|
第一章 总则
第一条 为了保护计算机信息系统的安全,促进信息化建设的健康发展,特制定了信息系统安全服务能力评估条件,并对从事信息系统安全服务的企业进行能力评估。
第二条 “信息系统安全服务能力评估”是指对信息系统集成企业在信息系统安全设计开发、集成和维护服务领域,就其技术、资源、法律、管理等方面的能力进行的评估。
第三条 依据公开的评定要求,对企业提供信息系统安全服务能力进行认定。
第四条 本评估条件旨在为信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
第二章 评定要求
第一条 信息系统安全服务能力划分
信息系统安全服务能力评估等级暂分为三级,一级为基本级别,逐级提高。
• 信息系统安全服务能力评估条件
申请中国软件评测中心的“信息系统安全服务能力评估”的单位应是:遵守计算机信息系统安全方面的相关法律法规;应符合以下标准:
一 级
(一)综合条件
1 、是具有相应经营范围的独立法人单位,产权关系明确,注册资本 _30_ 万元以上;
2 、近三年经济状况良好,财务数据真实可信
3 、有良好的资信,近三年没有触犯知识产权保护等国家有关法律法规的行为;
4 、近三年内未出现过验收未获通过的项目或者应由其承担责任的、重大的用户投诉;(二)专项技术实力
1 、具有信息安全系统研发、测试或模拟环境;具备对信息安全产品提出安全策略、解决方案及系统集成的能力;
2 、用于技术投入(相关信息安全培训或研发)的经费年均投入在 _5_ 万元以上;
3 、单位主要负责人应具有 _3_ 年以上从事信息技术领域企业管理经历;负责信息安全服务的技术人员必须具备国家相关部门颁发、认定的高级专业人员技术职称和相关信息安全培训合格证书,且须与所在单位签订 __3__ 年以上聘用合同;
4 、有稳定的技术队伍,从事信息安全服务的专业技术人员不少于 _5_ 名;
(三)管理能力
1 、已建立质量管理体系;
2 、建立保密管理制度
3 、具有系统地对员工进行新知识、新技术以培训的计划,并能有效地组织实施与考核。
4 、建立信息系统安全工程管理制度,并达到信息系统安全工程管理能力达到 GB/T 20282-2006 信息安全技术—信息系统安全工程管理要求 一级;
(四) 专项服务能力评定条件
1 、信息安全集成项目的 设计开发、集成和维护服务符合国家相关的法律法规;
2 、 近三年内承建的信息安全系统集成项目均通过验收。
3 、应具有信息产业部颁发的 “ 计算机信息系统集成资质四级或四级以上资质 ”
二级
(一)综合条件
1 、是具有相应经营范围的独立法人单位,产权关系明确,注册资本 _200_ 万元以上;
2 、近三年经济状况良好,财务数据真实可信,并须经国家相关部门认定的会计师事务所核实;
3 、有良好的资信,近三年没有触犯知识产权保护等国家有关法律法规的行为;
4 、近三年内未出现过应由其承担责任的、重大的客户投诉的安全事件;
(二)专项技术实力
1 、 具有综合技术研发实力,有先进、配套的 信息安全系统研发、测试工具或模拟环境;具备自主研发的产品或对 信息安全产品提出安全策略、解决方案及系统集成的能力;
2 、用于信息安全产品研发和信息安全培训的经费年均投入 在 _30_ 万元以上 ;
3 、单位主要负责人应具有 _4_ 年以上从事信息技术领域企业管理经历;负责信息安全服务的技术人员必须具备国家相关部门颁发、认定的高级专业人员技术职称和相关信息安全培训合格证书,且须与所在单位签订 __3__ 年以上聘用合同;
4 、有稳定的技术队伍,从事信息安全服务的专业技术人员不少于 _10_ 名,信息安全方面的研发人员不少于 5 名;
(三)管理能力
1 、已建立质量管理体系,通过国家认可的第三方认证机构认证并有效运行一年以上;
2 、建立完善的信息安全管理制度和管理组织;
3 、具有系统地对员工进行新知识、新技术培训的计划,并能有效地组织实施与考核;
4 、 建立完善的信息系统安全工程管理制度, 信息系统安全工程管理能力 达到 GB/T 20282-2006 信息安全技术—信息系统安全工程管理要求 二级;
(四) 专项服务能力评定条件
1 、信息安全集成项目的设计开发、集成和维护服务符合国家相关的法律法规;
2 、独立开展信息安全集成业务 _2_ 年以上,近两年至少完成了两个计算机信息系统安全保护等级二级以上的项目(包括二级);
3 、近三年内承建的信息安全系统集成项目均通过验收;
4 、应具有信息产业部颁发的 “ 计算机信息系统集成资质三级或三级以上资质 ” 。
