3、二级资质要求-中国信息安全测评中心.doc

国家信息安全测评 信息安全服务资质申请指南 （风险评估二级） ?版权2014—中国信息安全测评中心 2014年5月1日 目录 目录 ………………………………………………………………………………………………..2 引言 ………………………………………………………………………………………………..3 一、 认定依据 4 二、 级别划分 4 三、 二级资质要求 4 3.1 基本资格要求 5 3.2 基本能力要求 5 3.3 质量管理要求 6 3.4安全风险评估过程能力要求 6 四、 资质认定 7 4.1认定流程图 7 4.2申请阶段 8 4.3资格审查阶段 8 4.4能力测评阶段 8 4.4.1静态评估 8 4.4.2现场审核 9 4.4.3综合评定 9 4.4.4资质审定 9 4.5证书发放阶段 9 五、 监督、维持和升级 10 六、 处置 10 七、 争议、投诉与申诉 10 八、 获证组织档案 11 九、 费用及周期 11 十、 联系方式 12 引言 中国信息安全测评中心CNITSEC）是经中央批准成立、代表国家开展信息安全测评的职能机构，依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评体系。 中国信息安全测评中心 认定依据 信息安全服务（风险评估类）资质认定是对信息安全风险评估服务提供者的资格状况、技术实力和信息安全风险评估实施过程质量保证能力等方面的具体衡量和评价。 信息安全服务（安全风险评估类）资质级别的评定，是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质（安全风险评估类）具体要求，在对申请组织的基本资格、技术实力、信息安全风险评估服务能力以及安全风险评估项目的组织管理水平等方面的评估结果基础上的综合评定后，由中国信息安全测评中心给予相应的资质级别。 级别划分 信息安全服务（风险评估类）资质认定是对信息安全风险评估服务提供者的综合实力的客观评价和确认，信息安全服务（风险评估类）资质级别反映了信息安全风险评估服务提供者从事信息安全风险评估服务保障能力的成熟程度。资质级别划分的主要依据包括：基本资格与基本能力要求、安全风险评估过程能力要求、项目与组织管理能力要求和其他补充要求等。 信息安全服务资质分为五个级别，由一级到五级依次递增，一级是最基本级别，五级为最高级别。 一级：基本执行级 二级：计划跟踪级 三级：充分定义级 四级：量化控制级 五级：持续改进级 二级资质要求 信息安全服务资质（风险评估二级）为计划跟踪级，要求满足基本资格的信息安全风险评估服务组织通过建立有效的质量管理体系，使安全风险评估能力方面实施安全风险评估的过程规范被定义、标准化和文档化，实施风险评估过程时能普遍按照规范执行，通过跟踪发现风险评估过程中的重大偏离并采取纠正措施，从而使组织的安全风险评估能力达到部分可重复的水平。 申请信息安全服务（风险评估二级）资质的组织需要在基本资格、基本能力、质量管理和安全风险评估过程能力等几个方面符合《信息安全服务资质具体要求（风险评估二级）》的规定。 3.1 基本资格要求 基本资格要求是评定信息安全服务资质的起评条件。 申请信息安全服务（风险评估二级）资质的组织必须： 是具有独立法人地位的实体； 获得相关主管部门的批准； 遵守国家现行法律法规； 达到其他补充要求。 3.2 基本能力要求 基本能力的要求包括：技术能力要求，资源配置要求（包括人员构成与素质要求、设备、设施与环境要求），规模与资产要求和业绩要求。 申请信息安全服务（风险评估二级）资质的组织应该： 从事信息安全服务行业3年以上； 注册资本应在500万元以上，资产总额在200万元以上； 近3年的财务状况良好； 从事信息安全服务的人力资源充足、人员结构合理、技术队伍相对稳定，拥有专职的注册信息安全专业人员（CISP）数量不少于从事安全风险评估服务专业技术人员的10%，但不得少于4人； 具有安全可靠的信息安全风险评估工具或设备； 近3年完成信息安全服务风险评估项目总值应在200万元以上。 3.3 质量管理要求 申请信息安全服务（风险评估二级）资质的组织，在质量管理方面应该： 建立合理的组织架构来满足信息安全风险评估服务的实施和管理，信息安全风险评估服务技术部门相对独立； 建立合理的管理架构来满足信息安全服务的管理，建立有效的技术管理、质量管理和组织管理机制； 建立有效的质量管理体系，至少满足支持信息安全风险评估技术能力达到计划跟踪级所需的相关管理能力要求。 3.4安全风险评估过程能力要求 安全风险评估过程能力方面的要求是信息安全风险评估服务资质的核心要求。 申请信息安全服务（风险评估二级）资质的组织应该： 根据国内外信息安全风险评估标准，形成完整的可执行的信息安全风