国家信息安全测评
信息安全服务资质申请指南
(安全工程类一级)
?版权2008—中国信息安全测评中心
2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
目录
一、 认定依据 ................................................................................................................................ 4 二、 级别划分 ................................................................................................................................ 4 三、 一级资质要求 ........................................................................................................................ 4
3.1 基本资格要求 ................................................................................................................... 5 3.2 基本能力要求 ................................................................................................................... 5
3.2.1 组织与管理要求 ..................................................................................................... 5 3.2.2 技术能力要求 ......................................................................................................... 5 3.2.3 人员构成与素质要求 ............................................................................................. 6 3.2.4 设备、设施与环境要求 ......................................................................................... 6 3.2.5 规模与资产要求 ..................................................................................................... 6 3.2.6 业绩要求 ................................................................................................................. 6 3.3 安全工程过程能力要求 ................................................................................................... 7 3.4 项目和组织过程能力要求 ............................................................................................... 7 四、 资质认定 ................................................................................................................................ 8
4.1认定流程图 ........................................................................................................................ 8 4.2申请阶段 ............................................................................................................................. 9 4.3资格审查阶段 ..................................................................................................................... 9 4.4能力测评阶段 ..................................................................................................................... 9
4.4.1静态评估 .................................................................................................................. 9 4.4.2现场审核 ................................................................................................................ 10 4.4.3综合评定 ................................................................................................................ 10 4.4.4资质审定 ................................................................................................................ 10 4.5证书发放阶段 ................................................................................................................... 10 五、 监督、维持和升级 .............................................................................................................. 11 六、 处置 ...................................................................................................................................... 11 七、 争议、投诉与申诉 .............................................................................................................. 11 八、 获证组织档案 ...................................................................................................................... 12 九、 费用及周期 .......................................................................................................................... 12
发布日期:2008年8月1日 第2页 共12页
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
引言
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。 中国信息安全测评中心的主要职能是:
1. 为信息技术安全性提供测评服务; 2. 信息安全漏洞分析; 3. 信息安全风险评估;
4. 信息技术产品、信息系统和工程安全测试与评估; 5. 信息安全服务和信息安全人员资质测评; 6. 信息安全技术咨询、工程监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC提出信息安全工程服务一级资质申请的境内外组织。
发布日期:2008年8月1日 第3页 共12页