DOC《国家信息安全测评》

国家信息安全测评 信息安全服务资质申请指南 (风险评估二级) ?版权2014―中国信息安全测评中心 2014年5月1日 目录 目录

2 引言

3

一、 认定依据

4

二、 级别划分

4

三、 二级资质要求

4 3.

1 基本资格要求

5 3.2 基本能力要求

5 3.3 质量管理要求

6 3.4安全风险评估过程能力要求

6

四、 资质认定

7 4.1认定流程图

7 4.2申请阶段

8 4.3资格审查阶段

8 4.4能力测评阶段

8 4.4.1静态评估

8 4.4.2现场审核

9 4.4.3综合评定

9 4.4.4资质审定

9 4.5证书发放阶段

9

五、 监督、维持和升级

10

六、 处置

10

七、 争议、投诉与申诉

10

八、 获证组织档案

11

九、 费用及周期

11

十、 联系方式

12 引言 中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系. 中国信息安全测评中心的主要职能是: 对国内外信息安全产品和信息技术进行测评;

对国内信息系统和风险评估进行安全性评估;

对提供信息系统安全服务的组织和单位进行评估;

对信息安全专业人员的资质进行评估. 信息安全服务资质认定 是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认.为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据. 本指南适用于所有向CNITSEC申请信息安全服务资质(风险评估二级)的境内外组织. 认定依据 信息安全服务(风险评估类)资质认定是对信息安全风险评估服务提供者的资格状况、技术实力和信息安全风险评估实施过程质量保证能力等方面的具体衡量和评价. 信息安全服务(安全风险评估类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(安全风险评估类)具体要求,在对申请组织的基本资格、技术实力、信息安全风险评估服务能力以及安全风险评估项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别. 级别划分 信息安全服务(风险评估类)资质认定是对信息安全风险评估服务提供者的综合实力的客观评价和确认,信息安全服务(风险评估类)资质级别反映了信息安全风险评估服务提供者从事信息安全风险评估服务保障能力的成熟程度.资质级别划分的主要依据包括:基本资格与基本能力要求、安全风险评估过程能力要求、项目与组织管理能力要求和其他补充要求等. 信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别. 一级:基本执行级 二级:计划跟踪级 三级:充分定义级 四级:量化控制级 五级:持续改进级 二级资质要求 信息安全服务资质(风险评估二级)为计划跟踪级,要求满足基本资格的信息安全风险评估服务组织通过建立有效的质量管理体系,使安全风险评估能力方面实施安全风险评估的过程规范被定义、标准化和文档化,实施风险评估过程时能普遍按照规范执行,通过跟踪发现风险评估过程中的重大偏离并采取纠正措施,从而使组织的安全风险评估能力达到部分可重复的水平. 申请信息安全服务(风险评估二级)资质的组织需要在基本资格、基本能力、质量管理和安全风险评估过程能力等几个方面符合《信息安全服务资质具体要求(风险评估二级)》的规定. 3.1 基本资格要求 基本资格要求是评定信息安全服务资质的起评条件. 申请信息安全服务(风险评估二级)资质的组织必须: 是具有独立法人地位的实体;