信息安全服务认证简介
信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的安全服务资质进行评价。
信息安全服务提供方的服务能力主要从以下四个方面体现:基本资格、基本能力、服务管理能力和服务技术能力;服务人员的能力主要从掌握的知识、信息安全服务的经验等综合评定。对服务提供方的背景审查主要指客户投诉、违法违纪行为等,服务人员的背景审查主要指行业主管部门或使用单位对从事信息安全服务的人员进行必要的审查。实施信息安全服务资质管理需要坚持三个原则,即服务分类分级原则、能力评价与背景审查相结合原则、资质评定与证后监督相结合原则。
信息安全服务资质认证标准
开展信息安全服务资质认证的依据是国家法律法规、国家标准、行业标准和技术规范。目前信息安全认证中心开展了信息安全应急处理资质认证业务,依据标准是YD/T 1799-2008《网络与信息安全应急处理服务资质评估方法》。
YD/T 1799-2008《网络与信息安全应急处理服务资质评估方法》是根据我国网络与信息安全应急处理服务管理的需求,同时考虑到国内网络与信息安全应急处理服务提供商的实际情况,参考YD/T 1621-2007《网络与信息安全服务资质评估准则》、《计算机信息系统集成资质管理办法》等文件和相关国际国内标准制定而成。该标准的评估对象是为信息系统所有者提供网络与信息安全应急处理服务的组织。
网络与信息安全应急处理服务是保障业务连续性的重要手段之一,它涵盖了在安全事件发生后为了维持和恢复关键的应用所进行的系列活动。网络与信息安全应急处理服务资质等级是衡量服务提供方应急处理服务资格和能力的尺度。资质等级分为三级,一级最高,三级最低。
网络与信息安全应急处理服务资质评估是对网络与信息安全应急处理服务提供方的资格状况、经济实力、技术能力和实施应急服务过程能力等方面的具体衡量和评价。该标准规定了为信息系统所有者提供网络与信息安全应急处理服务的组织应具备的服务资质要求,以及对提供网络与信息安全应急处理服务的组织进行评估的方法。该标准适用于第三方评估机构对提供网络与信息安全应急处理服务的组织进行网络与信息安全应急处理服务资质评估,可作为信息系统所有者选择提供网络与信息安全应急处理服务组织的依据,可以作为有关主管部门对提供网络与信息安全应急处理服务的组织进行管理的技术性规范,可供认证机构认证提供网络与信息安全应急处理服务的组织时参考,也可为提供网络与信息安全应急处理服务的组织改进自身能力提供指导。
YD/T 1621-2007《网络与信息安全服务资质评估准则》规定为电信运营企业提供网络与信息安全服务的组织应具备的网络与信息安全服务资质要求,适用于为电信运营企业提供网络与信息安全服务的组织进行网络与信息安全服务资质评估,可以作为国家有关主管部门对网络与信息安全服务的组织进行管理、检查的技术性规范,也可为网络与信息安全服务的组织改进自身能力的指导。该标准涉及到了信息安全咨询服务、信息安全工程服务、信息安全培训服务、信息安全运行支持服务。