国家信息安全服务资质。
灾难恢复服务资质(一级)认证指南。
试行)版权2008—中国信息全安全测评中心。
2008年5月1日。
目录。目录 i
一、 认证依据 1
二、 级别划分 2
三、 认证要求 3
一) 基本资格要求 3
二) 基本能力要求 3
1、 组织与管理要求 3
2、 技术能力要求 3
3、 人员构成与素质要求 4
4、 设备、设施与环境要求 4
5、 规模与资产要求 4
6、 业绩要求 4
三) 灾难恢复服务过程能力 4
四、 申请流程 6
一) 申请流程图 6
二) 申请阶段 7
三) 资格审查阶段 7
四) 能力测评阶段 7
1、 静态评估 7
2、 现场审核 7
3、 综合评定 8
4、 认证审核 8
五) 证书发放阶段 8
五、 监督、维持和升级 9
六、 处置 10
七、 争议、投诉与申诉 11
八、 认证企业档案 12
九、 认证费用及周期 13
信息安全灾难恢复服务资质评估是对信息系统灾难恢复服务提供者的资格状况、技术实力和实施灾难恢复服务过程能力等方面的具体衡量和评价。
信息安全灾难恢复服务资质,是依据《信息安全服务资质评估准则》、《信息安全灾难恢复服务能力评估准则》等相关要求,在对申请组织的基本资格、技术实力、信息安全灾难恢复服务能力以及工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息全安全测评中心给予的资质认证。
信息安全灾难恢复服务资质级别是对提供信息安全灾难恢复服务组织综合实力的客观评价,反映了组织的信息安全灾难恢复服务资格、水平和能力。资质级别划分的主要依据包括:基本资格要求、基本能力要求、灾难恢复服务过程能力和其他补充要求等。
灾难恢复服务过程能力级别是评定信息安全灾难恢复服务组织资质的主要标志,标志着服务组织提供给客户的灾难恢复服务专业水平和质量保证程度。《信息安全灾难恢复服务资质评估准则》将信息安全灾难恢复服务组织的过程能力分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级。
二级:计划跟踪级。
**:充分定义级。
四级:量化控制级。
五级:持续改进级。
灾难恢复服务过程能力以及项目和组织过程能力级别的高低,标志着从事灾难恢复服务组织的能力成熟程度,即已完成过程的管理和制度化程度的高低。申请信息安全灾难恢复服务资质级别认证的组织需要符合相应灾难恢复过程能力以及项目和组织过程能力级别。
申请信息安全灾难恢复服务资质(一级)认证的组织需要符合以下几项要求:
基本资格要求是评定信息安全灾难恢复服务资质的起评条件,申请信息安全灾难恢复服务资质(一级)的组织必须满足以下基本资格要求:
1. 是具有独立法人地位的实体;
2. 具有工商行政管理部门发给的合法营业执照;
3. 遵守国家现行法律法规。
基本能力要求包括:组织与管理要求,技术能力要求,设备、人员构成与素质要求,设施与环境要求,规模和资产要求,业绩要求和其他要求。
1. 必须拥有健全的组织机构和管理体系,为持续的信息安全灾难恢复服务提供保证;
2. 必须具有专业从事信息安全灾难恢复服务的队伍和相应的质保体系;
3. 从事信息安全灾难恢复服务的所有成员要签订保密合同,并遵守有关法律法规。
1. 了解信息安全技术的最新动向,有能力掌握信息系统领域的最新技术;
2. 具有不断的技术更新能力;
3. 具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
4. 能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;
5. 具有对发生的突发性灾难事件进行分析和解决的能力;
6. 具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;
7. 具有根据服务业务的需求开发信息系统应用、产品或支持***的能力;
8. 具有对集成的信息系统进行检测和验证的能力;
9. 有能力对信息系统系统进行有效的维护;
10. 有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
1. 具有充足的人力资源和合理的人员结构;
2. 所有与信息安全灾难恢复服务有关的管理和销售人员应具有基本的信息安全知识;
3. 有相对稳定的从事信息安全灾难恢复服务的专业技术队伍,专业队伍人员应系统地掌握信息安全灾难恢复及信息安全灾难恢复基础理论和核心技术,并有足够的专业工作经验;
4. 从事信息安全灾难恢复服务的管理、销售和技术的专业人员中,拥有cnitsec专业资质证书的人员不少于总人数的10%,其中必须至少有2名具有cisp-drp资质的人员,4名具有cism-drp资质的人员。
1. 具有固定的工作场所和良好的工作环境;
2. 具有先进的开发、测试或模拟环境;
3. 具有先进的开发、生产和测试设备;
4. 具有实施相关服务必需的开发、生产和测试工具。
1. 有足够的注册资金和充足的流动资金,其中注册资产应在100万元以上,流动资金占注册资产的20%以上;
2. 近3年的财务状况良好,提供相应证明;
3. 申请信息安全灾难恢复服务的组织应具有与所申请灾难恢复服务业务范围、承担的灾难恢复服务规模相适应的服务体系;
4. 有足够的人员从事直接与信息安全灾难恢复服务相关的活动。
1. 从事信息安全服务3年以上;
2. 近3年完成的信息安全灾难恢复服务的项目总值应在100万以上;
3. 近3年内在信息安全灾难恢复服务方面,没有出现验收未通过的项目。
灾难恢复过程能力包括:
1. 灾难恢复需求确定的能力;
2. 灾难恢复策略制定的能力;
3. 灾难恢复资源获取方式确定的能力;
4. 灾难恢复资源要求确定的能力;
5. 灾难备份系统技术方案实现的能力;
6. 灾难备份中心选择和建设的能力;
7. 技术支持实现的能力;
8. 运行维护管理的能力;
9. 灾难恢复预案制定的能力;
10. 灾难预案的教育、培训和演练的能力;
11. 灾难恢复预案管理的能力。
项目和组织过程能力包括:
1. 实现质量保证的能力;
2. 实现配置管理的能力;
