| |
北京市信息安全服务能力评估评定条件
|
| [文章作者:] [发布日期:2008-05-27] [发布单位:服务中心] [信息来源:服务中心] |
| 北京市信息安全服务能力评估评定条件
第一章 总则
一、为了规范本市电子政务信息安全服务工作,促进信息安全服务产业的发展,根据《北京市信息化促进条例》和其它相关法律法规,结合本市信息安全服务实际情况,制定本评定条件。
二、北京市信息安全服务能力是指提供信息安全系统集成、信息系统风险评估、信息安全咨询以及系统安全运行维护的能力,包括人员构成、技术和管理水平、技术装备、服务保障、经营业绩、资产状况等要素。
三、北京市信息安全服务能力由基本能力等级和专项服务能力两部分组成,基本能力等级分为一级、二级和三级,是指信息安全服务单位的基本条件满足相关等级的要求;专项服务能力是指服务单位提供不同服务所具备的专项能力;申请北京市信息安全服务能力的单位须在通过基本能力等级评估的基础上申请相应的专项服务能力。
四、信息安全服务单位自愿向北京信息安全测评中心提出申请,北京信息安全测评中心对申请单位的基本能力等级和专项服务能力进行客观公正的评估。
五、通过评估的信息安全服务单位,由北京信息安全测评中心颁发相应能力证书(属于外商独资、中外合资、中外合作的单位将在证书中加以注明)且向北京市信息化工作办公室备案。
六、涉密信息系统的服务资质按国家保密管理部门的相关要求执行。
第二章 申请、审查和监督管理
七、符合条件的申请单位自愿向北京信息安全测评中心申请相应等级的服务能力,填写“北京市信息安全服务基本能力评估申请书”和“北京市信息安全专项服务能力评估申请书”并提交所需材料。
八、申请受理后北京信息安全测评中心进行书面审查、现场核查、专家评审等评估工作。
九、获证单位变更名称、地址、法人、技术负责人等,应在变更内容发生后的一个月内,向北京信息安全测评中心报告变更情况,北京信息安全测评中心根据实际情况决定是否重新评估、审核其服务能力。
十、北京市信息安全服务能力有效期为两年,到期后需向北京信息安全测评中心重新申请评估。
第三章 基本能力等级评定条件
十一、一级
(一)综合条件
1、具有独立法人地位,产权关系明确,注册资本2000万元以上;
2、近三年经济状况良好,财务数据真实可信,并须经国家相关部门认定的会计师事务所核实;
3、有良好的资信,近三年没有触犯知识产权保护等国家有关法律法规的行为;
4、近三年内未出现过验收未获通过的项目或者应由其承担责任的、重大的用户投诉;
(二)技术实力
1、具备信息安全研发环境,自主开发的信息安全产品通过中国合格评定国家认可委员会(CNAS)认可的测评机构的测评;
2、具有信息安全研发环境,用于研发的经费年均投入在200万元以上。
3、单位主要负责人应具有五年以上从事电子信息技术领域企业管理经历,财务负责人应具有国家相关部门颁发的中级职称以上的财务专业从业资格证书;负责信息安全服务的技术主管人员必须具备国家相关部门颁发、认定的高级专业人员技术职称,从事信息安全领域技术工作三年以上且须与所在单位签订二年以上聘用合同;
4、有稳定的技术队伍,从事信息安全服务的专业人员不少于100名。
(三)管理能力
1、已建立质量管理体系,通过国家认可的第三方认证机构认证并有效运行一年以上;
2、单位内部具备完善的管理制度和安全保密措施并能有效执行;
3、具有系统地对员工进行新知识、新技术以及职业道德培训的计划,并能有效地组织实施与考核。
十二、二级
(一)综合条件
1、具有独立法人地位,产权关系明确,注册资本1000万元以上;
2、近三年经济状况良好,财务数据真实可信,并须经国家相关部门认定的会计师事务所核实;
3 、有良好的资信,近三年没有触犯知识产权保护等国家有关法律法规的行为;
4、近三年内未出现过验收未获通过的项目或者应由其承担责任的、重大的用户投诉;
(二)技术实力
1、具备信息安全研发环境,自主开发的信息安全产品通过中国合格评定国家认可委员会(CNAS)认可的测评机构的测评;
2、具有信息安全研发环境,用于研发的经费年均投入在100万元以上。
3、单位主要负责人应具有三年以上从事电子信息技术领域企业管理经历,财务负责人应具有国家相关部门颁发的初级职称以上的财务专业从业资格证书;负责信息安全服务的技术主管人员必须具备国家相关部门颁发、认定的高级专业人员技术职称,从事信息安全领域技术工作二年以上且须与所在单位签订二年以上聘用合同;
4、有稳定的技术队伍,从事信息安全服务的专业人员不少于50名。
