通信网络安全服务能力评定申请指南.docx

1、通信网络安全服务能力评定申请指南通信网络安全服务能力评定申请指南2014中国通信企业协会通信网络安全专业委员会2014年3月20日引 言 3一、 评定依据 5二、 类型与级别划分 5三、 评定准则 5四、 评定流程 64.1通信网络安全服务能力评定工作流程图 64.2申请阶段 74.3材料审查阶段 74.4能力评定阶段 84.4.1书面评定 84.4.2现场评定 84.4.3综合评定 94.4.4出具报告 94.4.5专家评审 94.5证书发放阶段 104.5.1公示 104.5.2签订承诺书 104.5.3颁发证书 10五、 证后监督管理 10六、 争议、投诉与申诉 11七、 联系方式 12

2、引 言 中国通信企业协会通信网络安全专业委员会（简称通信安委会），英文名称为（缩写CNCE-NS）是经工业和信息化部审核同意，民政部核准注册登记（社证字：第4235-9号）的非营利性社会团体,是由工业和信息化部电信研究院作为技术支撑单位，是中国通信企业协会的分支机构。主要职能之一是开展通信网络安全服务能力评定。通信网络安全服务能力评定是对通信网络安全服务单位（简称申请单位）从事通信网络安全服务综合能力的评定，包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况等要素。为提高我国通信网络安全服务质量，确保服务过程的安全可控，促进通信网络安全服务行业的健康发展，协助政府主管部门

3、加强对通信网络安全服务的管理以及全社会选择通信网络安全服务提供客观、公正的参考依据。本指南适用于中国境内的通信网络安全服务单位向通信安委会申请通信网络安全服务能力评定。一、评定依据 通信网络安全服务能力评定是对通信网络安全服务单位从事通信网络安全服务综合能力的评定，包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况等要素。 通信网络安全服务能力评定是依据通信网络安全防护管理办法、电信网与互联网第三方安全服务评定准则YD/T2669-2013、以及通信网络安全服务能力评定管理办法的具体要求，对通信网络安全服务单位的技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、

4、资产状况等方面的综合评定。二、类型与级别划分通信网络安全服务能力分为二个类型：类型一：风险评估类型二：安全设计与集成通信网络安全服务能力等级分为三个级别：一级、二级和三级。一级为最基本级别。三、评定准则 申请能力评定应具备的条件和能力，请参见通信网络安全服务能力评定准则。四、评定流程 4.1通信网络安全服务能力评定工作流程图4.2申请阶段申请单位应先到通信安委会网站（.cn）查看通信网络安全服务能力评定准则、通信网络安全服务能力评定申请指南和下载通信网络安全服务能力评定申请书及有关附件，认真阅读上述文档，了解评定的流程及相关情况，并根据通信网络安全服务能力评定管理办法的规定申报，按照通信网络安

5、全服务能力评定申请书的要求填写申请书、加盖公章并将申请书中所要求的相关材料，包括电子版一并提交给单位注册地行协，在向单位注册地行协递交申请书前，须逐项检查所填报材料的完整性和正确性。4.3材料审查阶段单位注册地行协或通信安委会接到申请单位所提交的正式申请书及相关资料后，对申请材料进行材料形式性审查，以确认申请单位是否满足资质的基本资格要求，提交材料是否完整。材料形式审查包括对申请单位所提交材料进行完整性和齐备性的审查以及对申请单位的进一步调查和沟通。如果材料需要补充说明的，单位注册地行协告知申请单位一次性补齐材料。当通过材料形式审查阶段后，单位注册地行协将正式受理该申请。自接到申请材料之日起十

6、五个工作日内完成上述工作。通知申请单位签订评定服务合同及交纳费用等事宜。自接到申请单位交费凭证之日起进入能力评定阶段。4.4能力评定阶段当申请单位通过材料形式审查并交纳了相关费用后，正式进入能力评定阶段。能力评定阶段包括：书面评定、现场评定、综合评定，出具报告（评定部分）和专家评审五个步骤。单位注册地行协或通信安委会分别组建各自的技术专家库，每批评定至少从专家库中随机抽取3名专家进行评定。通信安委会专家指导组成员组成评审专家组，每批评审至少从专家组中随机抽取5名专家进行评审。自接到申请单位交费凭证之日起七十个工作日内完成上述工作。4.4.1书面评定书面评定是对申请单位提交的申请材料进行符合性审

