《信息安全资质概况-许昌开普精要》由会员分享,可在线阅读,更多相关《信息安全资质概况-许昌开普精要(18页珍藏版)》请在金锄头文库上搜索。
1、我国信息安全服务资质认证概况 许昌开普检测技术有限公司 贺春 开普检测 信息安全资质总览 开普检测 CNISEC信息安全服务资质介绍 基本执行级一级 计划跟踪级二级 充分定义级三级 量化控制级四级 持续改进级五级 开普检测 CNISEC信息安全服务资质认证 认证机构 资质类 型 资质等级 费用(万元) CISP 新申请维持咨询 中国信息安全测评 中心 工程类 一级3.83.52人 二级5.84.44人 安全开发类 一级3.83.52人 二级5.84.44人 灾难恢复类 一级3.83.54人 二级5.84.48人 风险评 估服 务资质 一级3.83.52人 二级5.84.44人 开普检测 CNI
2、SEC信息安全服务资质认证 资质类型 资质说明 信息安全服务资 质安全工程类 可从事信息安全工程的设计 、实施、测试 、运行和维护 ,相关咨询 和培训活动。 如:安全咨询、安全评估、风险评 估、安全加固、渗透 测试 、代码审计 、安全运维、安全培训、灾难恢复、系统评测 、安全 监理等。 信息安全服务资 质安全开发类 信息安全服务安全开发类资质认证 是对信息安全开发服务提供者 的资格状况,技术实 力和安全开发过 程能力等方面的衡量和评价等。 信息安全服务资 质灾难恢复类 可从事将信息系统从灾难造成的故障或瘫痪 状态恢复到可正常运行 状态、并将其支持的业务 功能从灾难造成的不正常状态恢复到可接受状
3、 态而进行的设计 、实施、运行管理等的活动和流程。 信息安全服务资 质风险评 估类 可通过对 信息系统提供风险评 估服务,系统地分析网络与信息系 统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的 危害程度,提出有针对 性的抵御威胁的防护对 策和安全整改措施,防范 和消除信息安全风险 ,或将风险 控制在可接受的水平,为网络和信息安 全保障提供科学依据。 开普检测 CNISEC信息安全服务资质认证 开普检测 CNISEC信息安全服务资质认证 从签订信息安全服务资质测评委托协议至信息安全 服务资质证书颁发,周期为三个月。周期时间不包含由 于申请单位原因(如,资料补充、商务流程延误或申请
4、 方无法按照约定时间进行现场评审等)造成的延期。 申请周期 申请单位拥有注册信息安全专业人员是申请信息安全服 务资质的基本条件,必须满足。但申请单位可以在进行 CISP培训的同时申请服务资质。 持证人员 开普检测 CNISEC信息安全服务资质认证 信息安全服务资质证书的有效期为三年,在有效期内实 行年确认制度 证书有效期 在证书有效期届满前90天内,由获证组织提出维持换证 申请。 维持申请流程与首次申请流程一致。 维持换证 开普检测 ISCCC信息安全服务资质 机构 资质类型 资质等级 费用(万元) CISAW 新申请维持咨询 中 国 信 息 安 全 认 证 中 心 安全集成服 务资质 三级1
5、.91.0 2人 二级3.9 1.5 6人 一级6.9 2.0 10人 应急处理服 务资质 三级1.91.0 2人 二级3.9 1.5 6人 一级6.9 2.0 10人 风险评 估服 务资质 三级1.91.0 2人 二级3.9 1.5 6人 一级6.9 2.0 10人 开普检测 ISCCC信息安全服务资质 机构 资质类型 资质等级 费用(万元) CISAW 新申请维持咨询 中 国 信 息 安 全 认 证 中 心 灾难备 份与 恢复服务资 质 三级2.15 1.02人 二级4.41.756人 一级7.9 2.5 10人 软件安全开 发服务资质 三级1.91.0 2人 二级3.9 1.5 6人 一
6、级6.9 2.0 10人 安全运维服 务资质 三级1.91.0 2人 二级3.9 1.5 6人 一级6.9 2.0 10人 开普检测 ISCCC信息安全服务资质 资质类型 资质说明 安全集成服 务资质 信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的 安全需求界定、安全设计 、建设实 施、安全保证的活动。信息系统安全集成 包括在新建信息系统的结构化设计 中考虑信息安全保证因素,从而使建设完 成后的信息系统满 足建设方或使用方的安全需求而开展的活动。也包括在已有 信息系统的基础上额外增加信息安全子系统或信息安全设备 等,通常被称为 安全优化或安全加固。 信息系统安全集成服务资质级别
