|
电子信息技术服务行业 |
| 信息安全管控能力资质评定方法 |
|
| |
|
| 一、 制定目的和标准依据 |
|
| 1.目的 |
|
| 本机构制定和实施《电子信息技术服务行业信息安全管控能力资质管理规定》(简称《管理规定》)的目的: |
|
| 1)为了规范电子信息技术服务市场,保障个人隐私和防止企事业单位电子信息设备在接受服务期间或服务后造成信息泄露和信息破坏,从制度和人员素质方面保障信息数据安全,从而给全社会选择信息安全服务提供一种独立、公正的评判依据; |
|
| 2)为了提高技术服务单位信息安全管理水平和个人信息安全意识,规范技术服务工作过程中相关保障措施,可以提高自身信息安全管控能力,有助于提升各产品生产单位,技术服务单位和从业人员影响力,促进各项技术服务业务的开展; |
| 3)为用户选择技术服务单位提供依据,通过考评和选择,可以增加技术服务单位和从业人员的信任度。 |
| 2.标准 |
| 本机构制定和实施《电子信息技术服务行业信息安全管控能力资质管理规定》标准依据是: |
| 1) GB/T 22080-2008《信息技术 安全技术 信息安全管理体系要求》; |
| 2) GB/T22081-2008《信息技术 安全技术 信息安全管理实用规则》; |
| 3) GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》4) GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》;5)GB/T 25070-2010《信息安全技术 信息系统等级保护安全设计技术要求》 |
| 6)GB/T 21052-2007《信息安全技术 信息系统物理安全技术要求》。 |
|
| 二、适用对象 |
|
| 本规定适用于与电子信息相关的技术服务项目,包括从事软件开发服务、安装调试服务、维修服务、检测服务、培训服务与信息安全业务相关单位和个人。 |
|
| 三、技术服务项目类别 |
|
| 技术服务是指从事以下电子信息设备及系统软件开发服务、安装调试服务、维修服务、检测服务、培训服务等项技术服务内容。这些设备及系统主要包括以下种类: |
|
| 1.整机类:计算机、打印机、传真机、复印机、服务器; |
|
| 2.网络类:路由器、交换机、存储灾备系统;信息安全设备; |
|
| 3.设备类:UPS、机柜、KVM、图形图像、精密空调; |
|
| 4.视频系统类:广播会议、视讯会议、GPS/GIS设备; |
|
| 5.安防类:安防监控设备、防雷接地、消防设备、通信器材; |
|
| 6.零部件类:计算机配件、智能卡、电源、电线电缆; |
|
| 7.软件类:操作系统软件、中间件软件、数据库软件、应用软件。 |
|
| 8.移动互联网终端类:智能手机 、可穿戴设备、平板电脑 |
|
| 9.计算机机房设备类 :系统冗余或备份设备 、日志记录留存设备 |
|
| 10.信息安全类:计算机病毒防治与恢复 、安全审计和预警设备、身份登记和识别确认系统 、系统安全管理平台恢复、保护系统安全的安全服务。 |
|
| 四、单位资质申领与资质评定 |
|
| (一)单位资质的申领流程 |
|
| 单位在申领《电子信息技术服务行业信息安全管控能力等级资质证书》时,首先,应当向深圳市计算机用户协会提出申请,填写《电子信息技术服务行业信息安全管控能力资质评定申请书》(简称《单位资质评定申请书》)。该表可从深圳市计算机用户协会网站下载(www.szcua.org)。《单位资质评定申请书》纸质文件一式三份,电子文档一份,并提交下列材料一式三份: |
|
| 1.营业执照副本复印件; |
|
| 2.技术服务单位负责人、技术负责人、安全服务负责人的任职、学历、职称、安全培训、业绩证明材料复印件; |
|
| 3.专业水平和质量保证相关文档记录; |
|
| 4.近两年项目承接技术服务合同及清单的复印件; |
|
| 5.单位获奖、标准和其他资质认证相关证书。 |
|
| 协会在接到申请材料之日起15日内将安排专家组对申请材料进行书面审查,对其技术服务环境及条件进行现场检查,对所完成的技术服务典型项目进行调查。申请单位应当提供相关的文档和资料,积极予以配合。初审不合格的,退回申请并说明理由。初审合格的,由协会在接到初审材料之日起15日内进行审查,符合条件的,核发资质证书。 |
|
| (二)各等级资质与单位的管控能力 |
|
| 单位信息安全管控能力资质共分一、二、三、四、五级。各等级具有承担维修相应系统规模设备价值的管控能力水平。 |
|
| 1.一级管控能力:适用于承接信息安全投资总额 1000万以上电子信息系统设备的维修或相同数额的其它类服务项目。 |
|
