信息安全灾难恢复服务资质一级认证指引-中国信息安全测评中心.DOC

国家信息安全服务资质 SUBJECT \* MERGEFORMAT 灾难恢复服务资质（一级）认证指南 （试行） ?版权2008—中国信息全安全测评中心 DOCPROPERTY 发布日期 \* MERGEFORMAT 2008年5月1日  - PAGE I - 目录 TOC \o 1-3 目录 PAGEREF _Toc199315755 \h I 一、 认证依据 PAGEREF _Toc199315756 \h 1 二、 级别划分 PAGEREF _Toc199315757 \h 2 三、 认证要求 PAGEREF _Toc199315758 \h 3 （一） 基本资格要求 PAGEREF _Toc199315759 \h 3 （二） 基本能力要求 PAGEREF _Toc199315760 \h 3 1、 组织与管理要求 PAGEREF _Toc199315761 \h 3 2、 技术能力要求 PAGEREF _Toc199315762 \h 3 3、 人员构成与素质要求 PAGEREF _Toc199315763 \h 4 4、 设备、设施与环境要求 PAGEREF _Toc199315764 \h 4 5、 规模与资产要求 PAGEREF _Toc199315765 \h 4 6、 业绩要求 PAGEREF _Toc199315766 \h 4 （三） 灾难恢复服务过程能力 PAGEREF _Toc199315767 \h 4 四、 申请流程 PAGEREF _Toc199315768 \h 6 （一） 申请流程图 PAGEREF _Toc199315769 \h 6 （二） 申请阶段 PAGEREF _Toc199315770 \h 7 （三） 资格审查阶段 PAGEREF _Toc199315771 \h 7 （四） 能力测评阶段 PAGEREF _Toc199315772 \h 7 1、 静态评估 PAGEREF _Toc199315773 \h 7 2、 现场审核 PAGEREF _Toc199315774 \h 7 3、 综合评定 PAGEREF _Toc199315775 \h 8 4、 认证审核 PAGEREF _Toc199315776 \h 8 （五） 证书发放阶段 PAGEREF _Toc199315777 \h 8 五、 监督、维持和升级 PAGEREF _Toc199315778 \h 9 六、 处置 PAGEREF _Toc199315779 \h 10 七、 争议、投诉与申诉 PAGEREF _Toc199315780 \h 11 八、 认证企业档案 PAGEREF _Toc199315781 \h 12 九、 认证费用及周期 PAGEREF _Toc199315782 \h 13 中国信息全安全测评中心 SUBJECT \* MERGEFORMAT 灾难恢复服务资质（一级）认证指南（试行） 第 PAGE 13页，共13页 发布日期： DOCPROPERTY 发布日期 \* MERGEFORMAT 2008年5月1日 认证依据 信息安全灾难恢复服务资质评估是对信息系统灾难恢复服务提供者的资格状况、技术实力和实施灾难恢复服务过程能力等方面的具体衡量和评价。 信息安全灾难恢复服务资质，是依据《信息安全服务资质评估准则》、《信息安全灾难恢复服务能力评估准则》等相关要求，在对申请组织的基本资格、技术实力、信息安全灾难恢复服务能力以及工程项目的组织管理水平等方面的评估结果基础上的综合评定后，由中国信息全安全测评中心给予的资质认证。 级别划分 信息安全灾难恢复服务资质级别是对提供信息安全灾难恢复服务组织综合实力的客观评价，反映了组织的信息安全灾难恢复服务资格、水平和能力。资质级别划分的主要依据包括：基本资格要求、基本能力要求、灾难恢复服务过程能力和其他补充要求等。 灾难恢复服务过程能力级别是评定信息安全灾难恢复服务组织资质的主要标志，标志着服务组织提供给客户的灾难恢复服务专业水平和质量保证程度。《信息安全灾难恢复服务资质评估准则》将信息安全灾难恢复服务组织的过程能力分为五个级别，由一级到五级依次递增，一级是最基本级别，五级为最高级别。 一级：基本执行级 二级：计划跟踪级 三级：充分定义级 四级：量化控制级 五级：持续改进级 灾难恢复服务过程能力以及项目和组织过程能力级别的高低，标志着从事灾难恢复服务组织的能力成熟程度，即已完成过程的管理和制度化程度的高低。申请信息安全灾难恢复服务资质级别认证的组织需要符合相应灾难恢复过程能力以及项目和组织过程能力级别。 认证要求 申请信息安全灾难恢复服务资质（一级）认证的组织需要符合以下几项要求：