专业·服务·至诚

服务分类
  • 信息技术服务标准ITSS
    咨询设计
    运行维护
    一级
    二级
    三级
    四级
    数据中心
    一级
    二级
    三级
    四级
    五级
    云服务
    一级
    二级
    三级
    四级
  • 信息安全服务资质CCRC
    安全集成服务资质
    一级
    二级
    三级
    安全运维服务资质
    一级
    二级
    三级
    风险评估服务资质
    一级
    二级
    三级
    应急处理服务资质
    一级
    二级
    三级
    软件安全开发服务资质
    一级
    二级
    三级
    灾难备份与恢复服务资质
    一级
    二级
    三级
    工业控制安全服务资质
    一级
    二级
    三级
    网络安全审计服务资质
    一级
    二级
    三级
  • 信息化能力和信用评价
    ICSCE一级
    ICSCE二级
    ICSCE三级
    ICSCE四级
  • 信息系统建设和服务能力
    CS1级
    CS2级
    CS3级
    CS4级
    CS5级
  • 信息系统服务交付能力
    CCID一级
    CCID二级
    CCID三级
    CCID四级
010-68810591
分享到:
安全运维服务资质三级 
咨询费: 35000.00-40000.00
官方评审费: 18000.00
类型: 信息安全服务资质
级别: 三级
申报周期: 4-5个月
发证机关: 中国网络安全审查技术与认证中心
证书有效期: 一年
产品简介
申报条件
管理办法

信息安全服务资质页面.jpg

信息安全服务资质评价要求


能力级别

通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维、网络安全审计、工业控制系统安全服务等类别的信息安全服务认证评价,均分为一级、二级、三级, 其中一级最高,三级最低。

申报信息安全服务认证的企业,需按照通用评价要求和某一项或几项专项要求提交申报。


信息安全服务资质三级申报条件:


法律地位要求

a)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。

b)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。


财务资信要求

组织经营状况正常,具有财务管理制度,可为服务提供必要的财务支持。


办公场所要求

拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。


人员素质与资质要求

a)组织负责人拥有2年以上信息技术领域管理经历。

b)技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致),评价要求见附录I。

c)项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与申报类别一致),评价要求见附录I。


业绩要求

a)从事信息安全服务(与申报类别一致)4个月以上。

b)(监督审核时)近1年内签订并完成至少1个信息安全服务(与申报类别一致)项目。


服务管理要求

a)建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求并通过评价证明其能够胜任其承担的职责。

b)制定服务人员能力培养计划,包括网络与信息安全相关的技术、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。

c)建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确项目产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。

d)建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程,提供项目风险管理记录。

e)建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。

f)建立与运行供应商管理程序,确保其供应商满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向)。

g)建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。


服务技术要求

a)建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。

b)制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。


信息安全服务资质二级申报条件:


升级要求

申请方可根据条件直接申请,或获得三级资质一年以上可提出二级申请,服务管理程序文件需建立、发布并运行半年以上。


法律地位要求

a)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。

b)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。


财务资信要求

组织经营状况正常,具有财务管理制度,可为服务提供必要的财务支持。


办公场所要求

拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。


人员素质与资质要求

a)组织负责人拥有3年以上信息技术领域管理经历。

b)技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致),评价要求见附录I。

c)项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与申报类别一致),评价要求见附录I。


业绩要求 

a)从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致) 三级资质1年以上。

b)近三年内签订并完成至少6个信息安全服务(与申报类别一致)项目。


服务管理要求

a)建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求并通过评价证明其能够胜任其承担的职责。

b)制定服务人员能力培养计划,包括网络与信息安全相关的技术、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。

c)建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的控制。配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理。

d)建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制交付等环节的操作规程。

e)建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。

f)建立与运行供应商管理程序,明确供应和(或)外包过程中的风险,对供应商和(或)承包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全方向)。

g)建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。

h)参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的质量管理体系并有效运行半年以上。

i)参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的信息安全管理体系或信息技术服务管理体系,并有效运行半年以上。


技术工具要求

a)具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。

b)具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版本控制。


服务技术要求

a)建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。

b)制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。


信息安全服务资质一级申报条件:


升级要求

申请方须获得二级资质一年以上可提出相同类别的一级申请,且服务管理程序文件需建立、发布并运行一年以上。


法律地位要求

a)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。

b)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。


财务资信要求

组织经营状况正常,具有财务管理制度,可为服务提供必要的财务支持。


办公场所要求

拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。


人员素质与资质要求

a)组织负责人拥有4年以上信息技术领域管理经历。

b)技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致),评价要求见附录I。

c)项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与申报类别一致),评价要求见附录I。


业绩要求

a)从事信息安全服务(与申报类别一致)5年以上。

b)近三年内签订并完成至少10个信息安全服务(与申报类别一致)项目。


服务管理要求

a)建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求并通过评价证明其能够胜任其承担的职责。

b)制定服务人员能力培养计划,包括网络与信息安全相关的技术、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。

c)建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的控制。配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理。

d)建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制交付等环节的操作规程。

e)建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。

f)建立与运行供应商管理程序,明确供应商和(或)外包过程中的风险,对供应商和(或) 承包方的服务基本资格、人员、服务过程控制、服务质量、服务交付、服务安全性等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复、工业控制系统安全方向)。

g)建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。

h)参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的质量管理体系并有效运行一年以上。

i)参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的信息安全管理体系或信息技术服务管理体系,并有效运行一年以上。

j)建立信息安全服务目录,签订服务级别协议。


技术工具要求

a)具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。

b)具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版本控制。


服务技术要求

a)建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。

b)制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。



信息安全服务资质认证实施规则


1 适用范围

本规则用于规范中国网络安全审查技术与认证中心(简称中心)开展信息安全服务资质认证活动。


2 认证依据

以CCRC-ISV-C01:2018《信息安全服务规范》为认证依据。


3 术语与定义

3.1 信息安全服务

由供应商、组织机构或人员执行的一个安全过程或任务。ISO/IEC TR 15443-1:2005《信息技术安全技术信息技术安全保障框架第一部分:总揽和框架》)


