國家信息安全測評信息安全服務(wù)資質(zhì)申請指南(安全工程類-一級)

國家信息平安測評信息平安效勞資質(zhì)申請指南〔平安工程類一級〕?版權(quán)2023—中國信息平安測評中心DOCPROPERTY"發(fā)布日期"2023年8月1日目錄TOC\o"1-5"\h\z一、認(rèn)定依據(jù)4二、級別劃分4三、一級資質(zhì)要求43.1根本資格要求53.2根本能力要求53.2.1組織與管理要求53.2.2技術(shù)能力要求53.2.3人員構(gòu)成與素質(zhì)要求63.2.4設(shè)備、設(shè)施與環(huán)境要求63.2.5規(guī)模與資產(chǎn)要求63.2.6業(yè)績要求63.3平安工程過程能力要求73.4工程和組織過程能力要求7四、資質(zhì)認(rèn)定84.1認(rèn)定流程圖84.2申請階段94.3資格審查階段94.4能力測評階段9靜態(tài)評估9現(xiàn)場審核10綜合評定10資質(zhì)審定104.5證書發(fā)放階段10五、監(jiān)督、維持和升級11六、處置11七、爭議、投訴與申訴11八、獲證組織檔案12九、費用及周期12引言中國信息平安測評中心是經(jīng)中央批準(zhǔn)成立的國家信息平安權(quán)威測評機(jī)構(gòu)，職能是開展信息平安漏洞分析和風(fēng)險評估工作，對信息技術(shù)產(chǎn)品、信息系統(tǒng)和工程的平安性進(jìn)行測試與評估。對信息平安效勞和人員的資質(zhì)進(jìn)行審核與評價。中國信息平安測評中心的主要職能是：為信息技術(shù)平安性提供測評效勞；信息平安漏洞分析；信息平安風(fēng)險評估；信息技術(shù)產(chǎn)品、信息系統(tǒng)和工程平安測試與評估；信息平安效勞和信息平安人員資質(zhì)測評；信息平安技術(shù)咨詢、工程監(jiān)理與開發(fā)效勞?！靶畔⑵桨残谫Y質(zhì)認(rèn)定〞是對信息平安效勞的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)、能力和穩(wěn)定性、可靠性進(jìn)行評估，依據(jù)公開的標(biāo)準(zhǔn)和程序，對其平安效勞保障能力進(jìn)行評定和確認(rèn)。為我國信息平安效勞行業(yè)的開展和政府主管部門的信息平安管理以及全社會選擇信息平安效勞提供一種獨立、公正的評判依據(jù)。本指南適用于所有向CNITSEC提出信息平安工程效勞一級資質(zhì)申請的境內(nèi)外組織。認(rèn)定依據(jù)信息平安工程效勞資質(zhì)認(rèn)定是對信息平安工程效勞提供者的資格狀況、技術(shù)實力和平安工程實施過程質(zhì)量保證能力等方面的具體衡量和評價。信息平安工程效勞資質(zhì)級別的評定，是依據(jù)?信息平安效勞資質(zhì)評估準(zhǔn)那么?和不同級別的信息平安工程效勞資質(zhì)具體要求，在對申請組織的根本資格、技術(shù)實力、信息平安工程效勞能力以及平安工程工程的組織管理水平等方面的評估結(jié)果根底上的綜合評定后，由中國信息平安測評中心給予相應(yīng)的資質(zhì)級別。級別劃分信息平安工程效勞資質(zhì)認(rèn)定是對信息平安工程效勞提供者的綜合實力的客觀評價和確認(rèn)，信息平安工程效勞資質(zhì)級別反映了信息平安工程效勞提供者從事信息平安工程效勞保障能力的成熟程度。資質(zhì)級別劃分的主要依據(jù)包括：根本資格與根本能力要求、平安工程過程能力要求、工程與組織管理能力要求和其他補(bǔ)充要求等。信息平安效勞資質(zhì)分為五個級別，由一級到五級依次遞增，一級是最根本級別，五級為最高級別。