中国通信企业协会通信网络安全服务能力评定管理办.PDFVIP

中国通信企业协会通信网络安全服务能力评定管理办法（试行） 第一章 总 则 第一条 为提高通信网络安全服务质量，确保服务过程的安全可 控性，促进通信网络安全服务行业的健康发展，协助政府主管部门加 强对通信网络安全服务的指导，依据《中国通信企业协会章程》，制 定本办法。 第二条 本办法适用于对中华人民共和国境内的通信网络安全服 务提供商提供安全服务的能力进行评定，可作为电信管理机构把握通 信网络安全服务整体情况的参考，可作为电信运营企业选择通信网络 安全服务的依据，也可以作为通信网络安全服务提供商改进自身能力 的指导。 第三条 通信网络安全服务能力评定（以下简称能力评定）是指 对通信网络安全服务提供商从事通信网络安全服务综合能力的评定， 包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业 绩、资产状况等要素。 第四条 能力评定是行业自律行为，通信网络安全服务提供商经 过能力评定可取得《中国通信企业协会通信网络安全服务能力评定资 格证书（试行）》（以下简称《评定证书》）。 第二章 能力评定组织管理 第五条 中国通信企业协会负责能力评定的发证工作，中国通信 企业协会通信网络安全专业委员会（以下简称通信安委会）负责能力 - 1 - 1 评定的协调和管理工作，包括受理评定申请、组织技术人员评定、组 2 织专家评审、公布能力评定结果和管理证后监督。 第六条 中国通信企业协会委托省、自治区、直辖市通信行业协会 （以下简称行协），依据本办法的规定实行能力评定的属地化管理，负 责本行政区域内相应等级的能力评定组织、协调和监督工作，包括组织 和协调能力评定工作、报送能力评定结果和证后监督。 第三章 能力评定类型与等级 第七条 通信网络安全服务能力分为二个类型：风险评估、安全 设计与集成。 风险评估是指运用科学的方法和手段，系统地分析通信网络及相 关系统所面临的威胁及其存在的脆弱性，评估安全事件可能造成的危 害程度，并提出有针对性的防护对策和安全措施，防范和化解通信网 络及相关系统安全风险，将风险控制在可接受的水平，为最大限度地 保障通信网络及相关系统的安全提供科学依据； 安全设计与集成是指对所服务的通信网络的安全框架进行设计， 形成安全建设规划，并对计划实施的安全策略细化，在安全解决方案 的基础上，实施安全产品集成、安全软件定制开发、安全加固与整改 或其它的安全技术和咨询服务。 第八条 通信网络安全服务能力分为三个级别：甲级、乙级和丙级。 第九条 对各级别能力的具体要求可参见《准则》的有关规定。 1 由通信安委会组建技术专家库，由来自通信行业政府、事业单位、运营企业的安全技术专家组成，每批 评定工作从专家库随机抽取3 名专家进行评定； 2 由通信安委会专家指导组成员组成，每批评审随机抽取5 名专家进行评审，评审专家具有一票否决权。 - 2 - 第四章 能力评定申请与评审 第十条 通信网络安全服务提供商申请能力评定应具备以下基本 条件： （一）在中华人民共和国境内注册成立（港澳台地区除外）； （二）由中国公民投资、中国法人投资或者国家投资的，具有 独立法人资格及相关部门颁发的合法经营资格的企事业单位（港澳台 地区除外）； （三）拥有健全的组织与管理体系，有专门从事通信网络安全 服务的部门或团队； （四）具有固定的办公场所；具有专门从事通信网络安全服务 的相关工具或软件；具有进行安全服务所必须的实验环境； （五）具有系统的对员工进行安全技术、项目管理、保密规章 制度的培训机制和计划，并能有效组织实施与考核； （六）建立并落实质量管理体系； 具体条件可参见《准则》的有关规定。 第十一条 通信网络安全服务提供商申请能力评定，可对照《准 则》确定申请能力评定的能力级别。 第十二条 通信网