一、 建立资质认证的目的
本机构制定和实施《电子信息设备维修行业信息安全管控能力资质管理规定》(简称管理规定)的目的:
1.为了规范电子信息设备维修市场,保障人民群众的个人隐私和防止企事业单位电子信息设备在维修期间的信息泄露,从制度和人员素质方面保障信息数据安全,从而给全社会选择信息安全服务提供一种独立、公正的评判依据; 2.为了提高维修企业信息安全管理水平和个人信息安全意识,规范维修工作中相关保障措施,可以提高自身信息安全管控能力,有助于提升各产品生产企业,维修服务企业和从业人员影响力,促进各项维修业务的开展。 3. 为用户选择维修服务提供依据,通过考评和选择,可以增加维修服务企业和从业人员的信任度。
二、适用对象
本规定适用于电子信息产品制造企业,市场销售企业、维修和运维企业以及从事信息安全业务相关单位和个人。
三、维修服务项目类别
维修服务是指从事电子信息设备及系统维修服务项目主要包括以下种类:
1.整机类:计算机、打印机、传真机、复印机、服务器;
2.网络类:路由器、交换机、存储灾备系统;信息安全设备;
3.设备类:UPS、机柜、KVM、图形图像、精密空调;
4.视频系统类:广播会议、视讯会议、GPS/GIS设备;
5.安防类:安防监控设备、防雷接地、消防设备、通信器材;
6.零部件类:计算机配件、智能卡、电源、电线电缆;
7.软件类:操作系统软件、中间件软件、数据库软件、应用软件。
8.移动互联网终端类:智能手机 、可穿戴设备、平板电脑
9.计算机机房设备类 :系统冗余或备份设备 、日志记录留存设备
10.信息安全类:计算机病毒防治与恢复、安全审计和预警设备、身份登记和识别确认系统 、系统安全管理平台恢复、保护系统安全的安全服务 四、企业资质申领与资质评定
(一)企业资质的申领流程
企业申领《电子信息设备维修企业信息安全管控能力等级资质证书 》,首先,应当向深圳市计算机用户协会提出申请,填写《电子信息设备维修企业信息安全管控能力等级资质评定申请书》(简称资质评定申请书)。(可从深圳市计算机用户协会网页下载)。《资质评定申请书》纸质文件一式三份,电子文档一份,并提交下列材料一式三份:
1.营业执照副本复印件;
2.维修企业负责人、技术负责人、安全服务负责人的任职、学历、职称、安全培训、业绩证明材料复印件;
3.专业水平和质量保证相关文档记录;
4.近两年项目承接维修合同及清单的复印件;
5.单位获奖、标准和其他资质认证相关证书。
协会在接到申请材料之日起15日内将安排专家组对申请材料进行书面审查,对其维修服务环境及条件进行现场检查,对所完成的维修服务典型项目进行调查。申请企业应当提供相关的文档和资料,积极予以配合。初审不合格的,退回申请并说明理由。初审合格的,由协会在接到初审材料之日起15日内进行审查,符合条件的,核发资质证书。
(二)各等级资质与企业的管控能力
企业信息安全管控能力资质共分一、二、三、四、五级。各等级具有承担维修相应系统规模或设备价值的管控能力水平。
1.一级管控能力:适用于承接信息安全投资总额 300万以上电子信息系统或设备的维修和技术改造项目。
2.二级管控能力:适用于承接信息安全投资总额 为100万元以下的电子信息系统或设备的维修和技术改造,合作承接信息安全投资总额为300万元以下的电子信息系统或设备的维修和技术改造;
3.三级管控能力:适用于承接信息安全投资总额 为30万元以下的电子信息系统或设备维修和技术改造,合作承接信息安全投资总额为100万元以下的电子信息系统或设备维修和技术改造项目;
4.四级管控能力: 适用于承接信息安全投资总额 为10万元以下的电子信息系统或设备维修项目,合作承接信息安全投资总额为30万元以下的电子信息系统或设备维修项目。
5.五级管控能力: 适用于承接信息安全投资总额为3万元以下的电子信息系统或设备维修项目,适用于合作承接承接信息安全投资总额 为10万元以下的电子信息系统或设备维修项目。
(三)维修企业管控能力资质等级条件
申请管控能力资质的企业必须持有相应经营范围的营业执照,无触犯信息安全相关法律法规的行为,并具备以下条件:
1.一级管控能力资质
1)评测为一级资质水平或持有2级资质证书二年.
2)具有高级信息安全高级资质证书的人员不少于4人,中级资质证书的人员不少于8人,初级资质证书的人员不少于20人。
3)企业信息安全负责人应当具有10年以上从事电子信息系统信息安全技术领域企业管理工作经历,并已获得电子信息系统信息安全高级管理员资质证书,或已获得信息安全高级职称证书。
4)具有健全的信息安全体系、很强的风险评估和处置能力,严密的信息保障措施和人力资源安全管理制度,具有信息安全体系发展规划和制度设计方案 ,设有信息安全研究机构。
2.二级管控能力资质:
1)评测为二级资质水平或持有三级资质证书二年.
2) 具有高级信息安全管理员资质证书的人员不少于2人,中级资质证书的人员不少于4人,初级资质证书的人员不少于10人。
3) 信息安全负责人应当具有8年以上从事电子信息设备信息安全技术领域企业管理工作经历,并已获得电子信息系统信息安全高级管理员资质证书,或已获得信息安全高级职称证书。
4)具有健全的信息安全体系、很强的风险评估和处置能力,严密的信息保障措施和人力资源安全管理制度,具有信息安全体系发展规划和制度设计方案 。
3.三级管控能力资质:
1)评测为三级资质水平或持有四级资质证书二年.
