|
|
|
|
|
|
來源: 發(fā)布日期:2017.07.18 點擊量:
隨著我國信息化和信息安全保障工作的不斷深入推進,以應(yīng)急處理、風險評估、災(zāi)難恢復、系統(tǒng)測評、安全運維、安全審計、安全培訓和安全咨詢等為主要內(nèi)容的信息安全服務(wù)在信息安全保障中的作用日益突出。加強和規(guī)范信息安全服務(wù)資質(zhì)管理已成為信息安全管理的重要基礎(chǔ)性工作。安言咨詢對于這方面內(nèi)容提供專業(yè)的咨詢服務(wù)。
一、信息安全服務(wù)資質(zhì)簡介
信息安全服務(wù)資質(zhì)是信息安全服務(wù)機構(gòu)提供安全服務(wù)的一種資格,包括法律地位、資源狀況、管理水平、技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認證是依據(jù)國家法律法規(guī)、國家標準、行業(yè)標準和技術(shù)規(guī)范,按照認證基本規(guī)范及認證規(guī)則,對提供信息安全服務(wù)機構(gòu)的信息安全服務(wù)資質(zhì)進行評價。
應(yīng)急處理服務(wù)是對影響計算機系統(tǒng)和網(wǎng)絡(luò)安全的不當行為(事件)進行標識、記錄、分類和處理,直到受影響的業(yè)務(wù)恢復正常運行的過程。(用1799概述里面一段一句的內(nèi)容)
風險評估服務(wù)是從風險管理角度,運用科學的方法和手段,系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以求防范和化解信息安全風險,或?qū)L險控制在可接受的水平。
通過對信息安全服務(wù)分類分級的資質(zhì)認證,可以對信息安全服務(wù)提供商的基本資格、管理能力、技術(shù)能力和服務(wù)過程能力等方面進行權(quán)威、客觀、公正的評價,證明其服務(wù)能力,滿足社會對服務(wù)的選擇需求。同時,認證過程也將有效促進服務(wù)提供方完善自身管理體系,提高服務(wù)質(zhì)量和水平,引導行業(yè)健康規(guī)范發(fā)展。
二、安全運維服務(wù)資質(zhì)簡介
通過技術(shù)設(shè)施安全評估,技術(shù)設(shè)施安全加固,安全漏洞補丁通告、安全事件響應(yīng)以及信息安全運維咨詢,協(xié)助組織的信息系統(tǒng)管理人員進行信息系統(tǒng)的安全運維工作,以發(fā)現(xiàn)并修復信息系統(tǒng)中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時加以響應(yīng)。
安全運維資質(zhì)認證是對安全運維服務(wù)方的基本資格、管理能力、技術(shù)能力和安全運維過程能力等方面進行評價。安全運維服務(wù)資質(zhì)級別是衡量服務(wù)提供方的安全運維服務(wù)資格和能力的尺度。
資質(zhì)級別分為一級、二級、三級共三個級別,其中一級最高,三級最低。
三、關(guān)于認證申請流程及資料:
1.認證的基本流程:
具體參照中國信息安全認證中心,初次申請服務(wù)資質(zhì)認證時,申請單位應(yīng)填寫認證申請書,并提交資格、能力方面的證明材料。服務(wù)資質(zhì)認證具體由中國信息安全認證中心來提供服務(wù),安言咨詢提供服務(wù)資質(zhì)的咨詢事宜。
2.申請材料通常包括:
服務(wù)資質(zhì)認證申請書;
獨立法人資格證明材料;
從事信息安全服務(wù)的相關(guān)資質(zhì)證明;
工作保密制度及相應(yīng)組織監(jiān)管體系的證明材料;
與信息安全風險評估服務(wù)人員簽訂的保密協(xié)議復印件;
人員構(gòu)成與素質(zhì)證明材料;
公司組織結(jié)構(gòu)證明材料;
具備固定辦公場所的證明材料;
項目管理制度文檔;
信息安全服務(wù)質(zhì)量管理文件;
項目案例及業(yè)績證明材料;
信息安全服務(wù)能力證明材料等。
相關(guān)客戶案例: