中国通信企业协会通信网络安全服务能力评定准则(试行)
通信网络代维(外包)企业资质等级评定办法
附件1:通信网络代维企业资质等级评定办法第一章总则第一条为了适应通信信息产业发展和通信网络所有人对通信网络代维的需要,规范通信网络代维服务市场秩序,保证通信网络代维服务质量和网络的安全畅通,制订本办法。
第二条通信网络代维服务是指通信网络所有人委托相关企业对通信网络中的设备或系统进行的运行维护活动或管理服务,包括以维持通信网络性能和保障网络安全畅通为目的、按照规定的周期和标准进行的维护管理活动,也包括为排除网络故障而进行的修复作业。
第三条通信网络代维企业资质是承担通信网络代维的企业从事通信网络代维综合能力的体现,包括对代维企业的基本要求、绩效要求及企业的管理和认证要求等。
第四条从事通信网络代维服务的企业,按照本办法取得通信网络代维企业资质等级证书后,承接相应范围的通信网络代维服务项目。
第五条通信网络的所有人,应优先选择持有相应通信网络代维企业资质等级证书的企业承担通信网络代维服务项目。
第二章组织管理第六条中国通信企业协会负责通信网络代维企业资质等级评定办法的发布和通信网络代维企业资质等级证书的批准颁发。
第七条中国通信企业协会通信网络运营专业委员会(以下简称运营专委会)负责资质等级评定的总体组织和管理工作,包括资质等级评定的总体规划、体系建设、起草发布实施文件和资质等级标准、人员资格评定、资质证书审核等工作。
第八条运营专委会组建成立运维服务企业资质评定中心(以下简称评定中心),负责受理企业的资质等级申请、评定、证书和档案管理、获证企业监督审查、证书发放等具体工作。
第九条工业和信息化部电信研究院认证机构(以下简称认证机构)根据资质等级评定办法和标准负责对申请代维企业资质等级证书的企业进行审查和获证企业监督审查的具体实施。
第十条从事资质等级评定的相关工作人员应具有胜任本岗位工作的能力,坚持公正、公平、科学、实事求是的原则。
第三章资质等级第十一条通信网络代维企业资质等级分为正式和临时等级。
正式等级包括甲、乙、丙三个等级;新设立的或条件不满足正式等级标准的代维企业可申请临时等级。
通信网络安全服务能力评定申请指南
通信网络安全服务能力评定申请指南©2014—中国通信企业协会通信网络安全专业委员会2014年3月20日目录引言......................................... 错误!未定义书签。
一、评定依据................................. 错误!未定义书签。
二、类型与级别划分........................... 错误!未定义书签。
三、评定准则................................. 错误!未定义书签。
四、评定流程................................. 错误!未定义书签。
4.1通信网络安全服务能力评定工作流程图........ 错误!未定义书签。
4.2申请阶段.................................. 错误!未定义书签。
4.3材料审查阶段.............................. 错误!未定义书签。
4.4能力评定阶段.............................. 错误!未定义书签。
4.4.1书面评定............................... 错误!未定义书签。
4.4.2现场评定............................... 错误!未定义书签。
4.4.3综合评定............................... 错误!未定义书签。
4.4.4出具《报告》........................... 错误!未定义书签。
4.4.5专家评审............................... 错误!未定义书签。
4.5证书发放阶段.............................. 错误!未定义书签。
4.5.1公示................................... 错误!未定义书签。
网络安全防护检查报告
