中国信息安全测评中心CNIT-SEC信息安全服务资质
信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。目前分为:信息安全工程、信息安全灾难恢复、安全开发、风险评估、信息系统审计、云计算安全、大数据安全等七大类。
目前多数企业选择做:国家信息安全测评信息安全服务资质证书安全工程类一级,信息安全工程服务资质是对提供信息安全工程服务组织综合实力的客观评价,反映了组织的服务资格、水平和能力。资质级别划分的主要依据包括:基本资格要求、基本能力要求、安全工程服务过程能力和其他补充要求等。安全工程服务过程能力分为五个级别,一级是Zui基本级别,五级为Zuigaoji别,过程能力以及项目和组织过程能力级别的高低,标志着从事安全工程服务组织的能力成熟程度,即已完成过程的管理和制度化程度的高低。
国家信息安全测评-信息安全服务资质(安全工程类一级)需要材料:
国测可以是一个项目 也可以是一个项目包含所有上面内容【比如我们去做完安全集成后跟客户约定的安全运维,运维过程后期的应急,应急队整个系统的风险评估,组成安全工程】
关于项目的筛选参考一下【仅供参考,每家公司不一样】
安全集成项目材料:
1.项目需要是安全集成类的,就是说需要为甲方(客户)进行软硬件产品的销售及安装调试服务,设备中要包含安全类的设备(如防火墙、安全网关、网闸、入侵检测系统、安全审计系统等等),且设备不能太单一(不能像只卖防火墙这种);
2.项目是目前已经验收完成了的,2020年至今;
3.项目尽量是走过招投标流程,有投标文件的(投标文件中要有技术方案),
如果项目是没有进行过招投标的,那么需要有对应的技术方案;
4.满足以上条件的项目,筛选3个比较典型的,并提供对应的合同扫描件(含价格清单明细表)
5.提供公司2020年至今项目合同台账明细
安全运维项目材料:
1.项目需要是安全运维类的,就是服务内容要包括如:日常运维服务、巡检服务、配置管理、配置检查、基线检查、日志收集与审计分析、健康检查服务、安全加固、漏洞扫描、病毒查杀、补丁安装等等(尽量能提供对应的过程记录文件);
2.运维服务过程中需要产出:运维服务月报、季报、年报等相关报告文件。
风险评估项目筛选:
1.需要有风险评估的资产调研与识别分析、脆弱性调研与识别分析、威胁调研与识别分析、已有安全措施的调研与识别分析、风险评估的计算过程及分析过程,Zui终产出了风险评估报告。
2.不管项目签订时间,Zui终项目验收时间需要落在近三年的就行。
应急处理项目筛选:
1.需要有应急服务过程中,针对安全事件的整个处理过程,包括安全事件的检测记录、抑制记录、根除记录、恢复记录,有相关的方案和过程记录文件;
2.尽量做过客户的应急演练,并且有应急演练的相关记录;
3.整个应急过程完成后,产出了应急报告。
PS:应急项目如果没有合适的,在安全运维项目中去找,看有没有服务内容包括了“应急响应服务”的,如果有的话,安全运维和应急服务可以采取同一个项目。
关于数量,尽量每个分项有4个及以上【含过程资料】
上海浙江杭州宁波江苏苏州南京南通徐州安徽合肥安庆江西南昌赣州福建福州泉州湖北武汉荆州襄阳湖南长沙湘潭贵州贵阳云南昆明广西南宁甘肃兰州宁夏银川陕西西安山西太原山东济南青岛烟台北京天津辽宁沈阳吉林长春黑龙江哈尔滨内蒙古包头新疆乌鲁木齐中国信息安全测评中心国家信息安全测评-信息安全服务资质(安全工程类一级)安全开发一级、风险评估一级、信息系统审计一级、云计算安全一级、大数据安全一级