信息安全风险评估服务资质是对提供信息安全风险评估服务组织综合实力的客观评价,反映了组织的服务资格、水平和能力。资质级别划分的主要依据包括:基本资格要求、基本能力要求、风险评估服务过程能力和其他补充要求等。风险评估服务过程能力分为五个级别,一级最低、五级为最高级别,过程能力以及项目和组织过程能力级别的高低,标志着从事灾难恢复服务组织的能力成熟程度,即完成过程的管理和制度化程度的高低。
风险评估服务资质申报流程指南
一、申请阶段
申请风险评估服务资质的组织应首先到中国信息安全测评中心(以下简称CNITSEC)网站(//www.itsec.gov.cn)查看并下载《信息安全风险评估服务资质认证指南》、《信息安全风险评估服务资质申请流程》、《信息安全风险评估服务能力测评准则》和《信息安全风险评估服务资质申请书》,了解认证的流程及相关情况,确定本组织满足认证的基本资格要求和基本能力要求。
当决定申请信息安全工程服务资质后,根据《信息安全风险评估服务资质申请书》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC,同时提交申请费。
二、资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费用,根据所提交的资料进行资格审查,资格审查包括对申请单位所提交资料进行的形式化审查以及同申请单位的调查沟通,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将向申请组织发出受理通知书,正式受理该认证申请,并通知相关费用的缴纳事宜等。
三、能力测评阶段
当申请组织通过资格审查阶段并缴纳了相关费用后,资质申请进行能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和认证审核四个步骤:
1、静态评估
静态评估是对申请组织资料进行符合性审查,了解申请组织的信息安全灾难恢复服务能力以及质量管理能力,为现场审核作准备。如果静态评估阶段发现有不符合审查要求的内容,CNITSEC仍有权利要求申请组织补充资料,确保申请资料的内容最大程度反映申请组织的各方面的资格和能力情况。
2、现场审核
当申请组织通过静态评估符合性审查后,CNITSEC将与申请组织沟通现场审核事宜,发出现场审核计划,安排审核级进行现场审核。
现场审核是对申请组织的信息安全工程服务能力进行现场核实和确认。现场审核结束后,评审组提交现场审核结果供综合评定使用。
3、综合评定
在综合评定阶段,将依据资格审查的结果、静态评估的结果以及现场审核结论,对申请组织的基本资格、基本能力、灾难恢复服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过认证。逾期未整改的,视作整改不符合。
4、认证审核
认证审核将根据综合评定的结果,由认证决定委员会组织相关委员和专家进行认证评审,做出认证决定。
四、证书发放阶段
对通过认证决定的申请组织,CNITSEC将发放证书,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
五、资质证书