《2022信息安全服务企业能力评估标准》由会员分享,可在线阅读,更多相关《2022信息安全服务企业能力评估标准(15页珍藏版)》请在金锄头文库上搜索。
1、信息安全服务 企业能力评估标准目 次前言II引言III1 范围12 规范性引用文件13 术语和定义14 信息安全服务原则34.1 合规性34.2 数据和业务保护45 能力评估要求45.1 肆级能力要求45.2 叁级能力要求55.3 贰级能力要求65.4 壹级能力要求85.5 特级能力要求10附录 A(资料性附录)信息安全服务类别及对应项目级别划分13I信息安全服务 企业能力评估标准1 范围本标准规定了对信息安全服务提供方的服务能力通用等级要求。本标准适用于评估组织和监管部门对信息安全服务提供方的服务能力进行评估,也为信息安全服务 提供方对其自身服务能力的改善提供指导,同样对信息安全服务需求方具
2、有参考意义。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 32914-2016 信息安全技术 信息安全服务提供方管理要求GB/T 30271-2013 信息安全技术 信息安全服务能力评估准则GB/T 30283-2013 信息安全技术 信息安全服务分类YD/T 1621-2007 网络与信息安全服务资质评估准则3 术语和定义GB/T 32914-2016所界定的以及下列术语和定义适用于本文件。信息安全服务information security servi
3、ce面向组织或个人的各类信息安全需求和信息安全保障需求,由服务提供方按照服务协议所执行的一 个信息安全过程或任务。信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行。信息安全服务需求方 information security service acquirer获取外部所提供的信息安全服务,以满足信息安全需求和信息安全保障需求,实现自身业务目标的 组织(或个人用户)。信息安全服务提供方 information security service provider按照服务协议,通过专业的信息安全人员提供信息安全服务的组织。服务协议 service agreement服务需
4、求方和服务提供方在服务开始前共同签署的约定,并在服务过程中共同遵守。1通常包含服务原则、服务内容、服务形式、服务级别、服务价格、服务交付成果、服务安全要求等,在形式上可以 是服务合同及其附属的工作说明书。服务级别 service level在服务协议中对服务交付成果明确约定、可测量和文档化的一系列服务指标。服务目录 service catalogue在服务协议中明确展示服务内容、服务形式、服务价格、服务交付成果和服务级别等的一份列表。服务组合 service portfolio多个服务类别或服务项目以及其他工作的集合。供应链 supply chain通过多个资源和过程联系在一起的一系列组织,根
5、据由服务协议或其他采购协议建立连续的供应关 系,每个组织充当一个需求方、提供方或双重角色。服务要素 service factors设计和实施服务的关键要素,包括服务人员、服务流程、服务工具、规章,以及其他服务所需的资 源。服务方案 service plans基于服务目标,对服务各阶段中所需执行的过程、任务、活动以及相关服务要素、服务级别进行详 细描述的文档。服务工具 service tools为达成服务目标或提高服务质量和效率所需要的设备、软件、模板、知识库等。服务变更 service change任何可能对服务产生影响的新增、修改或解除的活动。服务变更可能涉及服务的范围、人员、内容、形式、价
6、格、时间、方案、流程、工具、服务级别等。2信息安全风险评估 information security risk assessment从风险管理角度,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属 性进行识别、分析和评价的过程。信息安全风险评估贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段。信息安全系统集成 information security system integration按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行 集成的行为或活动。信息安全系统运维 information security system
7、 operation and maintenance依据信息安全服务需求方的安全需求对信息系统进行安全运维准备、安全运维实施,并对实施安全 运维服务的有效性进行评审,从而进行持续性改进,全过程、全生命周期地为信息系统运行提供安全保 障的过程。信息安全应急处理 information security emergency treatment针对各类信息安全事件,提供实施层面的应急响应和应急演练。应急响应是对已发生的各类信息安全事件做出快速响应,及时而有效进行事件处理,最大程度减少损失和该事件造 成的消极影响。应急演练是根据组织已有的应急预案,在设备、系统、业务、组织等不同层面进行测试和演练, 从
