信息安全灾难恢复服务资质中国信息安全测评中心.docx
《信息安全灾难恢复服务资质中国信息安全测评中心.docx》由会员分享,可在线阅读,更多相关《信息安全灾难恢复服务资质中国信息安全测评中心.docx(9页珍藏版)》请在冰豆网上搜索。
信息安全灾难恢复服务资质中国信息安全测评中心
国家信息安全服务资质
灾难恢复服务资质(一级)认证指南
(试行)
©版权2008—中国信息全安全测评中心
2008年5月1日
目录
目录I
一、认证依据1
二、级别划分2
三、认证要求3
(一)基本资格要求3
(二)基本能力要求3
1、组织与管理要求3
2、技术能力要求3
3、人员构成与素质要求4
4、设备、设施与环境要求4
5、规模与资产要求4
6、业绩要求4
(三)灾难恢复服务过程能力4
四、申请流程6
(一)申请流程图6
(二)申请阶段7
(三)资格审查阶段7
(四)能力测评阶段7
1、静态评估7
2、现场审核7
3、综合评定8
4、认证审核8
(五)证书发放阶段8
五、监督、维持和升级9
六、处置10
七、争议、投诉与申诉11
八、认证企业档案12
九、认证费用及周期13
1、认证依据
信息安全灾难恢复服务资质评估是对信息系统灾难恢复服务提供者的资格状况、技术实力和实施灾难恢复服务过程能力等方面的具体衡量和评价。
信息安全灾难恢复服务资质,是依据《信息安全服务资质评估准则》、《信息安全灾难恢复服务能力评估准则》等相关要求,在对申请组织的基本资格、技术实力、信息安全灾难恢复服务能力以及工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息全安全测评中心给予的资质认证。
2、级别划分
信息安全灾难恢复服务资质级别是对提供信息安全灾难恢复服务组织综合实力的客观评价,反映了组织的信息安全灾难恢复服务资格、水平和能力。
资质级别划分的主要依据包括:
基本资格要求、基本能力要求、灾难恢复服务过程能力和其他补充要求等。
灾难恢复服务过程能力级别是评定信息安全灾难恢复服务组织资质的主要标志,标志着服务组织提供给客户的灾难恢复服务专业水平和质量保证程度。
《信息安全灾难恢复服务资质评估准则》将信息安全灾难恢复服务组织的过程能力分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
●一级:
基本执行级
●二级:
计划跟踪级
●三级:
充分定义级
●四级:
量化控制级
●五级:
持续改进级
灾难恢复服务过程能力以及项目和组织过程能力级别的高低,标志着从事灾难恢复服务组织的能力成熟程度,即已完成过程的管理和制度化程度的高低。
申请信息安全灾难恢复服务资质级别认证的组织需要符合相应灾难恢复过程能力以及项目和组织过程能力级别。
3、认证要求
申请信息安全灾难恢复服务资质(一级)认证的组织需要符合以下几项要求:
(1)基本资格要求
基本资格要求是评定信息安全灾难恢复服务资质的起评条件,申请信息安全灾难恢复服务资质(一级)的组织必须满足以下基本资格要求:
1.是具有独立法人地位的实体;
2.具有工商行政管理部门发给的合法营业执照;
3.遵守国家现行法律法规。
(2)基本能力要求
基本能力要求包括:
组织与管理要求,技术能力要求,设备、人员构成与素质要求,设施与环境要求,规模和资产要求,业绩要求和其他要求。
1、组织与管理要求
1.必须拥有健全的组织机构和管理体系,为持续的信息安全灾难恢复服务提供保证;
2.必须具有专业从事信息安全灾难恢复服务的队伍和相应的质保体系;
3.从事信息安全灾难恢复服务的所有成员要签订保密合同,并遵守有关法律法规。
2、技术能力要求
1.了解信息安全技术的最新动向,有能力掌握信息系统领域的最新技术;
2.具有不断的技术更新能力;
3.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
4.能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;
5.具有对发生的突发性灾难事件进行分析和解决的能力;
6.具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;
7.具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力;
8.具有对集成的信息系统进行检测和验证的能力;
9.有能力对信息系统系统进行有效的维护;
10.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
3、人员构成与素质要求
1.具有充足的人力资源和合理的人员结构;
2.所有与信息安全灾难恢复服务有关的管理和销售人员应具有基本的信息安全知识;
3.有相对稳定的从事信息安全灾难恢复服务的专业技术队伍,专业队伍人员应系统地掌握信息安全灾难恢复及信息安全灾难恢复基础理论和核心技术,并有足够的专业工作经验;
4.从事信息安全灾难恢复服务的管理、销售和技术的专业人员中,拥有CNITSEC专业资质证书的人员不少于总人数的10%,其中必须至少有2名具有CISP-DRP资质的人员,4名具有CISM-DRP资质的人员。
4、设备、设施与环境要求
1.具有固定的工作场所和良好的工作环境;
2.具有先进的开发、测试或模拟环境;
3.具有先进的开发、生产和测试设备;
4.具有实施相关服务必需的开发、生产和测试工具。
5、规模与资产要求
1.有足够的注册资金和充足的流动资金,其中注册资产应在100万元以上,流动资金占注册资产的20%以上;
2.近3年的财务状况良好,提供相应证明;
3.申请信息安全灾难恢复服务的组织应具有与所申请灾难恢复服务业务范围、承担的灾难恢复服务规模相适应的服务体系;
4.有足够的人员从事直接与信息安全灾难恢复服务相关的活动。
6、业绩要求
1.从事信息安全服务3年以上;
2.近3年完成的信息安全灾难恢复服务的项目总值应在100万以上;
3.近3年内在信息安全灾难恢复服务方面,没有出现验收未通过的项目。