网络安全防护检查报告数据中心测试单位:报告日期:目录第1章系统槪况 (4)1.2管理制度 (4)第2章:评测方法和工具 (6)2.1测试方式 (6)2.2测试工具 (6)2.3评分方法 (6)2.3.1符合性评测评分方法 (6)2.3.2风险评估评分方法 (7)第3章测试内容 (9)3.1测试内容概述 (9)3.2扫描和渗透测试接入点 (10)3.3 通信网络安全管理审核 (10)第四章符合性评测结果 (11)4.1业务安全 (11)4.2网络安全 (11)4.3主机安全 (11)4.4中间件安全 (12)4.5安全域边界安全 (12)4.6集中运维安全管系统安全 (12)4.7灾难备份及恢复 (13)4.8管理安全 (13)4.9 第三方服务安全 (14)第5章风险评估结果 (14)5.1存在的安全隐患 (14)第6章综合评分 (15)6.1符合性得分 (15)6.2风险评估 (15)6.3综合得分 (15)所依据的标准和规范有:>《YD/T 2584-2013互联网数据中心IDC安全防护要求》《YD/T 2585-2013互联网数据中心IDC安全防护检测要求》《YD/T 2669-2013第三方安全服务能力评定准则》《网络和系统安全防护检查评分方法》«2Q14年度通信网络安全防护符合性评测表-互联网数据中心IDC》还参考标准YD/T 1754-2QQ8〈<电信和互联网物理环境安全等级保护要求》YD/T 1755-2QQ8〈<电信和互联网物理环境安全等级保护检测要求》YD/T 1756-2QQ8《电信和互联网管理安全等级保护要求》GB/T 20274信息系统安全保障评估框架>GB/T 20984-2007《信息安全风险评估规范》第1章系统槪况IDC由负责管理和维护,其中各室配备了数名工程师,负责IDC设备硬、软件维护,数据制作,故障处理、信息安全保障、机房环境动力设备和空调维护。
信息安全服务能力评估准则
信息安全服务能力评估准则信息安全是指针对信息系统进行保护和防御的一系列措施和活动。
评估信息安全服务能力是为了确保组织能够提供有效的信息安全服务,以保护其信息系统和数据不受未经授权的访问、使用、披露、破坏等威胁。
因此,信息安全服务能力评估准则对于组织来说具有重要的意义。
1.组织安全政策和策略评估组织的安全政策和策略是否健全、有效。
包括了解组织信息安全管理的目标、原则、职责和权责分工,以及信息安全风险管理、安全控制和安全事件响应等方面的制度和流程。
2.信息安全组织和人员评估组织是否设立了信息安全管理部门或相关职位,确保信息安全工作的责任明确。
同时,评估组织的信息安全人员的资质和能力,包括专业知识、技能和经验。
还需要评估培训计划和培训成果,以保证信息安全人员能够始终保持专业的知识和技能水平。
3.风险管理和安全控制评估组织的风险管理和安全控制措施。
包括了解组织的风险评估和风险处理的流程和方法,以及信息系统的安全控制措施。
此外,还需要评估是否制定了相应的安全措施和进行了有效的实施和监控。
4.安全事件响应评估组织的安全事件响应能力。
包括了解组织的安全事件处理流程和方法,以及相关的应急预案和应急响应能力。
需要评估组织的安全事件响应团队的组织结构、工作职责、技术手段和响应能力,以及安全事件的记录、追踪和分析能力。
5.安全监控和评估评估组织的安全监控和评估能力。
包括了解组织的安全事件监控手段和技术、监控频率和深度,以及对系统和应用的安全性能进行评估的方法和工具。
还需要评估组织的安全检查和评估结果的分析和处理能力,以及形成的安全报告和建议的有效性和及时性。
6.信息安全技术和工具评估组织的信息安全技术和工具的选择和使用情况。
包括了解组织的安全设备和系统的选型和配置情况,以及信息安全工具的使用和管理方式。
还需要评估组织对于新技术和新工具的关注和应用程度,以及与供应商的合作和沟通情况。
评估信息安全服务能力的方法主要包括文件资料的审查、调查问卷和访谈、系统漏洞扫描和渗透测试等。
第二条本办法适用于对中华人民共和国境内的通信网络企业
通信网络安全服务能力评定管理办法第一章总则第一条为提高通信网络安全服务质量,确保服务过程的安全可控性,促进通信网络安全服务行业的健康发展,协助政府主管部门加强对通信网络安全服务的指导,依据《通信网络安全防护管理办法》,制定本办法。
第二条本办法适用于对中华人民共和国境内的通信网络安全服务单位提供安全服务的能力进行评定,可作为电信管理机构把握通信网络安全服务整体情况的参考,可作为电信运营企业选择通信网络安全服务的依据,也可以作为通信网络安全服务单位改进自身能力的指导。
第三条通信网络安全服务能力评定(以下简称能力评定)是指对通信网络安全服务单位从事通信网络安全服务综合能力的评定,包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况、获得奖励情况等要素。
第四条通信网络安全服务单位经过能力评定可取得《中国通信企业协会通信网络安全服务能力资格证书》(以下简称证书)。
第二章能力评定类型与等级第五条通信网络安全服务能力分为两种类型:风险评估、安全设计与集成。
风险评估是指运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,并提出有针对性的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据;安全设计与集成是指对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固或其它的安全技术和咨询服务。