3.2 自评估

申请方根据认证依据对自身的服务过程进行符合性评价,并进行评价证据的收集和分析,以确定组织满足认证依据的程度。


3.3 现场审核

中心指派审核组到受审核方或获证组织所在办公地点进行的审核活动。


3.4 非现场审核

中心指派的审核组在受审核方或获证组织所在办公地点以外进行的审核活动,通常以远程审核工具、电话、视频、邮件等远程审核方式进行。


3.5 现场见证

现场见证是针对受审核方或获证组织为满足相关方利益诉求、实现组织业务目标和处置组织风险而实施的关键活动进行的,是对关键活动的执行过程进行跟踪见证。


3.6 特殊审核

特殊审核分扩大认证范围、提前较短时间通知的审核两种。


4 审核人员及审核组要求

审核人员必须取得服务审查员的注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。

审核组应由能够胜任所安排的审核任务的审查员组成。必要时可以补充技术专家以增强审核组的技术能力。

具有与服务资质类别相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审查员的监督下进行工作,可就受审核方或获证组织服务过程中技术充分性事宜为审查员提供建议,但技术专家不能作为审查员。


5 认证信息公开

中心应向申请认证的社会组织(以下称申请方)至少公开以下信息:

1) 认证服务项目;

2) 认证工作程序;

3) 认证依据;

4) 证书有效期;

5) 认证收费标准。


6   认证程序

6.1 初次认证

6.1.1 认证申请

中心应要求申请方的授权代表至少提供以下必要的信息:


1) 认证申请书,包括但不限于以下内容:

a. 申请方基本信息,包括业务活动、组织架构、联系人信息、物理位置、服务和申请级别等基本内容;

b. 法律地位资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书,组织代码证和税务登记证(如果有));独立法人实体的一部分,经法人批准成立,法人实体能为申请人开展的活动承担相关的法律责任。

c. 业务运行的时间;

d. 取得相关法规规定的行政许可文件(适用时)。

2) 自评估表,包括但不限于:

a. 组织根据认证依据所进行的符合性评价;

b. 评价结论所需要的证据材料。


6.1.2 申请评审

中心应根据认证依据、程序等要求,对申请方提交的认证申请书、自评估信息及其相关资料进行评审并保存评审记录,做出评审结论,以确定:

1) 所需要的基本信息都得到提供(特别指自评估信息的完整性);

2) 申请方的行业类别和与之相对应服务的过程特性和管理要求;

3) 对应行业的管理要求;

4) 中心与申请方之间任何已知的理解差异得到消除;

5) 中心有能力并能够实施所申请的认证活动;

6) 申请的认证范围、申请方的运作场所、完成审核需要的时间和任何其他影响认证活动的因素;核算并确定审核人日。


6.1.3 建立审核方案

在申请评审后,中心应针对申请方建立审核方案(申请方变更为受审核方),并由专职人员负责管理审核方案。审核方案范围与程度的确定应基于受审核方的规模和性质,以及受审核服务和服务管理的性质、功能、复杂程度以及成熟度。

中心应建立审核人日确定准则,根据申请方的规模、特性、业务复杂程度、服务管理体系涵盖的范围、认证要求和其承担的风险等因素核算并确定审核人日,以确保审核的充分性和有效性。确定的人日数记录在审核方案记录中。

审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,应包括以下内容:

1) 审核的范围与程度、数量、类型、持续时间、地点、日程安排;

2) 审核准则;

3) 审核方式;


(点击查看完整信息)


企业申报优势
管理化
促进结构的合理化
提高企业的知名度
获得行业的从业证
通过资质认证 提高自身价值
竞争
政策
享受政府补贴政策
招标
赛诚服务优势
专业服务 保证通过率
99%高通过率
专业精准的服务,规避申报周期中各种风险,提升申报企业核心竞争力
1.
3.
88%强化终身管理
一次委托,终身跟踪,避免了因人员调整造成的资料丢失和流程中断
2.
85%提升申报效率
上千次企业的专业服务经验,专业团队全程跟踪并提供技术支撑,随时解决问题,压缩申报周期,提升申报效率
4.
95%降低维护成本
科学的资质管理模型,精确规划申报及维护计划(人员安排、时间管理),最大程度降低资质维护的人员成本、资金成本和时间成本
立即留言
姓名:
*
联系电话:
*
邮箱:
*
内容:
*
提交
工信赛诚(北京)信息咨询服务中心

地址:北京市石景山区城通街26号院4号楼
邮编:100043
联系电话:010-68810591
联系邮箱:miitsc@miitsc.com
咨询顾问
微信公众号