国家信息安全测评
国家信息安全测评公告(2024年第1号)
国家信息安全测评公告(2024年第1号)
无
【期刊名称】《中国信息安全》
【年(卷),期】2024()1
【摘要】中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估;信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。
根据国家职能授权,测评结果定期向社会公布。
【总页数】6页(P107-112)
【作者】无
【作者单位】中国信息安全测评中心
【正文语种】中文
【中图分类】TP3
【相关文献】
1.国家信息安全等级保护工作协调小组办公室关于发布《全国信息安全等级保护测评机构推荐目录》的公告/信息安全等级保护政策培训教程正式出版发行
2.国家信息安全测评公告(2023年第3号)
3.国家信息安全测评公告(2023年第2号)
4.国家信息安全测评公告(2023年第1号)
5.国家信息安全测评公告(2023年第4号)
因版权原因,仅展示原文概要,查看原文内容请购买。
国家信息安全测评认证标准体系
概述—标准化基础
• 国际通行“标准化七原理”:
–原理1---简化 –原理2---协商一致 –原理3---实践、运用 –原理4---选择、固定 –原理5---修订 –原理6---技术要求+试验方法+抽样 –原理7---强制性适应于:安全、健康、环保等
益; – 合理发展产品品种,提高企业应变能力,以更好地满足社会需求; – 保证产品质量,维护消费者利益; – 在社会生产组成部分之间进行协调,确立共同遵循的准则,建立稳定的秩序; – 在消除贸易障碍,促进国际技术交流和贸易发展,提高产品在国际市场上的
竞争能力方面具有重大作用; – 保障身体健康和生命安全。大量的环保标准、卫生标准和安全标准制定发布
不包括密码算法固有质量评价准则标准的应用范围关键概念保护轮廓ppprotectionprofile安全目标stsecuritytarget评估保证级ealevaluationassurancelevel评估对象toe产品系统子系统保护轮廓pp同tcsec级类似pp保护轮廓引言11pp标识12pp概述标识pp叙述性总结pptoe描述toe的背景信息安全环境31假设32威胁33组织性安全策略指明安全问题要保护的资产已知的攻击方式toe必须使用的组织性安全策略安全目的41toe安全目的42环境安全目的对安全问题的相应反应包括非技术性措施安全要求51toe安全功能要求52toe安全保证要求53环境安全要求cc第二部分的功能组件cc第三部分的保证组件基本原理61安全目的基本原理62安全要求基本原理目的和要求可以解决已指出的安全问题应用注解附加信息安全目标st与itsecst类似st安全目标引言11st标识12st概述13cc一致性声明标识st和toe包括版本号叙述性总结sttoe描述toe背景信息评估环境安全环境31假设32威胁33组织性安全策略指明安全问题要保护的资产已知的攻击toe必须使用的组织性安全策略假定的安全问题安全目的41toe安全目的42环境安全目的对安全问题的相应反应包括非技术性措施安全要求51toe安全功能要求52toe安全保证要求53环境安全要求cc第二部分的功能组件cc第三部分的保证组件toe概要规范61toe安全功能62保证措施安全功能满足哪一个特定的安全功能要求保证措施满足哪一个特定的安全保证要求保护轮廓声明71pp参照72pp细化73pp附加项解释证明和其他支持材料以证实一致性声明基本原理81安全目的基本原理82安全要求基本原理83toe概要规范基本原理84pp声明基本原理安全目的安全要求it安全功能和保证措施可以解决已指出的安全问题功能保证结构类如用户数据保护fdp关注共同的安全焦点的一组族覆盖不同的安全目的范围子类如访问控制fdpacc共享安全目的的一组组件侧重点和严格性不同组件如子集访问控制fdpacc1包含在ppst包中的最小可选安全要求集组件组件可以进一步细化类class子类family子类family组件组件组件组件功能和保证ppst包用户数据保护fdp13标识和鉴别fiatoe安全功能保护fpt16资源利用frutoe访问fta135个组件135个组件保证对功能产生信心的方法安全保
国家信息安全测评信息安全服务资质申请指南
