信息安全等级保护安全建设服务机构能力评估申请指南（试行）.pdf-资料库

1f03446d-cd86-404a-aee0-7cb01a3361c7.pdf-第1页.png

第1页 / 共11页

1f03446d-cd86-404a-aee0-7cb01a3361c7.pdf-第2页.png

第2页 / 共11页

1f03446d-cd86-404a-aee0-7cb01a3361c7.pdf-第3页.png

第3页 / 共11页

1f03446d-cd86-404a-aee0-7cb01a3361c7.pdf-第4页.png

第4页 / 共11页

1f03446d-cd86-404a-aee0-7cb01a3361c7.pdf-第5页.png

第5页 / 共11页

1f03446d-cd86-404a-aee0-7cb01a3361c7.pdf-第6页.png

第6页 / 共11页

1f03446d-cd86-404a-aee0-7cb01a3361c7.pdf-第7页.png

第7页 / 共11页

1f03446d-cd86-404a-aee0-7cb01a3361c7.pdf-第8页.png

第8页 / 共11页

信息安全等级保护安全建设服务机构能力评估申请指南公安部第一研究所

信息安全等级保护安全建设服务机构能力评估申请指南公安部第一研究所目录目录............................................................................................................................1 一、认定依据...............................................................................................................2 二、能力评估作用.......................................................................................................2 三、能力评估要求.......................................................................................................2 3.1 基本资格要求..................................................................................................2 3.2 基本能力要求..................................................................................................3 3.2.1 组织管理要求........................................................................................3 3.2.2 人员能力要求........................................................................................3 3.2.3 安全建设能力要求................................................................................3 3.2.4 设施和设备安全与报障能力要求........................................................4 3.2.5 规模与资产要求....................................................................................4 3.2.6 业绩要求................................................................................................4 3.3 安全建设过程能力要求..................................................................................4 3.4 项目和组织过程能力要求..............................................................................5 四、能力评估...............................................................................................................6 4.1 评估流程图.......................................................................................................6 4.2 申请受理阶段...................................................................................................6 4.4 能力评定阶段...................................................................................................7 4.4.1 静态审核.................................................................................................7 4.4.2 现场审核.................................................................................................7 4.4.3 能力评审.................................................................................................8 4.5 证书发放阶段...................................................................................................8 五、监督、维持和升级...............................................................................................8 六、处置.......................................................................................................................9 七、争议、投诉与申诉...............................................................................................9 八、获证组织档案.......................................................................................................9 九、费用及周期...........................................................................................................9 十、联系方式.............................................................................................................10 第 1 页共 11页

信息安全等级保护安全建设服务机构能力评估申请指南公安部第一研究所一、认定依据信息安全等级保护安全建设服务能力评估是对信息安全等级保护安全建设服务提供者的资格状况、技术实力和信息安全等级保护安全建设实施过程质量保证能力等方面的具体衡量和评价。信息安全等级保护安全建设服务能力级别的评定，是依据《信息安全等级保护安全建设服务机构能力评估准则》，在对申请组织的基本资格、技术实力、信息安全等级保护安全建设能力以及信息安全等级保护安全建设项目的组织管理水平等方面的评估结果基础上的综合评定，由公安部第一研究所给予颁发能力评估合格证书。二、能力评估作用信息安全等级保护安全建设服务能力评估是对信息安全等级保护安全建设服务提供者的综合实力的客观评价和确认，信息安全等级保护安全建设服务能力反映了信息安全等级保护安全建设服务提供者从事信息安全等级保护安全建设服务保障能力的成熟程度。能力评估的主要依据包括：基本资格与基本能力要求、安全工程过程能力要求、项目与组织管理能力要求和其他补充要求等。三、能力评估要求申请信息安全等级保护安全建设服务能力评估的组织需要在基本资格和基本能力、安全工程过程能力和项目与组织过程能力等几个方面符合《信息安全等级保护安全建设服务机构能力评估准则》的规定。 3.1 基本资格要求信息安全等级保护安全建设机构（以下简称安全建设机构）应当具备以下基本条件： a) 在中华人民共和国境内注册成立（港澳台地区除外）； b) 由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；第 2 页共 11页

信息安全等级保护安全建设服务机构能力评估申请指南公安部第一研究所 c) 从事信息系统安全建设相关工作两年以上，无违法记录； d) 工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； e) 具有满足安全建设工作的专业技术人员和管理人员，安全建设技术人员不少于 10 人； f) 具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求； g) 具有适用于安全建设工作管理体系； h) 对国家安全、社会秩序、公共利益不构成威胁； i) 应当具备的其他条件。 3.2 基本能力要求 3.2.1 组织管理要求 1. 必须拥有健全的组织和管理体系，为持续的信息安全等级保护安全建设服务提供保障； 2. 必须具有专业从事信息安全等级保护安全建设服务的队伍和相应的质量保证； 3. 与信息安全等级保护安全建设服务相关的所有成员要签订保密合同，并遵守有关法律法规。 3.2.2 人员能力要求 1. 具有充足的人力资源和合理的人员结构； 2. 所有与信息安全等级保护安全建设服务有关的管理和销售人员应具有基本的信息安全知识； 3. 有相对稳定的从事信息安全等级保护安全建设服务的技术队伍； 4. 技术骨干人员应系统地掌握信息系统安全基础理论和核心技术，并有足够的专业工作经验； 5. 必须有 10 名以上（含 10 名）专职的信息安全等级保护安全建设工程师。 3.2.3 安全建设能力要求 1. 了解信息系统技术的最新动向，有能力掌握信息系统的最新技术； 2. 具有不断更新技术的能力；第 3页共 10 页

