中國信息安全測評中心CNIT-SEC國家信息安全測評信息安全服務資質證書
信息安全服務資質是對信息系統(tǒng)安全服務的提供者的技術、資源、法律、管理等方面的資質和能力,以及其穩(wěn)定性、可靠性進行評估,并依據公開的標準和程序,對其安全服務保障能力進行認定的過程。目前分為:信息安全工程、信息安全災難恢復、安全開發(fā)、風險評估、信息系統(tǒng)審計、云計算安全、數據安全、安全運營等八大類。
目前多數企業(yè)選擇做:國家信息安全測評信息安全服務資質證書安全工程類一級,信息安全工程服務資質是對提供信息安全工程服務組織綜合實力的客觀評價,反映了組織的服務資格、水平和能力。資質級別劃分的主要依據包括:基本資格要求、基本能力要求、安全工程服務過程能力和其他補充要求等。 安全工程服務過程能力分為五個級別,一級是最基本級別,五級為最高級別,過程能力以及項目和組織過程能力級別的高低,標志著從事安全工程服務組織的能力成熟程度,即已完成過程的管理和制度化程度的高低。
業(yè)務流程:
國家信息安全測評-信息安全服務資質(安全工程類一級)需要材料:
國測可以是一個項目 也可以是一個項目包含所有上面內容【比如我們去做完安全集成后跟客戶約定的安全運維,運維過程后期的應急,應急隊整個系統(tǒng)的風險評估,組成安全工程】
關于項目的篩選參考一下【僅供參考,每家公司不一樣】
安全集成項目材料:
1.首先,項目需要是安全集成類的,就是說需要為甲方(客戶)進行軟硬件產品的銷售及安裝調試服務,設備中要包含安全類的設備(如防火墻、安全網關、網閘、入侵檢測系統(tǒng)、安全審計系統(tǒng)等等),且設備不能太單一(不能像只賣防火墻這種);
2.項目是目前已經驗收完成了的,近三年的;
3.項目盡量是走過招投標流程,有投標文件的(投標文件中要有技術方案),
如果項目是沒有進行過招投標的,那么需要有對應的技術方案;
4.滿足以上條件的項目,篩選3個比較典型的,并提供對應的合同掃描件(含價格清單明細表)
5.提供公司近三年至今項目合同臺賬明細
安全運維項目材料:
1.首先,項目需要是安全運維類的,就是服務內容要包括如:日常運維服務、巡檢服務、配置管理、配置檢查、基線檢查、日志收集與審計分析、健康檢查服務、安全加固、漏洞掃描、病毒查殺、補丁安裝等等(盡量能提供對應的過程記錄文件);
2.運維服務過程中需要產出:運維服務月報、季報、年報等相關報告文件。
風險評估項目篩選:
1.需要有風險評估的資產調研與識別分析、脆弱性調研與識別分析、威脅調研與識別分析、已有安全措施的調研與識別分析、風險評估的計算過程及分析過程,最終產出了風險評估報告。
2.不管項目簽訂時間,最終項目驗收時間需要落在近三年的就行。
應急處理項目篩選:
1.需要有應急服務過程中,針對安全事件的整個處理過程,包括安全事件的檢測記錄、抑制記錄、根除記錄、恢復記錄,有相關的方案和過程記錄文件;
2.盡量做過客戶的應急演練,并且有應急演練的相關記錄;
3.整個應急過程完成后,產出了應急總結報告。