级别:一级最低,三级最高。
级别 | 一级 | 二级 | 三级 |
基本要求 |
通信网络安全服务能力等级基本要求: 1 法律要求 1) 在中华人民共和国境内注册成立(港澳台地区除外); 2) 由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位(港澳台地区除外); 3) 从事涉密的通信网络安全服务单位必须满足国家保密机关的相关要求; 4) 从事通信网络安全服务工作一年以上且无违法记录; 5) 法人及主要业务、技术人员无犯罪记录 2 组织与管理要求 1) 拥有健全的组织与管理体系,拥有清晰的组织结构图,具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度,并能有效组织实施与考核; 2) 落实保密规章制度,对通信网络安全服务保密,制度中至少规定了:保守安全服务过程中知悉的国家秘密、商业秘密、技术秘密和公民隐私信息,具备严格的控制方法来防范服务过程中产生的泄密风险,不得出售或者非法向其他组织和个人提供在安全检测过程所获信息,具备相应的控制办法; 3) 建立人员管理程序,明确保密岗位与职责,定期对安全服务人员进行安全保密教育与培训,并签订保密责任书,规定应当履行的安全保密义务和承担的法律责任。 3 设备、设施与环境要求 1) 具有固定的办公场所; 2) 具有专门从事通信网络安全服务的相关工具或软件; 3) 具有进行安全服务所必须的实验环境。 4 项目管理要求 1) 具有成文的项目管理制度,并提供项目管理制度有效运行的证据,例如管理制度流程中具有核心流程、支持流程、管理流程等制度体系; 2) 具有对员工进行安全技术、项目管理的培训机制和计划,并有效组织实施与考核的相关记录。 5 质量保证要求 1) 建立并落实质量管理体系,并提供质量保证有效实现的证据; 2) 能够自行评估服务质量的状况,并能对服务质量进行持续改进。 |
通信网络安全服务能力等级基本要求: 1 法律要求 1) 在中华人民共和国境内注册成立(港澳台地区除外); 2) 由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位(港澳台地区除外); 3) 从事涉密的通信网络安全服务单位必须满足国家保密机关的相关要求; 4) 从事通信网络安全服务工作一年以上且无违法记录; 5) 法人及主要业务、技术人员无犯罪记录 2 组织与管理要求 1) 拥有健全的组织与管理体系,拥有清晰的组织结构图,具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度,并能有效组织实施与考核; 2) 落实保密规章制度,对通信网络安全服务保密,制度中至少规定了:保守安全服务过程中知悉的国家秘密、商业秘密、技术秘密和公民隐私信息,具备严格的控制方法来防范服务过程中产生的泄密风险,不得出售或者非法向其他组织和个人提供在安全检测过程所获信息,具备相应的控制办法; 3) 建立人员管理程序,明确保密岗位与职责,定期对安全服务人员进行安全保密教育与培训,并签订保密责任书,规定应当履行的安全保密义务和承担的法律责任。 3 设备、设施与环境要求 1) 具有固定的办公场所; 2) 具有专门从事通信网络安全服务的相关工具或软件; 3) 具有进行安全服务所必须的实验环境。 4 项目管理要求 1) 具有成文的项目管理制度,并提供项目管理制度有效运行的证据,例如管理制度流程中具有核心流程、支持流程、管理流程等制度体系; 2) 具有对员工进行安全技术、项目管理的培训机制和计划,并有效组织实施与考核的相关记录。 5 质量保证要求 1) 建立并落实质量管理体系,并提供质量保证有效实现的证据; 2) 能够自行评估服务质量的状况,并能对服务质量进行持续改进。 |
