亚洲国产一区二区欧美精品_经典日韩中文字幕综合网_最新精品无码片在线观看_你懂的国产亚洲小视频在线观看_網友分享久久精品视频网址导航心得_日韩在线播放亚洲精品_福利精品亚洲不卡顿_2021色噜噜狠狠综曰曰曰_日本japanese丰满白浆_国产大学生美女av片在线看无毒

ITSEC信息安全服務(wù)資質(zhì)認(rèn)定是對信息安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)、能力和穩(wěn)定性、可靠性進(jìn)行評估，依據(jù)公開的標(biāo)準(zhǔn)和程序，對其安全服務(wù)保障能力進(jìn)行評定和確認(rèn)。為我國信息安全服務(wù)行業(yè)的發(fā)展和政府主管部門的信息安全管理以及全社會選擇信息安全服務(wù)提供一種獨(dú)立、公正的評判依據(jù)。

信息安全服務(wù)（風(fēng)險(xiǎn)評估類）資質(zhì)認(rèn)定是對信息安全風(fēng)險(xiǎn)評估服務(wù)提供者的綜合實(shí)力的客觀評價(jià)和確認(rèn)，信息安全服務(wù)（風(fēng)險(xiǎn)評估類）資質(zhì)級別反映了信息安全風(fēng)險(xiǎn)評估服務(wù)提供者從事信息安全風(fēng)險(xiǎn)評估服務(wù)保障能力的成熟程度。資質(zhì)級別劃分的主要依據(jù)包括：基本資格與基本能力要求、安全風(fēng)險(xiǎn)評估過程能力要求、項(xiàng)目與組織管理能力要求和其他補(bǔ)充要求等。

信息安全服務(wù)資質(zhì)分為五個(gè)級別，由一級到五級依次遞增，一級是最基本級別，五級為最高別。

一級：基本執(zhí)行級

二級：計(jì)劃跟蹤級

三級：充分定義級

四級：量化控制級

五級：持續(xù)改進(jìn)級

其是依據(jù)《信息安全服務(wù)資質(zhì)評估準(zhǔn)則》和不同級別的信息安全服務(wù)資質(zhì)（風(fēng)險(xiǎn)評估類）具體要求，在對申請組織的基本資格、技術(shù)實(shí)力、信息安全風(fēng)險(xiǎn)評估服務(wù)能力以及安全風(fēng)險(xiǎn)評估項(xiàng)目的組織管理水平等方面的評估結(jié)果基礎(chǔ)上的綜合評定后，由中國信息安全測評中心給予相應(yīng)的資質(zhì)級別。

1．一定程度上可證明公司在安全實(shí)施項(xiàng)目中的實(shí)力；

2．可用于政府、金融等行業(yè)招標(biāo)投標(biāo)項(xiàng)目，提高競爭力；

3．可以提升公司在實(shí)施項(xiàng)目中的服務(wù)管理能力、服務(wù)技術(shù)能力、服務(wù)過程能力及服務(wù)人員的能力；

4．提高公司市場占有率，提升企業(yè)形象。

申請信息安全服務(wù)（安全開發(fā)類一級）資質(zhì)的組織需要在基本資格和基本能力、安全開發(fā)過程能力和項(xiàng)目與組織過程能力等幾個(gè)方面符合《信息安全服務(wù)資質(zhì)具體要求（安全開發(fā)類一級）》的規(guī)定。

3.1 基本資格要求

申請信息安全服務(wù)（安全開發(fā)類一級）資質(zhì)的組織必須是一個(gè)獨(dú)立的實(shí)體，具有工商行政管理部門頒發(fā)的營業(yè)執(zhí)照，并遵守國家現(xiàn)行法律法規(guī)。