(三)管理能力
1、已建立质量管理体系,通过国家相关部门认可的第三方认证机构认证并能有效运行;
2、单位内部具备完善的管理制度和安全保密措施并能有效执行;
3、具有系统地对员工进行新知识、新技术以及职业道德培训的计划,并能有效地组织实施与考核。
十三、三级
(一)综合条件
1、具有独立法人地位,产权关系明确,注册资本500万元以上;
2、近三年经济状况良好,财务数据真实可信,并须经国家相关部门认定的会计师事务所核实;
3 、有良好的资信,近三年没有触犯知识产权保护等国家有关法律法规的行为;
4、近三年内未出现过验收未获通过的项目或者应由其承担责任的、重大的用户投诉;
(二)技术实力
1、具有信息安全研发环境,用于研发的经费年均投入在50万元以上。
2、单位主要负责人应具有三年以上从事电子信息技术领域企业管理经历,财务负责人应具有国家相关部门颁发的初级职称以上的财务专业从业资格证书;负责信息安全服务的技术主管人员必须具备国家相关部门颁发、认定的高级专业人员技术职称,从事信息安全领域技术工作二年以上且须与所在单位签订2年以上聘用合同;
3、有稳定的技术队伍,从事信息安全服务的专业人员不少于30名。
(三)管理能力
1、已建立质量管理体系并能有效运行;
2、单位内部具备完善的管理制度和安全保密措施并能有效执行;
3、具有系统地对员工进行新知识、新技术以及职业道德培训的计划,并能有效地组织实施与考核。
十四、专项服务能力评定条件
(一)信息安全系统集成
1、有自主开发的信息安全产品并通过中国合格评定国家认可委员会(CNAS)认可的测评机构的测评,且用于已完成的项目中,每年用于研发的经费年均投入在100万元以上;
2、独立开展信息安全集成业务3年以上,近二年至少完成了10个信息安全系统集成项目,合同总额累计在500万元以上,且其中至少有一个项目合同金额在100万元以上;
3、近三年内承建的信息安全系统集成项目均通过验收,未出现应由承建单位承担责任的重大系统故障;
4、应具有信息产业部颁发的“计算机信息系统集成资质”;
5、有稳定的技术队伍,专业从事安全集成业务的专业人员不少于20名;具有北京信息安全测评中心考核认定的专项服务人员10人。
(二)信息系统风险评估
1、能够理解并掌握GB/T20984-2007《信息安全技术 信息安全风险评估规范》,按照所要求的风险评估方法和工作流程开展风险评估活动;
2、具有三年或以上开展风评估工作的经验,近三年至少完成5个以上信息安全风险评估项目且通过验收;
3、具有符合GB/T20984-2007《信息安全技术 信息安全风险评估规范》中所列要求的风险评估工具。
4、具有北京信息安全测评中心考核认定的风险评估专项服务从业人员10名以上;
(三)信息安全咨询
1、具备提供整体解决方案的能力,能够提供完善的安全规划、安全方案设计、安全咨询服务;
2、能够按照国家信息安全等级保护相关要求开展咨询服务活动;
3、熟悉GB/T19716-2005<《信息技术 信息安全管理实用规则》,具有能够按照GB/T19716-2005<《信息技术 信息安全管理实用规则》中的内容要求开展安全管理体系咨询活动;
4、建立了完整的信息安全咨询管理体系,包括依据、流程、表格、工具等;
5、近三年至少完成安全咨询项目5个以上,并通过验收;
6、具有北京信息安全测评中心考核认定的信息安全咨询专项服务从业人员5名以上;
(四)系统安全运行维护
1、具有完备的提供安全运行维护服务所需的内部管理制度、工作流程、辅助工具;
2、开展安全运行运维服务工作三年以上,具有丰富的实际经验;
3、近三年至少完成安全运维服务项目5个以上,并通过验收;
4、具有北京信息安全测评中心考核认定的安全运行维护专项服务人员须6人以上。
第四章 人员管理
十五、信息安全专项服务人员应具备下列条件:
(一)、与所在单位签订一年以上劳动合同和保密协议,遵守中华人民共和国宪法和法律,没有犯罪记录,没有其它不诚信的记录;
(二)、取得本科学历,从事计算机或通信方面的工作三年以上;取得硕士以上学位,从事计算机或通信方面的工作一年以上;
(三)、了解计算机、网络、安全等方面的基本知识、工程方法和主流产品;
(四)、熟悉国家和本市有关信息安全的政策法规;
(五)、了解主要的信息安全国际标准和国家标准;
(六)、从事信息安全服务工作三年以上,参与完成过所申请专项服务能力的服务工作;
(七)、通过北京信息安全测评中心组织的专项服务能力人员考核。
|
|
