随着我国信息化和信息安全的不断深入,主要包括应急处理、风险评估、灾难恢复、系统评估、安全运维、安全审计、安全培训和安全咨询在内的信息安全服务在信息安全中发挥着越来越突出的作用。加强和规范信息安全服务资质管理已成为信息安全管理的一项重要基础工作。
服务资格认证工作具体介绍如下:
1.基本概念。
信息安全服务资质是信息安全服务机构提供安全服务的资质,包括法律地位、资源状况、管理水平、技术能力等要求。信息安全服务资质认证是指依据国家法律法规、国家标准、行业标准和技术规范,以及基本认证标准和认证规则,对信息安全服务机构提供的信息安全服务资质进行的评价。
紧急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行识别、记录、分类和处理的过程,直到受影响的业务恢复正常运行。(用1799概括一段一句话的内容)
风险评估服务是从风险管理的角度,运用科学的方法和手段,系统分析网络和信息系统面临的威胁和漏洞,评估安全事件可能造成的危害程度,针对威胁提出有针对性的防护措施和整改措施,以防范和化解信息安全风险或将风险控制在可接受的水平。
通过信息安全服务资质认证,可以对信息安全服务提供者的基本资质、管理能力、技术能力和服务流程能力做出权威、客观、公正的评价,证明其服务能力,满足社会对服务选择的需求。同时,认证过程还将有效促进服务提供商完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
二.认证申请:
认证的基本步骤:
认证的申请和接受;
文件审查;
现场审核;
认证决定;
年度监督和审计。
首次申请服务资格认证时,申请人应当填写认证申请表,提交资格和能力证明材料。申请材料通常包括:
服务资格认证申请书;
独立法人资格证明材料;
从事信息安全服务的相关资质证书;
工作保密制度和相应的组织监督制度的证明材料;
与信息安全风险评估服务人员签订的保密协议复印件;
人员构成和质量证明材料;
公司组织结构证明材料;
有固定办公场所的证明;
项目管理体系文件;
信息安全服务质量管理文件;
项目案例和绩效证明材料;
信息安全服务能力证明材料等。
三.认证依据:
特定类型的信息安全服务有特定的评估标准。如信息安全应急响应服务资质认证依据《网络与信息安全应急响应服务资质评估办法》(YD/T1799-2008),信息安全风险评估服务资质认证依据《信息安全技术信息安全风险评估规范》(GB/T20984-2007)和《信息安全风险评估服务资质认证实施细则》(ISCCC-SV-)
如果想了解更多更详细的信息安全资质和细节,可以联系