一級：根本執(zhí)行級二級：方案跟蹤級三級：充分定義級四級：量化控制級五級：持續(xù)改良級一級資質(zhì)要求申請信息平安工程效勞一級資質(zhì)的組織需要在根本資格和根本能力、平安工程過程能力和工程與組織過程能力等幾個方面符合?信息平安工程效勞一級資質(zhì)具體要求?的規(guī)定。3.1根本資格要求申請信息平安工程效勞資質(zhì)的組織必須是一個獨立的實體，具有工商行政管理部門頒發(fā)的營業(yè)執(zhí)照，并遵守國家現(xiàn)行法律法規(guī)。3.2根本能力要求組織與管理要求必須擁有健全的組織和管理體系，為持續(xù)的信息平安工程效勞提供保障；必須具有專業(yè)從事信息平安工程效勞的隊伍和相應(yīng)的質(zhì)量保證；與平安工程效勞相關(guān)的所有成員要簽訂保密合同，并遵守有關(guān)法律法規(guī)。技術(shù)能力要求了解信息系統(tǒng)技術(shù)的最新動向，有能力掌握信息系統(tǒng)的最新技術(shù)；具有不斷的技術(shù)更新能力；具有對信息系統(tǒng)面臨的平安威脅、存在的平安隱患進(jìn)行信息收集、識別、分析和提供防范措施的能力；能根據(jù)對用戶信息系統(tǒng)風(fēng)險的分析，向用戶建議有效的平安保護(hù)策略及建立完善的平安管理制度；具有對發(fā)生的突發(fā)性平安事件進(jìn)行分析和解決的能力；具有對市場上的信息系統(tǒng)產(chǎn)品進(jìn)行功能分析，提出平安策略和平安解決方案及平安產(chǎn)品的系統(tǒng)集成能力；具有根據(jù)效勞業(yè)務(wù)的需求開發(fā)信息系統(tǒng)應(yīng)用、產(chǎn)品或支持性工具的能力；具有對集成的信息系統(tǒng)進(jìn)行檢測和驗證的能力；有能力對信息系統(tǒng)系統(tǒng)進(jìn)行有效的維護(hù)；有跟蹤、了解、掌握、應(yīng)用國際、國家和行業(yè)標(biāo)準(zhǔn)的能力。人員構(gòu)成與素質(zhì)要求具有充足的人力資源和合理的人員結(jié)構(gòu)；所有與信息平安效勞有關(guān)的管理和銷售人員應(yīng)具有根本的信息平安知識；有相對穩(wěn)定的從事信息平安效勞的技術(shù)隊伍；技術(shù)骨干人員應(yīng)系統(tǒng)地掌握信息系統(tǒng)平安根底理論和核心技術(shù)，并有足夠的專業(yè)工作經(jīng)驗；必須有2名以上(含2名)專職的注冊信息平安專業(yè)人員(CISP)。設(shè)備、設(shè)施與環(huán)境要求具有固定的工作場所和良好的工作環(huán)境；具有先進(jìn)的開發(fā)、測試或模擬環(huán)境；具有先進(jìn)的開發(fā)、生產(chǎn)和測試設(shè)備；具有實施相關(guān)效勞必需的開發(fā)、生產(chǎn)和測試工具。規(guī)模與資產(chǎn)要求有足夠的注冊資金和充足的流動資金；具有與所申請平安效勞業(yè)務(wù)范圍、承當(dāng)?shù)钠桨补こ桃?guī)模相適應(yīng)的效勞體系；有足夠的人員從事直接與信息平安效勞相關(guān)的活動。業(yè)績要求從事信息平安效勞1年以上；至少承接過2個以上的平安工程工程；近3年完成的信息平安效勞的工程總值應(yīng)在100萬以上；近3年內(nèi)在信息平安工程效勞方面，沒有出現(xiàn)驗收未通過的工程。3.3平安工程過程能力要求平安工程過程能力是評價信息平安工程效勞專業(yè)水平上下的標(biāo)志。