计算机信息系统安全服务机构等级评定规范征求意见稿编制说明.DOC

广东省地方标准 《计算机信息系统安全服务机构等级评定规范》 编 制 说 明 一、任务来源 二、编制背景、目的和意义 300 多家，还有不少未申请备案的，而且随着信息化事业的迅猛发展还在不断地迅速增加。这些从业机构良莠不齐，在商务活动中存在恶意竞争现象，影响正常市场秩序。为了构建公开透明、公平竞争、规范有序的市场体系，维护各方的合法权益，由第三方机构对计算机信息系统安全服务机构的综合能力坚持以公开、公平、公正原则实行服务能力等级评估，因此，制定计算机信息系统安全服务等级评定方法的地方标准，十分必要。 （二）目的及意义 三、编制思路和原则 本标准在编制过程中遵循“针对性、先进性、实用性、统一性、规范性”的原则。严格按GB/T1.1-2009 的要求进行编写。充分考虑广东省信息安全服务行业的特点，增强标准的可操作性，易被未参加标准编写的人员理解。 （二）编制依据 本标准主要是以广东省计算机信息系统安全保护管理规定（广东省人民政府令第81号）、《广东省信息系统安全保护的实施办法》（粤公通字[2008]228号）、《广东省计算机信息系统安全保护管理规定实施细则》（粤公通字[2008]228号）为依据。 本标准编制的格式符合GB/T1.1-2009《标准化工作导则第一部分：标准的结构和编写》规定。 四、编制过程与内容的确定 1、2013年11月,申请立项； 2、2013年12月，组织有关单位成立起草编写小组； 3、2014年1月-6月，搜集相关材料，包括与本标准相关的法律法规、规章制度、国家标准等。认真查阅了相关的标准如GB/T 25069 信息安全技术 术语、GB 17859 计算机信息系统安全保护等级划分准则、GB/T 22239信息安全技术 信息系统安全等级保护基本要求、GB/T 22240信息安全技术 信息系统安全等级保护定级指南、GB/T 28449 信息系统安全等级保护测评过程指南、GB/T 20984 信息安全技术 信息安全风险评估规范、YD/T 2252 网络与信息安全风险评估服务能力方法 4、2014年6月-12月，根据调研情况编写标准草案，向部分政府部门、相关行业企业征求意见； 5、2015年1月-12月，选择不同层次的安全服务机构试用该标准。共选择了74家企业作为试用单位，如蓝盾信息安全技术有限公司、联奕科技股份有限公司、广东智冠信息技术股份有限公司、佛山科讯安科技有限公司、广州佳禾科技有限公司、广州赢信电子科技有限公司等。 6、2016年1月-5月，根据试用情况修改标准草案最后形成征求意见稿; 7、2016年6月10日-20日,向社会各界广泛征求意见，征求单位包括省直单位、中央驻粤单位，市直单位，全省安全服务机构共770家，广东省互联网信息办公室、广东省经济和信息化委员会、广东省公安厅（网警总队）、广东省公共资源交易中心、广东省人民政府发展研究中心等151家发回了复函，其中31家单位提出了修改意见，120家单位为无意见。起草组认真梳理反馈回来的意见，进一步完善标准; 8、2016年6月24日，协会会员日针对安全服务机构前期标准试用情况进行讨论； 9、2016年6月30日，形成送审稿。 （二）主要内容 本标准主要内容为计算机信息系统安全服务机构的安全服务等级评定范围、评定条件、评定方法等。主要包括以下章节： 1. 范围 2. 规范性引用文件 3. 术语和定义 4. 安全服务机构基本能力要求 安全服务机构分级能力要求 评定方法 附录 A(规范性附录)安全服务机构管理能力分级要求 参考文献 五、内容说明 与现有相关标准的关系股份 4 1