YDT 1621-2007网络与信息安全服务资质评估准则.pdf

ICS 35 240L 67YD中华人民共和国通信行业标准YD/T 1621-2007网络与信息安全服务资质评估准则Evaluation Criteria for Competence of Information Security Service Provider2007-10-01实施2007-04-16 发布中华人民共和国信息产业部发布 YD/T 1621 -2007次目前言·范围·\2规范性引用文件·3术语和缩略语3.1术语和定义·3.2缩略语网络与信息安全服务的类型·745网络与信息安全服务资质等级的评判原则·6网络与信息安全服务资质等级划分方法·7安全服务基本能力要求·7.1法律资格7.2组织与管理要求·7.3技术能力要求7.4人员构成与素质要求7.5设备、设施与环境要求····..7.6规模与资产要求·业绩要求·7.78安全咨询服务商资质要求·8.1三级资质要求·8.2二级资质要求·8.3一级资质要求·安全工程服务商资质要求。99.1三级资质要求·9.2二级资质要求·9.3一级资质要求·10　安全培训服务商资质要求:1010.1三级资质要求10·1110.2二级资质要求·一级资质要求10.31211　安全运行支持服务商资质要求··1211.1：三级资质要求.·1311.2二级资质要求11.3一级资质要求·14附录A（资料性附录）网络与信息安全服务资质要求简表16 YD/T 1621-2007前言本标准根据电信运营企业的需求，同时考虑到国内网络与信息安全服务提供商的实际情况，并参考《计算机信息系统集成资质管理办法》、《计算机信息系统集成资质等级评定条件》等文件和相关国际国内标准制定而成。本标准的评估对象为通信行业提供网络与信息安全服务的组织。本标准的附录 A为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位：国家计算机网络应急技术处理协调中心中国移动通信集团亿阳信通有限公司武汉邮电科学研究院西安邮电学院本标准主要起草人：黄元飞　刘　楠　王‧锋　舒　敏‧桑梓勤　刘建华 YD/T 1621-2007网络与信息安全服务资质评估准则1 范围本标准规定了为电信运营企业提供网络与信息安全服务的组织应具备的网络与信息安全服务资质要求。本标准适用于对为电信运营企业提供网络与信息安全服务的组织进行网络与信息安全服务资质评估，可作为电信运营企业对网络与信息安全服务提供者的选择依据，可以作为国家有关主管部门对网络与信息安全服务提供者进行管理、检查的技术性规范，也可为网络与信息安全服务提供者改进自身能力的指导。规范性引用文件2下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注有日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。质量管理和质量保证标准第3部分:GB/T19001在计算机软件开发、供应、安GB/T 19000.3-2001装和维护中的使用指南质量体系要求GB/T 19001-2000GB/T 19004.2-1994质量管理和质量体系要素第2部分：服务指南质量管理和质量体系要素第4部分：质量改进指南GB/T 19004.4-1994ISO/IEC 21827:2002信息技术系统安全工程能力成熟模型3．术语和缩略语3.1术语和定义GB/T5271.8-2001中的术语和定义适用于本标准，另外以下术语和定义也适用于本标准。3.1.1网络与信息安全服务 Information Security Service网络与信息安全服务是指信息安全工程的设计、实施、测试、运行、维护以及相关的咨询和培训等活动。3.1.2网络与信息安全服务提供者　Information Security Service Provider按照一定的合同或协议，为电信运营企业提供网络与信息安全服务的组织，也常称为网络与信息安全服务商。3.1.3网络与信息安全服务资质等级 Information Security Service Level网络与信息安全服务资质等级是指一个组织提供网络与信息安全服务的综合能力等级，包括法律资格、组织与管理能力、技术能力、人员构成与素质、规模与资产、项目管理能力、安全工程过程能力等多个方面。3.1.4 IT 安全策略 IT Security Policy YD/T 1621-2007支持如何在一个机构或其IT系统中管理、保护和配置资产（包括敏感信息）的规则、指令和习惯做法。3.2缩略语下列缩略语适用于本标准。CCIECisco Certified Internetwork Expert思科认证互联网专家CISACertified Information Securit