三级
(一)综合条件
1 、是具有相应经营范围的独立法人单位,产权关系明确,注册资本 ___1000___ 万元以上;
2 、近三年经济状况良好,财务数据真实可信,并须经国家相关部门认定的会计师事务所核实;
3 、有良好的资信,近三年没有触犯知识产权保护等国家有关法律法规的行为;
4 、近三年内未出现过应由其承担责任的、重大的客户投诉的安全事件;
(二)专项技术实力
1 、 具有较强的综合技术研发实力,有先进、配套的 信息安全系统研发、测试工具或模拟环境;有自主研发的信息安全产品;
2 、用于安全产品研发投入的经费年均投入在 ___100__ 万元以上;
3 、单位主要负责人应具有 _5_ 年以上从事信息技术领域企业管理经历;负责信息安全服务的技术人员必须具备国家相关部门颁发、认定的高级专业人员技术职称和相关信息安全培训合格证书,且须与所在单位签订 __3__ 年以上聘用合同;
4 、有稳定的技术队伍,从事信息安全服务的技术人员不少于 _20_ 名,信息安全方面的研发人员不少于 10 名;
(三)管理能力
1 、已建立质量管理体系,通过国家认可的第三方认证机构认证并有效运行一年以上;
2 、建立信息安全管理体系;
3 、具有系统地对员工进行信息安全新知识、新技术培训的计划,并能有效地组织实施与考核;
4 、 建立完善的信息系统安全工程管理制度, 信息系统安全工程管理能力 并达到 GB/T 20282-2006 信息安全技术—信息系统安全工程管理要求 三级;
(四) 专项服务能力评定条件
1 、信息安全集成项目的 设计开发、集成和维护服务 符合国家相关的法律法规;
2 、独立开展信息系统安全服务业务 _3_ 年以上,近三年至少完成了一个经认定的计算机信息系统安全保护等级三级以上的项目(包括三级);
3 、近三年内承建的信息安全系统集成项目均通过验收,计算机信息系统安全等级保护三级以上的项目应通过第三方测试机构的测试;
4 、应具有信息产业部颁发的 “ 计算机信息系统集成资质二级或二级以上资质 ” 。
第三章 信息系统安全服务能力评估程序
• 信息系统安全服务能力评估工作根据评估和审批分离的原则,按照先由评估机构评估,再由专家委员会审批的工作程序进行。中国软件评测中心为评估机构。
• 企业申请中国软件评测中心信息系统安全服务能力评估,到中国软件评测中心网站下载《信息系统安全服务能力评估申请书》,填写并提交。
• 首先对申请书进行形式化审查。形式化审查是对申请书的完整性进行初审,如果材料不完整或有填写错误,将通知申请企业补充材料或者予以退回修改。
• 申请书通过审核的单位将被正式受理,评估机构根据评估程序进行现场能力评估。
• 通过现场评估的,出具评审报告。不符合评估条件的,出具书面不符合报告,通知申请单位进行整改,经验证达到要求后,出具评审报告。
• 提交评审报告提交给专家委员会。在专家做出评审意见后,颁发能力等级证书。
• 证书有效期为两年,能力等级证书每两年进行一次复查换证,有效期内实行年确认制度。在证书有效期届满前 90 天内,由获证单位提出复查换证申请
• 取得能力等级证书的企业,在企业发展到已经具备申请更高能力等级条件的时候,可以不受原能力等级证书有效期的限制,提出更高能力等级评估的申请。
第四章 认证申请材料
申请能力等级评估的企业需递交的认证申请材料包括:
1 、企业法人签署的声明函,声明所提交的所有申请材料真实有效,并愿意承担相应法律责任。
2 、《信息系统安全服务能力评估申请书》(可在中国软件评测中心网站下载)
3 、企业营业执照复印件。
4 、企业税务登记证复印件。
5 、企业近三年财务审计报告复印件。
6 、企业专业技术人员表及毕业证书复印件; 相关信息安全培训合格证书 。
7 、审核要求提供的其他资料
第五章 对于通过评估、取得 能力 等级 证书的单位,中国软件评测中心将在网上公布《信息安全服务能力等级评估企业名录》,包括以下内容:
1 、通过能力评估单位名称
2 、通过能力评估的级别
3 、证书编号
4 、联系电话,传真,电子邮件地址等
5 、通讯地址、邮政编码等
6 、获得认证日期
参考文献:
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 20282-2006 信息安全技术—信息系统安全工程管理要求
公通字 【 2004 】 66 号《关于信息安全等级保护工作的实施意见》
公通字 【 2007 】 43 号文 关于印发《信息安全登记保护管理办法》的通知 |