通用評價(jià)要求適用于風(fēng)險評估���、安全集成��、應急處理����、災難備份與恢復�����、軟件安全開(kāi)發(fā)��、安全運維����、網(wǎng)絡(luò )安全審計����、工業(yè)控制系統安全服務(wù)等類(lèi)別的信息安全服務(wù)認證評價(jià)�,均分為三個(gè)級別��,其中一級最高�。
1.法律地位要求
a) 在中華人民共和國境內注冊的獨立法人組織����,發(fā)展歷程清晰��,產(chǎn)權關(guān)系明確�。
b) 遵循國家相關(guān)法律法規�����、標準要求��,無(wú)違法違規記錄����,資信狀況良好���。
2. 財務(wù)資信要求
組織經(jīng)營(yíng)狀況正常���,建立財務(wù)管理制度�,可為安全服務(wù)提供必要的財務(wù)支持����。
3. 辦公場(chǎng)所要求
擁有長(cháng)期固定辦公場(chǎng)所和相適應的辦公條件��,能夠滿(mǎn)足機構設置及其業(yè)務(wù)需要����。
4. 人員能力要求
a) 組織負責人擁有2年以上信息技術(shù)領(lǐng)域管理經(jīng)歷�����。
b) 技術(shù)負責人具備信息安全服務(wù)(與申報類(lèi)別一致)管理能力�����,經(jīng)評價(jià)合格(與申報類(lèi)別一致)�,評價(jià)要求等��。
c) 項目負責人����、項目工程師具備信息安全服務(wù)(與申報類(lèi)別一致)技術(shù)能力���,經(jīng)評價(jià)合格等��。
5. 業(yè)績(jì)要求
a) 從事信息安全服務(wù)(與申報類(lèi)別一致)4個(gè)月以上�。
b) (監督審核時(shí))近1年內簽訂并完成至少1個(gè)信息安全服務(wù)(與申報類(lèi)別一致)項目��。
6. 服務(wù)管理要求
a) 建立并運行人員管理程序���,識別安全服務(wù)人員的服務(wù)能力要求��,明確安全服務(wù)人員的崗位職責��、技術(shù)能力要求��,并通過(guò)評價(jià)證明其能夠勝任其承擔的職責�����。
b) 制定服務(wù)人員能力培養計劃�,包括網(wǎng)絡(luò )與信息安全相關(guān)的技術(shù)�、技能�、管理�����、意識等內容���,并執行計劃���,確保服務(wù)人員持續勝任其承擔的職責��。
c) 建立并運行文檔管理程序�,包括組織管理�、服務(wù)過(guò)程管理�、質(zhì)量管理等內容�����,明確項目產(chǎn)生�����、發(fā)布�����、保存����、傳輸�����、使用(包括交付和內部使用)�、廢棄等環(huán)節的文檔控制��。
d) 建立并運行項目管理程序�����,明確服務(wù)項目的組織�、計劃���、實(shí)施����、風(fēng)險控制�����、交付等環(huán)節的操作規程����,提供項目風(fēng)險管理記錄�����。
e) 建立并運行保密管理程序��,明確崗位保密責任��,簽訂保密協(xié)議���,并能夠適時(shí)對相關(guān)人員進(jìn)行保密教育��。
f) 建立與運行供應商管理程序���,確保其供應商滿(mǎn)足服務(wù)安全要求(僅適用于安全集成�����、安全運維�、災難備份與恢復方向)�����。
g) 建立合同管理程序�,制定統一合同模板���,按照合同約定實(shí)施信息安全服務(wù)項目����。按照客戶(hù)要求����,對于接觸到的客戶(hù)敏感信息和知識產(chǎn)權信息予以保護����,并確保服務(wù)方人員了解客戶(hù)的相關(guān)要求����。
7. 服務(wù)技術(shù)要求
a) 建立信息安全服務(wù)(與申報類(lèi)別一致)要求的流程���,并按照流程實(shí)施�����。
b) 制定信息安全服務(wù)(與申報類(lèi)別一致)要求的規范標準�,并按照規范實(shí)施�����。
