级别:三级最低,一级最高。
级别 | 三级 | 二级 | 一级 |
基本要求 |
三级基本要求 1.1. 法律地位要求 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。 1.2. 财务资信要求 近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事 务所出具的近 3 年财务审计报告。 1.3. 办公场所要求 拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。 1.4. 人员素质与资质要求 a) 组织负责人拥有2年以上信息技术领域管理经历。 b) 技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信 息安全技术工作2年以上。 c) 财务负责人具有财务系列初级以上职称。 d) 从事信息安全服务人员10名以上。 e) 拥有信息安全专业认证(与申报类别一致)人员2名以上。 f) 拥有项目管理资格证书人员1名以上。 1.5. 业绩要求 a) 从事信息安全服务(与申报类别一致)1年以上。 b) 近3年内签订并完成至少1个信息安全服务(与申报类别一致)项目。 1.6. 服务管理要求 a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。 b) 建立人员管理程序和能力考核指标;制定业务和技能培训计划,定期对相关人员开展培训 和考核。 c) 建立文档控制程序,明确文档管理职责,任命管理人员,确保项目文档资料妥善保管。 d) 建立项目管理制度,并按照制度执行。 e) 提供资源,确保信息安全服务项目的实施。 1.7. 服务合同要求 a) 了解客户及所处的行业对信息安全服务的特定要求。 b) 确定信息安全服务范围。 c) 应签订信息安全服务合同或协议。 1.8. 服务安全要求 a) 满足法律法规对服务安全的要求。 b) 满足与客户签订服务合同中的安全要求。 c) 制定保密管理制度,明确岗位保密责任。 d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员 了解客户的相关要求。 e) 与相关人员签订保密协议,并进行保密教育。 f) 确保其供应商满足上述服务安全要求。 1.9. 服务技术要求 a) 建立信息安全服务(与申报类别一致)流程。 b) 制定信息安全服务(与申报类别一致)规范并按照规范实施。 |
二级基本要求 2.1. 法律地位要求 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。 2.2. 财务资信要求 近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近 3 年财务审计报告。 2.3. 办公场所要求 拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。 2.4. 人员素质与资质要求 a) 组织负责人拥有3年以上信息技术领域管理经历。 b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信息安全技术工作5年以上。 c) 财务负责人具有财务系列中级以上职称。 d) 从事信息安全服务人员30名以上。 e) 拥有信息安全专业认证(与申报类别一致)人员6名以上。 f) 拥有项目管理资格证书人员2名以上。 2.5. 技术工具要求 a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。 b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版 本控制。 2.6. 业绩要求 a) 从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)三级资质1年以上。 b) 近三年内签订并完成至少6个信息安全服务项目(与申报类别一致)。 2.7. 服务管理要求 a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。 b) 建立项目管理制度,并按照制度执行。 c) 参照国际或国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并有效运行。 d) 参照国际或国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并有效运行。 e) 提供资源,确保信息安全服务项目的实施。 2.8. 服务合同要求 a) 了解客户及所处的行业对信息安全服务的特定要求。 b) 确定信息安全服务范围。 c) 应签订信息安全服务合同或协议。 d) 合同应明确信息安全服务的行为规范。 2.9. 服务安全要求 a) 满足法律法规对服务安全的要求。 b) 满足与客户签订服务合同中的安全要求。 c) 制定保密管理制度,明确岗位保密责任。 d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。 e) 与相关人员签订保密协议,并进行保密教育。 f) 确保其供应商满足上述服务安全要求。 2.10. 服务技术要求 a) 建立信息安全服务(与申报类别一致)流程。 b) 制定信息安全服务(与申报类别一致)规范并按照规范实施。 |
