二级基本要求
2.1. 法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
2.2. 财务资信要求
近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近 3 年财务审计报告。
2.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
2.4. 人员素质与资质要求
a) 组织负责人拥有3年以上信息技术领域管理经历。
b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信息安全技术工作5年以上。
c) 财务负责人具有财务系列中级以上职称。
d) 从事信息安全服务人员30名以上。
e) 拥有信息安全专业认证(与申报类别一致)人员6名以上。
f) 拥有项目管理资格证书人员2名以上。
2.5. 技术工具要求
a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版
本控制。
2.6. 业绩要求
a) 从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)三级资质1年以上。
b) 近三年内签订并完成至少6个信息安全服务项目(与申报类别一致)。
2.7. 服务管理要求
a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
b) 建立项目管理制度,并按照制度执行。
c) 参照国际或国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并有效运行。
d) 参照国际或国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并有效运行。
e) 提供资源,确保信息安全服务项目的实施。
2.8. 服务合同要求
a) 了解客户及所处的行业对信息安全服务的特定要求。
b) 确定信息安全服务范围。
c) 应签订信息安全服务合同或协议。
d) 合同应明确信息安全服务的行为规范。
2.9. 服务安全要求
a) 满足法律法规对服务安全的要求。
b) 满足与客户签订服务合同中的安全要求。
c) 制定保密管理制度,明确岗位保密责任。
d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
e) 与相关人员签订保密协议,并进行保密教育。
f) 确保其供应商满足上述服务安全要求。
2.10. 服务技术要求
a) 建立信息安全服务(与申报类别一致)流程。
b) 制定信息安全服务(与申报类别一致)规范并按照规范实施。
F2 二级要求
组织申报二级资质,除满足三级资质的所有条件外,还需满足以下要求。
F2.1运维服务准备阶段
F2.1.1需求调研与分析
a) 根据评估目标和范围,对安全运维对象中包含的信息系统,组织的资产进行分类。
b) 识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
c) 分析客户对信息系统安全服务的需求和类型。
d) 收集与分析信息系统的可用性指标,明确可用性指标的类型。
e) 分析以往服务的数据,提取出来未来可自动化的服务。
F2.1.2运维服务设计
a) 对信息安全事件进行统计与分析;
b) 编写安全运维服务目录,包括但不限于:运维监控与分析、终端安全监控、合规性运维。
c) 建立信息系统安全运维的问题管理程序。
d) 建立知识管理程序及初步形成知识库。
e) 编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
f) 形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
F2.1.3运维服务导入
采用流程化管理方法,基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化的信息系统安全运维工作。
F2.1.4明确服务协议特殊要求
a) 建立信息系统安全主动管理机制;
b) 签订信息系统安全运维服务级别协议,承诺信息系统核心指标。
c) 建立问题管理程序。
d) 建立信息系统安全的配置库及关联关系信息。
F2.2运维服务实施阶段
a) 实施运维监控与分析并形成记录。
b) 进行合规性运维。
F2.3运维监视评审阶段
F2.3.1内审
按照计划的时间间隔执行内部审核,满足既定标准要求、安全运维服务需求和客户所提出的SMS要求,并有效实施和维护。
F2.3.2管理评审
a) 定期回顾安全运维服务,确保其持续适用和有效。
b) 管理评审输入至少包括但不限于:客户反馈、服务和流程的执行情况和符合性、当前和预测资源水平、纠正措施的进展情况、可能影响安全运维服务的变更、改进机会。
F2.4运维持续改进阶段
a) 改进机会应划分优先级,策划被批准的改进机会。
b) 改进活动应进行管理,包括但不限于:设定改进目标、确保批准的改进活动被实施、报告被实施的改进计划。
|