第六条通信网络安全服务能力分为三个级别,由低至高依次是:一级、二级和三级。
第七条对各级别能力的具体要求可参见《通信网络安全服务能力评定准则》的有关规定。
第三章能力评定组织管理第八条中国通信企业协会负责能力评定的发证工作,中国通信企业协会通信网络安全专业委员会(以下简称通信安委会)负责能力评定一级级别组织专家评审工作;二级及以上级别申请的协调和管理工作,包括组织技术专家评定1、组织专家评审2、公布能力评定结果和管理证后监督。
信息通信行业各领域信用评价标准
信息通信行业各领域信用评价标准下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!信息通信行业各领域信用评价标准一、引言信息通信行业在当今社会扮演着重要角色,其发展水平直接影响着整个社会经济的运行。
中国通信企业协会通信网络安全服务能力评定准则(试行)
中国通信企业协会通信网络安全服务能力评定准则(试行)中国通信企业协会通信网络安全服务能力评定准则(试行)1 通信网络安全服务概述1.1 概念本准则所述的通信网络包括通信网和互联网,所涉及的安全服务是指为了适应通信网络安全管理的需要,运用科学的方法和手段,通过有效的措施来保障通信网络的正常运行,为企业提供全面或部分安全评估、设计与集成的服务,包含从安全体系到具体的技术解决措施。
1.2 类型本准则涉及到的通信网络安全服务可以分为二个类型:风险评估、安全设计与集成。
a)风险评估运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据。
b)安全设计与集成对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固与整改或其它的安全技术和咨询服务。
2 通信网络安全服务能力等级的评判原则通信网络安全服务能力是对通信网络安全服务提供商的客观评价,直接反应了通信网络安全服务提供商的服务资格、水平和能力。
通信网络安全服务能力要求分别针对每一类服务提供商分为基本要求和分类要求,基本要求是指所有通信网络安全服务提供商都必须要达到的安全能力要求;分类要求是指对不同类型的通信网络安全服务提供商提出了不同的能力要求,其中风险评估、安全设计与集成类服务分别提出了三级能力要求,由高到低依次是甲级、乙级、丙级能力。
在本准则中,高等级能力的要求涵盖了低等级能力要求的所有方面。
通信网络安全服务能力评定要求是对通信网络安全服务提供商的资格状况、经济实力、技术能力、服务队伍、服务过程能力等方面的具体衡量和评价。
3 通信网络安全服务能力等级基本要求3.1 法律要求a)在中华人民共和国境内注册成立(港澳台地区除外);b)由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位(港澳台地区除外);c)从事涉密的通信网络安全服务提供商必须满足国家保密机关的相关要求;d)从事通信网络安全服务工作一年以上,无违法记录;e)法人及主要业务、技术人员无犯罪记录。
中国通信企业协会网络安全人员能力认证考试知识点大纲
中国通信企业协会网络安全人员能力认证考试知识点大纲技术类专业级(CACE-CPAC-PLT)中国通信企业协会网络安全人员能力认证中心2017年3月目录第1章政策法规及道德规范 (10)1.1 国家网络安全相关法律法规 (10)1.1.1 我国网络安全管理体制 (10)1.1.2 网络安全相关法律法规 (10)1.1.3 信息安全等级保护相关法规政策 (10)1.2 电信和互联网行业网络安全管理政策 (10)1.2.1 通信网络安全相关法规政策 (10)1.2.2 网络安全防护 (11)1.2.3 网络安全威胁治理 (11)1.2.4 网络安全应急保障 (11)1.3 道德规范 (11)第2章安全管理标准 (11)2.1 国外主要标准介绍 (11)2.2 国内主要安全标准概述 (11)2.3 国内外安全管理标准的对比 (12)第3章安全体系框架 (12)3.1 安全体系设计的指导思想与理念 (12)3.2 安全技术体系框架及主要内容 (12)3.3 安全技术体系框架设计的落地 (12)第4章密码技术 (13)4.1加密算法与编码技术 (13)4.1.1 对称加密算法与编码技术 (13)4.1.2 非对称加密算法与编码技术 (13)4.2 常见密码技术原理 (13)4.2.1 经典加密算法 (13)4.2.2 现代加密算法 (14)4.3 高级加密标准 (14)4.3.1 高级加密标准简介 (14)4.3.2 实现 (14)4.3.3 实用的攻击 (14)4.3.4 链接模式 (14)4.4 PKI技术 (15)4.4.1 PKI技术概述 (15)4.4.2 PKI技术发展 (15)4.4.3 PKI系统组成 (15)4.4.4 PKI原理 (15)4.4.5 安全服务 (15)4.4.6 PKI与防火墙等其他技术 (15)4.5 密码破解技术 (16)4.5.1 密码分析学 (16)4.5.2 常用软件的口令加密和存储方法 (16)4.5.3 密码破解实现 (16)4.6密钥管理、数字签名、散列函数与证书 (16)4.6.1 概述 (16)4.6.2 密钥交换 (16)4.6.3 可靠性 (17)4.6.4 数字签名 (17)4.6.5 公钥基础设施和证书 (17)4.7密码学的的未来 (17)4.7.1 量子密码学简介 (17)4.7.2 量子系统概述 (17)4.7.3 量子因子分解 (18)4.7.4 量子密钥管理 (18)第5章第五章安全协议 (18)5.1 安全协议分析 (18)5.1.1 安全协议的安全性 (18)5.1.2 安全分析的基本方法 (18)5.1.3 典型网络安全协议分析 (19)5.2 TCP/IP协议分析 (19)5.3 网络接口层协议分析 (19)5.3.1 WEP协议 (19)5.3.2 WPA协议 (19)5.4 网际层协议分析--虚拟专用网络协议(IPSEC) (20)5.4.1 VPN (20)5.4.2 IPSEC (20)5.5 传输层安全分析 (20)5.5.1 TLS/SSL协议 (20)5.5.2 Socks协议 (21)5.6 应用层协议分析 (21)5.6.1 SSH协议 (21)5.6.2 SET协议 (21)5.6.3 kerberos协议 (21)5.7 几种常见安全协议的对比 (22)5.7.1 网络认证协议Kerberos (22)5.7.2 安全电子交易协议SET (22)5.7.3 安全套接层协议SSL (22)5.7.4 安全超文本传输协议SHTTP (22)5.7.5 安全电子邮件协议S/MIME (23)5.7.6 安全协议对比分析 (23)5.7.7 总结 (23)第6章网络安全攻击技术 (23)6.1 网络攻击技术原理 (23)6.1.1 网络欺骗 (23)6.1.2 嗅探技术 (24)6.1.3 扫描技术 (24)6.1.4 口令破解技术 (24)6.1.5 缓冲区溢出攻击 (24)6.1.6 SQL注入 (24)6.1.7 恶意代码 (25)6.2 网络安全攻击事件案例和原理分析 (25)6.2.1 国内事件 (25)6.2.2 国外事件 (25)6.3 黑客与攻击技术实战分析 (26)6.3.1 僵尸网络 (26)6.3.2 缓冲区溢出攻击 (26)6.3.3 拒绝服务攻击 (26)6.3.4 分布式拒绝服务攻击 (26)6.4 网络安全入侵实战 (27)6.4.1 命令行下的入侵 (27)6.4.2 图形界面的入侵等 (27)6.4.3 流行远程控制木马的使用方法 (27)6.4.4 键盘记录程序的使用方法 (27)6.5 网络安全攻击防范技术分析 (27)6.5.1 Windows命令行工具 (27)6.5.2 攻击检测和防范方法之日志分析 (28)6.5.3 针对SOAP的渗透测试与防护 (28)第7章风险评估实施流程 (29)7.1 风险评估准备工作 (29)7.1.1 组建风险评估项目团队 (29)7.1.2 确定风险评估范围 (29)7.1.3 确定风险评估方式 (29)7.1.4 制定风险评估计划 (29)7.2 风险评估实施流程 (30)7.2.1 风险要素识别 (30)7.2.2 风险分析 (30)7.2.3 风险处置 (30)7.3 建立风险评估工作长效机制 (30)第8章风险识别与评价 (30)8.1 资产识别 (30)8.2 威胁识别 (31)8.3 脆弱性识别 (31)8.4 已有安全措施的确认 (31)8.5 风险评价 (31)8.5.1 风险计算原理 (31)8.5.2 风险结果的判定 (32)8.5.3 控制措施的选择 (32)8.5.4 残余风险的评价 (32)第9章扫描、渗透及常用工具 (32)9.1 扫描工具 (32)9.1.1 Nmap (32)9.1.2 Nessus (33)9.1.3 Appscan (33)9.2 弱口令探测工具 (33)9.2.1 hydra (33)9.2.2 medusa (33)9.2.3 cain (33)9.3 嗅探工具 (34)9.3.1 ettercap (34)9.3.2 wireshark (34)9.4 WEB系统渗透工具 (34)9.4.1 BurpSuite (34)9.4.2 SQLmap (34)9.5 漏洞利用工具 (34)第10章风险评估报告 (35)10.1 风险评估报告的形式 (35)10.2 风险评估结果分析 (35)第11章安全加固与整改 (35)11.1 技术加固安全基线 (35)11.2 加固内容 (35)11.3 加固流程 (35)第12章网络安全设备 (36)12.1 防火墙 (36)12.1.1 