信息系统安全服务资质测评认证指南.docxVIP

信息系统安全服务资质测评认证指南 国家信息平安测评信息平安效劳资质申请指南〔云计算平安类一级〕〔试行〕?版权2017—中国信息平安测评中心2017年9月1日名目名目2引言3一、认定根据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 根本资格要求 (5)3.2 根本力量要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术力量要求 (5)3.2.3 人员构成与素养要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 云计算平安效劳过程力量要求 (7)3.4 工程和组织过程力量要求 (9)四、资质认定 (11)4.1认定流程图 (11)4.2申请阶段 (12)4.3资格审查阶段 (12)4.4力量测评阶段 (12)4.4.1静态评估 (12)4.4.2现场审核 (13)4.4.3综合评定 (13)4.4.4资质审定 (13)4.5证书发放阶段 (13)五、监视、维持和晋级 (14)六、处置 (14)七、争议、投诉与申诉 (14)八、获证组织档案 (15)九、费用及周期 (15)十、联络方式 (16)引言中国信息平安测评中心是经中央批准成立的国家信息平安权威测评机构，职能是开展信息平安破绽分析和风险评估工作，对信息技术产品、信息系统和工程的平安性进展测试与评估。对信息平安效劳和人员的资质进展审核与评价。中国信息平安测评中心的主要职能是：1.为信息技术平安性供应测评效劳；2.信息平安破绽分析；3.信息平安风险评估；4.信息技术产品、信息系统和工程平安测试与评估；5.信息平安效劳和信息平安人员资质测评；6.信息平安技术询问、工程监理与开发效劳。“信息平安效劳资质认定〞是对信息平安效劳的供应者的技术、资源、法律、管理等方面的资质、力量和稳定性、牢靠性进展评估，根据公开的标准和程序，对其平安效劳保障力量进展评定和确认。为我国信息平安效劳行业的进展和政府主管部门的信息平安管理以及全社会选择信息平安效劳供应一种独立、公正的评判根据。本指南适用于全部向CNITSEC申请信息平安效劳资质〔云计算平安类一级〕的境内外组织。一、认定根据信息平安效劳〔云计算平安类〕资质认定是对云计算平安效劳供应者的资格情况、技术实力和云计算平安效劳施行过程质量保证力量等方面的详细衡量和评价。信息平安效劳〔云计算平安类〕资质级别的评定，是根据《信息平安效劳资质评估准那么》和不同级别的信息平安效劳资质〔云计算平安类〕详细要求，在对申请组织的根本资格、技术实力、云计算平安效劳力量以及云计算平安效劳工程的组织管理程度等方面的评估结果根底上的综合评定后，由中国信息平安测评中心赐予相应的资质级别。二、级别划分信息平安效劳〔云计算平安类〕资质认定是对云计算平安效劳供应者的综合实力的客观评价和确认，信息平安效劳〔云计算平安类〕资质级别反映了云计算平安效劳供应者从事云计算平安效劳保障力量的成熟程度程度。资质级别划分的主要根据包括：根本资格与根本力量要求、云计算平安效劳过程力量要求、工程与组织管理力量要求和其他补充要求等。信息平安效劳资质分为五个级别，由一级到五级依次递增，一级是最根本级别，五级为最高级别。一级：根本执行级二级：方案跟踪级三级：充分定义级四级：量化掌握级五级：持续改良级三、一级资质要求申请信息平安效劳〔云计算平安类一级〕资质的组织需要在根本资格和根本力量、云计算平安效劳过程力量和工程与组织过程力量等几个方面符合《信息平安效劳资质详细要求〔云计算平安类一级〕》的规定。3.1 根本资格要求申请信息平安效劳〔云计算平安类一级〕资质的组织必需是一个独立的实体，具有工商行政管理部门颁发的营业执照，并遵守国家现行法律法规。3.2 根本力量要求3.2.1 组织与管理要求1.必需拥有健全的组织和管理体系，为持续的云计算平安效劳供应保障；2.必需具有专业从事云计算平安效劳的队伍和相应的质量保证；3.与云计算平安效劳相关的全部成员要签订保密合同，并遵守有关法律法规。3.2.2 技术力量要求1.理解信息系统技术的最新动向，有力量把握信息系统的最新技术；2.具有不断的技术更新力量；3.具有对信息系统面临的平安威逼、存在的平安隐患进展信息搜集、识别、分析和供应防范措施的力量；4.能依据对用户信息系统风险的分析，向用户建议有效的平安爱护策略及建立完善的平安管理制度；5.具有对发生的突发性平安大事进展分析和解决的力量；6.具有对市场上的信息系统产品进展功能分析，提出平安策略和平安解决方案及平安产品的系统集成力量；7.具有依据效劳业务的需求开发信息系统应用、产