通信网络安全服务能力等级基本要求: 1 法律要求 1) 在中华人民共和国境内注册成立(港澳台地区除外); 2) 由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位(港澳台地区除外); 3) 从事涉密的通信网络安全服务单位必须满足国家保密机关的相关要求; 4) 从事通信网络安全服务工作一年以上且无违法记录; 5) 法人及主要业务、技术人员无犯罪记录 2 组织与管理要求 1) 拥有健全的组织与管理体系,拥有清晰的组织结构图,具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度,并能有效组织实施与考核; 2) 落实保密规章制度,对通信网络安全服务保密,制度中至少规定了:保守安全服务过程中知悉的国家秘密、商业秘密、技术秘密和公民隐私信息,具备严格的控制方法来防范服务过程中产生的泄密风险,不得出售或者非法向其他组织和个人提供在安全检测过程所获信息,具备相应的控制办法; 3) 建立人员管理程序,明确保密岗位与职责,定期对安全服务人员进行安全保密教育与培训,并签订保密责任书,规定应当履行的安全保密义务和承担的法律责任。 3 设备、设施与环境要求 1) 具有固定的办公场所; 2) 具有专门从事通信网络安全服务的相关工具或软件; 3) 具有进行安全服务所必须的实验环境。 4 项目管理要求 1) 具有成文的项目管理制度,并提供项目管理制度有效运行的证据,例如管理制度流程中具有核心流程、支持流程、管理流程等制度体系; 2) 具有对员工进行安全技术、项目管理的培训机制和计划,并有效组织实施与考核的相关记录。 5 质量保证要求 1) 建立并落实质量管理体系,并提供质量保证有效实现的证据; 2) 能够自行评估服务质量的状况,并能对服务质量进行持续改进。 |
类别要求 |
1.1 资格要求 1) 从事电信网和互联网第三方安全风险评估服务的组织应符合基本要求的所有条款; 2) 进行涉密集成的组织必须获得国家保密部门的能力证书。 1.2 规模与资产 1) 单位正式编制员工应不少于15人; 2) 注册资金应不少于100万元人民币。 1.3 人员构成和素质要求 1) 直接从事风险评估服务的人员不低于8人,大学本科以上学历不少于80%; 2) 从事风险评估的组织内至少应有2名具备2年以上电信网和互联网领域风险评估项目经验的安全工程师。 1.4 业绩要求 1) 单位应具备1年以上的安全行业从业时间; 2) 至少有2个项目中涉及风险评估服务的金额超过10万元人民币; 3) 近3年内至少成功完成2个风险评估项目,且终验通过; 4) 近1年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目。 1.5 组织与管理要求 1)应拥有健全的组织与管理体系; 2)应制定符合国家保密部门要求的保密制度; 3)应落实保密规章制度和执行保密技术标准; 4) 应建立人员管理程序,明确保密岗位与职责,定期对安全服务人员进行安全保密教育与培训,并签订保密责任书,规定应当履行的安全保密义务和承担的法律责任。 1.6 质量保证要求 1) 应建立并落实质量管理体系; 2) 应能够自行评估服务质量的状况,并能对服务质量进行持续改进; 3) 从事风险评估服务的组织应建立相关投诉、应急响应服务机制。 1.7 项目管理要求 1) 应具有成文的项目管理制度,并符合相关项目管理标准; 2) 应具有系统地对员工进行安全技术、项目管理、保密规章制度的培训机制和计划,并能有效组织实施与考核; 3) 应能提供项目管理制度可有效运行的证据。 1.8 技术能力要求 1) 应对电信网和互联网的整体概念有一定了解; 2) 应能够独立完成电信网和互联网网络单元IP层面安全渗透测试; 3) 应具有确定网络的安全需求的能力; 4) 应具有对网络安全系统有效维护的能力。 1.9 服务队伍要求 1) 从事风险评估的队伍中的相关人员应是中国公民; 2) 从事风险评估的队伍内至少应有1名经过电信网和互联网安全防护技术和标准的系统培训的安全工程师; 3) 从事风险评估的队伍内应至少有2名经过国家和相关机构认可、针对安全风险评估服务能力的安全工程师(有相关的能力证书如:CIW、CISP、CISSP、CISA等)。 1.10 设备、设施与环境要求 1) 应具有固定的办公场所; 2) 应具有专门从事电信网和互联网安全风险评估服务的相关工具或软件,如漏洞扫描工具、安全基线核查、网站安全检测工具等。 1.11 服务过程能力要求 从事风险评估的组织应具有以下基本能力: - 评估系统安全威胁的能力; - 评估系统脆弱性的能力; - 评估安全对系统的影响的能力; - 评估系统安全风险的能力; - 确定系统的安全需求的能力; - 确定系统的安全输入的能力; - 进行管理安全控制的能力; - 进行监测系统安全状况的能力; - 进行安全协调的能力; - 进行检测和证实系统安全性的能力; - 进行建立系统安全的保证证据的能力; - 根据风险评估结果进行系统整改的能力。 |
