张敏
点击图片查看原图
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范企业信息安全服务管理水平,已成为信息安全管理的重要基础性工作。
信息安全服务资质认证是经国家认监委批准,以中国网络安全审查技术与认证中心(以下简称“CCRC”)制定发布的《信息安全服务规范》为依据,面向全社会信息安全服务领域各专业方向开展的服务资质类认证,旨在通过认证的方式规范和监督信息安全服务企业的服务过程,助力企业不断提升服务质量。
资质介绍
信息安全服务资质认证,根据所涉及专业领域共分为7个认证方向,分别是:安全集成、安全运维、应急处理、风险评估、灾难备份与恢复、安全软件开发、网络安全审计。每个方向资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。证书有效期为三年,期间每年需要进行一次监督审核。证书到期后,企业可以选择再认证维持原等级资质,也可以进行资质升级或降级。申请企业可根据自身主营业务领域及未来业务发展方向进行灵活认证申请。
资质作用
信息安全服务资质是证明获证企业具备可信信息安全服务能力的有力证明,随着信息安全服务资质社会影响力的不断提升,目前已逐步成为信息技术领域建设类项目及技术服务类项目的重要能力评价指标。
申请条件
1.法律地位要求
1)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
2)遵守国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
2.办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
3.人员能力要求
1)技术负责人须具备信息安全服务(与申报类别一致)管理能力,经企业内部评价合格(与申报类别一致)。
2)项目负责人、项目工程师须具备信息安全服务(与申报类别一致)技术能力,经企业内部评价合格(与申报类别一致)。
4.业绩要求
1)针对三级服务资质申请企业,须从事信息安全服务(与申报类别一致)6个月以上;近3年内签订并完成至少1个信息安全服务项目(与申报类别一致)。
2)针对二级服务资质申请企业,须从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)三级资质1年以上;近3年内签订并完成至少6个信息安全服务项目(与申报类别一致)。
3)针对一级服务资质申请企业,须从事信息安全服务(与申报类别一致)5年以上;近3年内签订并完成至少10个信息安全服务项目(与申报类别一致)。
5.服务管理要求与专业评价要求
参照CCRC官网发布的最新版本《信息安全服务规范》(目前已更新至20220811),建立满足认证要求的企业内部管理制度、服务规范及服务流程。
6.技术工具要求
1)二级/三级服务资质申请企业应配备承担信息安全服务(与申报类别一致)所需的安全、可信的软硬件工具和设备。
2)一级服务资质申请企业应配备承担信息安全服务(与申报类别一致)所需的安全、可信的软硬件工具和设备。软硬件工具和设备的安全性应获得第三方评价或者证明。
服务资质认证流程
1.认证申请与受理
2.文件预审核
3.现场审核
4.复合与认证决定
5.颁发证书
6.年度监督审核
需要提交的材料
1.独立法人资格证明材料;
2.人员技术能力考核评价证明材料;
3.企业组织架构及职责划分介绍;
4.办公场所证明;
5.人员保密协议;
6.项目案例及业绩证明材料(与申请方向保持一致);
7.信息安全服务质量管理文件及配套记录文档;
8.项目典型案例文档资料(与申请方向保持一致);
9.技术工具文档清单及维护资料等。