申請組織應(yīng)能實施以下11個平安工程過程域：評估系統(tǒng)面臨的平安威脅；評估系統(tǒng)的脆弱性；評估平安對系統(tǒng)的影響；評估系統(tǒng)的平安風(fēng)險；確定系統(tǒng)的平安需求；為系統(tǒng)提供必要的平安輸入；管理系統(tǒng)的平安控制；監(jiān)測系統(tǒng)的平安狀況；平安協(xié)調(diào)；檢驗并證實系統(tǒng)的平安性；建立并提供平安性保證論據(jù)。3.4工程和組織過程能力要求工程和組織過程能力是評價信息平安工程效勞標(biāo)準(zhǔn)性和質(zhì)量保證成熟度標(biāo)志。申請組織應(yīng)能實施以下8個工程和組織過程域：質(zhì)量保證；管理配置；管理工程風(fēng)險；監(jiān)控技術(shù)活動；規(guī)劃技術(shù)活動；管理系統(tǒng)工程支持環(huán)境；提供不斷開展的技能和知識；與供給商協(xié)調(diào)。資質(zhì)認(rèn)定4.1認(rèn)定流程圖4.2申請階段申請組織應(yīng)首先到CNITSEC網(wǎng)站〔〕查看并下載?信息平安效勞資質(zhì)評估準(zhǔn)那么?、?信息平安效勞資質(zhì)申請指南(平安工程類一級)?、和?信息平安效勞資質(zhì)申請書〔平安工程類一級〕?，了解資質(zhì)認(rèn)定的流程及相關(guān)情況，確定本組織滿足一級資質(zhì)的根本資格要求和根本能力要求。申請組織當(dāng)決定申請一級信息平安工程效勞資質(zhì)后，根據(jù)?信息平安效勞資質(zhì)申請書〔平安工程類一級〕?的要求填寫申請書、加蓋公章并將申請書中所要求的相關(guān)資料一起提交給CNITSEC，同時提交申請費。在向CNITSEC遞交申請書前，須逐項檢查所填報的材料的完整性和正確性。4.3資格審查階段CNITSEC接到正式申請書及相關(guān)資料以及申請費后，根據(jù)所提交的資料進(jìn)行資格審查，以確認(rèn)申請單位是否滿足資質(zhì)的根本資格要求，提交資料是否完整。資格審查包括對申請單位所提交資料進(jìn)行的形式化審查以及對申請單位的進(jìn)一步調(diào)查和溝通。如果資格審查階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC將要求申請組織補(bǔ)充資料等。當(dāng)通過資格審查階段后，CNITSEC將向申請組織發(fā)出受理通知書，正式受理該申請，并通知相關(guān)費用的繳納事宜等。4.4能力測評階段當(dāng)申請組織通過資格審查并繳納了相關(guān)費用后，資質(zhì)申請進(jìn)入能力測評階段。能力測評階段包括靜態(tài)評估、現(xiàn)場審核、綜合評定和資質(zhì)審定四個步驟。靜態(tài)評估靜態(tài)評估是對申請組織資料進(jìn)行符合性審查，是對申請組織的信息平安工程效勞能力做出根本判斷，初步確定申請組織的信息平安工程效勞能力水平狀況，為現(xiàn)場審核做準(zhǔn)備。如果靜態(tài)評估階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC將要求申請組織進(jìn)一步補(bǔ)充資料，以便反映申請組織的客觀情況?，F(xiàn)場審核現(xiàn)場審核是對申請組織從事信息平安工程效勞的綜合能力〔包括技術(shù)能力、管理能力、質(zhì)量保證、設(shè)施設(shè)備、工作環(huán)境、人員構(gòu)成及素質(zhì)、經(jīng)營業(yè)績、資產(chǎn)狀況等方面〕進(jìn)行核實和確認(rèn)。通過靜態(tài)評估后，CNITSEC將與申請組織溝通現(xiàn)場審核事宜，安排審核組進(jìn)行現(xiàn)場審核?