(jù)安全事件進(jìn)行分析和解決的能力；6. 具有對市場上的信息系統(tǒng) /平臺產(chǎn)品進(jìn)行功能分析， 提出安全策略和安全解決方案及安全產(chǎn)品的系統(tǒng)集成能力；7. 具有根據(jù)服務(wù)業(yè)務(wù)的需求開發(fā)信息系統(tǒng) /平臺應(yīng)用、產(chǎn)品或支持性工具的能力；8. 具有

9、對集成的信息系統(tǒng) /平臺進(jìn)行檢測和驗證的能力；發(fā)布日期：2017 年 9月 1日第6頁共14頁中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請指南（大數(shù)據(jù)安全類一級）9. 有能力對信息系統(tǒng)系統(tǒng)進(jìn)行有效的維護(hù)；10. 有跟蹤、了解、掌握、應(yīng)用國際、國家和行業(yè)標(biāo)準(zhǔn)的能力。人員構(gòu)成與素質(zhì)要求1. 具有充足的人力資源和合理的人員結(jié)構(gòu)；2. 所有與大數(shù)據(jù)安全服務(wù)有關(guān)的管理和銷售人員應(yīng)具有基本的信息安全知識；3. 有相對穩(wěn)定的從事大數(shù)據(jù)安全服務(wù)的技術(shù)隊伍；4. 技術(shù)骨干人員應(yīng)系統(tǒng)地掌握大數(shù)據(jù)安全基礎(chǔ)理論和核心技術(shù)，并有足夠的專業(yè)工作經(jīng)驗；5. 必須有 4 名以上 (含 4 名 )專職的注冊信息安

10、全專業(yè)人員 (CISP)。設(shè)備、設(shè)施與環(huán)境要求1. 具有固定的工作場所和良好的工作環(huán)境；2. 具有先進(jìn)的開發(fā)、測試或模擬環(huán)境；3. 具有先進(jìn)的開發(fā)、生產(chǎn)和測試設(shè)備；4. 具有實施相關(guān)服務(wù)必需的開發(fā)、生產(chǎn)和測試工具。規(guī)模與資產(chǎn)要求1. 有足夠的注冊資金和充足的流動資金；2. 具有與所申請安全服務(wù)業(yè)務(wù)范圍、承擔(dān)的大數(shù)據(jù)安全服務(wù)規(guī)模相適應(yīng)的服務(wù)體系；3. 有足夠的人員從事直接與大數(shù)據(jù)安全服務(wù)相關(guān)的活動。業(yè)績要求1. 應(yīng)有從事大數(shù)據(jù)安全服務(wù)的經(jīng)驗；2. 近 3 年內(nèi)在大數(shù)據(jù)安全服務(wù)方面，沒有出現(xiàn)驗收未通過的情況。發(fā)布日期：2017 年 9月 1日第7頁共14頁中國信息安全測評中心(CNITSEC)信息

11、安全服務(wù)資質(zhì)申請指南（大數(shù)據(jù)安全類一級）3.3大數(shù)據(jù)安全服務(wù)過程能力要求大數(shù)據(jù)安全服務(wù)過程能力是評價大數(shù)據(jù)安全服務(wù)服務(wù)專業(yè)水平高低的標(biāo)志。申請組織應(yīng)能實施以下8 個大數(shù)據(jù)安全服務(wù)過程域：1. 大數(shù)據(jù)安全需求分析的能力；2. 建立大數(shù)據(jù)安全戰(zhàn)略規(guī)劃體系能力3. 大數(shù)據(jù)安全策略制定的能力；4. 大數(shù)據(jù)安全組織和人員管理的能力；5. 基于數(shù)據(jù)生命周期安全的設(shè)計和技術(shù)實現(xiàn)的能力；6. 大數(shù)據(jù)相關(guān)資產(chǎn)管理能力；7. 大數(shù)據(jù)供應(yīng)鏈管理能力；8. 大數(shù)據(jù)合規(guī)性管理能力；3.4項目和組織過程能力要求項目和組織過程能力是評價大數(shù)據(jù)安全服務(wù)服務(wù)規(guī)范性和質(zhì)量保證成熟度標(biāo)志。申請組織應(yīng)能實施以下6 個項目和組織過程域