3.2 基本能力要求

3.2.1 組織與管理要求

1．必須擁有健全的組織和管理體系，為持續(xù)的信息安全開發(fā)服務(wù)提供保障；

2．必須具有專業(yè)從事信息安全開發(fā)的隊(duì)伍和相應(yīng)的質(zhì)量保證；

3．必須具有比較完善的安全管理機(jī)制，保證開發(fā)的產(chǎn)品安全；

4．與安全開發(fā)服務(wù)相關(guān)的所有成員要簽訂保密合同，并遵守有關(guān)法律法規(guī)。

3.2.2 技術(shù)能力要求

了解信息技術(shù)的最新動向，有能力掌握信息系統(tǒng)的最新技術(shù)；

具有不斷的技術(shù)更新能力；

具有對信息系統(tǒng)和信息技術(shù)產(chǎn)品面臨的安全威脅、存在的安全隱患進(jìn)行信息收集、識別、分析和提供防范措施的能力；

具有對用戶信息系統(tǒng)和信息技術(shù)產(chǎn)品安全風(fēng)險(xiǎn)的分析和處理能力；

具有對開發(fā)的產(chǎn)品進(jìn)行安全檢測和驗(yàn)證的能力；

具有對信息技術(shù)產(chǎn)品安全進(jìn)行有效維護(hù)的能力；

有跟蹤、了解、掌握、應(yīng)用國際、國家和行業(yè)標(biāo)準(zhǔn)的能力。

3.2.3 人員構(gòu)成與素質(zhì)要求

具有充足的人力資源和合理的人員結(jié)構(gòu)；

所有與信息安全開發(fā)有關(guān)人員應(yīng)具有基本的信息安全知識；

有相對穩(wěn)定的從事信息安全開發(fā)的技術(shù)隊(duì)伍；

技術(shù)骨干人員應(yīng)系統(tǒng)地掌握信息安全基礎(chǔ)理論和核心技術(shù)，并有足夠的專業(yè)工作經(jīng)驗(yàn)；

必須有2名以上(含2名)專職的注冊信息安全專業(yè)人員(CISE或CISD)。

3.2.4 設(shè)備、設(shè)施與環(huán)境要求

具有固定的工作場所和良好的工作環(huán)境；

具有先進(jìn)的開發(fā)、生產(chǎn)和測試設(shè)備與工具；

3.2.5 規(guī)模與資產(chǎn)要求

有足夠的注冊資金和充足的流動資金；

有足夠的人員從事與信息安全開發(fā)相關(guān)的活動。

具有與所申請安全服務(wù)業(yè)務(wù)范圍、承擔(dān)的安全開發(fā)規(guī)模相適應(yīng)的服務(wù)體系；

3.2.6 業(yè)績要求

應(yīng)有從事信息安全開發(fā)的經(jīng)驗(yàn)；

近3年內(nèi)在信息安全開發(fā)方面，沒有出現(xiàn)驗(yàn)收未通過的情況。

3.3 安全開發(fā)過程能力要求

安全開發(fā)過程能力是評價(jià)信息安全開發(fā)專業(yè)水平高低的標(biāo)志。

申請組織應(yīng)能實(shí)施以下9個(gè)安全開發(fā)過程域：

1．安全意識和安全教育；

2．啟動安全開發(fā)過程；

3．產(chǎn)品風(fēng)險(xiǎn)評估和分析；

4．定義安全設(shè)計(jì)原則；

5．提供安全文檔和安全配置工具；

6．進(jìn)行安全編碼；

7．進(jìn)行安全測試；

8．安全最終評審與產(chǎn)品發(fā)布；

9．安全響應(yīng)服務(wù)。

3.4 項(xiàng)目和組織過程能力要求

項(xiàng)目和組織過程能力是評價(jià)信息安全開發(fā)過程規(guī)范性和質(zhì)量保證成熟度標(biāo)志。

申請組織應(yīng)能實(shí)施以下6個(gè)項(xiàng)目和組織過程域：

1．質(zhì)量保證；

2．管理配置；

3．管理項(xiàng)目風(fēng)險(xiǎn)；

4．規(guī)劃技術(shù)活動；

5．監(jiān)控技術(shù)活動；

6．提供不斷發(fā)展的技能和知識；與供應(yīng)商協(xié)調(diào)