国家信息安全测评信息安全服务资质申请指南一、背景信息为了加强国家的信息安全保障体系建设,确保国家重要信息基础设施的安全可靠性,国家信息安全测评信息安全服务资质一级认定成为一项重要工作,旨在通过符合一定标准的企事业单位,提供具备一定专业技术和经验的信息安全测评服务。
二、申请资格符合以下条件的企事业单位可以申请国家信息安全测评信息安全服务资质一级认定:1.企事业单位在安全工程领域从事信息安全测评服务满5年;2.企事业单位拥有独立的安全测评实验室和专业人员;3.企事业单位拥有较强的资金实力和技术实力;4.企事业单位具备相关信息安全测评服务相关证书;5.企事业单位具备良好的商业信誉和服务能力。
三、申请材料准备以下材料进行申请:2.企事业单位资质证书复印件:包括企业工商营业执照、安全测评相关证书等;3.企事业单位人员情况:包括安全工程师、安全测评员等专业人员的姓名、证书等;4.企事业单位实验室情况:包括实验室的设备情况、技术能力等;5.企事业单位资金实力:包括企业财务报表、资产状况等;6.企事业单位企业信用报告:由相关部门提供的企业信用情况报告。
四、申请流程2.准备申请材料:根据要求准备所需材料,并进行复印件;3.递交申请材料:将申请表格和相关材料一起递交至国家信息安全测评信息安全服务资质认定机构;6.结果通知:资格审核机构根据审核结果,通知申请单位是否获得资质认定;7.颁发证书:如获得资质认定,资格审核机构将颁发资质认定证书。
五、注意事项1.申请单位应遵守国家相关法律法规,确保申请材料真实、准确;2.申请单位应配备符合要求的专业人员,保证信息安全测评服务的质量;4.申请单位应保障客户信息的保密性,不得泄露相关信息;5.申请单位应定期进行资质认定复审,确保服务质量和技术能力的持续提升。
六、结语国家信息安全测评信息安全服务资质一级认定是一项重要工作,对于保障国家信息安全具有重要意义。
企事业单位在申请过程中,应遵守相关法律法规,提供真实准确的申请材料,并保证服务质量和技术能力的不断提升,为国家信息安全事业做出贡献。
国家信息安全测评
国家信息安全测评国家信息安全测评是指对一个国家在信息安全领域的整体情况进行评估和分析,以便及时发现存在的问题和隐患,并采取相应的措施加以解决和改进。
信息安全是现代社会的重要组成部分,关乎国家的长治久安和人民的切身利益,因此国家信息安全测评显得尤为重要。
首先,国家信息安全测评需要全面梳理国家信息系统的基本情况,包括政府部门、企事业单位、金融机构、教育科研机构等各个领域的信息系统情况。
这需要对各个系统的规模、功能、安全等级等进行详细的了解和分析,以便全面把握国家信息系统的整体情况。
其次,国家信息安全测评需要对国家信息基础设施的安全情况进行评估。
信息基础设施是信息社会的基础,包括通信网络、数据中心、云计算等各种信息基础设施,其安全情况直接关系到国家信息安全的整体状况。
因此,对信息基础设施的安全性进行全面的评估,对于发现潜在的安全隐患,及时采取措施加以解决十分必要。
再次,国家信息安全测评需要对信息安全法律法规的健全性和执行情况进行评估。
信息安全法律法规的健全与否,直接关系到国家信息安全的保障能力。
因此,对信息安全法律法规的完善程度和执行情况进行评估,对于发现存在的问题和不足,及时进行修订和改进,以加强信息安全法律法规的约束力和保障能力。
最后,国家信息安全测评需要对信息安全意识和技术水平进行评估。
信息安全意识和技术水平是保障国家信息安全的重要因素,只有全社会都具备了良好的信息安全意识和高水平的信息安全技术,才能够有效地保障国家信息安全。
因此,对信息安全意识和技术水平进行评估,对于发现存在的问题和不足,及时进行宣传培训和技术提升,以提高全社会的信息安全保障能力。
总之,国家信息安全测评是一项系统性的工作,需要全社会的共同努力和参与。
只有将国家信息安全测评工作做得全面、深入、细致,才能够更好地保障国家信息安全,确保国家长治久安。
希望相关部门和单位能够高度重视国家信息安全测评工作,加强协作,共同推动国家信息安全事业的发展和进步。
国家信息安全测评认证
人工智能、机器学习等技术的应用,提高测评认证的自动化和智能化 水平
区块链技术的应用,提高测评认证的可信度和安全性ቤተ መጻሕፍቲ ባይዱ
国际合作与交流,推动测评认证标准的国际化和互认
挑战:技术更新换代迅速,需要不断更新测评标准和方法 挑战:信息安全威胁日益严重,需要加强测评认证的力度和范围 机遇:国家政策支持,推动信息安全测评认证行业的发展 机遇:市场需求增长,为信息安全测评认证行业带来更多商机