| 2.二级管控能力:适用于承接信息安全投资总额 为1000万元以下的电子信息系统设备的维修,或相同数额的其它类服务项目;合作承接信息安全投资总额为2000万元以下的电子信息系统设备的维修,或相同数额的其它类服务项目; |
|
| 3.三级管控能力:适用于承接信息安全投资总额 为500万元以下的电子信息系统设备维修,或相同数额的其它类服务项目;合作承接信息安全投资总额为1000万元以下的电子信息系统设备维修,或相同数额的其它类服务项目; |
|
| 4.四级管控能力: 适用于承接信息安全投资总额 为100万元以下的电子信息系统设备维修,或相同数额的其它类服务项目;合作承接信息安全投资总额为200万元以下的电子信息系统设备,或相同数额的其它类服务项目。 |
|
| 5.五级管控能力: 适用于承接信息安全投资总额为30万元以下的电子信息系统设备维修,或相同数额的其它类服务项目;适用于合作承接信息安全投资总额为60万元以下的电子信息系统设备维修,或相同数额的其它类服务项目 。 |
|
| (三)技术服务单位管控能力资质等级条件 |
|
| 申请管控能力资质的单位必须持有相应经营范围的营业执照,无触犯信息安全相关法律法规的行为,并具备以下条件: |
|
| 1.一级管控能力资质 |
|
| 1)评测为一级资质水平或持有2级资质证书二年. |
|
| 2)具有高级信息安全高级资质证书的人员不少于5人,中级资质证书的人员不少于20人,初级资质证书的人员不少于30人。 |
|
| 3)单位信息安全负责人应当具有10年以上从事电子信息系统信息安全技术领域单位管理工作经历,并已获得电子信息系统信息安全高级管理员资质证书,或已获得信息安全高级职称证书。 |
|
| 4)具有健全的信息安全体系、很强的风险评估和处置能力,严密的信息保障措施和人力资源安全管理制度,具有信息安全体系发展规划和制度设计方案,设有信息安全研究机构。 |
|
| 2.二级管控能力资质: |
|
| 1)评测为二级资质水平或持有三级资质证书二年. |
|
| 2) 具有高级信息安全管理员资质证书的人员不少于3人,中级资质证书的人员不少于15人,初级资质证书的人员不少于25人,或者相当水平等级资质证书和人员数量。 |
|
| 3)信息安全负责人应当具有8年以上从事电子信息设备信息安全技术领域单位管理工作经历,并已获得电子信息系统信息安全高级管理员资质证书,或已获得信息安全高级职称证书。 |
|
| 4)具有健全的信息安全体系、很强的风险评估和处置能力,严密的信息保障措施和人力资源安全管理制度,具有信息安全体系发展规划和制度设计方案。 |
|
| 3.三级管控能力资质: |
|
| 1)评测为三级资质水平或持有四级资质证书二年. |
|
| 2)具有信息安全高级资质证书的人员不少于1人,中级资质证书的人员不少于8人,初级资质证书的人员不少于16人,或者相当水平等级资质证书和人员数量。 |
|
| 3)单位信息安全负责人应当具有6年以上从事计算机信息系统安全技术领域单位管理工作经历,并已获得电子信息系统信息安全高级管理员资质证书,或已获得信息安全高级职称证书。 |
|
| 4)具有较健全的信息安全体系、较强的风险评估和处置能力,较严密的信息保障措施和人力资源安全管理制度,具有较完整的信息安全体系发展规划和制度设计方案。 |
|
| 4.四级管控能力资质: |
|
| 1)评测为四级资质水平或持有五级资质证书二年. |
|
| 2)具有信息安全中级资质证书的人员不少于2人,初级资质证书的人员不少于4人,或者相当水平等级资质证书和人员数量 |
|
| 3)单位信息安全负责人应当具有4年以上从事计算机信息系统安全技术领域单位管理工作经历,并已获得电子信息系统信息安全中级管理员资质证书,或已获得信息安全中级职称证书 |
|
| 4)具有较健全的信息安全体系、较强的风险评估和处置能力,较严密的信息保障措施和人力资源安全管理制度,具有较完整的信息安全体系发展规划和制度设计方案。 |
|
| 5.五级管控能力资质: |
|
| 1)评测为五级资质水平 |
|
| 2)具有信息安全中级资质证书的人员不少于1人或初级资质证书的人员不少于3人。 |
|
| 3)技术服务工作的管理人员应当具有2年以上从事电子信息系统安全技术领域单位管理工作经历,并已获得电子信息系统信息安全中级管理员资质证书,或已获得信息安全中级职称证书 |
|
| 4)具有信息安全体系、风险评估和处置能力,信息保障措施和人力资源安全管理制度,有信息安全体系发展规划和制度设计方案。 |
|
| 五、信息安全管理员资质申领与评定 |
|
| 单位或个体的维修人员申领《电子信息技术服务行业信息安全管理员等级证书》,可向本机构提出申请评定。 |
|
| (一) 信息安全管理员资质的申领流程 |
|
