級別:一級最低,五級最高,目前最高申請二級。
級別 | 一級 | 二級 | 三級 |
基本要求 |
基本資格要求是評定信息安全災難恢復服務資質的起評條件,申請信息安全災難恢復服務資質(一級)的組織必須滿足以下基本資格要求: 1.是具有獨立法人地位的實體; 2.具有工商行政管理部門發給的合法營業執照; 3.遵守國家現行法律法規。 |
申請信息安全服務(災難恢復類二級)資質的組織必須: 1.是具有獨立法人地位的實體; 2.獲得相關主管部門的批準; 3.遵守國家現行法律法規; 4.已獲信息安全服務(災難恢復類一級)資質,且資質證書在有效期內; 5.達到其他補充要求。 |
暫無! |
類別要求 |
一、基本能力要求 基本能力要求包括:組織與管理要求,技術能力要求,設備、人員構成與素質要求,設施與環境要求,規模和資產要求,業績要求和其他要求。 1.1.組織與管理要求 1.必須擁有健全的組織機構和管理體系,為持續的信息安全災難恢復服務提供保證; 2.必須具有專業從事信息安全災難恢復服務的隊伍和相應的質保體系; 3.從事信息安全災難恢復服務的所有成員要簽訂保密合同,并遵守有關法律法規。 1.2.技術能力要求 1.了解信息安全技術的最新動向,有能力掌握信息系統領域的最新技術; 2.具有不斷的技術更新能力; 3.具有對信息系統面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析和提供防范措施的能力; 4.能根據對用戶信息系統風險的分析,向用戶建議有效的安全保護策略及建立完善的安全管理制度; 5.具有對發生的突發性災難事件進行分析和解決的能力; 6.具有對市場上的信息系統產品進行功能分析,提出安全策略和安全解決方案及安全產品的系統集成能力; 7.具有根據服務業務的需求開發信息系統應用、產品或支持性工具的能力; 8.具有對集成的信息系統進行檢測和驗證的能力; 9.有能力對信息系統系統進行有效的維護; 10.有跟蹤、了解、掌握、應用國際、國家和行業標準的能力。 1.3.人員構成與素質要求 1.具有充足的人力資源和合理的人員結構; 2.所有與信息安全災難恢復服務有關的管理和銷售人員應具有基本的信息安全知識; 3.有相對穩定的從事信息安全災難恢復服務的專業技術隊伍,專業隊伍人員應系統地掌握信息安全災難恢復及信息安全災難恢復基礎理論和核心技術,并有足夠的專業工作經驗; 4.從事信息安全災難恢復服務的管理、銷售和技術的專業人員中,擁有CNITSEC專業資質證書的人員不少于總人數的10%,其中必須至少有2名具有CISP-DRP資質的人員,4名具有CISM-DRP資質的人員。 1.4.設備、設施與環境要求 1.具有固定的工作場所和良好的工作環境; 2.具有先進的開發、測試或模擬環境; 3.具有先進的開發、生產和測試設備; 4.具有實施相關服務必需的開發、生產和測試工具。 1.5.規模與資產要求 1.有足夠的注冊資金和充足的流動資金,其中注冊資產應在100萬元以上,流動資金占注冊資產的20%以上; 2.近3年的財務狀況良好,提供相應證明; 3.申請信息安全災難恢復服務的組織應具有與所申請災難恢復服務業務范圍、承擔的災難恢復服務規模相適應的服務體系; 4.有足夠的人員從事直接與信息安全災難恢復服務相關的活動。 1.6.業績要求 1.從事信息安全服務3年以上; 2.近3年完成的信息安全災難恢復服務的項目總值應在100萬以上; 3.近3年內在信息安全災難恢復服務方面,沒有出現驗收未通過的項目。 二、災難恢復服務過程能力 災難恢復過程能力包括: 1.災難恢復需求確定的能力; 2.災難恢復策略制定的能力; 3.災難恢復資源獲取方式確定的能力; 4.災難恢復資源要求確定的能力; 5.災難備份系統技術方案實現的能力; 6.災難備份中心選擇和建設的能力; 7.技術支持實現的能力; 8.運行維護管理的能力; 9.災難恢復預案制定的能力; 10.災難預案的教育、培訓和演練的能力; 11.災難恢復預案管理的能力。 項目和組織過程能力包括: 1.實現質量保證的能力; 2.實現配置管理的能力; 3.管理項目風險的能力; 4.監控技術活動的能力; 5.規劃技術活動的能力; 6.管理系統工程支持環境的能力; 7.提供不短發展的技能和知識的能力; 8.與供應商協調的能力。 |