3. 管理项目风险的能力;
4. 监控技术活动的能力;
5. 规划技术活动的能力;
6. 管理系统工程支持环境的能力;
7. 提供不短发展的技能和知识的能力;
8. 与**商协调的能力。
申请灾难恢复服务资质的组织应首先到中国信息全安全测评中心(以下简称cnitsec)**( )查看并**《信息安全灾难恢复服务资质认证指南》、《信息安全灾难恢复服务资质申请流程》、《信息安全灾难恢复服务能力测评准则》和《信息安全灾难恢复服务资质申请书》,了解认证的流程及相关情况,确定本组织满足认证的基本资格要求和基本能力要求。
当决定申请信息安全灾难恢复服务资质(一级)后,根据《信息安全灾难恢复服务资质(一级)申请书》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给cnitsec,同时提交申请费。
cnitsec接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,资格审查包括对申请单位所提交资料进行的形式化审查以及同申请单位的调查沟通,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。如果资格审查阶段发现有不符合要求的内容,cnitsec将要求申请组织补充资料等。
当通过资格审查阶段后,cnitsec将向申请组织发出受理通知书,正式受理该认证申请,并通知相关费用的缴纳事宜等。
当申请组织通过资格审查阶段并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和认证审核四个步骤:
静态评估是对申请组织资料进行符合性审查,了解申请组织的信息安全灾难恢复服务能力以及质量管理能力,为现场审核作准备。如果静态评估阶段发现有不符合审查要求的内容,cnitsec仍有权利要求申请组织补充资料,确保申请资料的内容最大程度反映申请组织的各方面的资格和能力情况。
当申请组织通过静态评估符合性审查后,cnitsec将与申请组织沟通现场审核事宜,发出现场审核计划,安排审核组进行现场审核。
现场审核是对申请组织的信息安全灾难恢复服务能力进行现场核实和确认。现场审核结束后,评审组提交现场审核结果供综合评定使用。
在综合评定阶段,将依据资格审查的结果、静态评估的结果以及现场审核结论,对申请组织的基本资格、基本能力、灾难恢复服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,cnitsec将要求申请组织限期整改。申请组织完成整改并向cnitsec提交整改报告后,cnitsec将对整改结果进行验证,整改仍不符合的,将不能通过认证。逾期未整改的,视作整改不符合。
信息系统灾难恢复计划
灾难分为自然灾害和非自然灾害。自然灾害是指由火灾 等引发的一系列灾害直接导致公司的业务中断 电力故障 网络故障等。非自然灾害是指人为的造成的如服务器断电 软件错误 人为故意破坏 恶意 木马植入 恐怖袭击等。1.管理组 统筹规划,指挥各小组按照既定计划进行执行。2.部门恢复组 负责制定各部门情况制定应...
信息安全服务资质FAQ
1.信息安全服务资质有几种类型?目前,信息安全服务资质有三种类型 安全工程类 灾难恢复类 安全开发类。2.怎样提交信息安全服务资质的申请?登录中国信息安全测评中心 在 专区 申请书及申请指南。按照申请书要求认真填写,并准备证据资料。申请书及附件资料装订,电子版文档刻录光盘,一并快递至中国信息安全测评...
信息安全服务资质FAQ
1.信息安全服务资质有几种类型?目前,信息安全服务资质有三种类型 安全工程类 灾难恢复类 安全开发类。2.怎样提交信息安全服务资质的申请?登录中国信息安全测评中心 在 专区 申请书及申请指南。按照申请书要求认真填写,并准备证据资料。申请书及附件资料装订,电子版文档刻录光盘,一并快递至中国信息安全测评...
信息安全服务资质简介
中国信息安全认证中心是国家质检总局直属事业单位,经 编制委员会批准成立,由 信息化工作办公室 国家认证认可监督管理委员会等八部委授权,负责实施信息安全认证的专门机构 是经国家认证认可监督管理委员会批准,可从事信息安全服务资质认证的机构,并获得了中国合格评定国家认可委员会的认可。信息安全服务资质认证工...
信息安全风险评估服务
1 风险评估概述。1.1风险评估概念。信息安全风险评估是参照风险评估标准和管理规范,对信息系统。的资产价值 潜在威胁 薄弱环节 已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于it领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞...
信息安全风险评估服务
1 风险评估概述。1.1风险评估概念。信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值 潜在威胁 薄弱环节 已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于it领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫...
信息安全风险评估服务
实用标准文档。1 风险评估概述。1.1风险评估概念。信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值 潜在威胁 薄弱环节 已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于it领域时,就是对信息安全的风险评估。风险评估从早...
信息安全风险评估服务
1 风险评估概述。1.1 风险评估概念。信息安全风险评估是参照风险评估标准和管理规范,对信息系统。的资产价值 潜在威胁 薄弱环节 已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的。过程。当风险评估应用于 it 领域时,就是对信息安全的风险评估。风险评估从早期简...