国家信息安全服务资质认定(测评中心)
[参考官网:中国信息安全测评中心http://www.itsec.gov.cn]
中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。
中国信息安全测评中心的主要职能是:
1.对国内外信息安全产品和信息技术进行测评;
2.对国内信息系统和工程进行安全性评估;
3.对提供信息系统安全服务的组织和单位进行评估;
4.对信息安全专业人员的资质进行评估。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据.
(1) 安全工程类
一、认定依据
信息安全服务(安全工程类)资质认定是对信息安全工程服务提供者的资格状况、技术实力和信息安全工程实施过程质量保证能力等方面的具体衡量和评价。
信息安全服务(安全工程类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(安全工程类)具体要求,在对申请组织的基本资格、技术实力、信息安全工程服务能力以及安全工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全服务(安全工程类)资质认定是对信息安全工程服务提供者的综合实力的客观评价和确认,信息安全服务(安全工程类)资质级别反映了信息安全工程服务提供者从事信息安全工程服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全工程过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级
二级:计划跟踪级
三级:充分定义级
四级:量化控制级
五级:持续改进级
三、一级要求
申请信息安全服务(安全工程类一级)资质的组织需要在基本资格和基本能力、安全工程过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(安全工程类一级)》的规定。
3.1基本资格要求
申请信息安全服务(安全工程类一级)资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2项目和组织过程能力要求
项目和组织过程能力是评价信息安全工程服务规范性和质量保证成熟度标志。
申请组织应能实施以下6个项目和组织过程域:
1.质量保证;
2.管理项目风险;
3.规划技术活动;
4.监控技术活动;
5.提供不断发展的技能和知识;
6.与供应商协调。
四、资质认定
4.1认定流程图
4.2申请阶段
申请组织应首先到CNITSEC网站(http://www.itsec.gov.cn)查看并下载《信息安全服务资质评估准则》、《信息安全服务资质申请指南(安全工程类一级)》和《信息安全服务资质申请书(安全工程类一级)》及有关附件,认真阅读上述文档,了解资质认定的流程及相关情况,确定本组织满足一级资质的基本资格要求和基本能力要求。
申请组织当决定申请信息安全服务资质(安全工程类一级)后,根据《信息安全服务资质申请书(安全工程类一级)》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将与申请组织签订合同,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段
当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.4.1静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全工程服务能力做出基本判断,初步确定申请组织的信息安全工程服务能力水平状况,为现场审核做准备。如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
4.4.2现场审核
现场审核是对申请组织从事信息安全工程服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定
在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全工程服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。逾期未整改的,视作整改不符合。
4.4.4资质审定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全工程服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段
资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全工程过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。
获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交年度调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。CNITSEC将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合信息安全工程服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。
获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://www.itsec.gov.cn)下载填写信息安全服务资质变更申请书,并提出资质转移申请。
获证组织获证后,可根据自身能力的提升情况,向CNITSEC申请二级资质。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证组织的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上,升级,年度确认或者复核换证时,只需补交所要求的相应材料,CNITSEC实行记录累加制度。
(备注:信息安全工程类服务资质分为一至五级,因标准条件内容较多,故不此作详细列举;如企业需要,可登录官方网站查询或以邮件方式向我司索取。)
(2)安全开发类
一、认定依据
信息安全服务(安全开发类)资质认定是对信息安全开发服务提供者的资格状况、技术实力和安全开发过程能力等方面的具体衡量和评价。
信息安全服务(安全开发类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(安全开发类)具体要求,在对申请组织的基本资格、技术实力、信息安全开发能力以及安全开发项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全服务(安全开发类)资质认定是对信息安全开发服务提供者的综合实力的客观评价和确认,信息安全服务(安全开发类)资质级别反映了信息安全开发服务提供者从事信息安全开发保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全开发过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级
二级:计划跟踪级
三级:充分定义级
四级:量化控制级
五级:持续改进级
三、一级资质要求
申请信息安全服务(安全开发类一级)资质的组织需要在基本资格和基本能力、安全开发过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(安全开发类一级)》的规定。
3.1 基本资格要求
申请信息安全服务(安全开发类一级)资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求
3.2.1 组织与管理要求
1.必须拥有健全的组织和管理体系,为持续的信息安全开发服务提供保障;
2.必须具有专业从事信息安全开发的队伍和相应的质量保证;
3.必须具有比较完善的安全管理机制,保证开发的产品安全;
4.与安全开发服务相关的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求
了解信息技术的最新动向,有能力掌握信息系统的最新技术;
具有对信息系统和信息技术产品面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