信息安全测评的重要性:保障国家信息安全,维护国家安全 测评方法:采用科学的测评方法和技术,确保测评结果的准确性和可靠性 测评结果应用:将测评结果应用于信息安全防护和改进,提高信息安全水平 教训:在测评过程中,需要注意信息安全风险,防止信息泄露和攻击。
Part Five
技术进步:随着科技 的发展,信息安全测 评认证技术将更加先 进和智能化
保障信息安全: 通过测评认证, 确保信息系统
的安全性
提高企业竞争 力:通过测评 认证,提高企 业在市场中的
竞争力
促进行业发展: 通过测评认证, 推动信息安全
行业的发展
增强用户信心: 通过测评认证, 增强用户对信 息系统的信任
和信心
Part Three
测评认证机构:国家信息安全测评中心、中国信息安全测评中心等 测评流程:申请、受理、测评、报告、认证等 测评内容:信息安全技术、管理、人员等方面的测评 认证结果:颁发认证证书,证明企业或产品的信息安全水平。
汇报人:
Part Six
国家信息安全测评认证的重要性:保障国家安全,维护社会稳定
测评认证的现状:存在不足,需要进一步完善
建议:加强监管,提高测评认证的准确性和权威性 结论:国家信息安全测评认证是保障国家安全的重要手段,需要不断完 善和加强。
中国信息安全测评中心
中国信息安全测评中心中国信息安全测评中心(China Information Security Evaluation Center,CISEC)是中国国家信息安全测评机构,负责对各类信息系统和产品进行安全测评和认证。
作为中国信息安全领域的权威机构,CISEC在信息安全技术、标准和管理方面发挥着重要作用。
本文将介绍CISEC的职能、作用以及其在信息安全领域的重要性。
CISEC的职能主要包括对信息系统和产品进行安全测评、认证和监督检查。
在信息系统方面,CISEC负责对政府部门、金融机构、电信运营商等重要单位的信息系统进行安全测评,评估其在保护重要信息资产、防范网络攻击、应对突发安全事件等方面的能力。
在产品方面,CISEC对各类信息安全产品进行认证,包括防火墙、入侵检测系统、安全管理软件等,以确保其符合国家和行业标准,具有良好的安全性能。
CISEC在信息安全领域的作用主要体现在以下几个方面,首先,CISEC对信息系统和产品进行安全测评和认证,有助于提高其安全性能和可信度,为用户和企业选择和使用安全可靠的信息系统和产品提供了参考依据。
其次,CISEC通过对信息系统的安全测评,有助于发现系统存在的安全隐患和漏洞,提出改进建议和技术要求,促进信息系统的安全加固和提升。
再次,CISEC通过对信息安全产品的认证,推动了信息安全产品的研发和创新,促进了信息安全产业的健康发展。
最后,CISEC作为国家信息安全测评机构,还参与了国家信息安全标准的制定和推广,提高了信息安全管理水平和标准化程度。
CISEC在信息安全领域的重要性不言而喻。
随着网络技术的飞速发展和信息化进程的加快,信息安全问题日益突出,网络攻击、数据泄露等安全事件频发,给国家安全和社会稳定带来了严重威胁。
而CISEC作为国家信息安全测评机构,承担着信息安全保障的重要责任,其职能和作用对于加强信息安全防护、保护国家重要信息基础设施、维护国家网络安全具有重要意义。
信息安全测评简答题
1、简单介绍可采取哪些措施进行有效地控制攻击事件和恶意代码?(20 分)答: 1、安装并合理配置主机防火墙2、安装并合理配置网络防火墙3、安装并合理配置IDS/IPS4、严格控制外来介质的使用5、防御和查杀结合、整体防御、防管结合、多层防御6、设置安全管理平台,补丁升级平台,防病毒平台等对防病的系统进行升级、漏洞进行及时安装补丁,病毒库定期更新7、定期检查网络设备和安全设备的日志审计,发现可疑现象可及时进行做出相应处理。
8、为了有效防止地址攻击和拒绝服务攻击可采取,在会话处于非活跃一定时间或会话结束后终止网络连接。
9、为了有效防止黑客入侵,可对网络设备的管理员登录地址进行限制和对具有拨号功能用户的数量进行限制,远程拨号的用户也许他就是一个黑客。
10、采取双因子认证和信息加密可增强系统的安全性。
2、身份认证的信息主要有哪几类?并每项列举不少于 2 个的事例。
答:身份认证的信息可分为以下几类:1)用户知道的信息,如个人标识、口令等。
2)用户所持有的证件,如门卡、智能卡、硬件令牌等。
