一、 认定依据
信息安全服务(安全开发类)资质认定是对信息安全开发服务提供者的资格状况、技术实力和安全开发过程能力等方面的具体衡量和评价。
信息安全服务(安全开发类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(安全开发类)具体要求,在对申请组织的基本资格、技术实力、信息安全开发能力以及安全开发项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、 级别划分
信息安全服务(安全开发类)资质认定是对信息安全开发服务提供者的综合实力的客观评价和确认,信息安全服务(安全开发类)资质级别反映了信息安全开发服务提供者从事信息安全开发保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全开发过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级
二级:计划跟踪级
三级:充分定义级
四级:量化控制级
五级:持续改进级
三、 一级资质要求
申请信息安全服务(安全开发类一级)资质的组织需要在基本资格和基本能力、安全开发过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(安全开发类一级)》的规定。
3.1 基本资格要求
申请信息安全服务(安全开发类一级)资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求
3.2.1 组织与管理要求
1. 必须拥有健全的组织和管理体系,为持续的信息安全开发服务提供保障;
2. 必须具有专业从事信息安全开发的队伍和相应的质量保证;
3. 必须具有比较完善的安全管理机制,保证开发的产品安全;
4. 与安全开发服务相关的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求
1. 了解信息技术的最新动向,有能力掌握信息系统的最新技术;
2. 具有不断的技术更新能力;
3. 具有对信息系统和信息技术产品面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
4. 具有对用户信息系统和信息技术产品安全风险的分析和处理能力;
5. 具有对开发的产品进行安全检测和验证的能力;
6. 具有对信息技术产品安全进行有效维护的能力;
7. 有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
3.2.3 人员构成与素质要求
1. 具有充足的人力资源和合理的人员结构;
2. 所有与信息安全开发有关人员应具有基本的信息安全知识;
3. 有相对稳定的从事信息安全开发的技术队伍;
4. 技术骨干人员应系统地掌握信息安全基础理论和核心技术,并有足够的专业工作经验;
5. 必须有2名以上(含2名)专职的注册信息安全专业人员CISP(CISE或CISO或CISD)。
3.2.4 设备、设施与环境要求
1. 具有固定的工作场所和良好的工作环境;
2. 具有先进的开发、生产和测试设备与工具;
3.2.5 规模与资产要求
1. 有足够的注册资金和充足的流动资金;
2. 具有与所申请安全服务业务范围、承担的安全开发规模相适应的服务体系;
3. 有足够的人员从事与信息安全开发相关的活动。
3.2.6 业绩要求
1. 应有从事信息安全开发的经验;
2. 近3年内在信息安全开发方面,没有出现验收未通过的情况。
3.3 安全开发过程能力要求
安全开发过程能力是评价信息安全开发专业水平高低的标志。
申请组织应能实施以下9个安全开发过程域:
1. 安全意识和安全教育;
2. 启动安全开发过程;
3. 产品风险评估和分析;
4. 定义安全设计原则;
5. 提供安全文档和安全配置工具;
6. 进行安全编码;
7. 进行安全测试;
8. 安全最终评审与产品发布;
9. 安全响应服务。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价信息安全开发过程规范性和质量保证成熟度标志。
申请组织应能实施以下7个项目和组织过程域:
1. 质量保证;
2. 管理配置;
3. 管理项目风险;
4. 规划技术活动;
5. 监控技术活动;
6. 提供不断发展的技能和知识;
7. 与供应商协调。
四、 资质认定
4.1认定流程图4.2申请阶段
申请组织应首先到CNITSEC网站查看并下载《信息安全服务资质评估准则》、《信息安全服务资质申请指南(安全开发类一级)》和《信息安全服务资质申请书(安全开发类一级)》及有关附件,认真阅读上述文档,了解资质认定的流程及相关情况,确定本组织满足一级资质的基本资格要求和基本能力要求。
申请组织当决定申请信息安全服务资质后,根据《信息安全服务资质申请书(安全开发类一级)》的要求填写申请书、加盖公章并装订后,将申请书及所要求的相关资料刻光盘,将纸版、电子版资料一起提交给CNITSEC。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段
CNITSEC接到正式申请书及相关资料后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将与申请组织签订合同,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段
当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。能力测评阶段包括静态评估、现场审核、综合汇总和专家评审四个步骤。
4.4.1静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全服务能力做出基本判断,初步确定申请组织的信息安全服务能力水平状况,为现场审核做准备。如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
4.4.2现场审核
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。现场审核是对申请组织从事信息安全服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认,并采集证据。
对第一次申请的组织,应当进行现场审核工作,申请升级或维持二级以上资质的组织,视同第一次申请;
对第二次及以上申请维持证书的组织,如近三年来整体情况稳定,人员和业务未发生重大变化,财务状况良好且业务正常开展的,不再进行现场审核工作,直接由专家评审会评审;对发生较大变化的申请维持证书的组织,北京申请组织应当要求派人至中心进行审核,外地的申请企业参照第一次申请办理。
4.4.3综合汇总
依据静态评估和现场审核结果,现场审核组应对申请组织的基本资格、基本能力、信息安全服务能力以及资质所要求的其他内容进行汇总后,出具审核情况汇总报告,作为专家评审的依据。现场审核组若发现需整改的不符合项,应在报告中标记后交专家评审组评议。
4.4.4专家评审
完成前期审核综合汇总后,中心原则上按每月一次的频率组织专家评审会,对申请组织的信息安全服务资质是否通过进行最终评审。专家评审组由服务资质评审专家库中随机抽取的至少5名专家组成。由现场审核组相关人员向专家组介绍相关情况,由评审专家根据审核情况汇总报告、审核过程证据及记录情况,分别作出评审意见,并按照少数服从多数的原则得出是否通过的最终决定。
4.5证书发放阶段
资质通过专家评审,准予发证后,制证人员将进行资质证书的制作、审批和发放,并在网站、报刊杂志(中国信息安全)、公众号(国家信息安全服务资质)等媒体上予以公告。
五、 监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全服务能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。特别是未进行现场审核的维持企业,在有效期内要保证至少一次的监督频次。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。建议在证书有效期届满前6个月,由获证组织提出维持换证申请。审核人员将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合信息安全服务能力要求的持续性。获证组织获证后,可根据自身能力的提升情况,向中心申请更高级别资质。
若获证组织相关资料变动时,须及时通知中心,并申请更改。审核人员会及时进行资料确认,并进行数据更新。
若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站下载并填写信息安全服务资质变更申请书,并提出资质转移申请。
六、 处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、 争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证组织的申诉/投诉记录。
八、 获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存6年以上。
九、 费用及周期
1. 首次获得一级资质证书费用:
23000(审核费用)+15000(三年年金)=38000元
2. 维持一级资质证书费用:
20000(审核费用)+15000(三年年金)=35000元
3. 差旅费用:
对于审核地点不在北京的申请组织,将根据路程、时间等具体情况统一收取差旅费用(包含审核组的交通、住宿等相关费用),具体以《信息安全服务资质测评委托协议》为准。
4. 从受理到颁发证书的周期为三个月,但由于申请方原因(如资料补充需要的时间等)造成的时间延误不计算在内。
原创文章,作者:ISXHZY,如若转载,请注明出处:https://www.beidanyezhu.com/a/2573.html