具有对用户信息系统和信息技术产品安全风险的分析和处理能力;
具有对开发的产品进行安全检测和验证的能力;
具有对信息技术产品安全进行有效维护的能力;
有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
3.2.3 人员构成与素质要求
具有充足的人力资源和合理的人员结构;
所有与信息安全开发有关人员应具有基本的信息安全知识;
有相对稳定的从事信息安全开发的技术队伍;
技术骨干人员应系统地掌握信息安全基础理论和核心技术,并有足够的专业工作经验;
必须有2名以上(含2名)专职的注册信息安全专业人员(CISE或CISD)。
具有不断的技术更新能力;
3.2.4 设备、设施与环境要求
具有固定的工作场所和良好的工作环境;
具有先进的开发、生产和测试设备与工具;
3.2.5 规模与资产要求
有足够的注册资金和充足的流动资金;
有足够的人员从事与信息安全开发相关的活动。
具有与所申请安全服务业务范围、承担的安全开发规模相适应的服务体系;
3.2.6 业绩要求
应有从事信息安全开发的经验;
近3年内在信息安全开发方面,没有出现验收未通过的情况。
3.3 安全开发过程能力要求
安全开发过程能力是评价信息安全开发专业水平高低的标志。
申请组织应能实施以下9个安全开发过程域:
1.安全意识和安全教育;
2.启动安全开发过程;
3.产品风险评估和分析;
4.定义安全设计原则;
5.提供安全文档和安全配置工具;
6.进行安全编码;
7.进行安全测试;
8.安全最终评审与产品发布;
9.安全响应服务。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价信息安全开发过程规范性和质量保证成熟度标志。
申请组织应能实施以下6个项目和组织过程域:
1.质量保证;
2.管理配置;
3.管理项目风险;
4.规划技术活动;
5.监控技术活动;
6.提供不断发展的技能和知识;与供应商协调。
四、资质认定
4.1申请阶段
申请组织应首先到CNITSEC网站(http://www.itsec.gov.cn)查看并下载《信息安全服务资质申请指南(安全开发类一级)》和《信息安全服务资质申请书(安全开发类一级)》及有关附件,认真阅读上述文档,了解资质认定的流程及相关情况,确定本组织满足一级资质的基本资格要求和基本能力要求。
申请组织当决定申请信息安全服务资质(安全开发类一级)后,根据《信息安全服务资质申请书(安全开发类一级)》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.2资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将与申请组织签订合同,正式受理该申请,并通知相关费用的缴纳事宜等。
4.3能力测评阶段
当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.3.1静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全开发服务能力做出基本判断,初步确定申请组织的信息安全开发能力水平状况,为现场审核做准备。如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
4.3.2现场审核
现场审核是对申请组织从事信息安全开发的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.3.3综合评定
在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全开发能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。逾期未整改的,视作整改不符合。
4.3.4资质审定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全开发服务资质进行审查,并最终做出是否通过的决定。
4.4证书发放阶段
资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全开发过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全开发服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。
获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交年度调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。CNITSEC将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合信息安全开发服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://www.itsec.gov.cn)下载并填写《信息安全服务资质变更申请书》,并提出资质转移申请。
获证组织获证后,可根据自身能力的提升情况,向CNITSEC申请二级资质。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证组织的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上,升级,年度确认或者复核换证时,只需补交所要求的相应材料,CNITSEC实行记录累加制度。
(备注:信息安全开发类服务资质分为一至五级,因标准条件内容较多,故不此作详细列举;如企业需要,可登录官方网站查询或以邮件方式向我司索取。)
(3)风险评估类
一、认定依据
信息安全服务(风险评估类)资质认定是对信息安全风险评估服务提供者的资格状况、技术实力和信息安全风险评估实施过程质量保证能力等方面的具体衡量和评价。
信息安全服务(风险评估类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(风险评估类)具体要求,在对申请组织的基本资格、技术实力、信息安全风险评估服务能力以及安全风险评估项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全服务(风险评估类)资质认定是对信息安全风险评估服务提供者的综合实力的客观评价和确认,信息安全服务(风险评估类)资质级别反映了信息安全风险评估服务提供者从事信息安全风险评估服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全风险评估过程能力要求、项目与组织管理能力要求和其他补充要求。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为
最高级别。
一级:基本执行级
二级:计划跟踪级
三级:充分定义级
四级:量化控制级
五级:持续改进级
三、一级资质要求
申请信息安全服务(风险评估一级)资质的组织需要在基本资格和基本能力、安全风险评估过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(风险评估一级)》的规定。
3.1 基本资格要求
申请信息安全服务(风险评估一级)资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求
3.2.1 组织与管理要求
1.必须拥有健全的组织和管理体系,为持续的信息安全风险评估服务提供保障;
2.必须具有专业从事信息安全风险评估服务的队伍和相应的质量保证;
3.与安全风险评估服务相关的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求
了解信息系统技术的最新动向,有能力掌握信息系统的最新技术;
具有不断的技术更新能力;
具有对信息系统的状况进行调研、分析和描述的能力;
具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析能力;
具有对信息系统的资产及其影响进行识别、分析和评估的能力;
具有对信息系统的脆弱性进行识别分析和评估的能力;
具有根据信息安全风险的结果提出应对安全措施的能力;
具有应用国际国内最新信息安全风险评估方法的能力;
有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
3.2.3 人员构成与素质要求
具有充足的人力资源和合理的人员结构;
所有与信息安全服务有关的管理和销售人员应具有基本的信息安全知识;
有相对稳定的从事信息安全风险评估服务的技术队伍;
技术骨干人员应系统地掌握信息系统安全基础理论和核心技术,并有足够的专业工作经验;必须有2名以上(含2名)专职的注册信息安全专业人员(CISP)。
3.2.4 设备、设施与环境要求
具有固定的工作场所和良好的工作环境;
具有实施信息安全风险评估服务的相关工具和设备。
3.2.5 规模与资产要求
有足够的注册资金和充足的流动资金;
具有与所申请安全服务业务范围、承担的安全风险评估规模相适应的服务体系;
有足够的人员从事直接与信息安全风险评估服务相关的活动。
3.2.6 业绩要求
应有从事信息安全风险评估服务的经验;
近3年内在信息安全风险评估服务方面,没有出现验收未通过的情况。
3.3 安全风险评估过程能力要求
安全风险评估过程能力是评价信息安全风险评估服务专业水平高低的标志。
申请组织应能实施以下6个安全风险评估过程域:
1.风险评估准备
2.评估系统资产的影响;
3.评估系统存在的脆弱性;
4.评估系统面临的安全威胁;
5.评估系统已有的安全措施;
6.评估系统的安全风险。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价信息安全风险评估服务规范性和质量保证成熟度标志。
申请组织应能实施以下6个项目和组织过程域:
1.质量保证;
2.管理项目风险;
3.规划技术活动;
4.监控技术活动;
5.提供不断发展的技能和知识;
6.与供应商协调。
四、资质认定
4.1申请阶段
申请组织应首先到CNITSEC网站(http://www.itsec.gov.cn)查看并下载《信息安全服务资质申请指南(风险评估一级)》和《信息安全服务资质申请书(风险评估一级)》及有关附件,认真阅读上述文档,了解资质认定的流程及相关情况,确定本组织满足一级资质的基本资格要求和基本能力要求。
申请组织当决定申请信息安全服务资质(风险评估一级)后,根据《信息安全服务资质申请书(风险评估一级)》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.2资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将与申请组织签订合同,正式受理该申请,并通知相关费用的缴纳事宜等。
4.3能力测评阶段
当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.3.1静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全风险评估服务能力做出基本判断,初步确定申请组织的信息安全风险评估服务能力水平状况,为现场审核做准备。如果在静态评估阶段发现申请组织的信息安全风险评估能力不能满足资质要求,将要求申请组织进行整改,待整改完成达到后进入现场审核阶段。
4.3.2现场审核
现场审核是对申请组织从事信息安全风险评估服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定
在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全风险评估服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。逾期未整改的,视作整改不符合。
4.4.4资质审定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全风险评估服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段
资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全风险评估过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。
获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交年度调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。CNITSEC将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合信息安全风险评估服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。
若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://www.itsec.gov.cn)下载并填写信息安全服务资质变更申请书,并提出资质转移申请。
获证组织获证后,可根据自身能力的提升情况,向CNITSEC申请二级资质。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证组织的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上,升级,年度确认或者复核换证时,只需补交所要求的相应材料,CNITSEC实行记录累加制度。
(备注:信息安全风险评估类服务资质分为一至五级,因标准条件内容较多,故不此作详细列举;如企业需要,可登录官方网站查询或以邮件方式向我司索取。)
(4)灾难恢复类
一、认证依据
信息安全灾难恢复服务资质评估是对信息系统灾难恢复服务提供者的资格状况、技术实力和实施灾难恢复服务过程能力等方面的具体衡量和评价。
信息安全灾难恢复服务资质,是依据《信息安全服务资质评估准则》、《信息安全灾难恢复服务能力评估准则》等相关要求,在对申请组织的基本资格、技术实力、信息安全灾难恢复服务能力以及工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息全安全测评中心给予的资质认证。
二、级别划分
信息安全灾难恢复服务资质级别是对提供信息安全灾难恢复服务组织综合实力的客观评价,反映了组织的信息安全灾难恢复服务资格、水平和能力。资质级别划分的主要依据包括:基本资格要求、基本能力要求、灾难恢复服务过程能力和其他补充要求等。
灾难恢复服务过程能力级别是评定信息安全灾难恢复服务组织资质的主要标志,标志着服务组织提供给客户的灾难恢复服务专业水平和质量保证程度。《信息安全灾难恢复服务资质评估准则》将信息安全灾难恢复服务组织的过程能力分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级
二级:计划跟踪级
三级:充分定义级
四级:量化控制级
五级:持续改进级
灾难恢复服务过程能力以及项目和组织过程能力级别的高低,标志着从事灾难恢复服务组织的能力成熟程度,即已完成过程的管理和制度化程度的高低。申请信息安全灾难恢复服务资质级别认证的组织需要符合相应灾难恢复过程能力以及项目和组织过程能力级别。
三、认证要求
申请信息安全灾难恢复服务资质(一级)认证的组织需要符合以下几项要求:
(一)基本资格要求
基本资格要求是评定信息安全灾难恢复服务资质的起评条件,申请信息安全灾难恢复服务资质(一级)的组织必须满足以下基本资格要求:
1.是具有独立法人地位的实体;
2.具有工商行政管理部门发给的合法营业执照;
3.遵守国家现行法律法规。
(二)基本能力要求
基本能力要求包括:组织与管理要求,技术能力要求,设备、人员构成与素质要求,设施与环境要求,规模和资产要求,业绩要求和其他要求。
2.1组织与管理要求
a)必须拥有健全的组织机构和管理体系,为持续的信息安全灾难恢复服务提供保证;
b)必须具有专业从事信息安全灾难恢复服务的队伍和相应的质保体系;
c)从事信息安全灾难恢复服务的所有成员要签订保密合同,并遵守有关法律法规。
2.2技术能力要求
a)了解信息安全技术的最新动向,有能力掌握信息系统领域的最新技术;
b)具有不断的技术更新能力;
c)具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
d)能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;
e)具有对发生的突发性灾难事件进行分析和解决的能力;
f)具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;