2.1 规模与资产 1) 单位正式编制员工应不少于50人; 2) 注册资金应不少于500万元人民币。 2.2 人员构成和素质要求 1) 直接从事风险评估服务的人员不低于20人,大学本科以上学历不少于80%; 2) 从事风险评估的组织内至少应有5名具备2年以上通信领域风险评估项目经验的安全工程师。 2.3 业绩要求 1) 单位应具备2年以上的安全行业从业时间; 2) 至少有4个项目中涉及风险评估服务的金额超过10万元人民币; 3) 近3年内至少成功完成10个风险评估项目,且终验通过; 4) 近2年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目。 2.4 组织与管理要求 1) 应具有专门从事电信网和互联网安全风险评估服务的部门或团队; 2) 对项目实施过程中获取、保存、传播和销毁与安全事件处理服务有关商业秘密信息等方面作出明确规定; 3) 应具有专门制定和宣贯保密制度的部门或团队。 2.5 质量保证要求 1) 应有专门的部门或人员制定完整的质量体系,并具有健全的制度宣传和培训机制; 2) 质量体系应针对项目开始至项目结束各个环节有比较完善和细致的控制手段。 2.6 项目管理要求 1) 应有专门的部门或人员制定总体的项目管理体系,并具有健全的制度宣传和培训机制; 2) 项目管理体系应针对人和项目有明确的责权利分工,有比较明确和完善的项目过程控制记录; 3) 至少有1名安全服务人员接受过系统的项目管理培训,获得过相关权威机构的认证(如PMP等)。 2.7 技术能力要求 1) 应了解电信网和互联网安全防护系列标准,应对电信网和互联网的整体概念和传统网和非传统网的若干网络单元有一定了解; 2) 应具有国家或行业权威机构对组织能力的认可证明(如国家信息安全服务资质证书、信息安全风险评估资质证书、信息安全应急服务资质证书等); 3) 应具有专门研究电信网和互联网技术和业务的部门或团队; 4) 应依据电信网和互联网安全防护体系系列标准进行安全风险评估服务; 5) 应能够评估电信网和互联网安全风险、脆弱性、管控能力及安全对电信网和互联网的影响力; 6) 应具有确定电信网和互联网的安全需求的能力; 7) 应具有对电信网和互联网安全系统有效维护的能力; 8) 应具备切实可行的应急服务方案。 2.8 服务队伍要求 1) 从事风险评估的队伍内至少应有2名经过电信网和互联网安全防护技术和标准的系统培训安全工程师; 2) 从事风险评估的队伍内应至少有4名经过国家和相关机构认可,针对安全风险评估服务能力的安全工程师(有相关的能力证书如:CIW、CISP、CISSP、CISA等)。 2.9 设备、设施与环境要求 1) 应具有针对网络安全问题研究的实验环境; 2) 应具有成熟的的工具、软件体系。 |
3.1 规模与资产 1) 单位正式编制员工应不少于100人; 2) 注册资金应不少于3000万元人民币。 3.2 人员构成和素质要求 1) 直接从事风险评估服务的人员不低于30人,大学本科以上学历不少于80%; 2) 从事风险评估的组织内至少应有12名具备3年以上通信领域风险评估项目经验的安全工程师。 3.3 业绩要求 1) 单位应具备3年以上的安全行业从业时间; 2) 至少有6个项目中涉及风险评估服务的金额超过10万元人民币; 3) 单位风险评估服务年业绩中电信网和互联网行业比重大于或等于30%; 4) 近3年内至少成功完成20个风险评估项目,且终验通过; 5) 近5年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目。 3.4 组织与管理要求 1) 从事电信网和互联网安全风险评估服务的部门或团队应为单位二级部门; 2) 对项目实施过程中获取、保存、传播和销毁与安全事件处理服务有关商业秘密信息等方面有明确的行之有效的控制手段。 