| 首先,申报人士应当向深圳市计算机用户协会提出申请,填写《电子信息技术服务行业信息安全管理员资质评定申请书》(简称《管理员资质评定申请书》)。《管理员资质评定申请书》可从深圳市计算机用户协会网页下载(www.szcua.org) 。《管理员资质评定申请书》纸质文件一式两份,电子文档一份,并提交下列材料一式两份: |
|
| 1. 个人身份证复印件; |
|
| 2. 个人的任职、学历或职称证明材料复印件; |
|
| 3. 信息安全培训证书 |
|
| 4. 承接技术服务的合同或从事工作的证明材料复印件; |
|
| 5. 个人获奖和其他资质认证相关证书。 |
|
| 协会在接到申请材料之日起15日内将安排专家组对申请材料进行书面审查,对其技术服务环境及条件进行现场检查,对所完成的技术服务典型项目进行调查。申请个人应当提供相关的文档和资料,积极予以配合。初审不合格的,退回申请并说明理由。初审合格的,由协会在接到初审材料之日起15日内进行审查,符合条件的,核发资质证书。 |
|
| (二)各等级管理员资质与个人信息安全管控能力 |
|
| 单位信息安全管控能力资质分为高级、中级和初级三个等级。各等级均具有承担维修相应系统规模设备价值的管控能力水平。 |
|
| 1.初级管控能力:适用于承接信息安全投资总额 为5万元以下小型电子信息系统设备的维修项目,或相同数额的其它类服务项目;合作承接信息安全投资总额为15万元以下的小型电子信息系统设备的维修项目,或相同数额的其它类服务项目。 |
|
| 2.中级管控能力:适用于承接信息安全投资总额 为15万元以下的中、小型电子信息系统设备的维修项目,或相同数额的其它类服务项目;合作开展设备价值总额为45万元以下的中、小型电子信息系统设备的维修项目,或相同数额的其它类服务项目。 |
|
| 3.高级管控能力:适用于承接信息安全投资总额 为45万元以下的大、中、小型电子信息系统维修,或相同数额的其它类服务项目;合作承接信息安全投资总额为250万元以下的电子信息系统维修或技术改造项目,或相同数额的其它类服务项目。 |
|
| (三)各等级管理员资质条件 |
|
| 申报各等级管理员的人士必须与说在单位或用户签订保密协议,并无不良信用记录和违反信息安全相关法律法规的行为。各等级管理员资质要求的其它条件如下: |
|
| 1.初级管理员资质 |
|
| 1)有一年以上电子信息系统维修或其它类服务经验,或已取得初级职业(职称)证书。 |
|
| 2)掌握信息安全基本知识或有相关培训证书;了解相关法律法规和专业技术知识或有相关证书。 |
|
| 2.中级管理员资质: |
|
| 1)测评为中级管理员水平,或已获得初级信息安全员资质证书两年。 |
|
| 2)了解信息安全体系建设和制度建设,掌握信息安全技术环境和风险评估方法,编制信息安全问题处置方案。 |
|
| 3.高级管理员资质: |
|
| 1)评测为高级管理员水平,已获得中级信息安全管理员证书两年。 |
|
| 2)掌握信息安全相关标准,熟悉国家相关法律法规或已取得高级计算机信息安全培训证书。 |
|
| 六.资质晋级办理 |
|
| 技术服务单位和个人在取得资质证书两年后,达到较高一级资质条件的,可申请晋升等级,办理程序与初次申请相同。 |
|
| 七.资质证书换证 |
|
| 资质证书有效期为2年,每年复议年审。技术服务单位和个人应当在期满前60日内提交换证申请材料。换证程序与资质证书申请程序相同。逾期不年审,期满不换证的,资质证书作废。 |
|
| 八、升级和降级申报 |
|
| 1.申报资质等级通过的单位或个人,只有在两年后才能办理升级申请手续。 |
|
| 2.如申报单位或个人,在申报资质等级未达标识时,允许在同年降低等级申报。 |
|
| 九、资质评测规则 |
|
| 1.技术服务单位信息安全管控能力资质评测规则(见附件1) |
|
| 2.技术服务单位信息安全员管控能力资质评测规则(见附件2) |
|
| 3.系统及设备维修单位信息安全管控能力资质评测规则(见附件3) |
|
| 4.系统及设备维修单位信息安全管理员资质评测规则(见附件4) |
|
| 十、评审机构 |
|
| 本资质评审的机构深圳市科学技术协会专家委员会或深圳市计算机用户协会科技评测委员会。 |
|
| 十一、本《管理规定》由深圳市计算机用户协会负责解释。 |
|
| 十二、本《管理规定》自2016年11月1日颁布之日起施行。 |
|
|
|
附件一:电子信息技术服务行业信息安全管控能力资质评测规则(略)
| 附件二:技术服务单位信息安全员管控能力资质评测规则(略) |
|
| 附件三:系统及设备维修单位信息安全管控能力资质评测规则 (略) |
|
| 附件四:系统及设备维修单位信息安全管理员资质评测规则(略) | |