3)用户所特有的特征,指纹、虹膜、视网膜扫描结果等。
3、数字证书的含义,分类和主要用途,所采用的密码体制?答: 1)数字证书是由认证中心生成并经认证中心数字签名的,标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份。
2)从证书的用途来看,数字证书可分为3)签名证书主要用于对用户信息进行签名,签名证书和加密证书。
以保证信息的不可否认性;加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。
4)数字证书采用非对称密钥体制。
即利用一对互相匹配的私钥/ 公钥进行加密、解密。
其中私钥用于进行解密和签名;公钥用于加密和验证签名。
4、试解释SQL注入攻击的原理,以及它产生的不利影响。
答:SQL注入攻击的原理是从客户端提交特殊的代码,Web 应用程序如果没做严格的检查就将其形成SQL命令发送给数据库,从数据库返回的信息中,攻击者可以获得程序及服务器的信息,从而进一步获得其他资料。
国家信息安全测评中心
国家信息安全测评中心国家信息安全测评中心(National Information Security Evaluation Center,简称NISEC)是中国的一个重要机构,负责评估和提升国家信息系统的安全性和可信度。
成立于2002年,NISEC的目标是为了确保国家信息安全,维护网络与信息系统的良好运行和稳定。
NISEC的职责和作用1. 评估信息系统的安全性:NISEC负责对国家重要信息系统进行安全性评估和渗透测试,发现潜在的安全隐患和漏洞,并提供相关技术建议和安全改进措施。
2. 指导安全技术标准:NISEC致力于研究与制定信息安全评估和测试的标准规范,以及加强信息安全技术的研究与发展,提高国家信息安全水平。
3. 信息安全事件响应:NISEC负责协助国家相关部门应对信息安全事件,提供合理的解决方案和技术支持,确保信息系统和网络的安全运行。
4. 促进信息安全人才培养:NISEC为相关单位提供信息安全培训和教育,提高从业人员的工作能力和技术水平,推动信息安全人才的培养和发展。
NISEC的工作内容1. 安全评估与测试:NISEC通过制定方法和规范,对国家重要信息系统进行源代码审计、渗透测试、密码分析等手段,评估其安全性和可信度,发现潜在漏洞和隐患。
2. 安全技术标准研究:NISEC参与制定信息安全评估和测试的标准和规范,推动信息安全技术的发展和应用,提高信息系统的安全性。
3. 安全事件响应:NISEC成立了专业的安全事件响应小组,负责响应和处理重要信息系统和网络的安全事件,迅速采取措施修复漏洞,确保信息系统的正常运行。
4. 信息安全培训与教育:NISEC组织和承办信息安全培训和教育活动,提供相关课程和资料,培养和培训信息安全从业人员,不断提高他们的专业水平和技能。
NISEC的重要意义和影响1. 提升国家信息安全水平:NISEC通过评估和测试信息系统的安全性,为政府和企业提供有效的安全保障措施,提高了国家信息安全的整体水平。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家信息安全测评信息安全服务资质申请指南(安全工程类三级)©版权2015—中国信息安全测评中心2016年10月1 日一、认定依据 (4)二、级别划分 (4)三、三级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.3 质量管理要求 (6)3.4安全工程过程能力要求 (6)四、资质认定 (7)4.1认定流程图 (7)4.2申请阶段 (8)4.3资格审查阶段 (8)4.4能力测评阶段 (8)4.4.1静态评估 (8)4.4.2现场审核 (9)4.4.3综合评定 (9)4.4.4资质审定 (9)4.5证书发放阶段 (9)五、监督、维持和升级 (10)六、处置 (10)七、争议、投诉与申诉 (10)八、获证组织档案 (11)九、费用及周期 (11)中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。
中国信息安全测评中心的主要职能是:1.对国内外信息安全产品和信息技术进行测评;2.对国内信息系统和工程进行安全性评估;3.对提供信息系统安全服务的组织和单位进行评估;4.对信息安全专业人员的资质进行评估。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。