12、：1. 質(zhì)量保證和改進(jìn)；2. 管理項目風(fēng)險活動；3. 資源管理活動；4. 項目過程管理活動；5. 提供不斷發(fā)展的技能和知識。發(fā)布日期：2017 年 9月 1日第8頁共14頁中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請指南（大數(shù)據(jù)安全類一級）四、 資質(zhì)認(rèn)定4.1 認(rèn)定流程圖申請委托人申請不受理形式化審查受理決定受理靜態(tài)評估現(xiàn)場審核限期整改綜合評定不通過綜合評定通過資質(zhì)審定不通過申請階段資格審查階段能力測評階段發(fā)證決定不予發(fā)證抽樣檢查通過證書發(fā)放證書發(fā)放階段公告證后監(jiān)督證后監(jiān)督階段發(fā)布日期：2017 年 9月 1日第9頁共14頁中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申

13、請指南（大數(shù)據(jù)安全類一級）4.2 申請階段申請組織應(yīng)首先到 CNITSEC 網(wǎng)站（）查看并下載信息安全服務(wù)資質(zhì)評估準(zhǔn)則 、信息安全服務(wù)資質(zhì)申請指南 （大數(shù)據(jù)安全類一級）、和信息安全服務(wù)資質(zhì)申請書（大數(shù)據(jù)安全類一級） ，了解資質(zhì)認(rèn)定的流程及相關(guān)情況，確定本組織滿足一級資質(zhì)的基本資格要求和基本能力要求。申請組織當(dāng)決定申請一級大數(shù)據(jù)安全服務(wù)資質(zhì)后， 根據(jù)信息安全服務(wù)資質(zhì)申請書（大數(shù)據(jù)安全類一級） 的要求填寫申請書、加蓋公章并將申請書中所要求的相關(guān)資料一起提交給 CNITSEC，同時提交申請費。 在向 CNITSEC 遞交申請書前，須逐項檢查所填報的材料的完整性和正確性。4.3 資格審查階段CNITS

14、EC 接到正式申請書及相關(guān)資料以及申請費后，根據(jù)所提交的資料進(jìn)行資格審查，以確認(rèn)申請單位是否滿足資質(zhì)的基本資格要求，提交資料是否完整。資格審查包括對申請單位所提交資料進(jìn)行的形式化審查以及對申請單位的進(jìn)一步調(diào)查和溝通。如果資格審查階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC 將要求申請組織補充資料等。當(dāng)通過資格審查階段后，CNITSEC 將向申請組織發(fā)出受理通知書，正式受理該申請，并通知相關(guān)費用的繳納事宜等。4.4 能力測評階段當(dāng)申請組織通過資格審查并繳納了相關(guān)費用后，資質(zhì)申請進(jìn)入能力測評階段。能力測評階段包括靜態(tài)評估、現(xiàn)場審核、綜合評定和資質(zhì)審定四個步驟。靜態(tài)評估靜態(tài)評估是對申請組織資料進(jìn)行符合

15、性審查，是對申請組織的大數(shù)據(jù)服務(wù)能力做出基本判斷， 初步確定申請組織的大數(shù)據(jù)安全服務(wù)能力水平狀況，為現(xiàn)場審發(fā)布日期：2017 年 9月 1日第10頁共14頁中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請指南（大數(shù)據(jù)安全類一級）核做準(zhǔn)備。如果靜態(tài)評估階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC 將要求申請組織進(jìn)一步補充資料，以便反映申請組織的客觀情況?，F(xiàn)場審核現(xiàn)場審核是對申請組織從事大數(shù)據(jù)安全服務(wù)的綜合能力 （包括技術(shù)能力、 管理能力、質(zhì)量保證、設(shè)施設(shè)備、工作環(huán)境、人員構(gòu)成及素質(zhì)、經(jīng)營業(yè)績、資產(chǎn)狀況等方面）進(jìn)行核實和確認(rèn)。通過靜態(tài)評估后， CNITSEC 將與申請組織溝通現(xiàn)場審核事宜，