信息安全等级保护安全建设服务机构能力评估申请指南公安部第一研究所 3. 具有对信息系统进行安全需求分析、安全体系设计、安全建设实施的能力； 4. 能根据对用户信息系统风险的分析，向用户提出有效的安全保护策略建议及建立完善的安全管理制度； 5. 具有对发生的突发性安全事件进行分析和解决的能力； 6. 具有对市场上的信息系统产品进行功能分析，提出安全策略和安全解决方案及安全产品的系统集成能力； 7. 具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力； 8. 具有对集成的信息系统进行检测和验证的能力； 9. 有能力对信息系统系统进行有效的维护； 10. 有跟踪、了解、掌握、应用国际、国家和行业标准的能力。 3.2.4 设施和设备安全与报障能力要求 1. 具有固定的工作场所和良好的工作环境； 2. 具有先进的开发、测试或模拟环境； 3. 具有先进的开发、生产和测试设备； 4. 具有实施相关服务必需的开发、生产和测试工具。 3.2.5 规模与资产要求 1. 有足够的注册资金和充足的流动资金； 2. 具有与所申请信息安全等级保护安全建设服务业务范围、承担的安全工程规模相适应的服务体系； 3. 有足够的人员从事直接与信息安全等级保护安全建设服务相关的活动。 3.2.6 业绩要求 1. 应有从事信息安全等级保护安全建设服务的经验； 2. 近 3 年内在信息安全等级保护安全建设方面，没有出现验收未通过的情况。 3.3 安全建设过程能力要求安全建设过程能力是评价信息安全等级保护安全建设服务专业水平高低的第 4页共 10 页

信息安全等级保护安全建设服务机构能力评估申请指南公安部第一研究所标志。申请组织应能具备以下安全等级保护服务建设能力： 1. 确定信息安全等级保护安全建设需求的能力； 2. 进行信息安全等级保护安全建设方案设计的能力； 3. 进行信息安全等级保护安全建设技术体系设计的能力； 4. 进行信息安全等级保护安全建设管理体系设计的能力； 5. 进行信息安全等级保护安全建设技术措施实现的能力； 6. 进行信息安全等级保护安全建设管理措施实现的能力。 3.4 项目和组织过程能力要求项目和组织过程能力是评价信息安全等级保护安全建设服务规范性和质量保证成熟度标志。申请组织应能实施以下 6 个项目组织内容： 1. 实现质量保证的能力； 2. 管理项目风险的能力； 3. 规划技术活动的能力； 4. 监控技术活动的能力； 5. 提供不断发展的知识和技能的能力； 6. 与供应商协调的能力。第 5页共 10 页

信息安全等级保护安全建设服务机构能力评估申请指南公安部第一研究所四、能力评估 4.1 评估流程图 4.2 申请受理阶段申请组织应首先到公安部第一研究所网站查看并下载《信息安全等级保护安全建设服务机构能力评估准则》、《信息安全等级保护安全建设服务机构能力评估申请指南》和《信息安全等级保护安全建设服务机构能力评估申请书》及有关附件，认真阅读上述文档，了解能力评估的流程及相关情况，确定本组织满足基本资格要求和基本能力要求。申请组织当决定申请信息安全等级保护安全建设服务机构能力评估后，根据第 6页共 10 页

信息安全等级保护安全建设服务机构能力评估申请指南公安部第一研究所《信息安全等级保护安全建设服务机构能力评估申请书》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一并递交公安部第一研究所，同时提交申请费。在向公安部第一研究所递交申请书前，须逐项检查所填报的材料的完整性和正确性。公安部第一研究所接受正式申请书及相关资料以及申请费后，根据所提交的资料进行资格审查，以确认申请单位是否满足能力评估的基本资格要求，提交资料是否完整。资格审查包括对申请单位所提交资料进行的资格初审以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容，公安部第一研究所将要求申请组织补充资料等。当通过资格审查阶段后，公安部第一研究所将与申请组织签订合同，正式受理该申请，并通知相关费用的缴纳事宜等。 4.4 能力评定阶段当申请组织通过资格审查并缴纳了相关费用后，能力评估进入能力评定阶段。能力评定阶段包括静态审核、现场审核和能力评审三个步骤。 4.4.1 静态审核静态审核是对申请组织资料进行符合性审查，是对申请组织的信息安全等级保护安全建设服务能力做出基本判断，初步确定申请组织的信息安全等级保护安全建设服务能力水平状况，为现场审核做准备。如果静态评估阶段发现有不符合要求的内容，公安部第一研究所将要求申请组织进一步补充资料，以便反映申请组织的客观情况。 4.4.2 现场审核现场审核是对申请组织从事信息安全等级保护安全建设服务的综合能力（包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面）进行核实和确认。通过静态审核后，公安部第一研究所将与申请组织沟通现场审核事宜，安排审核组进行现场审核。第 7页共 10 页

资料库

信息安全等级保护安全建设服务机构能力评估申请指南（试行）.pdf

相关推荐

安全技术

热门标签

最新资料