g)具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力;
h)具有对集成的信息系统进行检测和验证的能力;
I)有能力对信息系统系统进行有效的维护;
j)有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
2.3人员构成与素质要求
a)具有充足的人力资源和合理的人员结构;
b)所有与信息安全灾难恢复服务有关的管理和销售人员应具有基本的信息安全知识;
c)有相对稳定的从事信息安全灾难恢复服务的专业技术队伍,专业队伍人员应系统地掌握信息安全灾难恢复及信息安全灾难恢复基础理论和核心技术,并有足够的专业工作经验;
d)从事信息安全灾难恢复服务的管理、销售和技术的专业人员中,拥有CNITSEC专业资
质证书的人员不少于总人数的10%,其中必须至少有2名具有CISP-DRP资质的人员,4名具有CISM-DRP资质的人员。
2.4设备、设施与环境要求
a)具有固定的工作场所和良好的工作环境;
b)具有先进的开发、测试或模拟环境;
c)具有先进的开发、生产和测试设备;
d)具有实施相关服务必需的开发、生产和测试工具。
2.5规模与资产要求
a)有足够的注册资金和充足的流动资金,其中注册资产应在100万元以上,流动资金占注册资产的20%以上;
b)近3年的财务状况良好,提供相应证明;
c)申请信息安全灾难恢复服务的组织应具有与所申请灾难恢复服务业务范围、承担的灾难恢复服务规模相适应的服务体系;
d)有足够的人员从事直接与信息安全灾难恢复服务相关的活动。
2.6 业绩要求
a)从事信息安全服务3年以上;
b)近3年完成的信息安全灾难恢复服务的项目总值应在100万以上;
c)近3年内在信息安全灾难恢复服务方面,没有出现验收未通过的项目。
(三)灾难恢复服务过程能力
灾难恢复过程能力包括:
1.灾难恢复需求确定的能力;
2.灾难恢复策略制定的能力;
3.灾难恢复资源获取方式确定的能力;
4.灾难恢复资源要求确定的能力;
5.灾难备份系统技术方案实现的能力;
6.灾难备份中心选择和建设的能力;
7.技术支持实现的能力;
8.运行维护管理的能力;
9.灾难恢复预案制定的能力;
10.灾难预案的教育、培训和演练的能力;
11.灾难恢复预案管理的能力。
项目和组织过程能力包括:
1.实现质量保证的能力;
2.实现配置管理的能力;
3.管理项目风险的能力;
4.监控技术活动的能力;
5.规划技术活动的能力;
6.管理系统工程支持环境的能力;
7.提供不短发展的技能和知识的能力;
8.与供应商协调的能力。
四、申报流程
4.1申请阶段
申请灾难恢复服务资质的组织应首先到中国信息安全测评中心(以下简称CNITSEC)网站(http://www.itsec.gov.cn)查看并下载《信息安全灾难恢复服务资质认证指南》、《信息安全灾难恢复服务资质申请流程》、《信息安全灾难恢复服务能力测评准则》和《信息安全灾难恢复服务资质申请书》,了解认证的流程及相关情况,确定本组织满足认证的基本资格要求和基本能力要求。
当决定申请信息安全灾难恢复服务资质(一级)后,根据《信息安全灾难恢复服务资质(一级)申请书》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC,同时提交申请费。
4.2资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,资格审查包括对申请单位所提交资料进行的形式化审查以及同申请单位的调查沟通,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将向申请组织发出受理通知书,正式受理该认证申请,并通知相关费用的缴纳事宜等。
4.3能力测评阶段
当申请组织通过资格审查阶段并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和认证审核四个步骤:
1)静态评估
静态评估是对申请组织资料进行符合性审查,了解申请组织的信息安全灾难恢复服务能力以及质量管理能力,为现场审核作准备。如果静态评估阶段发现有不符合审查要求的内容,CNITSEC仍有权利要求申请组织补充资料,确保申请资料的内容最大程度反映申请组织的各方面的资格和能力情况。
2)现场审核
当申请组织通过静态评估符合性审查后,CNITSEC将与申请组织沟通现场审核事宜,发出现场审核计划,安排审核组进行现场审核。
现场审核是对申请组织的信息安全灾难恢复服务能力进行现场核实和确认。现场审核结束后,评审组提交现场审核结果供综合评定使用。
3)综合评定
在综合评定阶段,将依据资格审查的结果、静态评估的结果以及现场审核结论,对申请组织的基本资格、基本能力、灾难恢复服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过认证。逾期未整改的,视作整改不符合。
4)认证审核
认证审核将根据综合评定的结果,由认证决定委员会组织相关委员和专家进行认证评审,做出认证决定。
4.5证书发放阶段
对通过认证决定的申请组织,CNITSEC将发放证书,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全灾难恢复服务体系以保持其信息安全灾难恢复能力。CNITSEC将通过申诉系统、年度监督调查、现场见证以及灾难恢复服务项目进行抽样检查等方式来验证获得资质的组织的服务资格和能力。
证书每三年进行一次维持换证,在三年有效期内实行年确认制度。获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交年度调查表,并到CNITSEC办理年检。在证书有效期届满前90天内,由获证组织提出维持换证申请。
CNITSEC监督发现获证组织不符合原认证要求的,将要求其限期整改,整改后仍不合格,CNITSEC有权暂停或取消证书。
获得资质等级证书的组织,由于自身条件的改变,可向CNITSEC提出升级申请,升级可根据更高级别申请要求进行申请。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以处罚。处罚方式包括:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC 所做的评审、监督复查、维持审查、处置等决定有异议时,可向CNITSEC 提出书面申诉。CNITSEC 将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC 在调查基础上做出结论。
每个获证组织都应妥善处理因组织自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC 将在必要时查阅认证企业的申诉/投诉记录。
八、认证企业档案
CNITSEC 将对每个认证企业建立专项档案,所有资料将保存10 年以上,升级,年度确认或者维持换证时,只需补交所要求的相应材料,CNITSEC 实行记录累加制度。
(备注:信息安全灾难恢复服务资质分为一至五级,因标准条件内容较多,故不此作详细列举;如企业需要,可登录官方网站查询或以邮件方式向我司索取。)
(5)云计算安全类
一、认证依据
信息安全服务(云计算安全类)资质认定是对云计算安全服务提供者的资格状况、技术实力和云计算安全服务实施过程质量保证能力等方面的具体衡量和评价。
信息安全服务(云计算安全类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(云计算安全类)具体要求,在对申请组织的基本资格、技术实力、云计算安全服务能力以及云计算安全服务项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全服务(云计算安全类)资质认定是对云计算安全服务提供者的综合实力的客观评价和确认,信息安全服务(云计算安全类)资质级别反映了云计算安全服务提供者从事云计算安全服务保障能力的成熟程度水平。资质级别划分的主要依据包括:基本资格与基本能力要求、云计算安全服务过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级
二级:计划跟踪级
三级:充分定义级
四级:量化控制级
五级:持续改进级
三、一级资质要求
申请信息安全服务(云计算安全类一级)资质的组织需要在基本资格和基本能力、云计算安全服务过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(云计算安全类一级)》的规定。