一级基本要求 1.1. 申请条件 取得信息安全服务(与申报类别一致)二级资质 1 年以上。(行业领头企业除外) 1.2. 法律地位要求 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。 1.3. 财务资信要求 近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事 务所出具的近 3 年财务审计报告。 1.4. 办公场所要求 拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。 1.5. 人员素质与资质要求 a) 组织负责人拥有4年以上信息技术领域管理经历。 b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称,且从事信息安全技术工作8年以上。 c) 财务负责人拥有财务系列高级职称,或取得中级职称8年以上。 d) 从事信息安全技术服务人员50名以上。 e) 拥有信息安全专业认证人员(与申报类别一致)10名以上。 f) 拥有项目管理资格证书人员5名以上。 1.6. 技术工具要求 a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。 b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,如漏洞扫描工具、渗透测试工具、协议分析仪等。 1.7. 业绩要求 a) 从事信息安全服务(与申报类别一致)5年以上。 b) 近三年内至少签订并完成10个信息安全服务项目(与申报类别一致)。 1.8. 服务管理要求 a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。 b) 建立项目管理制度,并按照制度执行。 c) 参照国际、国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并提供有效运行的相关证明。 d) 参照国际、国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并提供有效运行的相关证明。 e) 提供足够资源,确保信息安全服务项目的实施。 1.9. 服务合同要求 a) 了解客户及所处的行业对信息安全服务的特定要求。 b) 确定信息安全服务范围。 c) 应签订信息安全服务合同或协议。 d) 合同应明确信息安全服务的行为规范。 e) 合同应明确信息安全服务的安全要求。 1.10. 服务安全要求 a) 满足法律法规对服务安全的要求。 b) 满足与客户签订服务合同中的安全要求。 c) 制定保密管理制度,明确岗位保密责任。 d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。 e) 与相关人员签订保密协议,并进行保密教育。 f) 确保其供应商满足上述服务安全要求。 1.11. 服务技术要求 a) 建立信息安全服务(与申报类别一致)流程。 b) 制定信息安全服务(与申报类别一致)规范,并按照规范实施. |
类别要求 |
信息系统灾难备份与恢复服务分为两类,即提供灾难备份与恢复资源服务为资源服务类(A类),提供灾难备份与恢复系统设计、实施为技术服务类(B类),其专业评价要求分别如下: D1资源服务类(A类)要求 D1.1 三级要求 D1.1.1灾备中心场地资源要求 a) 拥有至少1个可用于灾备中心的场地,位置避免处于地质沉降地带,交通便利、抗震等级按照国家规定的该地区抗震设防烈度执行,抗震设防类别为丙类及以上。 b) 用于和可用于灾备中心IT运行区的高架地板面积不少于1000平米。 c) 机房设置7×24小时门禁系统,所有进入机房的外部人员均需获得授权。 d) 提供7×24小时闭路电视监控,其中公共区域的监控数据保留1个月以上,机房区域的监控数据保留2个月以上。 e) 具备较高灵敏度的烟雾探测系统和消防系统,可实现分区灭火和定点报警。 f) 灾备中心建筑耐火等级达到二级及以上。 D1.1.2灾备中心基础设施要求 a) 拥有灾备中心基础保障设施,包括但不限于供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等,并定期检查。 b) 拥有灾备中心基础配套设施,包括但不限于灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等。 c) 拥有灾备中心基础生活设施,包括但不限于日常运维人员生活所需宿舍、食堂、活动室等。 d) 拥有灾备中心运行所需工作环境,包括但不限于计算机机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等。 e) 具备单路高压供电和独立UPS 不间断电源保障。 f) 采用精密空调系统,并具备恒温恒湿要求。 D1.1.3灾备中心运维管理要求 a) 拥有灾备中心运维组织架构和运行管理团队,建立灾备中心机房运行管理和信息安全管理制度,并有效运行。 b) 建立灾备中心信息系统运行监控平台,及时发现灾备系统运行的故障并进行故障定位、诊断和审计,保存相关记录。 c) 建立信息系统灾难恢复指挥系统,保障灾难恢复效率。 d) 建立灾备中心与生产中心统一变更流程。 e) 定期开展数据验证工作,确保生产与灾备的数据一致性、完整性和可用性。 ************************ D2技术服务类(B类)要求 D2.1 三级要求 D2.1.1方案设计要求 a) 开展灾难恢复系统建设需求调研,并进行需求分析。 b) 按照灾难恢复规划和客户的投入能力,制定灾难备份与恢复系统技术方案、实施方案。 D2.1.2系统建设与管理要求 a) 依据灾难备份与恢复实施方案,实施灾难备份与恢复系统建设。 b) 妥善保存灾难备份与恢复系统建设过程记录文档。 D2.1.3预案制定与演练要求 a) 制定信息系统灾难恢复预案。 b) 开展信息系统灾难恢复桌面推演,并详细记录。 c) 结合项目需要,组织开展灾难恢复预案培训。 |