防火墙策略 (36)12.1.2 防火墙配置和应用 (36)12.1.3 防火墙日志分析 (36)12.1.4 绕过防火墙的主要攻击方法 (36)12.2 IDS (37)12.2.1 IDS核心技术 (37)12.2.2 IDS发展趋势 (37)12.2.3 下一代IPS (37)12.3 防病毒 (37)12.3.1 病毒检测的基本原理 (37)12.3.2 病毒查杀日志分析重点 (37)12.3.3 经典虚拟化防病毒技术方案 (37)12.4 DDOS防护 (38)第13章安全体系架构设计 (38)13.1 网络架构安全基础 (38)13.2 网络架构安全设计 (38)13.2.1 网络安全域划分应考虑的主要因素 (38)13.2.2 IP地址规划方法 (38)13.2.3 VLAN划分的作用与策略 (38)13.2.4 路由交换设备安全配置常见的要求 (39)13.2.5 网络边界访问控制策略的类型 (39)13.2.6 网络冗余配置应考虑的因素 (39)第14章网络安全事件的监测与发现 (40)14.1 蜜罐技术 (40)14.2 入侵检测 (40)14.3 APT (40)第15章应急响应简介 (41)15.1 应急响应的概念 (41)15.2 应急响应的组织机构 (41)15.3 应急响应的特点 (41)15.4 应急响应的流程 (41)第16章常见安全事件应急处置 (42)16.1 恶意代码型事件的处理 (42)16.1.1 判别范例 (42)16.1.2 蠕虫 (42)16.1.3 病毒 (42)16.2 DDos型事件处理 (42)16.2.1 DDOS攻击技术概述 (42)16.2.2 分布式拒绝服务攻击体系结构图 (42)16.3 中间人攻击事件处理 (43)第17章应急响应分析技术手段 (43)17.1 日志分析 (43)17.1.1 日志分析的概念以及常见的日志类型 (43)17.1.2 日志分析工具 (43)17.1.3 日志中的安全事件 (44)17.2 后门检测 (44)17.2.1 Windows后门检测 (44)17.2.2 UNIX/Linux后门检测 (44)17.2.3 Webshell检测 (45)17.3 样本分析 (45)17.3.1 静态分析 (45)17.3.2 动态分析 (45)17.3.3 清理与查杀 (46)17.4 流量分析 (46)17.4.1 网络数据包抓取与分析原理 (46)17.4.2 抓包工具 (46)17.4.3 分析工具 (46)17.4.4 不同网络攻击的流量表现特征 (46)17.4.5 处理异常流量的方法 (47)第一部分综述第1章政策法规及道德规范1.1国家网络安全相关法律法规了解国家安全委员会和中央网络安全和信息化领导小组,重点领会总书记“419”讲话内容和精神。
通信网络安全专业委员会-(风险评估一级)
CESSCN-NJ-001:2013
通信网络安全服务能力年检报告
(风险评估一级)
申请单位:
填表日期:
中国通信企业协会通信网络安全专业委员会
年检须知
1概述
本年检调查表对通信网络安全服务能力年检自查部分进行说明和指导,明确制订依据、填写内容及填写要求,并附有调查表样式。
2制定依据
本年检调查表依据如下管理文件和标准制订:
1)《通信网络安全防护管理办法》(工业和信息化部第11号令);
2)《通信网络安全服务能力评定管理办法》;
3)《通信网络安全服务能力评定准则》。
3填写内容
2013年通信网络安全服务能力年检调查表填报工作主要内容是对基本信息表、通信网络安全服务项目实施汇总表、通信网络安全服务综合情况自查表、通信网络安全服务质量评价反馈表进行填写。
4填写要求
1)获证单位要对照《通信网络安全服务能力评定管理办法》自查自纠,发现问题及时纠正。
2)在获证单位自查的基础上,我通信安委会通过服务质量反馈、抽查等方式开展监督检查工作,发现问题及时要求整改。
一、基本信息表
二、通信网络安全服务项目实施汇总表(单位:万元)
随表附项目文件资料(包括:合同复印件、项目实施过程记录、验收报告)
1
三、通信网络安全服务综合情况自查表
2
3
4
5
6
7
8
9
10。
网络安全服务机构等级评定规范-全文及说明
ICS 03. 120. 20 A 00标准T/CAS 375—20XX网络平安效劳机构等级评定标准Grade assessment specificationof cyber secur i ty serv i ce i nst i tut i ons(征求意见稿)20XX-09-25 发布20XX-09-25 实施中国标准化协会(CAS)是组织开展国内、国际标准化活动的全国性社会团体。
制定中国标准化协会标准(以下简称:中国标协标准),满足企业需要,推动企业标准化工作,是中国标准化协会的工作内容之一。
