CESSCN通信网络安全服务能力评定

CESSCN通信网络安全服务能力评定
一、通信网络安全服务能力评定
通信网络安全服务能力评定所述的通信网络包括电信网和互联网,所涉及的安全服务是指为了适应通信网络安全管理的需要,运用科学的方法和手段,通过有效的措施来保障通信网络的正常运行,为企业提供全面或部分安全评估、设计与集成的服务,包含从安全体系到具体的技术解决措施。所涉及到的通信网络安全服务可以分为四种类型:风险评估、安全设计与集成、安全培训、应急响应。每个分项共划分为三个等级,其中1级最低,3级最高。
1.1.评定的基本条件
通信网络安全服务能力评定要求是对通信网络安全服务单位的资格状况、经济实力、技术能力、服务队伍、服务过程能力等方面的具体衡量和评价。
发证机构:中国通信企业协会通信网络安全专业委员会

二、通信网络安全服务能力等级基本要求

 

 

法律要求

1) 在中华人民共和国境内注册成立(港澳台地区除外);
2) 由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位
(港澳台地区除外);
3) 从事涉密的通信网络安全服务单位必须满足国家保密机关的相关要求;
4) 从事通信网络安全服务工作一年以上且无违法记录;
5) 法人及主要业务、技术人员无犯罪记录。

 

 

组织与管理要求

1)拥有健全的组织与管理体系,拥有清晰的组织结构图, 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度,并能有效组织实施与考核;
2) 落实保密规章制度,对通信网络安全服务保密,制度中 至少规定了:保守安全服务过程中知悉的国家秘密、商业秘密、技术秘密和公民隐私信息,具备严格的控制方法来防范服务过 程中产生的泄密风险,不得出售或者非法向其他组织和个人提 供在安全检测过程所获信息,具备相应的控制办法;
3) 建立人员管理程序,明确保密岗位与职责,定期对安全服务人员进行安全保密教育与培训,并签订保密责任书,规定应当履行的安全保密义务和承担的法律责任。

 

设备、设施与环境要求

1) 具有固定的办公场所;
2) 具有专门从事通信网络安全服务的相关工具或软件;
3) 具有进行安全服务所必须的实验环境。

 

项目管理要求

1) 具有成文的项目管理制度,并提供项目管理制度有效运行的证据,例如管理制度流程中具有核心流程、支持流程、管理流程等制度体系;
2) 具有对员工进行安全技术、项目管理的培训机制和计划, 并有效组织实施与考核的相关记录。

 

质量保证要求

  1. 建立并落实质量管理体系,并提供质量保证有效实现的证据;2) 能够自行评估服务质量的状况,并能对服务质量进行持续改进。

 



2.2风险评估能力和安全设计与集成服务评定基本要求

 

风险评估能力评定(一级)

安全设计与集成服务能力评定(一级)

资格要求

1) 从事电信网和互联网第三方安全风险评估服务的组织应符合本标准第3章通用性要求的所有条款;
2) 进行涉密集成的组织必须获得国家保密部门的能力证书。

规模与资产

1) 单位正式编制员工应不少于15人;
2) 注册资金应不少于100万元人民币。

1) 单位正式编制员工应不少于20人;
2) 注册资金不少于500万元人民币。

人员构成和素质要求

1) 直接从事风险评估服务的人员不低于8人,大学本科以上学历不少于80%;
2) 从事风险评估的组织内至少应有2名具备2年以上电信网和互联网领域风险评估项目经验的安全工程师。

1) 直接从事安全设计与集成服务的人员不低于10人,大学 本科以上学历不少于80%;

2) 至少有5人具有3年以上的安全设计与集成服务行业从业经验,并具有深度参与的安全设计与集成服务成功案例。

业绩要求

1) 单位应具备1年以上的安全行业从业时间;
2) 至少有2个项目中涉及风险评估服务的金额超过10万元人民币;
3) 近3年内至少成功完成2个风险评估项目,且终验通过;
4) 近1年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目

1)单位应具备1年以上的安全行业从业时间;

2) 至少有2个项目中涉及安全设计与集成服务的金额超过100万元人民币;

3) 近3年内至少成功完成2个安全设计与集成项目,且终验 通过;

4) 近1年没有出现因各阶段验收未通过或企业自身原因而废止的安全设计与集成服务项目。

服务队伍要求

1) 从事风险评估的队伍中的相关人员应是中国公民;
2) 从事风险评估的队伍内至少应有1名经过电信网和互联网安全防护技术和标准的系统培训的安全工程师;

3) 从事风险评估的队伍内应至少有2名经过国家和相关机构认可、针对安全风险评估服务能力的安全工程师(有相关的能力证书如:CIW、CISP、CISSP、CISA等)。

3) 从事安全设计与集成服务的队伍内至少应有2名经过国际、国家和相关机构认可的,与安全设计与集成能力相关的安全工程师(有相关的能力证书如:CIW、CISP、CISSP、CISA、CCNA、CCIE等)

设备、设施与环境要求

1) 应具有固定的办公场所;
2) 应具有专门从事电信网和互联网安全风险评估服务的相关工具或软件,如漏洞扫描工具、安全基线核查、网站安全检测工具等。

1) 应具有固定的办公场所;
2) 应具有自主研发的安全产品,具有比较完善的研发和实验环境。



三、通信网络安全服务能力评定流程
1

四、实施收益
1、该认证是企业安全服务能力得到第三方权威机构认证认可的依据;
2、该认证可以提高需方对服务商的信任度;
3、规范管理和项目实施过程,提高客户满意度。

五、证书样本
2

六、中咨获证知名企业
中国电子信息产业集团第六研究所
中移建设有限公司
中石化华东石油工程有限公司
联通大数据有限公司
北京航天长峰科技工业集团有限公司
国网商用大数据有限公司
用友金融信息技术股份有限公司
用友广信网络科技有限公司
百望股份有限公司
北京旷视科技有限公司(Megvii,Face++)
国华人寿保险股份有限公司
纬创软件(北京)有限公司
国信优易数据有限公司
北京九章云极科技有限公司
北京量子伟业信息技术股份有限公司
北京腾信软创科技股份有限公司

中咨鑫顺贴心为您服务!
服务热线:010-67506541    400-004-6906

(声明:本文所用视频、图片、文字部分来源于互联网,版权属原作者所有。如涉及到版权或侵权问题,请及时和我们联系,核实后协商立即处理或删除。)