为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC提出信息安全工程服务三级资质申请的境内外组织。
一、认定依据信息安全工程服务资质认定是对信息安全工程服务提供者的资格状况、技术实力和安全工程实施过程质量保证能力等方面的具体衡量和评价。
信息安全工程服务资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全工程服务资质具体要求,在对申请组织的基本资格、技术实力、信息安全工程服务能力以及安全工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分信息安全工程服务资质认定是对信息安全工程服务提供者的综合实力的客观评价和确认,信息安全工程服务资质级别反映了信息安全工程服务提供者从事信息安全工程服务保障能力的成熟程度。
资质级别划分的主要依据包括:基本资格与基本能力要求、安全工程过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级三级:计划跟踪级三级:充分定义级四级:量化控制级五级:持续改进级三、三级资质要求信息安全工程服务资质三级为充分定义级,要求满足基本资格的信息安全工程服务组织建立有效的质量管理体系以及标准化、文档化的安全工程过程标准体系,依据对已批准发布的、文档化的标准过程进行适当裁减,来充分定义组织的过程,在实施工程过程中按照组织过程执行,并协调安全实施。
申请信息安全工程服务三级资质的组织需要在基本资格、基本能力、质量管理和安全工程过程能力等几个方面符合《信息安全服务资质具体要求(安全工程类三级)》的规定。
3.1 基本资格要求基本资格要求是评定信息安全服务资质的起评条件。
申请信息安全工程服务三级资质的组织必须:1.是具有独立法人地位的实体;2.获得相关主管部门的批准;3.遵守国家现行法律法规;4.已获信息安全工程服务二级资质满一年以上;5.达到其他补充要求。
3.2 基本能力要求基本能力的要求包括:资产与规模要求,资源配置要求(包括人员构成与素质要求、设备、设施与环境要求),组织管理要求以及业绩要求。
申请信息安全服务三级资质的组织应该:1.从事信息安全服务行业5年以上;2.注册资本应在5000万元以上;3.近3年的财务状况良好;4.从事信息安全服务的人力资源充足、人员结构合理、技术队伍相对稳定,拥有专职的注册信息安全专业人员(CISP)数量不少于从事安全工程服务专业技术人员的10%,且不得少于12人(或10名CISP获证人员和8名CISM获证人员);5.实践过一到两个完整的安全工程过程;6.近3年完成信息安全服务工程项目总值应在3000万元以上。
7.近3年所做安全工程项目没有出现验收未通过的情况,且未发生过严重的信息安全服务事故。
3.3 质量管理要求申请信息安全工程服务三级资质的组织,在质量管理方面应该:1.建立合理的组织架构来满足信息安全工程服务的实施和管理,有独立的信息安全工程服务技术部门;2.建立合理的管理架构来满足信息安全服务的管理,建立有效的技术管理、质量管理和组织管理机制;3.建立有效的质量管理体系,至少满足支持信息安全工程技术能力达到充分定义级所需的相关管理能力要求;4.建立有效的信息安全管理体系,能满足企业自身信息安全管理能力要求。
3.4安全工程过程能力要求安全工程过程能力方面的要求是信息安全工程服务资质的核心要求。
申请信息安全工程服务三级资质的组织应该:1.在按照三级所要求的各个过程域理论基础上,充分定义组织的信息安全工程服务过程,形成文档化标准过程;2.依据对已批准发布的、文档化的标准过程进行适当裁减,来充分定义组织的过程,并在实施工程过程中按照标准化的组织过程执行;3.开展项目和组织活动的协调,包括组内、组间以及组外活动的协调。
四、资质认定4.1认定流程图4.2申请阶段申请组织应首先到CNITSEC网站( )查看并下载《信息安全服务资质评估准则》、《信息安全服务资质申请指南(安全工程类三级)》、和《信息安全服务资质申请书(安全工程类三级)》,了解资质认定的流程及相关情况,确定本组织满足三级资质的基本资格要求和基本能力要求。