，F(xiàn)場審核假設(shè)發(fā)現(xiàn)需整改的不符合項，審核組將對申請組織提出限期整改的要求，并對整改效果進(jìn)行驗證。綜合評定在綜合評定階段，將依據(jù)靜態(tài)評估和現(xiàn)場審核結(jié)果，對申請組織的根本資格、根本能力、信息平安工程效勞能力以及資質(zhì)所要求的其他內(nèi)容進(jìn)行綜合評定，出具綜合評定報告。對評定結(jié)果不符合的，CNITSEC將要求申請組織限期整改。申請組織完成整改并向CNITSEC提交整改報告后，CNITSEC將對整改結(jié)果進(jìn)行驗證，整改仍不符合的，將不能通過能力測評。逾期未整改的，視作整改不符合。資質(zhì)審定根據(jù)綜合評定的報告，CNITSEC技術(shù)委員會將組織技術(shù)專家對申請組織的信息平安工程效勞資質(zhì)進(jìn)行審查，并最終做出是否通過的決定。4.5證書發(fā)放階段資質(zhì)審定通過后，CNITSEC將進(jìn)行資質(zhì)證書的制作、審批和發(fā)放，并在網(wǎng)站、報刊雜志等媒體上公布獲證組織的相關(guān)信息。監(jiān)督、維持和升級獲得資質(zhì)的組織需通過持續(xù)開展自身信息平安效勞體系以保持根本能力及平安工程過程能力。CNITSEC將通過申訴系統(tǒng)、現(xiàn)場見證以及對信息平安效勞工程進(jìn)行抽樣檢查來驗證每個獲得資質(zhì)組織的能力。證書在三年有效期內(nèi)實行年確認(rèn)制度，每三年進(jìn)行一次維持換證。獲證后，每年在證書簽發(fā)之日前30天內(nèi)，獲證組織要向CNITSEC提交年度調(diào)查表，并到CNITSEC辦理年檢。CNITSEC年檢中發(fā)現(xiàn)獲證組織不符合資質(zhì)認(rèn)定要求的，將要求其限期整改，整改后仍不合格，CNITSEC將暫?；蛉∠C書。在證書有效期屆滿前90天內(nèi)，由獲證組織提出維持換證申請。根據(jù)申請組織的變化情況，CNITSEC將進(jìn)行換證維持的資質(zhì)審查或進(jìn)一步要求進(jìn)行現(xiàn)場審核，以確定獲證組織符合信息平安工程效勞能力一級資質(zhì)要求的持續(xù)性。假設(shè)獲證組織相關(guān)資料變動時，須及時通知CNITSEC，并申請更改。假設(shè)獲證組織實體發(fā)生變化，需要進(jìn)行資質(zhì)證書的轉(zhuǎn)移，可到CNITSEC網(wǎng)站〔〕下載并填寫?信息平安效勞資質(zhì)變更申請書?，并提出資質(zhì)轉(zhuǎn)移申請。獲證滿一年以后，獲證組織可根據(jù)自身能力的提升，向CNITSEC申請二級資質(zhì)。處置獲證組織存在違規(guī)行為時，CNITSEC有權(quán)視組織違規(guī)情節(jié)輕重予以以下處置：警告、限期整改、暫停證書、取消證書。爭議、投訴與申訴對CNITSEC所作的評審、復(fù)查、處置等決定有異議時，可向CNITSEC提出書面申訴。CNITSEC將會責(zé)成與所申訴、投訴事項無利益相關(guān)的人員進(jìn)行調(diào)查，CNITSEC在調(diào)查根底上做出結(jié)論。獲證組織應(yīng)妥善處理因自身行為而發(fā)生的投訴，保存記錄并采取措施防止問題的再發(fā)生。CNITSEC將在必要時查閱獲證企業(yè)的申訴/投訴記錄。獲證組織檔案CNITSEC將對每個獲證組織建立專項檔案，所有資料將保存10年以上，升級，年度確認(rèn)或者復(fù)核換證時，只需補(bǔ)交所要求的相應(yīng)材料，CNITSEC實行記錄累加制度。