一、基本能力要求 基本能力的要求包括:技術能力要求,資源配置要求(包括人員構成與素質要求、設備、設施與環境要求),規模與資產要求和業績要求。 申請信息安全服務(災難恢復類二級)資質的組織應該: 1.從事信息安全服務行業3年以上; 2.注冊資本應在1000萬元以上,資產總額在2000萬元以上; 3.近3年的財務狀況良好; 4.從事信息安全服務的人力資源充足、人員結構合理、技術隊伍相對穩定,擁有專職的注冊信息安全專業人員(CISP-DRP)數量不少于從事災難恢復服務專業技術人員的10%,但不得少于8人; 5.實踐過完整的災難恢復過程; 6.已完成信息安全災難恢復服務項目總值應在2000萬元以上; 7.擁有提供災難恢復系統進行災難備份的數據中心; 8.應至少實施過一個達到GB/T 20988《信息系統災難恢復規范》三級以上要求的災難恢復系統建設項目。 二、 質量管理要求 申請信息安全服務(災難恢復類二級)資質的組織,在質量管理方面應該: 1.建立合理的組織架構來滿足信息安全災難恢復服務的實施和管理,災難恢復服務技術部門相對獨立; 2.建立合理的管理架構來滿足信息安全服務的管理,建立有效的技術管理、質量管理和組織管理機制; 3.建立有效的質量管理體系,至少滿足支持信息安全災難恢復技術能力達到規劃化所需的相關管理能力要求。 三、災難恢復過程能力要求 災難恢復過程能力方面的要求是災難恢復服務資質的核心要求。 申請信息安全服務(災難恢復類二級)資質的組織應該: 1.在按照一級所要求的各個過程域最佳實踐的基礎上將實踐上升為理論,形成規范性文檔用于指導災難恢復服務過程,并有計劃、規范化地實施; 2.驗證災難恢復實施過程與規范的一致性; 3.通過對計劃實施過程的跟蹤,發現實施過程與計劃產生重大偏離時能采取糾正措施。 |
暫無! |
頒證機構 | 中國信息安全測評中心 | 中國信息安全測評中心 | 中國信息安全測評中心 |
產品介紹
中國信息安全測評中心是經中央批準成立的國家信息安全權威測評機構,職能是開展信息安全漏洞分析和風險評估工作,對信息技術產品、信息系統和工程的安全性進行測試與評估。對信息安全服務和人員的資質進行審核與評價。
信息安全服務資質認定是對信息安全服務的提供者的技術、資源、法律、管理等方面的資質、能力和穩定性、可靠性進行評估,依據公開的標準和程序,對其安全服務保障能力進行評定和確認。為我國信息安全服務行業的發展和政府主管部門的信息安全管理以及全社會選擇信息安全服務提供一種獨立、公正的評判依據
信息安全服務(災難恢復類)資質認定是對信息安全工程服務提供者的綜合實力的客觀評價和確認,信息安全服務(災難恢復類)資質級別反映了信息安全工程服務提供者從事災難恢復服務保障能力的成熟程度。資質級別劃分的主要依據包括:基本資格與基本能力要求、災難恢復過程能力要求、項目與組織管理能力要求和其他補充要求等。
信息安全服務資質分為五個級別,由一級到五級依次遞增,一級是最基本級別,五級為最高級別。
一級:基本執行級
二級:計劃跟蹤級
三級:充分定義級
四級:量化控制級
五級:持續改進級
常見問題:
1.申請信息安全服務資質的周期?
從簽訂《信息安全服務資質測評委托協議》至信息安全服務資質證書頒發,周期為三個月。周期時間不包含由于申請單位原因(如,資料補充、商務流程延誤或申請方無法按照約定時間進行現場評審等)造成的延期。
2.信息安全服務資質證書的有效期?
信息安全服務資質證書的有效期為三年。
3.申請單位未獲取CISP資格證書,能否進行信息安全服務資質申請?
申請單位擁有注冊信息安全專業人員是申請信息安全服務資質的基本條件,必須滿足。但申請單位可以在進行CISP培訓的同時申請服務資質。
4.申請信息安全服務資質的企業應具備哪些基本資格?
具備獨立法人資格,能夠對外獨立承擔民事責任(分公司不能夠獨立申請)。
經營范圍涵蓋信息安全。
5.申請書如何準備?
明確資質申請是企業整體行為,不是某一個部門或某一個崗位能夠獨立完成。對應不同的填寫內容,盡量落實到不同的職責部門填寫。
資質申請評估要求 | 企業配合填寫的職能部門 |
基本資格能力 | 行政、人事、財務、商務等 |
項目和組織管理能力 | 質量管理、項目管理、采購等 |
服務資質技術過程能力 | 技術、項目管理等 |
6.怎樣辦理維持換證申請?
證書到期前三個月提交申請。
維持申請流程與首次申請流程一致。
7.資質的維持申請能否延用首次申請資料?
不能。應提供公司的最新狀況信息,并以近三年的項目資料作為申請書的過程證據。