免费咨询热线:18206123702
级别:一级最低,五级最高,目前最高申请二级。
| 级别 | 一级 | 二级 | 三级 |
| 基本要求 |
基本资格要求是评定信息安全灾难恢复服务资质的起评条件,申请信息安全灾难恢复服务资质(一级)的组织必须满足以下基本资格要求: 1.是具有独立法人地位的实体; 2.具有工商行政管理部门发给的合法营业执照; 3.遵守国家现行法律法规。 |
申请信息安全服务(灾难恢复类二级)资质的组织必须: 1.是具有独立法人地位的实体; 2.获得相关主管部门的批准; 3.遵守国家现行法律法规; 4.已获信息安全服务(灾难恢复类一级)资质,且资质证书在有效期内; 5.达到其他补充要求。 |
暂无! |
| 类别要求 |
一、基本能力要求 基本能力要求包括:组织与管理要求,技术能力要求,设备、人员构成与素质要求,设施与环境要求,规模和资产要求,业绩要求和其他要求。 1.1.组织与管理要求 1.必须拥有健全的组织机构和管理体系,为持续的信息安全灾难恢复服务提供保证; 2.必须具有专业从事信息安全灾难恢复服务的队伍和相应的质保体系; 3.从事信息安全灾难恢复服务的所有成员要签订保密合同,并遵守有关法律法规。 1.2.技术能力要求 1.了解信息安全技术的最新动向,有能力掌握信息系统领域的最新技术; 2.具有不断的技术更新能力; 3.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力; 4.能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度; 5.具有对发生的突发性灾难事件进行分析和解决的能力; 6.具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力; 7.具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力; 8.具有对集成的信息系统进行检测和验证的能力; 9.有能力对信息系统系统进行有效的维护; 10.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。 1.3.人员构成与素质要求 1.具有充足的人力资源和合理的人员结构; 2.所有与信息安全灾难恢复服务有关的管理和销售人员应具有基本的信息安全知识; 3.有相对稳定的从事信息安全灾难恢复服务的专业技术队伍,专业队伍人员应系统地掌握信息安全灾难恢复及信息安全灾难恢复基础理论和核心技术,并有足够的专业工作经验; 4.从事信息安全灾难恢复服务的管理、销售和技术的专业人员中,拥有CNITSEC专业资质证书的人员不少于总人数的10%,其中必须至少有2名具有CISP-DRP资质的人员,4名具有CISM-DRP资质的人员。 1.4.设备、设施与环境要求 1.具有固定的工作场所和良好的工作环境; 2.具有先进的开发、测试或模拟环境; 3.具有先进的开发、生产和测试设备; 4.具有实施相关服务必需的开发、生产和测试工具。 1.5.规模与资产要求 1.有足够的注册资金和充足的流动资金,其中注册资产应在100万元以上,流动资金占注册资产的20%以上; 2.近3年的财务状况良好,提供相应证明; 3.申请信息安全灾难恢复服务的组织应具有与所申请灾难恢复服务业务范围、承担的灾难恢复服务规模相适应的服务体系; 4.有足够的人员从事直接与信息安全灾难恢复服务相关的活动。 1.6.业绩要求 1.从事信息安全服务3年以上; 2.近3年完成的信息安全灾难恢复服务的项目总值应在100万以上; 3.近3年内在信息安全灾难恢复服务方面,没有出现验收未通过的项目。 二、灾难恢复服务过程能力 灾难恢复过程能力包括: 1.灾难恢复需求确定的能力; 2.灾难恢复策略制定的能力; 3.灾难恢复资源获取方式确定的能力; 4.灾难恢复资源要求确定的能力; 5.灾难备份系统技术方案实现的能力; 6.灾难备份中心选择和建设的能力; 7.技术支持实现的能力; 8.运行维护管理的能力; 9.灾难恢复预案制定的能力; 10.灾难预案的教育、培训和演练的能力; 11.灾难恢复预案管理的能力。 项目和组织过程能力包括: 1.实现质量保证的能力; 2.实现配置管理的能力; 3.管理项目风险的能力; 4.监控技术活动的能力; 5.规划技术活动的能力; 6.管理系统工程支持环境的能力; 7.提供不短发展的技能和知识的能力; 8.与供应商协调的能力。 |