(3)灾难恢复服务过程能力
灾难恢复过程能力包括:
1.灾难恢复需求确定的能力;
2.灾难恢复策略制定的能力;
3.灾难恢复资源获取方式确定的能力;
4.灾难恢复资源要求确定的能力;
5.灾难备份系统技术方案实现的能力;
6.灾难备份中心选择和建设的能力;
7.技术支持实现的能力;
8.运行维护管理的能力;
9.灾难恢复预案制定的能力;
10.灾难预案的教育、培训和演练的能力;
11.灾难恢复预案管理的能力。
项目和组织过程能力包括:
1.实现质量保证的能力;
2.实现配置管理的能力;
3.管理项目风险的能力;
4.监控技术活动的能力;
5.规划技术活动的能力;
6.管理系统工程支持环境的能力;
7.提供不短发展的技能和知识的能力;
8.与供应商协调的能力。
4、申请流程
(1)申请流程图
(2)申请阶段
申请灾难恢复服务资质的组织应首先到中国信息全安全测评中心(以下简称CNITSEC)网站()查看并下载《信息安全灾难恢复服务资质认证指南》、《信息安全灾难恢复服务资质申请流程》、《信息安全灾难恢复服务能力测评准则》和《信息安全灾难恢复服务资质申请书》,了解认证的流程及相关情况,确定本组织满足认证的基本资格要求和基本能力要求。
当决定申请信息安全灾难恢复服务资质(一级)后,根据《信息安全灾难恢复服务资质(一级)申请书》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC,同时提交申请费。
(3)资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,资格审查包括对申请单位所提交资料进行的形式化审查以及同申请单位的调查沟通,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将向申请组织发出受理通知书,正式受理该认证申请,并通知相关费用的缴纳事宜等。
(4)能力测评阶段
当申请组织通过资格审查阶段并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和认证审核四个步骤:
1、静态评估
静态评估是对申请组织资料进行符合性审查,了解申请组织的信息安全灾难恢复服务能力以及质量管理能力,为现场审核作准备。
如果静态评估阶段发现有不符合审查要求的内容,CNITSEC仍有权利要求申请组织补充资料,确保申请资料的内容最大程度反映申请组织的各方面的资格和能力情况。
2、现场审核
当申请组织通过静态评估符合性审查后,CNITSEC将与申请组织沟通现场审核事宜,发出现场审核计划,安排审核组进行现场审核。
现场审核是对申请组织的信息安全灾难恢复服务能力进行现场核实和确认。
现场审核结束后,评审组提交现场审核结果供综合评定使用。
3、综合评定
在综合评定阶段,将依据资格审查的结果、静态评估的结果以及现场审核结论,对申请组织的基本资格、基本能力、灾难恢复服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。
申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过认证。
逾期未整改的,视作整改不符合。
4、认证审核
认证审核将根据综合评定的结果,由认证决定委员会组织相关委员和专家进行认证评审,做出认证决定。
(5)证书发放阶段
对通过认证决定的申请组织,CNITSEC将发放证书,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
5、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全灾难恢复服务体系以保持其信息安全灾难恢复能力。
CNITSEC将通过申诉系统、年度监督调查、现场见证以及灾难恢复服务项目进行抽样检查等方式来验证获得资质的组织的服务资格和能力。
证书每三年进行一次维持换证,在三年有效期内实行年确认制度。
获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交年度调查表,并到CNITSEC办理年检。
在证书有效期届满前90天内,由获证组织提出维持换证申请。
CNITSEC监督发现获证组织不符合原认证要求的,将要求其限期整改,整改后仍不合格,CNITSEC有权暂停或取消证书。
获得资质等级证书的组织,由于自身条件的改变,可向CNITSEC提出升级申请,升级可根据更高级别申请要求进行申请。
6、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以处罚。
处罚方式包括:
警告、限期整改、暂停证书、取消证书。
7、争议、投诉与申诉
对CNITSEC所做的评审、监督复查、维持审查、处置等决定有异议时,可向CNITSEC提出书面申诉。
CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
每个获证组织都应妥善处理因组织自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。
CNITSEC将在必要时查阅认证企业的申诉/投诉记录。
8、认证企业档案
CNITSEC将对每个认证企业建立专项档案,所有资料将保存10年以上,升级,年度确认或者维持换证时,只需补交所要求的相应材料,CNITSEC实行记录累加制度。
9、认证费用及周期
根据国家计委和国家质量技术监督局《产品质量认证收费管理办法》(计价格[1999]1610号),信息安全灾难恢复服务资质认证收费划分为如下四个部分:
(1)申请费:
2000元
(2)评审费:
3000元/人日
(3)审定与注册费(含证书费):
3000元
(4)年金(含标志使用费):
5000元/年。
一级认证费用:
2000+3000*3*3(三人三日)+3000+5000=37000元。
从受理到颁发证书的周期为三个月,中间由于申请方原因(如,资料补充需要的时间等)造成的时间不计算在内。
升级会员 