通信网络安全服务能力评定管理办法第一章总则.docx

通信网络安全服务能力评定管理办法 第一章 总 则 第一条 为提高通信网络安全服务质量，确保服务过程的 安全可控性， 促进通信网络安全服务行业的健康发展， 协助政 府主管部门加强对通信网络安全服务的指导， 依据《通信网络安全防护管理办法》，制定本办法。 第二条 本办法适用于对中华人民共和国境内的通信网络 安全服务单位提供安全服务的能力进行评定， 可作为电信管理 机构把握通信网络安全服务整体情况的参考， 可作为电信运营企业选择通信网络安全服务的依据， 也可以作为通信网络安全服务单位改进自身能力的指导。 第三条 通信网络安全服务能力评定（以下简称能力评定）是指对通信网络安全服务单位从事通信网络安全服务综合能力的评定，包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况、获得奖励情况等要素。 第四条 通信网络安全服务单位经过能力评定可取得《中 国通信企业协会通信网络安全服务能力资格证书》 （以下简称证书）。 第二章 能力评定类型与等级 第五条 通信网络安全服务能力分为两种类型： 风险评估、安全设计与集成。 1 风险评估是指运用科学的方法和手段， 系统地分析通信网 络及相关系统所面临的威胁及其存在的脆弱性， 评估安全事件可能造成的危害程度， 并提出有针对性的防护对策和安全措施，防范和化解通信网络及相关系统安全风险， 将风险控制在可接受的水平， 为最大限度地保障通信网络及相关系统的安全提供科学依据； 安全设计与集成是指对所服务的通信网络的安全框架进行设计，形成安全建设规划，并对计划实施的安全策略细化， 在安全解决方案的基础上， 实施安全产品集成、 安全软件定制开发、安全加固或其它的安全技术和咨询服务。 第六条 通信网络安全服务能力分为三个级别， 由低至高依次是：一级、二级和三级。 第七条 对各级别能力的具体要求可参见《通信网络安全服务能力评定准则》的有关规定。 第三章 能力评定组织管理 第八条 中国通信企业协会负责能力评定的发证工作，中 国通信企业协会通信网络安全专业委员会（以下简称通信安委 会）负责能力评定一级级别组织专家评审工作；二级及以上级 别申请的协调和管理工作， 包括组织技术专家评定 1、组织专家评审 2、公布能力评定结果和管理证后监督。 由通信安委会组建技术专家库，由来自通信行业政府、事业单位、运营企业的安全技术专家组成，每批评定 工作从专家库随机抽取至少 3 名专家进行评定； 2 由通信安委会专家指导组成员组成，每批评审随机抽取 4 名（一级） /5 名（二级和三级）专家进行评审，评 审专家具有一票否决权。 2 第九条 中国通信企业协会委托省、自治区、直辖市通信行 业协会（以下简称行协），依据本办法的规定实行能力评定的 属地化管理，负责本行政区域内相应等级的能力评定组织、协 调和监督工作，包括受理评定申请，组织一级级别的技术专家 3 评定 、公布能力评定结果、管理证后监督和维持换证工作。 第十条 通信网络安全服务单位申请能力评定应具备以下 基本条件： (一 ) 在中华人民共和国境内注册成立 （港澳台地区除外） ； (二 ) 由中国公民投资、中国法人投资或者国家投资的， 具有独立法人资格及相关部门颁发的合法经营资格的企事业 单位（港澳台地区除外）； (三 ) 拥有健全的组织与管理体系，有专门从事通信网络 安全服务的部门或团队； (四 ) 具有固定的办公场所；具有专门从事通网络安全服 务的相关工具或软件；具有安全服务所必须的实验环境； (五 ) 具有系统的对员工进行安全技术、项目管理、保密 规章制度的培训机制和计划，并能有效组织实施与考核； (六 ) 建立并落实质量管理体系； 具体条件可参见《准则》的有关规定。 第十一条 通信网络安全服务单位申请能力评定，需逐级 3 由各地通信行业协会自行组建技术专家库，每批评定工作从专家库随机抽取至少 3 名专家进行评定。 3 申请，即对照《准则》要求从一级开始逐级申请，获得一级证书后满一年可对照《准则》要求，提出升级申请。获得二级证书后满两年可对照《准则》要求，提出升级申请。 第十二条 通信网络安全服务单位申请能力评定，应当提交以下材料： （一） 《中国通信企业协会通信网络安全服务能力评定申请书》； （二） 《企业法人营业执照》或《事业单位法人登记证书》副本（或上级主管部门批准成立的文件副本，需有年检标识）复印件； （三） 组织机构代码证副本（需有年检标识）复印件； （四） 税务登记证副本（需有年检标识）复印件； （五） 法人或负责人身份证复印件； （六） 固定办公场所证明材料。 前款材料中信息发生变化的，通信网络安全服务单位应当自信息变化之日起一个月内向单位注册地行协申请变更。 通信网络安全服务单位提交材料的信息应当真实、 完整。 第十三条 通信网络安全服务单位申请