7、 是衡量服务提供者服务能力的尺度。安 全集成服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理 能力、服务技术能力和服务过 程能力;服务人员的能力主要从掌握的知识、 安全集成服务的经验 等综合评定。 应急处理服 务资质 信息安全应急处理服务是通过制定应急计划使得影响网络与信息系统安 全的安全事件能够得到及时响应,并在安全事件一旦发生后进行标识 、记 录、分类和处理,直到受影响的业务 恢复正常运行的过程。应急处理服务是 保障业务连续 性的重要手段之一,它涵盖了在安全事件发生后为了维持和恢 复关键业务 所进行的系列活动。 信息安全应急处理服务资质认证 是对应 急处理服务提供方的基本资格
8、、 管理能力、技术能力和应急处理服务过 程能力等方面进行评价。信息安全应 急处理服务资质级别 是衡量服务提供方应急处理服务资 格和能力的尺度。 开普检测 ISCCC信息安全服务资质 资质类型 资质说明 风险评估服 务资质 信息安全风险评 估是信息安全保障的基础性工作和重要环节 ,贯穿于网 络和信息系统建设运行的全过程。服务提供者通过对 信息系统提供风险评 估 服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安 全事件一旦发生可能造成的危害程度,提出有针对 性的抵御威胁的防护对 策 和安全整改措施,防范和消除信息安全风险 ,或将风险 控制在可接受的水平 ,为网络和信息安全保障提供
9、科学依据。 信息安全风险评 估服务资质级别 是衡量服务提供者服务能力的尺度。风 险评 估服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管 理能力、服务技术能力和服务过 程能力;服务人员的能力主要从掌握的知 识、风险评 估服务的经验 等综合评定。对服务提供方的背景审查 主要指客 户投诉、违法违纪 行为等;服务人员的背景审查 主要指行业主管部门或使用 单位对从事风险评 估服务的人员进 行必要的审查 。 灾难备份与 恢复服务资 质 信息系统灾难备 份与恢复服务是将信息系统的数据、数据处理系统、网 络系统、基础设 施、专业 技术支持能力和运行管理能力进行备份,并在灾难 发生时,将信息系统从
10、灾难造成的故障或瘫痪 状态恢复到可正常运行状态, 将其支持的业务 功能从灾难造成的不正常状态恢复到可接受状态,而设计 和 提供的活动。 信息系统灾难备 份与恢复服务资质级别 是衡量服务提供者服务能力的尺 度。 开普检测 ISCCC信息安全服务资质 资质类型 资质说明 软件安全开 发服务资质 通过对软 件开发过 程的控制,将开发的软件存在的风险 控制在可接受的水 平。 软件安全开发资质认证 是对软 件开发方的基本资格、管理能力、技术能 力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别 是衡量 服务提供方的软件安全开发服务资 格和能力的尺度。 安全运维服 务资质 通过技术设 施安全评估
11、,技术设 施安全加固,安全漏洞补丁通告、安全事 件响应以及信息安全运维咨询,协助组织 的信息系统管理人员进 行信息系统 的安全运维工作,以发现 并修复信息系统中所存在的安全隐患,降低安全隐患 被非法利用的可能性,并在安全隐患被利用后及时加以响应。 安全运维资质认证 是对安全运维服务方的基本资格、管理能力、技术能 力和安全运维过 程能力等方面进行评价。安全运维服务资质级别 是衡量服务 提供方的安全运维服务资 格和能力的尺度。 开普检测 ISCCC信息安全服务资质认证流程图 开普检测 ISCCC信息安全服务资质认证流程图 中国信息安全认证中心资质共分三级,一级最高三级最 低。 资质可以越级申请。
12、级别定义 认证决定委员会由3名以上(含3名)奇数认证决定人员 组成,作出认证决定。 认证决定 开普检测 ISCCC信息安全服务资质介绍 信息安全服务资质证书的有效期为三年 证书有效期 证书到期前三个月提交申请。 维持申请流程与首次申请流程一致。 维持换证 开普检测 中国合格评定国家认可委员会 认可名称作用和意义 信息安全 实验室认可 表明具备了按相应认 可准则开展检测 和校准服务的技术能力; 增强市场竞 争能力,赢得政府部门、社会各界的信任; 获得签署互认协议 方国家和地区认可机构的承认; 有机会参与国际间 合格评定机构认可双边、多边合作交流; 可在认可的范围内使用CNAS国家实验 室认可标志和ILAC国际互认联 合标 志; 列入获准认可机构名录,提高知名度。 信息安全 检查机构认可 表明具备了按有关国际认 可准则开展检查 服务的技术能力; 增强市场竞 争能力,赢得政府部门、社会各界的信任; 获得签署互认协议 方国家和地区认可机构的承认; 有机会参与国际间 合格评定机构认可双边、多边合作交流; 可在认可的范围内使用CNAS国家认可标志; 列入获准认可机构名录,提高知名度。 谢谢! 信息安全服务资质认证信息安全服务资质认证
