计算机信息系统安全服务等级评定是规范行业服务、提升企业诚信度、保证工程质量、市场准入控制的重要保证,是安全服务机构从事信息网络安全服务能力的等级证明,为我省信息化建设使用单位在选择网络安全服务机构时提供参考依据。
在粤开展信息网络安全服务而未参与本等级评定的安全服务机构可向广东省网络空间安全协会资质认证部提出评定申请,我会将依据广东省地方标准《计算机信息系统安全服务机构等级评定规范》(DB44/T 1920-2016)对申请机构进行等级评定,通过评审后协会将颁发对应的等级证书。
一、等级划分
安全服务机构等级评定是衡量安全服务机构服务能力的尺度,依据安全服务机构的基本条件、基本资格、管理能力、技术服务能力等分为一级、二级、三级、四级,其中一级最高,四级最低。
二、基本条件
安全服务机构应具备的基本条件包括:
1.具有中华人民共和国境内注册的独立法人资格,并具有相关部门颁发的合法经营资格;
2.在广东省内拥有长期固定的办公场所,具有能满足业务需求的设备和环境;
3.有健全的财务制度,财务数据真实可信;
4.遵守国家现行法律、法规,无违法记录。
三、基本管理能力要求
安全服务机构应具备的基本管理能力包括:
1.建立人员管理制度和能力考核指标,制定相关培训计划,定期开展培训;
2.建立文档管理制度,确保项目文档资料妥善保管;
3.建立项目管理制度,有健全的监督检查机制;
4.建立保密管理制度,确保客户信息安全可控;
5.立质量管理制度,跟踪服务质量,并能对服务质量进行持续改进。
四、基本技术能力要求
1.具备评估系统安全威胁的能力,能够识别系统所面临的各种安全威胁及其性质和特征,以及对威胁的可能性进行评估;
2.具备评估系统脆弱性的能力,能够收集、合成系统的脆弱性数据;
3.具备评估安全对系统的影响的能力,能够识别安全对所实施的系统的影响,并对发生影响的可能性进行评估;
4.具备评估系统安全风险的能力,识别出给定环境中涉及到对某一系统有依赖关系的安全风险;
5.具备确定系统安全需求的能力,能够为客户提供安全策略、安全目标、安全需求分析报告;
6.具备确定系统的安全输入的能力,能为系统的规划者、设计者、实施者或用户提供他们所需的安全信息,包括安全体系结构、设计或实施选择以及安全指南;
7.具备安全控制管理的能力,能建立安全职责,增强所有用户和管理员的安全意识,开展安全教育培训,对所有的安全配置进行管理(如软件更新记录、安全配置修改记录等);
8.具备监测系统安全状况的能力,能对安全风险变化、事件记录、安全防护措施进行监视,能识别安全突发事件和对安全突发事件进行响应;
9.具备检测或证实系统安全性的能力,包括检测或证实系统安全性的方法和工具;
10.具备建立系统安全的保证数据的能力,包括对保证的目标进行识别、建立保证证据数据库并对其进行分析;
11.具备对整个系统进行管理配置的能力,包括维持已标识的配置单元的数据和状况,并对系统及其配置单元的变化进行分析和控制。
五、需求文件
申请机构根据评定要求先确定需要申请的等级,提交符合相应等级要求的材料,提交的证明材料应包含但不限于:
1.独立法人资格证明;
2.固定办公场所的证明材料;
3.人员构成与素质证明材料;
4.财务制度及反映财务状况的材料;
5.人员管理制度和培训制度材料;
6.文档管理制度文档材料;
7.项目管理制度文档材料;
8.保密管理制度文档材料;
9.质量保证制度文档材料;
10.项目业绩证明材料;
技术能力及服务能力过程证明材料。第三方评审机构审查申请机构提交的申请材料,并判断所提交的证明材料是否满足相应等级要求。如果满足则文档审核为通过,否则为不通过。
图片来源于网络,侵删。
,