3.5 质量保证要求 1) 应依据ISO 9001质量体系标准制定完善的质量体系; 2) 应依据ISO27001制定完善的信息安全管理体系规范(ISMS)。 3.6 项目管理要求 1) 项目管理制度应对项目立项、审批过程有明晰表述; 2) 项目管理制度应对项目过程有控制方法或有依据标准,应有对过程中发生的项目变更或变化进行管理的手段; 3) 项目管理制度应对项目完成后的审计、验证、考核等内容有管理办法; 4) 应具备项目管理制度落实的证据,可以但不限于电子文档、会议记录、过程管理表格等。 3.7 技术能力要求 1) 深入了解电信网和互联网安全防护系列标准,并参与起草制定国家或行业标准,对电信网和互联网的整体概念和传统网和非传统网的若干网络单元有深入了解; 2) 参与支撑国家或行业重大项目。 3.8 服务队伍要求 1) 从事风险评估的队伍内至少应有5名经过电信网和互联网安全防护技术和标准的系统培训的安全工程师; 2) 从事风险评估服务的队伍内应至少有10名经过国家和相关机构认可,针对安全风险评估服务能力的安全工程师(有相关的能力证书如:CIW、CISP、CISSP、CISA等); 3) 应具有产品研发团队,其中大学本科以上学历人员占90%以上; 4) 具有专业的安全攻防队伍,有能力对各类主流操作系统、主流数据库及为完成特定功能所开发的系统进行黑盒测试,并对代码进行白盒检查。 3.9 设备、设施与环境要求 1) 应具有专业的攻防实验室,支撑国家相关部门; 2) 应具有自主研发的检测工具(硬件或软件),并获得国家相关部门的认可; 3) 安全产品应在国家和行业领域占据领先地位,应获得国家或行业权威认可证明。 |
颁证机构 | 中国通信企业协会通信网络安全专业委员会 | 中国通信企业协会通信网络安全专业委员会 | 中国通信企业协会通信网络安全专业委员会 |
资质说明
随着通信网络的发展和用户规模的不断扩大,针对业务应用的网络恶意行为甚至网络犯罪现象日益突出,面对网络安全问题日益突出的现象,通信运营企业越来越多的与提供网络安全服务的第三方机构进行专业安全合作,而因为网络安全服务必然涉及业务系统的核心单元,第三方介入的同时势必会带来新的安全风险。与此同时,通信运营企业在选择通信网络安全服务时缺乏统一的规范和标准,缺乏甄别第三方网络安全服务能力的客观依据。因此,加强对网络安全服务机构的专业技术水平、服务能力和信用程度的规范和管理,对通信网络安全保障工作具有重要意义。
通信网络安全服务能力评定是指对通信网络安全服务单位从事通信网络安全服务综合能力的评定,包括:技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况等要素。
通信网络安全服务能力评定工作按照《通信网络安全服务能力评定管理办法》的有关规定,依据《通信网络安全服务能力评定准则》对通信网络安全服务单位的综合服务能力进行评定。
常见问题:
1、 开展通信网络安全服务能力评定的目的
答:为提高通信网络安全服务质量,确保服务过程的安全可控性,促进通信网络安全服务行业健康发展,协助政府主管部门加强对通信网络安全服务的指导。
2、 开展通信网络安全服务能力评定的意义
答:通信网络安全服务能力评定可作为电信管理机构把握通信网络安全服务整体情况的参考,可作为电信运营企业选择通信网络安全服务的依据,也可以作为通信网络安全服务提供上改进自身能力的指导。
3、 通信网络安全服务能力评定所依据的标准
答:通信网络安全服务能力评定是依据《通信网络安全防护管理办法》、《电信网和互联网第三方安全服务能力评定准则》YD/T2669-2013。
4、 通信网络安全服务能力评定的适用范围
答:通信网络安全服务能力评定适用于中华人民共和国境内的通信网络安全服务单位。
5、 通信网络安全服务概述
答:通信网络安全服务能力评定中的通信网络包括电信网和互联网,所涉及的安全服务是指为了适应通信网络安全管理的需要,运用科学的方法和手段,通过有效的措施来保障通信网络的正常运行,为企业提供全面或部分安全评估、设计与集成的服务,包含从安全体系到具体的技术解决措施。
6、 目前已开展了哪几类通信网络安全服务能力评定
答:通信网络安全服务能力评定为两个类型:风险评估、安全设计与集成、安全培训、应急响应服务。