YD_T 2669-2013电信网和互联网第三方安全服务能力评定准则.pdf

ICS 35.240L 67YD中华人民共和国通信行业标准YD/T2669-2013电信网和互联网第三方安全服务能力评定准则Evaluation criteriafor competence of third party security serviceprovider in telecon network and internet2013-10-17发布2014-01-01实施中华人民共和国工业和信息化部发布 YD/T 2669-2013目次前言!范围·2规范性引用文件3术语、定义和缩略语3.1术语和定义..3.2缩略语.*.4电信网和互联网第三方安全服务概述.4.1类型..4.2电信网和互联网第三方安全服务能力等级的评判原则.4.3电信网和互联网安全防护对第三方安全服务能力的要求.5电信网和互联网第三方安全服务能力评定通用性要求..电信网和互联网第三方安全风险评估服务能力评定要求....6.1丙级能力评定要求6.2乙级能力评定要求.6.3甲级能力评定要求7电信网和互联网第三方安全设计与集成服务能力评定要求·7.1丙级能力评定要求7.2乙级能力评定要求*107.3甲级能力评定要求参考文献 YD/T266920132）从事风险评估的组织内至少应有5名具备2年以上通信领域风险评估项目经验的安全工程师。6.2.3业绩要求组织的从业业绩应符合：1）应具备2年以上的安全行业从业时间：2）至少有4个项目中涉及风险评估服务的金额超过10万元人民币：3）近3年内至少成功完成10个风险评估项日，且终验通过：4）近2年没有出现因各阶段验收未通过或企业自身原因面废止的风险评估服务项目。6.2.4组织与管理要求组织应具备如下管理要求：1）应具有专门从事电信网和互联网安全风险评估服务的部门或团队：2）对项目实施过程中获取、保存、传播和销吸与安全事件处理服务有关商业秘密信息等方面作出明确规定：3）应具有专门制定和宜贯保密制度的部门或团队。6.2.5质量保证要求组织应满足如下质量保证要求：1）应有专门的部门或人员制定完整的质量体系，并具有健全的制度宣传和培训机制：2）质量体系应针对项目开始至项目结束各个环节有比较完善和细致的控制手段。6.2.6项目管理要求组织应满足如下项目管理要求：1）应有专门的部门或人员制定总体的项目管理体系，并具有健全的制度宜传和培训机制：2）项目管理体系应针对人和项目有明确的贵权利分工，有比较明确和完善的项目过程控制记录；3）至少有1名安全服务人员接受过系绕的项目管理培训，获得过相关权成机构的认证（如PMP等），6.2.7技术能力要求组织应具各如下技术能力：1）应了解电信网和互联网安全防护系列标准，应对电信网和互联网的整体板念和传统网和非传统网的若干网络单元有一定了解：2）应具有国家或行业权威机构对组织能力的认可证明（如国家信息安全服务资质证书、信息安全风险评估资质证书、信息安全应急服务资质证书等）：3）应具有专门研究电信网和互联网技术和业务的部门或团队：4）应依据电信网和互联网安全防护体系系列标准进行安全风险评估服务：5）应能够评估电信网和互联网安全风险、胞弱性、管控能力及安全对电信网和互联网的影响力：6）应具有确定电信网和互联网的安全需求的能力；7）应具有对电信网和互联网安全系统有效维护的能力：8）应具备切实可行的应急服务方案。6.2.8服务队伍要求组织内从事风险评估的服务队伍的人员应符合：6 YD/T266920131）从事风险评估的队伍内至少应有2名经过电信网和互联网安全防护技术和标准的系统培训的安全工程师；2）从事风险评估的队伍内应至少有4名经过国家和相关机构认可，针对安全风险评估服务能力的安全工程师（有相关的能力证书如：CIW、CISP、CISSP、CISA等）。6.2.9设备、设施与环境要求组织的设备、设施和环境应满足如下要求：1）应具有针对网络安全问题研究的实验环境：2）应具有成熟的的工具、款件体系。6.3甲级能力评定要求从事电信网和互联网第三方安全风险评估服务的组织应达到本标准6.2风险评估服务乙级能力要求的所有条款，并在以下方面增强或增加要求：6.3.1规模与资产组织的规模和资产应满足：1）正式编制员工应不少于100人：2）注册资金应不少于3000万元人民币。6.3.2人员构成和素质要求组织的人员构成和素质应符合：1）直接从事风险评估服务的人员不低于30人，大学本科以上学历不少于80%2）从事风险评估的组织内至少应有12名具备3年以上通信领域风险评估项目经验的安全工程师。6.3.3业绩要求组织的从业业绩应符合：1）企业应其备3年以上的安全行业从业时间；2）至少有6个项目中涉及风险评估服务的金额超过10万元人民币；3）企业风险评估服务年业绩中电信网和互联网行业比重大于或等于30%；4）近3年内至少成功完成2