中国境内的团体和个人,均可提出制、修订中国标协标准的建议并参与有关工作中国标协标准按《中国标准化协会标准管理方法》进行制定和管理。
中国标协标准草案经向社会公开征求意见,并得到参加审定会议的75%以上的专家、成员的投票赞同,方可作为中国标协标准予以发布。
在本文件实施过程中,如发现需要修改或补充之处,请将意见和有关资料寄给中国标准化协会以便修订时参考。
目次刖言....................................................................................... I 引言......................................................................................... I 1范围....................................................................................... 1 2标准性引用文件............................................................................. 1 3术语和定义................................................................................. 1 4网络平安效劳类型........................................................................... 2 5评定原那么与流程........................................................................... 4 6效劳机构等级划分........................................................................... 4 7根本能力要求............................................................................... 5 附录A评定流程 (11)附录B平安咨询效劳 (12)附录C信息系统平安集成效劳 (15)附录D信息系统平安运维效劳 (21)附录E监测预警效劳 (26)附录F应急响应效劳 (29)附录G软件平安效劳 (34)附录H工业控制系统平安效劳 (41)附录I数据平安效劳 (44)附录J信息平安风险评估效劳 (48)附录K云计算平安效劳 (52)附录L信息系统平安审计效劳 (62)附录M渗透测试效劳 (67)参考文献 (72)本文件按照GB/T 1. 1-202X《标准化工作导那么第1局部:标准化文件的结构和起草规那么》的规定起草。
2019年度通信网络安全防护符合性评测表-互联网内容分发网站
互联网内容分发网络(CDN)
CDN运营企业应对不同类型终端(机顶盒、手机、PC等)均提 供版权保护
互联网内容分发网络(CDN)
CDN运营企业应在多个核心节点备份配置管理系统的系统管理 互联网内容分发网络(CDN)
数据,应每30分钟同步一次
互联网内容分发网络(CDN)
CDN运营企业应对源站托管数据进行多点容灾备份,应在30分 互联网内容分发网络(CDN)
第2级及以上
第3.1级及以上
请求路由系统安全
第3.2级及以上
20-02-01-07-01 20-02-01-07-02 20-02-01-07-03 20-02-01-07-04 20-02-01-07-05 20-02-01-07-06 20-02-01-07-07 20-02-01-07-08 20-02-01-07-09 CDN-基础设施安全 20-03-01-01-01 20-03-01-01-02 20-03-01-01-03
适用范围
检查类型
第2级及以上
第3.1级及以上
数据一致性保护
第3.2级及以上
第2级及以上
安全审计
第2级及以上
第3.1级及以上
恶意数据清除
20-01-01-03-04
第3.2级及以上
20-01-01-04-01 20-01-01-04-02 20-01-01-04-03 20-01-01-04-04 20-01-01-04-05 20-01-01-04-06 20-01-01-04-07 20-01-01-04-08
第2级及以上
结构安全
第2级及以上
结构安全
20-02-01-002-01-01-14 20-02-01-01-15 20-02-01-01-16 20-02-01-02-01 20-02-01-02-02 20-02-01-02-03 20-02-01-02-04 20-02-01-02-05 20-02-01-02-06 20-02-01-02-07 20-02-01-02-08 20-02-01-02-09 20-02-01-02-10 20-02-01-02-11 20-02-01-02-12
