信息系统安全服务资质测评认证指引.docxVIP

信息系统安全服务资质测评认证指引 国家信息平安测评信息平安效劳资质申请指南〔平安开发类二级〕?版权2017—中国信息平安测评中心2017年10月名目一、认定根据 (4)二、级别划分 (4)三、二级资质要求 (5)3.1 根本资格要求 (5)3.2 根本力量要求 (6)3.3质量管理力量要求 (6)3.4平安开发过程力量要求 (7)四、资质认定 (8)4.1认定流程图 (8)4.2申请阶段 (9)4.3资格审查阶段 (9)4.4力量测评阶段 (9)4.4.1静态评估 (10)4.4.2现场审核 (10)4.4.3综合评定 (10)4.4.4资质审定 (11)4.5证书发放阶段 (11)五、监视、维持和晋级 (11)六、处置 (12)七、争议、投诉与申诉 (12)八、获证组织档案 (12)九、费用及周期 (12)十、联络方式 (14)引言中国信息平安测评中心〔以下简称CNITSEC〕是经中央批准成立、代表国家开展信息平安测评的职能机构，根据国家有关产品质量认证和信息平安管理的政策、法律、法规，管理和运行国家信息平安测评体系。中国信息平安测评中心的主要职能是：1.对国内外信息平安产品和信息技术进展测评；2.对国内信息系统和工程进展平安性评估；3.对供应信息系统平安效劳的组织和单位进展评估；4.对信息平安专业人员的资质进展评估。“信息平安效劳资质认定〞是对信息平安效劳的供应者的技术、资源、法律、管理等方面的资质、力量和稳定性、牢靠性进展评估，根据公开的标准和程序，对其平安效劳保障力量进展评定和确认。为我国信息平安效劳行业的进展和政府主管部门的信息平安管理以及全社会选择信息平安效劳供应一种独立、公正的评判根据。本指南适用于全部向CNITSEC申请信息平安效劳资质〔平安开发类二级〕的境内外组织。一、认定根据信息平安效劳〔平安开发类〕资质认定是对产品平安开发效劳供应者的资格情况、技术实力和平安开发过程力量等方面的详细衡量和评价。信息平安效劳〔平安开发类〕资质级别的评定，是根据《信息平安效劳资质评估准那么》和不同级别的信息平安效劳资质〔平安开发类〕详细要求，在对申请组织的根本资格、技术实力、平安开发过程力量以及平安开发工程的组织管理程度等方面的评估结果根底上的综合评定后，由中国信息平安测评中心赐予相应的资质级别。二、级别划分信息平安效劳〔平安开发类〕资质认定是对产品平安开发效劳供应者的综合实力的客观评价和确认，信息平安效劳〔平安开发类〕资质级别反映了产品平安开发效劳供应者从事产品平安开发保障力量的成熟程度。资质级别划分的主要根据包括：根本资格、根本力量要求、质量管理力量要求、平安开发过程力量要求和其他补充要求等。信息平安效劳资质分为五个级别，由一级到五级依次递增，一级是最根本级别，五级为最高级别。一级：根本执行级二级：方案跟踪级三级：充分定义级四级：量化掌握级五级：持续改良级三、二级资质要求信息平安效劳资质〔平安开发类二级〕为方案跟踪级，要求满足根本资格的产品平安开发效劳组织通过建立有效的质量管理体系，使平安开发力量方面施行的过程标准被定义、标准化和文档化，平安开发过程时能普遍根据标准执行，通过跟踪发觉开发过程中的重大偏离并实行订正措施，从而使组织的平安开发力量到达局部可重复的程度。申请信息平安效劳〔平安开发类二级〕资质的组织需要在根本资格、根本力量、质量管理力量和平安开发过程力量等几个方面符合《信息平安效劳资质详细要求〔平安开发类二级〕》的规定。3.1 根本资格要求根本资格要求是评定信息平安效劳资质的起评条件。申请信息平安效劳〔平安开发类二级〕资质的组织必需：1.是具有独立法人地位的实体；2.获得相关主管部门的批准；3.遵守国家现行法律法规；4.已获信息平安效劳〔平安开发类一级〕资质，且资质证书在有效期内；5.到达其他补充要求。3.2 根本力量要求根本力量的要求包括：技术力量要求，资源配置要求〔包括人员构成与素养要求、设备、设施与环境要求〕，规模与资产要求和业绩要求。申请信息平安效劳〔平安开发类二级〕资质的组织应当：1.从事信息平安效劳行业3年以上；2.注册资本应在100万元以上，资产总额在200万元以上；3.近3年的财务情况良好；4.从事信息平安效劳的人力资源充分、人员构造合理、技术队伍相对稳定，拥有专职的“注册信息平安专业人员〔CISP〕〞数量不少于从事平安开发专业技术人员的10%，但不得少于4人，其中CISD人员不少于2人，或专职的“注册软件平安专业人员〔CWASP CSSP〕〞不少6人。假设同时拥有专职的“注册信息平安专业人员〔CISD〕〞和专职的“注册软件安全专业人员〔CWASP CSSP〕