一、基本能力要求 基本能力的要求包括:技术能力要求,资源配置要求(包括人员构成与素质要求、设备、设施与环境要求),规模与资产要求和业绩要求。 申请信息安全服务(灾难恢复类二级)资质的组织应该: 1.从事信息安全服务行业3年以上; 2.注册资本应在1000万元以上,资产总额在2000万元以上; 3.近3年的财务状况良好; 4.从事信息安全服务的人力资源充足、人员结构合理、技术队伍相对稳定,拥有专职的注册信息安全专业人员(CISP-DRP)数量不少于从事灾难恢复服务专业技术人员的10%,但不得少于8人; 5.实践过完整的灾难恢复过程; 6.已完成信息安全灾难恢复服务项目总值应在2000万元以上; 7.拥有提供灾难恢复系统进行灾难备份的数据中心; 8.应至少实施过一个达到GB/T 20988《信息系统灾难恢复规范》三级以上要求的灾难恢复系统建设项目。 二、 质量管理要求 申请信息安全服务(灾难恢复类二级)资质的组织,在质量管理方面应该: 1.建立合理的组织架构来满足信息安全灾难恢复服务的实施和管理,灾难恢复服务技术部门相对独立; 2.建立合理的管理架构来满足信息安全服务的管理,建立有效的技术管理、质量管理和组织管理机制; 3.建立有效的质量管理体系,至少满足支持信息安全灾难恢复技术能力达到规划化所需的相关管理能力要求。 三、灾难恢复过程能力要求 灾难恢复过程能力方面的要求是灾难恢复服务资质的核心要求。 申请信息安全服务(灾难恢复类二级)资质的组织应该: 1.在按照一级所要求的各个过程域最佳实践的基础上将实践上升为理论,形成规范性文档用于指导灾难恢复服务过程,并有计划、规范化地实施; 2.验证灾难恢复实施过程与规范的一致性; 3.通过对计划实施过程的跟踪,发现实施过程与计划产生重大偏离时能采取纠正措施。 |
暂无! |
| 颁证机构 | 中国信息安全测评中心 | 中国信息安全测评中心 | 中国信息安全测评中心 |
产品介绍
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。
信息安全服务资质认定是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据
信息安全服务(灾难恢复类)资质认定是对信息安全工程服务提供者的综合实力的客观评价和确认,信息安全服务(灾难恢复类)资质级别反映了信息安全工程服务提供者从事灾难恢复服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、灾难恢复过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级
二级:计划跟踪级
三级:充分定义级
四级:量化控制级
五级:持续改进级
常见问题:
1.申请信息安全服务资质的周期?
从签订《信息安全服务资质测评委托协议》至信息安全服务资质证书颁发,周期为三个月。周期时间不包含由于申请单位原因(如,资料补充、商务流程延误或申请方无法按照约定时间进行现场评审等)造成的延期。
2.信息安全服务资质证书的有效期?
信息安全服务资质证书的有效期为三年。
3.申请单位未获取CISP资格证书,能否进行信息安全服务资质申请?
申请单位拥有注册信息安全专业人员是申请信息安全服务资质的基本条件,必须满足。但申请单位可以在进行CISP培训的同时申请服务资质。
4.申请信息安全服务资质的企业应具备哪些基本资格?
具备独立法人资格,能够对外独立承担民事责任(分公司不能够独立申请)。
经营范围涵盖信息安全。
5.申请书如何准备?
明确资质申请是企业整体行为,不是某一个部门或某一个岗位能够独立完成。对应不同的填写内容,尽量落实到不同的职责部门填写。
| 资质申请评估要求 | 企业配合填写的职能部门 |
| 基本资格能力 | 行政、人事、财务、商务等 |
| 项目和组织管理能力 | 质量管理、项目管理、采购等 |
| 服务资质技术过程能力 | 技术、项目管理等 |
6.怎样办理维持换证申请?
证书到期前三个月提交申请。
维持申请流程与首次申请流程一致。
7.资质的维持申请能否延用首次申请资料?
不能。应提供公司的最新状况信息,并以近三年的项目资料作为申请书的过程证据。