3.1 基本资格要求
申请信息安全服务(云计算安全类一级)资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求
3.2.1 组织与管理要求
1.必须拥有健全的组织和管理体系,为持续的云计算安全服务提供保障;
2.必须具有专业从事云计算安全服务的队伍和相应的质量保证;
3.与云计算安全服务相关的所有成员要签订保密合同,并遵守有关法律法规
3.2.2 技术能力要求
1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术;
2.具有不断的技术更新能力;
3.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
4.能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;
5.具有对发生的突发性安全事件进行分析和解决的能力;
6.具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;
7.具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力;
8.具有对集成的信息系统进行检测和验证的能力;
9.有能力对信息系统系统进行有效的维护;
10.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
3.2.3 人员构成与素质要求
1.具有充足的人力资源和合理的人员结构;
2.所有与信息安全服务有关的管理和销售人员应具有基本的信息安全知识;
3.有相对稳定的从事信息安全服务的技术队伍;
4.技术骨干人员应系统地掌握信息系统安全基础理论和核心技术,并有足够的专业工作经验;
5.必须有4名以上(含4名)专职的注册信息安全专业人员(CISP)。
3.2.4 设备、设施与环境要求
1.具有固定的工作场所和良好的工作环境;
2.具有先进的开发、测试或模拟环境;
3.具有先进的开发、生产和测试设备;
4.具有实施相关服务必需的开发、生产和测试工具。
3.2.5 规模与资产要求
1.有足够的注册资金和充足的流动资金;
2.具有与所申请安全服务业务范围、承担的服务规模相适应的服务体系;
3.有足够的人员从事直接与信息安全服务相关的活动。
3.2.6 业绩要求
1.应有从事信息安全服务的经验;
2.近3年内在云计算安全服务方面,没有出现验收未通过的情况。
3.3 云计算安全服务过程能力要求
云计算安全服务过程能力是评价云计算安全服务专业水平高低的标志。
申请组织应能实施以下7个云计算安全服务过程域:
1)云计算安全服务的基础能力
(1)应具有提供云计算安全服务的必要基础设施,例如云计算平台、安全代理模块、虚拟化安全防护资源、实体安全防护设备等。
(2)对于云计算安全服务基础设施,应当进行持续维护,以确保这些设施的可用性,以及设施中安全策略配置的合理性与及时更新。
2)云计算安全服务的设计与部署能力
(1)应针对不同类型的云计算安全服务,设计相应的服务方案,方案应明确服务部署方案,服务流程及预期成果等内容。
(2)云计算安全服务的类型通常指云主机安全防护、漏洞扫描、流量清洗/抗DDos攻击、网站攻击防护、数据防泄漏等服务。
(3)对于需要进行额外部署/配置的云计算安全服务,应提供具体的部署方式说明,如云病毒查杀服务是否需要在客户主机上部署代理软件、如何部署、代理软件实现的功能;异常流程检测与清洗服务是否需要通过DNS引流等方式将客户流量牵引至云平台中,如何进行相关配置等。
3)云计算安全服务的订购能力
(1)应说明提供自动化订购云计算安全服务的形式,如基于WEB或智能终端APP等方式,以及订购系统是如何对客户的身份进行认证,订购界面是否包括注册登录界面、订购选项、服务对象范围、服务类型选择等内容
(2)应说明订购过程中如何明确云安全服务的具体形式和内容,如提供客户选择服务类型的选项;应说明订购过程中如何明确云安全服务对象的资产范围,如系统名称、IP地址范围、涉及端口范围等。
(3)服务协议中应明确服务提供方与客户之间的安全责任划分,如明确客户个人数据安全归客户负责,基础硬件及操作系统安全归云服务提供方负责等。
4)云计算安全服务的执行能力
(1)云计算安全服务的连续性保障能力可体现在服务是否设计了合理的服务提供机制,使用了充足的系统资源等,以避免局部故障、外部攻击或突发业务增长等导致的服务不可用。
(2)云计算安全服务的弹性扩展能力是指根据任务量的大小,动态调配资源的能力,可以依托云架构的可扩展性,也可设计专门的资源分配机制来提供该能力。
(3)应具备特定时间、特定时长、周期性执行等需要提供安全服务的能力,如仅能在业务闲时进行扫描服务,扫描时长不能连续超过1个小时,每天扫描一次等定制化服务能力。
(4)应提供快速配置高危端口、漏洞库、指纹特征等方法,快速检测、防护高危安全漏洞,避免突发安全事件的扩散。
5)云计算安全服务的交付能力
(1)应明确服务成果交付方式,如电子邮件方式、订购中心直接呈现报表方式、终端APP推送报表方式等。
(2)应说明服务成果交付内容,如资产、漏洞等不同维度的展示情况,包含的字段信息(IP、系统名称、URL、漏洞信息、发现或拦截数量等),整改加固建议等。
6)云计算安全服务过程的保障能力
(1)应具备对云计算安全服务中注册、订购、部署、执行及交付等环节的异常情况监测能力,如注册失败,订购计费异常,执行异常,交付内容缺少数据等情况,明确触发告警的阈值与机制。
(2)应说明针对云计算安全服务的应急处理预案是否完善,如是否包含了与供应商的联动应对,针对不同服务中出现的问题设置接口处理人,针对不同级别告警的上报机制与处理时限要求等。
7)云计算平台保障自身安全的能力
(1)云计算平台指提供云计算安全服务的云平台
(2)云计算平台安全技术防护情况,通常包含基础网络安全防护、数据防泄漏、虚拟化软件与虚拟机安全、业务与内容安全等方面。
(3)云计算平台识别并处理安全风险及事件通常关注云计算平台的安全运营流程设计与实施情况,如针对云平台的安全方案设计、安全开发、安全运维等方面。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价云计算安全服务规范性和质量保证成熟度标志。
申请组织应能实施以下6个项目和组织过程域:
1.质量保证;
2.管理项目风险;
3.规划技术活动;
4.监控技术活动;
5.提供不断发展的技能和知识;
6.与供应商协调。
四、资质认定
4.2 申请阶段
申请组织应首先到CNITSEC网站(http://www.itsec.gov.cn )查看并下载《信息安全服务资质评估准则》、《信息安全服务资质申请指南(云计算安全类一级)》和《信息安全服务资质申请书(云计算安全类一级)》及有关附件,认真阅读上述文档,了解资质认定的流程及相关情况,确定本组织满足一级资质的基本资格要求和基本能力要求。
申请组织当决定申请信息安全服务资质(云计算安全类一级)后,根据《信息安全服务资质申请书(云计算安全类一级)》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3 资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,资格审查包括对申请单位所提交资料进行的形式化审查以及同申请单位的调查沟通,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将向申请组织发出受理通知书,正式受理该认证申请,并通知相关费用的缴纳事宜等。
4.4 能力测评阶段
当申请组织通过资格审查阶段并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和认证审核四个步骤:
1)静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的云计算安全服务能力做出基本判断,初步确定申请组织的云计算安全服务能力水平状况,为现场审核做准备。如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
2)现场审核
现场审核是对申请组织从事云计算安全服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
3)综合评定