申请组织当决定申请三级信息安全工程服务资质后,根据《信息安全服务资质申请书(安全工程类三级)》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC,同时提交申请费。
在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。
如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将向申请组织发出受理通知书,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.4.1静态评估静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全工程服务能力做出基本判断,初步确定申请组织的信息安全工程服务能力水平状况,为现场审核做准备。
如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
4.4.2现场审核现场审核是对申请组织从事信息安全工程服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全工程服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。
申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。
逾期未整改的,视作整改不符合。
4.4.4资质审定根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全工程服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
申请组织领取三级资质证书时需将二级资质证书交回CNITSEC。
五、监督、维持和升级获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全工程过程能力。
CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。
获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交年度调查表,并到CNITSEC办理年检。
CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。
CNITSEC将依据信息安全服务资质维持有关政策进行评审,以确定获证组织符合信息安全工程服务能力三级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。
若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站( )下载并填写《信息安全服务资质变更申请书》,并提出资质转移申请。
获证组织获证后,可根据自身能力的提升情况,向CNITSEC申请三级资质。
六、处置获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。
CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
获证组织应妥善处理因组织自身行为而发生的投诉,保留记录并采取措施防中国信息安全测评中心(CNITSEC)信息安全服务资质申请指南(安全工程类三级)止问题的再发生。
CNITSEC将在必要时查阅获证组织的申诉/投诉记录。
八、获证组织档案CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上,升级,年度确认或者复核换证时,只需补交所要求的相应材料,CNITSEC实行记录累加制度。
九、费用及周期信息安全服务资质认定收费划分为如下几个部分:(一)受理费:27000元/9人日*3000元(二)静态审核:27000元/9人日*3000元(三)现场审核费:36000元/12人日*3000元(四)综合评审:27000元/9人日*3000元(五)专家资质审定:18000元/6人日*3000元(六)年金:5000*3=15000元(七)证书费:3000元(八)总计:153000元从受理到颁发证书的周期为三个月,中间由于申请方原因(如,资料补充需要的时间等)造成的时间不计算在内。