D1.2 二级要求 组织申报二级资质,除满足三级要求外,还应满足以下要求: D1.2.1灾备中心场地资源要求 a) 拥有至少2个在不同地域的可用于灾备中心的场地资源,抗震设防烈度按照国家规定的该地区抗震设防烈度执行,抗震设防类别为乙类及以上。 b) 用于和可用于灾备中心IT运行区的高架地板面积不少于2000平米。 c) 灾备中心建设等级满足国标A级或国际T3以上机房要求。 d) 具备气体灭火的消防系统,并具备早期报警系统/温感和烟感系统两级报警。 D1.2.2灾备中心基础设施要求 a) 建立并运行基础设施日常巡检、监控、检查、维护、性能和容量管理、系统优化、应急与故障演练制度和流程。 b) 具备双路高压供电和双路UPS供电,拥有后备发电机组,并能在UPS后备时间内提供电力供应,满足全部负荷连续运行48小时以上。 c) 采用精密空调系统,机房温度应达到 22°C±2°C,湿度应达到45%-65%。 D1.2.3灾备中心运维管理要求 a) 灾备中心建立与生产中心统一的运维管理流程,实现两个中心联动运维。 b) 灾备中心建立完整的电子化IT资产管理系统,能动态跟踪灾备中心IT资产变更。 c) 灾备中心提供统一的客户服务平台,集中受理客户服务请求。 d) 妥善保管运维记录,所有文档应满足客户监管机构要求。 e) 定期开展灾难恢复模拟切换演练工作,确保发生灾难时,灾备系统能够接替生产系统运行。 **************************** D2.2 二级要求 组织申报二级资质,除满足三级要求外,还应满足以下要求: D2.2.1方案设计要求 a) 按照不同灾难恢复等级对资源的要求,确定灾备中心基础设施、数据备份系统、备用数据处理系统和备用网络系统等方面的需求,形成调研报告。 b) 对业务系统中断后的损失进行分析,制定业务系统的最大可容忍业务中断时间(RTO)、最大可容忍中断时间点(RPO)。 c) 依据系统建设要求和技术方案,制定系统测试方案。 D2.2.2系统建设与管理要求 a) 依据测试方案,组织实施系统测试,并详细记录。 b) 制定灾难备份与恢复系统试运行方案,并详细试运行过程情况。 D2.2.3预案制定与演练要求 a) 制定系统演练方案,明确演练范围、人员、场景、步骤等内容。 b) 组织演练培训和动员,明确参演人员角色、职责和具体任务。 c) 设计多种演练场景并组织推演,详细记录演练过程。 |
D1.3一级要求 组织申报一级资质,除满足二级要求外,还应满足以下要求: D1.3.1灾备中心场地资源要求 a) 拥有至少2个在不同地域且处于不同的风险区域的灾备中心,满足异地灾备场地要求。 b) 用于灾备中心的场地应自有产权,或者签署有剩余期限不少于5年的长期租赁合同。 c) 用于和可用于灾备中心IT运行区的高架地板面积不低于5000平米。 d) 灾备中心应符合环保要求,采用高效新风换气系统,机房内正压,确保机房洁净度。 e) 至少采用园区保安、机房门卫、前台三重审核的外部保安措施。 f) 灾备中心的所有通道、机房内均设置 CCTV 摄像头和7X24小时监控,并且可以按照客户的要求提供更长的保存期限。 g) 灾备中心建筑耐火等级达到一级。 D1.3.2灾备中心基础设施要求 a) 高压电来自两个独立的变电站的双路设计。 b) 后备发电机组具有不停机补充燃料的能力,并且与燃料供应商签署燃料协议,保障燃料数量和质量要求,UPS和油机可自动切换。 D1.3.3灾备中心运维管理要求 a) 采用运维监控和流程管理工具,实现对多数据中心资源的统一监控和自动化管理。 b) 针对特定的灾难场景进行灾难恢复真实切换演练,并能接替生产完成至少2个小时的真实交易,并能在规定时间内进行回切。 c) 具备真实切换演练的方案设计、培训、实施管理和应急处置能力。 d) 定期维护灾难恢复预案,及时更新和分发预案文档,确保预案体系持续有效。 e) 建立灾备中心应急管理体系,确保灾备系统稳定运行。 **************************** D2.3一级要求 组织申报一级资质,除满足二级要求外,还应满足以下要求: D2.3.1方案设计要求 a) 识别客户的信息资产及其脆弱性和威胁,对基础设施和信息系统进行风险评估,制定本地风险控制策略和灾难恢复策略。 b) 分析业务系统与应用系统之间的关联关系,确定应用系统灾难恢复指标和恢复优先级别。 D2.3.2系统建设与管理要求 a) 建立系统运行维护管理制度,实时监控灾难备份中心运行状况,及时响应和处理异常情况,分析异常产生的原因,并依据流程升级和上报。 b) 建立存储介质和数据管理制度,规范数据传输和复制过程,定期检查和验证存储介质和数据。 D2.3.3预案制定与演练要求 a) 制定信息系统灾难恢复预案体系,包括应急预案和恢复预案。 b) 基于特定的演练场景,制定详细的切换演练方案。 c) 组织完成真实切换演练前的桌面推演和模拟测试工作。 d) 详细记录演练过程并进行总结,及时修订应急和恢复预案体系。 |
颁证机构 | 中国信息安全认证中心 | 中国信息安全认证中心 | 中国信息安全认证中心 |
客户案例 | 成都思瑞奇信息产业有限公司 | 北京百卓网络技术有限公司 |
信息系统灾难备份与恢复服务是将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计和提供的活动。
信息系统灾难备份与恢复服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。