在综合评定阶段,将依据资格审查的结果、静态评估的结果以及现场审核结论,对申请组织的基本资格、基本能力、灾难恢复服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过认证。逾期未整改的,视作整改不符合。
4)资质认定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的云计算安全服务资质进行审查,并最终做出是否通过的决定。
4.5 证书发放阶段
对通过认证决定的申请组织,CNITSEC将发放证书,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及云计算安全服务过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书每三年进行一次维持换证,在三年有效期内实行年确认制度。获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交年度调查表,并到CNITSEC办理年检。在证书有效期届满前90天内,由获证组织提出维持换证申请。
CNITSEC监督发现获证组织不符合原认证要求的,将要求其限期整改,整改后仍不合格,CNITSEC有权暂停或取消证书。
获得资质等级证书的组织,由于自身条件的改变,可向CNITSEC提出升级申请,升级可根据更高级别申请要求进行申请。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以处罚。处罚方式包括:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC 所做的评审、监督复查、维持审查、处置等决定有异议时,可向CNITSEC 提出书面申诉。CNITSEC 将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC 在调查基础上做出结论。
每个获证组织都应妥善处理因组织自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC 将在必要时查阅认证企业的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上,升级,年度确认或者复核换证时,只需补交所要求的相应材料,CNITSEC实行记录累加制度。
(备注:信息安全风险评估类服务资质分为一至五级,因标准条件内容较多,故不此作详细列举;如企业需要,可登录官方网站查询或以邮件方式向我司索取。)
(6)大数据安全类
一、认证依据
信息安全服务(大数据安全类)资质认定是对大数据安全服务提供者的资格状况、技术实力和大数据安全实施过程质量保证能力等方面的具体衡量和评价。
信息安全服务(大数据安全类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务(大数据安全类)资质具体要求,在对申请组织的基本资格、技术实力、大数据安全服务能力以及大数据安全项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全服务(大数据安全类)资质认定是对云计算安全服务提供者的综合实力的客观评价和确认,信息安全服务(大数据安全类)资质级别反映了大数据安全服务提供者从事大数据安全服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、大数据安全服务过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级
二级:计划跟踪级
三级:充分定义级
四级:量化控制级
五级:持续改进级
三、一级资质要求
申请信息安全服务(大数据安全类一级)资质的组织需要在基本资格和基本能力、大数据安全服务过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(大数据安全类一级)》的规定。
3.1 基本资格要求
申请信息安全服务(大数据安全类一级)资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求
3.2.1 组织与管理要求
1.必须拥有健全的组织和管理体系,为持续的大数据安全服务提供保障;
2.必须具有专业从事大数据安全服务的队伍和相应的质量保证;
3.与大数据安全服务相关的所有成员要签订保密合同,并遵守有关法律法规
3.2.2 技术能力要求
1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术;
2.具有不断的技术更新能力;
3.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
4.能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;
5.具有对发生的突发性安全事件进行分析和解决的能力;
6.具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;
7.具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力;
8.具有对集成的信息系统进行检测和验证的能力;
9.有能力对信息系统系统进行有效的维护;
10.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
3.2.3 人员构成与素质要求
1.具有充足的人力资源和合理的人员结构;
2.所有与大数据安全服务有关的管理和销售人员应具有基本的信息安全知识;
3.有相对稳定的从事大数据安全服务的技术队伍;
4.技术骨干人员系统地掌握大数据安全基础理论和核心技术,并有足够的专业工作经验;
5.必须有4名以上(含4名)专职的注册信息安全专业人员(CISP)。
3.2.4 设备、设施与环境要求
1.具有固定的工作场所和良好的工作环境;
2.具有先进的开发、测试或模拟环境;
3.具有先进的开发、生产和测试设备;
4.具有实施相关服务必需的开发、生产和测试工具。
3.2.5 规模与资产要求
1.有足够的注册资金和充足的流动资金;
2.具有与所申请安全服务业务范围、承担的服务规模相适应的服务体系;
3.有足够的人员从事直接与信息安全服务相关的活动。
3.2.6 业绩要求
1.应有从事大数据安全服务的经验;
2.近3年内在大数据安全服务方面,没有出现验收未通过的情况。
3.3 云计算安全服务过程能力要求
大数据安全服务过程能力是评价大数据安全服务专业水平高低的标志。
申请组织应能实施以下8个大数据安全服务过程域:
1)大数据安全需求分析的能力;
2)建立大数据安全战略规划体系能力
3)大数据安全策略制定的能力;
4)大数据安全组织和人员管理的能力;
5)基于数据生命周期安全的设计和技术实现的能力;
6)大数据相关资产管理能力;
7)大数据供应链管理能力;
8)大数据合规性管理能力;
3.4 项目和组织过程能力要求
项目和组织过程能力是评价大数据安全服务规范性和质量保证成熟度标志。
申请组织应能实施以下5个项目和组织过程域:
1.质量保证和改进;
2.管理项目风险活动;
3.资源管理活动;
4.项目过程管理活动;
5.提供不断发展的技能和知识。
四、资质认定
4.2 申请阶段
申请组织应首先到CNITSEC网站(http://www.itsec.gov.cn )查看并下载《信息安全服务资质评估准则》、《信息安全服务资质申请指南(大数据安全类一级)》和《信息安全服务资质申请书(大数据安全类一级)》,了解资质认定的流程及相关情况,确定本组织满足一级资质的基本资格要求和基本能力要求。
申请组织当决定申请一级大数据安全服务资质后,根据《信息安全服务资质申请书(大数据安全类一级)》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3 资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,资格审查包括对申请单位所提交资料进行的形式化审查以及同申请单位的调查沟通,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将向申请组织发出受理通知书,正式受理该认证申请,并通知相关费用的缴纳事宜等。
4.4 能力测评阶段
当申请组织通过资格审查阶段并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和认证审核四个步骤:
1)静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的大数据服务能力做出基本判断,初步确定申请组织的大数据安全服务能力水平状况,为现场审核做准备。如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
2)现场审核
现场审核是对申请组织从事大数据安全服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
3)综合评定
在综合评定阶段,将依据资格审查的结果、静态评估的结果以及现场审核结论,对申请组织的基本资格、基本能力、灾难恢复服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过认证。逾期未整改的,视作整改不符合。
4)资质认定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的大数据安全服务资质进行审查,并最终做出是否通过的决定。
4.5 证书发放阶段
对通过认证决定的申请组织,CNITSEC将发放证书,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及大数据安全服务过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年度确认制度,每三年进行一次维持换证。
获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交年度调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。CNITSEC将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合大数据安全服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。
若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://www.itsec.gov.cn )下载并填写《信息安全服务资质变更申请书》,并提出资质转移申请。
获证组织获证后,可根据自身能力的提升情况,向CNITSEC申请一级资质。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以处罚。处罚方式包括:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC 所做的评审、监督复查、维持审查、处置等决定有异议时,可向CNITSEC 提出书面申诉。CNITSEC 将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC 在调查基础上做出结论。
每个获证组织都应妥善处理因组织自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC 将在必要时查阅认证企业的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上,升级,年度确认或者复核换证时,只需补交所要求的相应材料,CNITSEC实行记录累加制度。
(备注:信息安全风险评估类服务资质分为一至五级,因标准条件内容较多,故不此作详细列举;如企业需要,可登录官方网站查询或以邮件方式向我司索取。)
(7)信息系统审计类
一、认证依据
信息安全服务(信息系统审计类)资质认定是对信息系统审计服务提供者的资格状况、技术实力和云计算安全服务实施过程质量保证能力等方面的具体衡量和评价。
信息安全服务(信息系统审计类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(信息系统审计类)具体要求,在对申请组织的基本资格、技术实力、信息系统审计服务能力以及审计项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全服务(信息系统审计类)资质认定是对信息系统审计安全服务提供者的综合实力的客观评价和确认,信息安全服务(信息系统审计类)资质级别反映了信息系统审计服务提供者从事信息系统审计服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、信息系统审计服务过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级
二级:计划跟踪级
三级:充分定义级
四级:量化控制级
五级:持续改进级
三、一级资质要求
申请信息安全服务(信息系统审计类一级)资质的组织需要在基本资格和基本能力、大数据安全服务过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(信息系统审计类一级)》的规定。
3.1 基本资格要求
3.1.1 法律和合同事宜
申请信息安全服务(信息系统审计类一级)资质的组织应满足以下相关法律和合同要求:
a)信息系统审计机构应是一个法律实体,或法律实体中明确界定的一部分,如一个较大规模机构中的内部审计部门,以对其所有审计活动承担法律责任;
b)必须遵守国家现行法律、法规的规定,在经营活动中没有违反保密、知识产权保护、不正当竞争等有关法律的行为;
c)信息系统审计机构在开展审计时,必须与审计委托方或被审计方签署具有法律效力的协议,或向被审计方发出具有法律或行政效力的审计通知书;
d)信息系统审计机构应保有审计报告的权力,并应对审计报告负责。
3.1.2 公正性管理
公正性管理是信息系统审计机构保持其独立性的基本条件,应满足以下要求:
a)信息系统审计机构最高管理层应对审计活动的公正性做出承诺。信息系统审计机构应提供公开声明文件,表明机构理解在实施审计活动中公正的重要性,管理利益冲突并确保审计活动的客观性;
b)信息系统审计机构应识别、分析由审计活动引起的利益冲突的可能性并形成文件。利益冲突的潜在来源可能包括来自信息系统审计机构内部或其它人、机构或组织的活动;
c)信息系统审计机构不应就同一审计项目向被审计方提供相关审计咨询活动;
d)当信息系统审计机构与信息技术产品和服务厂商以及咨询机构之间存在利益关系时,信息系统审计机构不应对接受该厂商或咨询机构产品和服务的被审计方进行审计;
e)信息系统审计机构应要求其内部和外部人员,报告他们所知道的任何可能使他们或信息系统审计机构陷入利益冲突的任何事项,并采取相应措施包括回避措施。
3.1.3 责任和财力
信息系统审计机构应具备满足业务运作和承担审计风险所需的财力。
信息系统审计机构应:
a)具备与其业务规模相适应的注册资本金和流动资金;
b)应能证明已对审计活动引发的风险进行了评价并做出了安排(如商业保险或储备基金),安排能覆盖其因审计活动所产生的责任;
c)应评价其财务状况和收入来源,并向资质评定机构和保持公正性委员会证实来自商业、财务和其它方面的压力不会损害其公正性。
3.1.4 保密要求
信息系统审计机构应:
a)通过具有法律效力的协议,对机构各层次在审计活动中多产生和获得信息,建立保密制度,采取保密措施;
b)对有关特定被审计方或个人的信息,未经他们书面同意,不应透露给第三方。当法律要求将保密信息提供给第三方时,除非法律另有规定,否则信息系统审计机构应事先将法律要求提供的信息通知当事人;
c)来自其它来源(如投诉人、法定机构)的有关被审计方或个人的信息,应按保密信息处理;
d)任何人员,包括代表信息系统审计机构工作的各种委员会成员、兼职人员、外部机构人员或个人,应对在审计活动中获得的信息保密;
e)应提供和使用可确保保密信息(如文件、纪录)安全处理的设施设备。
3.2 基本能力要求
3.2.1 组织与管理要求
信息系统审计机构的组织结构必须拥有健全的组织和管理体系,为持续的信息系统审计服务提供保障,并有利于提高审计活动的可信任度。应建立和确定对以下工作负责的最高管理层,最高管理层可以是委员会、小组或个人。
a)制定信息系统审计机构运作的方针;
b)信息系统审计服务和制度的开发;
c)监督其方针和制度的实施;
d)监督信息系统审计机构的财务;
e)评价投诉解决的成效;
f)批准审计报告;
g)需要时,授权委员会或个人代表最高管理层开展规定的活动;
h)为认证活动提供充分的,合格的资源等。
3.2.2 保持公正性委员会
信息系统审计机构应建立保持公正性委员会,以保证其审计活动的公正性。保持公正性委员会应:
a)协助制定与审计活动公正性有关的方针;
b)规避信息系统审计机构所有者因出于商业或其它利益考虑而影响信息系统审计机构持续、客观地开展审计活动的任何风险;
c)对影响审计可信度的事项提出建议。
保持公正性委员会的组成、授权范围、责任、权限、成员的能力要求和职责均应正式形成文件,并由信息系统审计机构的最高管理层批准以确保:
a)各方利益均衡,使任何一个利益方不处于支配地位;
b)获取所有必要的信息使之能完成自己的职能;
c)如果信息系统审计机构的最高管理层与保持公正性委员会的建议有冲突时,委员会有权采取独立行动(如通知资质评定机构和股东)。采取独立行动时,委员会应尊重与被审计方和信息系统审计机构相关的保密性要求。
3.2.3 人员构成与能力要求
信息系统审计机构应确保其人员具有与审计活动和被审计方业务领域相关的适宜的知识、技能和经验。信息系统审计机构应:
a)有足够的人员从事直接与信息系统审计服务相关的活动,对直接参与审计活动的人员,具有2名或以上的注册信息系统审计师(CISP-A)(其中1名可暂由CISP代替);
b)识别不同被审计业务领域的信息系统审计所需的人员资格和能力要求;
c)识别机构内直接参与审计活动以外的岗位如管理、营销、质量保证等人员的知识和能力要求;
d)识别培训要求,具有获取必要的技术知识和技能的渠道和制度安排,以确保其人员持续满足所需的资格和能力要求;
e)应建立选择、培训、正式授权和监督信息系统审计师以及技术专家的制度,对信息系统审计师的初始能力评价,应包括现场见证审计师的活动;
f)应确保信息系统审计师和技术专家熟悉审计活动、审计方法、审计工具和其它相关要求;
g)应保存参与信息系统审计活动的每一工作人员的相关资格、培训、经历、社会关系、职业状态和能力的最新记录。
3.2.4 技术能力要求
信息系统审计机构应建设和储备相应的技术条件,以满足信息系统现场审计和非现场审计的需要。信息系统审计机构应:
a)了解信息技术的应用现状和发展趋势,以及新兴信息技术的发展和应用现状;
b)具有较全面的信息系统控制相关领域的专业知识;
c)具有不断的审计和信息系统等相关领域的技术更新能力;
d)掌握影响信息系统安全性、有效性、可靠性等的风险因素,并具备相应的风险评估的能力;
e)具备提出信息系统风险处置建议的能力;
f)具备跟踪、了解、掌握、应用信息系统相关标准的能力,包括国际标准、国家标准、行业标准以及区域组织标准等。
3.2.5 设备、设施与环境要求
信息系统审计机构应具有与其开展审计服务相适应的设备、设施与工作环境,主要包括:
a)具有固定的工作场所,满足工作要求的适宜的工作环境;
b)逐步建设和维护信息系统审计工具库,包括但不限于数据审计、代码审计、流量审计、日志审计、配置审计、常用技术控制措施审计、关键信息基础设施审计等工具;
c)逐步建设信息系统审计实验环境,建设常见被审计信息系统的仿真模拟环境,培养使用工具开展审计的能力。
3.2.6 业绩要求
信息系统审计机构应具有与其申请资质等级相适应的从业经历,主要包括:
a)从业时间;
b)信息系统审计项目数量和规模;
c)联合审计项目参与程度;
d)项目完成结果评价。
3.3 信息系统审计服务过程能力要求
信息系统审计服务过程能力是评价信息系统审计服务专业水平高低的标志。
申请组织应能实施以下9个信息系统审计过程域:
1.编制信息系统审计计划;
2.组建信息系统审计项目组;
3.制定信息系统审计实施方案;
4.组织实施审前调研;
5.准备信息系统审计工具;
6.实施信息系统审计活动;
7.编制和交付信息系统审计报告;
8.结束信息系统审计活动;
9.实施信息系统审计后续活动。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价信息系统审计服务规范性和质量保证成熟度标志。
申请组织应能实施以下6个项目和组织过程域:
1.审计质量保证;
2.审计风险管理;
3.审计活动监控;
4.审计活动的沟通、协调;
5.审计机构和审计人员的职责和责任;
6.审计机构和审计人员职业道德规范要求;
7.提供不断发展的技能和知识。
四、资质认定
4.2 申请阶段
申请组织应首先到CNITSEC网站(http://www.itsec.gov.cn )查看并下载《信息安全服务资质评估准则》、《信息安全服务资质申请指南(信息系统审计类一级)》和《信息安全服务资质申请书(信息系统审计类一级)》,了解资质认定的流程及相关情况,确定本组织满足一级资质的基本资格要求和基本能力要求。
申请组织当决定申请信息安全服务资质(信息系统审计类一级)后,根据《信息安全服务资质申请书(信息系统审计类一级)》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3 资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,资格审查包括对申请单位所提交资料进行的形式化审查以及同申请单位的调查沟通,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将向申请组织发出受理通知书,正式受理该认证申请,并通知相关费用的缴纳事宜等。
4.4 能力测评阶段
当申请组织通过资格审查阶段并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和认证审核四个步骤:
1)静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息系统审计服务能力做出基本判断,初步确定申请组织的信息系统审计服务能力水平状况,为现场审核做准备。如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
2)现场审核
现场审核是对申请组织从事信息系统审计服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
3)综合评定
在综合评定阶段,将依据资格审查的结果、静态评估的结果以及现场审核结论,对申请组织的基本资格、基本能力、灾难恢复服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过认证。逾期未整改的,视作整改不符合。
4)资质认定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息系统审计服务资质进行审查,并最终做出是否通过的决定。
4.5 证书发放阶段
对通过认证决定的申请组织,CNITSEC将发放证书,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及信息系统审计服务过程能力。CNITSEC将通过申诉系统、现场见证以及对信息系统审计服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。
获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交年度调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效到期前90天(建议更早),由获证组织提出维持换证申请(申请流程同首次申请)。CNITSEC将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合信息系统审计服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。
若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://www.itsec.gov.cn )下载并填写信息安全服务资质变更申请书,并提出资质转移申请。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以处罚。处罚方式包括:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证组织的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上,升级,年度确认或者复核换证时,只需补交所要求的相应材料,CNITSEC实行记录累加制度。
(备注:信息安全风险评估类服务资质分为一至五级,因标准条件内容较多,故不此作详细列举;如企业需要,可登录官方网站查询或以邮件方式向我司索取。)