7、查，近而对申请单位的通信网络安全服务能力做出基本判断，初步确定申请单位的安全服务能力水平状况，为现场评定做准备。如果书面评定阶段发现有需要申请单位补充说明的内容，单位注册地行协或通信安委会将要求申请单位进一步补充资料，便于完整的反映申请单位的客观情况。4.4.2现场评定现场评定是对申请单位从事通信网络安全服务的综合能力，包括:技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面进行核实和确认。通过书面评定后，单位注册地行协或通信安委会将与申请单位沟通现场评定事宜，技术专家组前往申请单位实际办公场所进行现场评定。4.4.3综合评定综合评定将依据书面评定和现场

8、评定的结果，对申请单位的通信网络安全服务能力进行综合评定。4.4.4出具报告技术专家组出具报告（评定部分）。4.4.5专家评审单位注册地行协提交申请一级的报告（评定部分）至通信安委会。通信安委会根据报告（评定部分），组织专家评审组对申请单位的通信网络安全服务能力（包括一、二、三级）进行评审，得出评审结果，出具报告（评审部分）。4.5证书发放阶段4.5.1公示评审通过的，通信安委会对通信网络安全服务能力评定结果和监督检查结果通过通信安委会官方网站向社会公布结果。4.5.2签订承诺书公示期满，申请单位正式签署承诺书，并将承诺书原件反馈给通信安委会。通信安委会接到申请单位签署承诺书进行证书颁发。4.

9、5.3颁发证书中国通信企业协会进行评定证书的审批和注册以及备案等相关工作。能力资格审定时间为一年两次，每半年进行一次。五、证后监督管理获证单位需不断提高自身通信网络安全服务的能力。单位注册地行协是对获证的通信网络安全服务单位能力保持的监督检查和能力变更的管理。单位注册地行协将通过年检、申诉投诉、现场核查以及对通信网络安全典型性项目进行抽样检查来验证获证单位的能力。所有等级证书有效期为三年。单位注册地行协对获证单位每年进行一次年检，通信安委会每年抽取部分获证单位进行必要的核查。获证单位在证书到期前提交证书维持申请。获证后，每年在证书签发之日前一个月内，获证单位要向单位注册地行协提交证书原件和年度

10、调查表，并到单位注册地行协或通信安委会办理年检。年检工作按照通信网络安全服务能力评定管理办法中相关规定实施。单位注册地行协年检中发现获证单位不符合资格评定要求的，将给予降级或取消证书。在证书有效期届满前三个月内，由获证单位提出证书维持申请。证书原评定单位对维持申请单位进行评定，内容包括：申请单位获证期间通信网络安全服务能力维持情况、通信网络安全服务项目实施情况、通信网络安全服务质量保证情况等内容，以确定申请单位符合通信网络安全服务能力等级要求的持续性。若获证单位相关资料变动时，须及时通知单位注册地行协，并申请更改。获证的通信网络安全服务单位发生分立、合并后原有证书应交由公司注册地行协重新审查。

11、获证单位获证后，可根据自身能力的提升情况，向公司注册地行协提出能力评定升级的申请。六、争议、投诉与申诉对单位注册地行协或通信安委会从事通信网络安全服务能力评定过程中所作的除纯理论、纯技术问题外的任何决定、结论、观点等有不同看法的，可向通信安委会提出书面申诉。通信安委会将会责成与所申诉、投诉事项无利益相关的人员进行调查，在调查基础上做出结论。获证单位应妥善处理因自身行为而发生的投诉，保留记录并采取措施防止问题的再发生。通信安委会将在必要时查阅获证单位的申诉、投诉记录。七、联系方式名称：中国通信企业协会通信网络安全专业委员会通信网络安全服务能力评定中心 电话：传真：地址： 100045名称：北京市通信行业协会电话：传真：邮箱：名称：天津市通信行业协会电话：传真：邮箱：名称：黑龙江省通信行业协会电话：传真：邮箱：名称：江苏省通信行业协会电话：传真：邮箱：名称：浙江省通信行业协会电话：传真：邮箱：名称：江西省通信行业协会电话：传真：邮箱：名称：湖南省通信行业协会电话：传真：邮箱：名称：广东省通信行业协会电话：传真：邮箱：名称：重庆市通信行业协会电话：传真：邮箱：名称：海南省通信行业协会电话：传真：邮箱：名称：宁夏区通信行业协会电话：传真：邮箱：