近年来,以应急处理、风险评估、灾难恢复、系统评估、安全运维、安全审计、安全培训、安全咨询等为主要内容的信息网络安全服务在信息网络安全服务保障中的作用日益突出。加强和规范网络信息安全服务资质管理已成为信息网络安全管理的重要基础工作。
信息安全服务资质是评估信息系统安全服务提供商的技术、资源、法律、管理资质和能力,以及其稳定性和可靠性,并根据公共标准和程序认证其安全服务保障能力的过程。
(1)是企业获得第三方权威机构认证认可能力的依据;
(2)是提高需方对服务提供商信任的基础;
(3)规范管理和技术,提高客户满意度;
(4)拓宽业务范围,获得更多业务机会。
信息安全服务资质水平分为一级、二级、三级,其中一级最高,三级最低。资质水平是衡量服务提供商服务能力的标准。
1、安全一体化服务资质。
信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程安全需求定义、安全设计、施工实施、安全保障的活动。
安全集成服务提供商的服务能力主要体现在以下四个方面:基本资格、服务管理能力、服务技术能力和服务流程能力;服务人员的能力主要从知识、安全集成服务经验等综合评价。
2、安全运维服务资质。
通过技术设施安全评价、技术设施安全加固、安全漏洞补丁通知、安全事件响应和信息安全运行维护咨询,协助组织信息系统管理人员进行信息系统安全运行维护工作,发现和修复信息系统中的安全风险,降低非法使用安全风险的可能性,并及时响应安全风险。
安全运维资质认证是对安全运维服务方的基本资质、管理能力、技术能力和安全运维过程能力的评价。
3、风险评估服务资格。
在网络和信息系统的建设和运行中,信息安全风险评估是信息安全要环节。
风险评估服务提供商的服务能力主要体现在以下四个方面:基本资格、服务管理能力、服务技术能力和服务流程能力;服务人员的能力主要从知识、风险评估服务经验等方面进行综合评估。
4、应急服务资格。
信息安全应急处理服务是通过制定应急计划,及时响应影响网络和信息系统安全的安全事件,并在安全事件发生后进行识别、记录、分类和处理,直到受影响的业务恢复正常运行。应急处理服务是保证业务连续性的重要手段之一,涵盖安全事件发生后维护和恢复关键业务的一系列活动。
信息安全应急服务资质认证是对应急服务提供商的基本资质、管理能力、技术能力和应急服务流程能力的评价。
5、软件安全开发服务资质。
通过控制软件开发过程,将开发软件的风险控制在可接受的水平。软件安全开发资质认证是对软件开发者的基本资质、管理能力、技术能力和软件安全过程能力的评价。
6、信息系统灾难备份和恢复服务资格。
信息系统灾难备份和恢复服务是备份信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持和运行管理能力,并将信息系统从灾难故障或瘫痪恢复到正常运行状态,设计和提供的活动。
7、工业控制安全服务资质。
工业控制系统安全服务的目标是提高工业控制系统的高可用性和业务连续性,提高功能安全。物理安全和信息安全的保证能力涉及到工业控制系统的设计、施工、运行维护和技术改革的各个阶段,主要包括系统集成、系统运行维护、应急处理、风险评估等工业控制系统安全服务,形成系统。独立的。形成文件的过程。
工业控制系统安全服务资质认证是对工业控制系统安全服务方的基本资质、管理能力、技术能力和工业控制系统安全服务流程能力的评价。
8、网络安全审计服务资格认证。
网络安全审计是指网络安全审计机构通过获取审计证据和客观评价,对被审计方所属计算机信息系统的安全性、可靠性和经济性进行检查和监督的活动。
网络安全审计服务资格认证是对网络安全审计服务提供商的基本资格、管理能力、技术能力和网络安全审计过程能力的评价。
对特定类别的信息安全服务有具体的评价标准。例如,信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》(YD/T1799-2008)。信息安全风险评估服务资质认证的依据是《信息安全技术信息安全风险评估规范》(GB/T20984-2007)和《信息安全风险评估服务资质认证实施规则》(ISC-SV-002)。
一般评价要求适用于风险评价、安全集成、应急处理、灾害备份与恢复、软件安全开发、安全运维等信息安全服务认证评价。
申请一级资质时,需取得信息安全服务(与申请类别一致)一年以上二级资质。(行业龙头企业除外)。
认证的基本环节:认证申请与验收-文件审核-现场审核-认证决策-年度监督审核。
认证周期一般为10周,包括申请人准备或补充材料的时间,自正式受理申请之日起至颁发认证证书之日止。
立即免费获取申报方案全国设立17家分支机构
马上申请认证