2)具有信息安全高级资质证书的人员不少于1人,中级资质证书的人员不少于2人,初级资质证书的人员不少于10人。
3) 企业信息安全负责人应当具有6年以上从事计算机信息系统安全技术领域企业管理工作经历,并已获得电子信息系统信息安全高级管理员资质证书,或已获得信息安全高级职称证书。
4)具有较健全的信息安全体系、较强的风险评估和处置能力,较严密的信息保障措施和人力资源安全管理制度,具有较完整的信息安全体系发展规划和制度设计方案 。
4 四级管控能力资质:
1)评测为四级资质水平或持有五级资质证书二年.
2)具有信息安全中级资质证书的人员不少于2人,初级资质证书的人员不少于10人。
3)企业信息安全负责人应当具有4年以上从事计算机信息系统安全技术领域企业管理工作经历,并已获得电子信息系统信息安全中级管理员资质证书,或已获得信息安全中级职称证书
4)具有较健全的信息安全体系、较强的风险评估和处置能力,较严密的信息保障措施和人力资源安全管理制度,具有较完整的信息安全体系发展规划和制度设计方案 。
5.五级管控能力资质:
1) 评测为五级资质水平
2)具有信息安全中级资质证书的人员不少于1人,初级资质证书的人员不少于3人。
3)维修服务工作的管理人员应当具有2年以上从事电子信息系统安全技术领域企业管理工作经历,并已获得电子信息系统信息安全中级管理员资质证书,或已获得信息安全中级职称证书
4)具有信息安全体系、风险评估和处置能力,信息保障措施和人力资源安全管理制度,有信息安全体系发展规划和制度设计方案 。
五、信息安全管理员资质申领与评定
企业或个体维修人申领《电子信息设备维修行业信息安全管理员等级证书 》,可向本机构提出申请评定。
(一) 信息安全管理员资质的申领流程
首先,维修人士应当向深圳市计算机用户协会提出申请,填写《电子信息设备维修行业信息安全管理员等级资质评定申请书》(简称管理员资质评定申请书)。(可从深圳市计算机用户协会网页下载)。《管理员资质评定申请书》纸质文件一式两份,电子文档一份,并提交下列材料一式两份:
1. 个人身份证复印件;
2. 个人的任职、学历或职称证明材料复印件;
3. 信息安全培训证书
4. 承接维修合同或从事维修工作的证明材料复印件;
5. 个人获奖和其他资质认证相关证书。
协会在接到申请材料之日起15日内将安排专家组对申请材料进行书面审查,对其维修服务环境及条件进行现场检查,对所完成的维修服务典型项目进行调查。申请个人应当提供相关的文档和资料,积极予以配合。初审不合格的,退回申请并说明理由。初审合格的,由协会在接到初审材料之日起15日内进行审查,符合条件的,核发资质证书。
(二)各等级管理员资质与个人信息安全管控能力
企业信息安全管控能力资质分为高级、中级和初级三个等级。各等级均具有承担维修相应系统规模或设备价值的管控能力水平。
1.初级管控能力:适用于承接信息安全投资总额 为1万元以下小型电子信息系统或设备的维修项目,合作承接信息安全投资总额为3万元以下的小型电子信息系统或设备的维修项目。
2.中级管控能力:适用于承接信息安全投资总额 为10万元以下的中、小型电子信息系统或设备的维修项目,合作开展设备价值总额为30万元以下的中、小型电子信息系统或设备的维修项目。
3.高级管控能力:适用于承接信息安全投资总额 为30万元以下的大、中、小型电子信息系统或设备维修和技术改造项目,合作承接信息安全投资总额为100万元以下的电子信息系统或设备维修和技术改造项目;
(三)各等级管理员资质条件
申报各等级管理员的人士必须与说在单位或用户签订保密协议,并无不良信用记录和违反信息安全相关法律法规的行为。各等级管理员资质要求的其它条件如下:
1.初级管理员资质
1)有一年以上电子信息系统或设备维修经验,或已取得初级职业(职称)证书。
2)掌握信息安全基本知识或有相关培训证书;了解相关法律法规和专业技术知识或有相关证书。
2. 中级管理员资质:
1) 测评为中级管理员水平,或已获得初级信息安全员资质证书两年。
2)了解信息安全体系建设和制度建设,掌握信息安全技术环境和风险评估方法,编制信息安全问题处置方案。
3. 高级管理员资质:
1)评测为高级管理员水平,已获得中级信息安全管理员证书两年,或已取得计算机信息安全高级职称证书。
2)掌握信息安全相关标准,熟悉国家相关法律法规.
六.资质晋级办理
维修企业和个人在取得资质证书两年后,达到较高一级资质条件的,可申请晋升等级,办理程序与初次申请相同。
(七)安全服务资质证书换证
资质证书有效期为3年,每年复议年审。维修企业和个人应当在期满前60日内提交换证申请材料。换证程序与资质证书申请程序相同。逾期不年审,期满不换证的,资质证书作废。
七、升级和降级申报
1.申报资质等级通过的企业或个人,只有在两年后才能办理升级申请手续。
2.如申报企业或个人,在申报资质等级未达标识时,允许在同年降低等级申报。
八、评审机构
本资质评审的机构深圳市科学技术协会专家委员会或深圳市计算机用户协会科技评价委员会。
附:1《电子信息设备维修企业信息安全管控能力等级资质评定申请书》下载
2《电子信息设备维修行业信息安全管理员等级资质评定申请书》下载
|