8、而提高组织的应对各类突发信息安全事件的能力。信息安全服务能力级别 information security service level信息安全服务提供方在提供满足需求方的安全服务的组织、协调、技术水平和管理的能力成熟程度。4 信息安全服务原则合规性遵循国家和行业关于信息安全服务的要求,基于明确的信息安全保障需求和信息安全服务目标。具 体原则如下:a) 应符合国家信息安全法律法规和政策、国家和行业相关信息安全标准的要求;b) 应遵循服务过程有记录,可监视,可检查,服务行为预先告知、服务和产品中立、资产保护等 信息安全服务原则;c) 应根据信息安全服务类别,通过需求调研、风险评估等手段,提取信息安
9、全保障要求;d) 应根据信息安全保障要求,结合服务对象业务、系统或设备的实际情况,确定信息安全服务目 标;3e) 应按照服务协议所规定的关键节点、交付成果和服务级别要求,记录、监视、检查和评审服务 目标的完成情况及差异程度。数据和业务保护在信息安全服务实施过程中,对信息安全服务需求方的数据和业务进行保护。具体原则如下:a) 在服务实施之前,应与需求方签订数据保护协议,明确规定身份数据、业务数据、系统数据等 保护内容,明确规定最小数据范围、最小特权访问、最小服务用途等保护要求;b) 应对在服务实施过程中所获取得或产生得信息资料,只在服务范围内进行数据合理利用,并采 用必要的安全措施进行妥善保管;
10、c) 应采取相应的措施防止因信息安全服务的实施,影响需求方的系统正常使用和业务正常开展, 或造成对 IT 资产的损害;d) 针对直接作用于信息系统的信息安全实施服务,应事先对服务意外中断或终止的影响进行确认, 并制定应对措施;e) 在服务实施完成之后,应按需求方和服务协议的要求,进行资料、账号、证件等清理工作(例 如:移交、注销、销毁等)。5 能力评估要求信息安全服务能力评估要求适用于风险评估、系统集成、应急处理、系统运维等类别的信息安全服 务认证评估,均分为肆级、叁级、贰级、壹级、特级五个级别,其中特级最高。肆级能力要求综合要求a) 在中华人民共和国境内注册的独立法人组织,产权关系明确。b)
11、 具有与从事信息安全服务相适应的注册资本和实收资本。财务要求a) 企业财务状况良好。b) 企业拥有与从事信息安全服务业务相适应的固定资产和无形资产。信誉要求a) 企业有良好的资信和公众形象,近三年无触犯国家法律法规的行为。b) 企业有良好的履约能力,近三年没有因企业原因造成验收未通过的服务项目或应由企业承担责 任的用户重大投诉。c) 企业近三年无不正当竞争行为。d) 企业遵循国家相关法律法规、标准要求,遵守信息安全服务管理相关规定,近三年无不良征信 记录。制度和体系要求a) 建立完备的质量管理体系,有效运行时间不少于一年。b) 建有服务项目管理流程,对项目过程相关文件进行管理。c) 建有客户服
12、务流程,能有效地为客户提供服务。d) 应对组织内部所有相关人员进行管理制度或管理体系的教育、培训和考核。办公场所要求a) 拥有固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。4人力资源要求a) 企业主要负责人从事信息安全服务企业管理的经历不少于 1 年。b) 企业主要技术负责人具备信息安全服务类别管理能力,应具有与服务类别一致工程师资格,且 从事信息安全服务类别对应技术工作的经历不少于 1 年。c) 企业从事信息安全服务的人员不少于 5 人。d) 信息安全服务项目管理人员人数不少于 1 名。e) 制定服务人员能力培养计划,确保服务人员胜任其承担的职责。保密要求a) 建立保密管理制
13、度。涉及国家秘密的信息安全服务,应按照国家相关的保密法律法规、政策和 标准执行。b) 与信息安全服务相关人员签订保密协议。技术能力要求a) 了解适用的国家信息安全相关法律法规、政策、标准和其他要求,并传达给相关部门及人员。b) 具备承担信息安全服务类别对应项目所需的安全工具。c) 建有信息安全服务类别对应要求的流程,并按照流程实施。服务协议要求a) 信息安全服务供需双方应签订服务协议,明确规定信息安全服务的范围、目标和验收等条款。b) 服务协议中应涉及知识产权条款,明确知识产权侵权责任。叁级能力要求综合要求a) 在中华人民共和国境内注册的独立法人组织,产权关系明确。b) 企业注册资本和实收资本
14、均不少于 100 万元, 或所有者权益合计不少于 100 万元。财务要求a) 企业近三年的信息安全服务收入总额不少于 300 万元,财务数据真实可信,须经在中华人民共和国境内登记的会计师事务所审计。b) 企业建立财务管理制度并有效运行。c) 企业财务状况良好。d) 企业拥有与从事信息安全服务业务相适应的固定资产和无形资产。e) 财务负责人应具有财务系列初级职称。信誉要求a) 企业有良好的资信和公众形象,近三年无触犯国家法律法规的行为。b) 企业有良好的知识产权保护意识,近三年完成的信息安全服务项目中无销售或提供非正版软件 的行为。c) 企业有良好的履约能力,近三年没有因企业原因造成验收未通过的服务项目或应由企业承担责 任的用户重大投诉。d) 企业近三年无不正当竞争行为。e) 企业遵循国家相关法律法规、标准要求,遵守信息安全服务管理相关规定,近三年无不良征信 记录。制度和体系要求a) 应建立质量管理体系,体系须通过国家认可的第三方认证机构认证,且连续有效运行时间不少 于一年。5b) 建有服务项目管理流程,保证服务项目有效实施;c) 建有客户服务流程,能及时、有效地为客户提供服务。d) 能对项目相关文件进行有效
