DOC《国家信息安全测评》

国家信息安全测评 信息安全服务资质申请指南 (大数据安全类一级) (试行) ?版权2017―中国信息安全测评中心 2017年 9月1日 目录 目录

2 引言

4

一、 认定依据

5

二、 级别划分

5

三、 一级资质要求

5 3.

1 基本资格要求

6 3.2 基本能力要求

6 3.2.1 组织与管理要求

6 3.2.2 技术能力要求

6 3.2.3 人员构成与素质要求

7 3.2.4 设备、设施与环境要求

7 3.2.5 规模与资产要求

7 3.2.6 业绩要求

7 3.3 大数据安全服务过程能力要求

8 3.4 项目和组织过程能力要求

8

四、 二级资质要求 错误!未定义书签. 3.1 基本资格要求 错误!未定义书签. 3.2 基本能力要求 错误!未定义书签. 3.3 质量管理要求 错误!未定义书签. 3.4大数据安全服务过程能力要求 错误!未定义书签.

五、 三级资质要求 错误!未定义书签. 3.1 基本资格要求 错误!未定义书签. 3.2 基本能力要求 错误!未定义书签. 3.3 质量管理要求 错误!未定义书签. 3.4大数据安全服务过程能力要求 错误!未定义书签.

六、 资质认定

9 4.1认定流程图

9 4.2申请阶段

10 4.3资格审查阶段

10 4.4能力测评阶段

10 4.4.1静态评估

10 4.4.2现场审核

11 4.4.3综合评定

11 4.4.4资质审定

11 4.5证书发放阶段

11

七、 监督、维持和升级

12

八、 处置

12

九、 争议、投诉与申诉

12

十、 获证组织档案

13 十

一、 费用及周期

13 引言 中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系. 中国信息安全测评中心的主要职能是: 对国内外信息安全产品和信息技术进行测评;

对国内信息系统和工程进行安全性评估;

对提供信息系统安全服务的组织和单位进行评估;

对信息安全专业人员的资质进行评估. 信息安全服务资质认定 是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认.为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据. 本指南适用于所有向CNITSEC提出大数据安全服务一级资质申请的境内外组织. 认定依据 信息安全服务(大数据安全类)资质认定是对大数据安全服务提供者的资格状况、技术实力和大数据安全实施过程质量保证能力等方面的具体衡量和评价. 信息安全服务(大数据安全类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务(大数据安全类)资质具体要求,在对申请组织的基本资格、技术实力、大数据安全服务能力以及大数据安全项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别. 级别划分 信息安全服务(大数据安全类)资质认定是对大数据安全服务提供者的综合实力的客观评价和确认,信息安全服务(大数据安全类)资质级别反映了大数据安全服务提供者从事大数据安全服务保障能力的成熟程度.资质级别划分的主要依据包括:基本资格与基本能力要求、大数据安全服务过程能力要求、项目与组织管理能力要求和其他补充要求等. 信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别. 一级:基本执行级 三级:计划跟踪级 三级:充分定义级 四级:量化控制级 五级:持续改进级 一级资质要求 申请信息安全服务(大数据安全类一级)资质的组织需要在基本资格和基本能力、大数据安全服务过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(大数据安全类一级)》的规定. 3.1 基本资格要求 申请信息安全服务(大数据安全类一级)资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规. 3.2 基本能力要求 3.2.1 组织与管理要求 必须拥有健全的组织和管理体系,为持续的大数据安全服务服务提供保障;