16、安排審核組進(jìn)行現(xiàn)場審核?，F(xiàn)場審核若發(fā)現(xiàn)需整改的不符合項， 審核組將對申請組織提出限期整改的要求，并對整改效果進(jìn)行驗證。綜合評定在綜合評定階段，將依據(jù)靜態(tài)評估和現(xiàn)場審核結(jié)果， 對申請組織的基本資格、基本能力、大數(shù)據(jù)安全服務(wù)能力以及資質(zhì)所要求的其他內(nèi)容進(jìn)行綜合評定， 出具綜合評定報告。對評定結(jié)果不符合的， CNITSEC 將要求申請組織限期整改。申請組織完成整改并向 CNITSEC 提交整改報告后， CNITSEC 將對整改結(jié)果進(jìn)行驗證， 整改仍不符合的，將不能通過能力測評。逾期未整改的，視作整改不符合。資質(zhì)審定根據(jù)綜合評定的報告， CNITSEC 技術(shù)委員會將組織技術(shù)專家對申請組織的大數(shù)據(jù)安全服

17、務(wù)資質(zhì)進(jìn)行審查，并最終做出是否通過的決定。4.5 證書發(fā)放階段資質(zhì)審定通過后， CNITSEC 將進(jìn)行資質(zhì)證書的制作、審批和發(fā)放，并在網(wǎng)站、報刊雜志等媒體上公布獲證組織的相關(guān)信息。發(fā)布日期：2017 年 9月 1日第11頁共14頁中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請指南（大數(shù)據(jù)安全類一級）五、 監(jiān)督、維持和升級獲得資質(zhì)的組織需通過持續(xù)發(fā)展自身信息安全服務(wù)體系以保持基本能力及大數(shù)據(jù)安全服務(wù)過程能力。CNITSEC 將通過申訴系統(tǒng)、現(xiàn)場見證以及對信息安全服務(wù)項目進(jìn)行抽樣檢查來驗證每個獲得資質(zhì)組織的能力。證書在三年有效期內(nèi)實行年度確認(rèn)制度，每三年進(jìn)行一次維持換證。獲證后，每年在

18、證書簽發(fā)之日前 30 天內(nèi)，獲證組織要向 CNITSEC 提交年度調(diào)查表，并到 CNITSEC 辦理年檢。 CNITSEC 年檢中發(fā)現(xiàn)獲證組織不符合資質(zhì)認(rèn)定要求的，將要求其限期整改，整改后仍不合格， CNITSEC 將暫?；蛉∠C書。在證書有效期屆滿前90 天內(nèi)，由獲證組織提出維持換證申請。CNITSEC 將依據(jù)信息安全服務(wù)資質(zhì)維持有關(guān)政策進(jìn)行評審，以確定獲證組織符合大數(shù)據(jù)安全服務(wù)能力一級資質(zhì)要求的持續(xù)性。若獲證組織相關(guān)資料變動時，須及時通知CNITSEC，并申請更改。若獲證組織實體發(fā)生變化，需要進(jìn)行資質(zhì)證書的轉(zhuǎn)移，可到CNITSEC 網(wǎng)站（ ）下載并填寫信息安全服務(wù)資質(zhì)變更申請書 ，并提出資

19、質(zhì)轉(zhuǎn)移申請。獲證組織獲證后， 可根據(jù)自身能力的提升情況， 向 CNITSEC 申請一級資質(zhì)。六、 處置獲證組織存在違規(guī)行為時，CNITSEC 有權(quán)視組織違規(guī)情節(jié)輕重予以以下處置：警告、限期整改、暫停證書、取消證書。七、 爭議、投訴與申訴對 CNITSEC 所作的評審、復(fù)查、處置等決定有異議時，可向CNITSEC 提出書面申訴。 CNITSEC 將會責(zé)成與所申訴、投訴事項無利益相關(guān)的人員進(jìn)行調(diào)查， CNITSEC 在調(diào)查基礎(chǔ)上做出結(jié)論。獲證組織應(yīng)妥善處理因組織自身行為而發(fā)生的投訴，保留記錄并采取措施防發(fā)布日期：2017 年 9月 1日第12頁共14頁中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請指南（大數(shù)據(jù)安全類一級）