信息系统安全等级保护测评服务内容及要求.pdf
信息系统安全等级保护测评服务内容及要求一、供应商资格:1.供应商应具备《政府采购法》第二十二条规定的条件;1)具有独立承担民事责任的能力;2)具有良好的商业信誉和健全的财务会计制度;3)具有履行合同所必需的设备和专业技术能力;4)有依法缴纳税收和社会保障资金的良好记录;5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;6)法律、行政法规规定的其他条件。
2.投标人要求为国内独立的事业法人的独立企业法人,并且股权结构中不能有任何外资成份。
3.具有网络安全等级保护测评机构推荐证书。
4.具有中国合格评定国家认可委员会颁发的CNAS证书。
5.具有广东省电子政务服务能力等级证书。
6.具有中国通信行业协会颁发的通信网络安全服务能力评定证书(应急响应一级)7.具有中鉴认证有限责任公司颁发的质量管理体系认证证书(ISO9001)。
8.中国通信行业协会颁发的通信网络安全服务能力评定证书(风险评估二级)。
9.本项目不接受联合体投标。
二、项目服务内容及要求1.采购项目需求一览表:序号服务类型被测评系统级别1等级保护测评服务存量房网上签约系统二级2等级保护测评服务金融部门网上受理系统(签约银行登录)二级3等级保护测评服务商品房明码标价备案系统二级4等级保护测评服务珠海不动产微信服务号系统二级2.基本要求:2.1 项目背景为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,响应国家的要求,珠海市不动产登记中心于2018年全面启动本单位的信息安全等级保护工作。
b5E2RGbCAP按照同时根据珠海市不动产登记中心的信息系统安全等级保护工作安排,现需开展信息系统安全等级保护测评等工作,并邀请具备国家或省公安厅颁发等级保护测评资质的公司对珠海市不动产登记中心的信息系统提供等级保护测评服务。
p1EanqFDPw2.2项目目标2.2.1等级保护测评服务。
信息通信建设企业服务能力评价管理规定和实施意见
4.1.6 技术人员、行业特需专业人员的社会保险证明文件和劳动合同(有效 页)复印件。
4.1.7 相关业绩的有效证明文件和验收证书等证明材料的复印件(首次申请 最低等级,不需提交)。
4.2 申请人应当提供上述证书及材料的原件,交由受理单位验证后退回申请 人。受理单位受理后,申报材料不得修改更换。
4.3 受理单位单位对企业申报材料存疑的,企业应当提供相关材料原件和证 明材料,必要时须配合进行实地核查。
3.3 各省受理单位受理的甲级服务能力评价申请,应当及时完成初审工作, 并将初审意见和全部申请材料报央企受理单位。
3.4 央企受理单位直接受理的申请或者经省受理单位受理、初审后报送的申 请,应当自接收到受理材料之日起 22 个工作日内完成评价工作,并公示、公布 评价结果。评价结果公布后,应当在 10 个工作日内向申请人颁发相应等级的服 务能力评价证书。
评价没有通过的,应当说明理由,并在下一次对申请人提交的陈述材料进行 审查。
4.申报材料有关要求 4.1 企业首次申请服务能力,申请服务能力升级的,应提交以下材料: 4.1.1《信息通信建设企业服务能力申请表》(见附表 1)。 4.1.2 企业法人营业执照或者工商预登记文件复印件。企业前一年度或当年 经审计的财务报表。 4.1.3 企业管理能力、诚信、社会责任的说明材料。需提供企业质量、环境、 职业健康安全等体系证书复印件,企业安全生产管理制度、项目管理制度和财务 管理制度复印件,企业诚信和税务信用、企业抢险、救灾、扶贫、慈善等活动证 明材料及证据。采用量化打分的方式予以考核,考核得分超过 85 分为合格。 4.1.4 技术负责人的任职文件、职称证书、学历证书、身份证复印件。 4.1.5 技术人员、行业特需专业人员的职称证书、学历证书、身份证、登记 证书复印件。
通信网络安全服务资质
通信网络安全服务资质通信网络安全服务资质是指被许可或认可的企业、机构或个人具有提供通信网络安全服务的能力和资质。
通信网络安全服务是指通过技术手段,保障通信网络及其相关设备、系统和数据的安全,防范网络攻击、信息泄露和其他网络安全威胁,确保通信网络的正常运行和用户信息的保密性、完整性和可用性。
通信网络安全服务资质的认定一般由相关政府部门或监管机构负责,具体申请和审批程序可能会因国家或地区的法律法规而有所差异。
一般而言,申请通信网络安全服务资质的机构或企业需要满足以下条件:1. 具备合法的注册资质:申请人需要是依法注册的企业、机构或个人,在商务或行政部门登记注册,并持有相应的营业执照或许可证。
2. 技术能力和经验:申请人需要具备相关的技术能力和经验,能够提供全面的通信网络安全服务,包括但不限于安全评估、安全管理、安全培训、安全保障等方面。
3. 人员和设备要求:申请人需要有一支具备相关专业知识和技术能力的团队,并且拥有必要的网络设备和安全工具,用于提供安全服务和应对网络安全事件。
4. 信息安全管理体系:申请人需要建立健全的信息安全管理体系,包括规范的安全操作流程、完善的安全管理措施、有效的应急预案等,以确保安全服务的质量和可靠性。
申请通信网络安全服务资质成功后,相关机构或企业可以合法提供通信网络安全服务,并在市场上开展相关的业务活动。
但同时也需遵守相关的法律法规和伦理准则,保护用户的合法权益和隐私,防止滥用和侵犯用户信息。
需要注意的是,通信网络安全服务资质并不是一劳永逸的,需要定期进行资质审查和更新,以适应快速发展的网络安全威胁和技术变化。
此外,为了确保服务质量和信息安全,建议用户选择持有正规合法资质的通信网络安全服务供应商,并与其建立长期合作关系。
通信网络安全服务能力评定申请指南
通信网络安全服务能力评定申请指南©2014—中国通信企业协会通信网络安全专业委员会2014年3月20日目录引言 (3)一、评定依据 (5)二、类型与级别划分 (5)三、评定准则 (5)四、评定流程 (6)4.1通信网络安全服务能力评定工作流程图 (6)4.2申请阶段 (7)4.3材料审查阶段 (7)4.4能力评定阶段 (8)4.4.1书面评定 (8)4.4.2现场评定 (8)4.4.3综合评定 (9)4.4.4出具《报告》 (9)4.4.5专家评审 (9)4.5证书发放阶段 (10)4.5.1公示 (10)4.5.2签订《承诺书》 (10)4.5.3颁发证书 (10)五、证后监督管理 (10)六、争议、投诉与申诉 (11)七、联系方式 (12)引言中国通信企业协会通信网络安全专业委员会(简称通信安委会),英文名称为(缩写CNCE-NS)是经工业和信息化部审核同意,民政部核准注册登记(社证字:第4235-9号)的非营利性社会团体,是由工业和信息化部电信研究院作为技术支撑单位,是中国通信企业协会的分支机构。
主要职能之一是开展通信网络安全服务能力评定。
通信网络安全服务能力评定是对通信网络安全服务单位(简称申请单位)从事通信网络安全服务综合能力的评定,包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况等要素。
为提高我国通信网络安全服务质量,确保服务过程的安全可控,促进通信网络安全服务行业的健康发展,协助政府主管部门加强对通信网络安全服务的管理以及全社会选择通信网络安全服务提供客观、公正的参考依据。
本指南适用于中国境内的通信网络安全服务单位向通信安委会申请通信网络安全服务能力评定。
一、评定依据通信网络安全服务能力评定是对通信网络安全服务单位从事通信网络安全服务综合能力的评定,包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况等要素。
通信网络安全服务能力评定是依据《通信网络安全防护管理办法》、《电信网与互联网第三方安全服务评定准则》YD/T2669-2013、以及《通信网络安全服务能力评定管理办法》的具体要求,对通信网络安全服务单位的技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况等方面的综合评定。
信息通信建设企业服务能力评价管理办法(2019年修订)
附件1:信息通信建设企业服务能力评价管理办法(2019年修订)第一章 总则第一条 为适应信息通信建设市场对通信建设服务企业的特定需要,加强行业自律,规范市场秩序,保障信息通信工程项目的质量和安全,促进企业服务能力的不断提升,有效开展信息通信建设企业服务能力评价(以下简称服务能力评价)工作,特制定本办法。
第二条 本办法是中国通信企业协会依据国家相关规定,协调信息通信建设市场主体企业自主制定、自行发布,供市场自由选用。
第三条 本办法所称服务能力评价是对信息通信网络系统集成企业、信息通信建设监理企业、信息通信用户管线建设企业、信息通信建设项目招标代理机构从事工程建设服务能力和水平的综合评价。
信息通信建设企业服务的综合能力和水平包括经营业绩、财务状况、企业诚信、管理水平、技术实力和人才实力等要素。
第四条 本办法的实施细则由中国通信企业协会通信工程建设分会负责制订。
第二章 工作机构第五条 中国通信企业协会委托通信工程建设分会负责协调、管理服务能力评价工作,对服务能力评价结果进行审定。
服务能力评价设立“央企受理单位”和“省受理单位”。
第六条 通信工程建设分会为央企受理单位,负责企业甲级服务能力和央企服务能力的评价工作。
第七条 通信工程建设分会委托授权各省(自治区、直辖市)通信行业协会为省受理单位,负责本省(自治区、直辖市)所有申报材料的受理、初审及本省除甲级服务能力外的其他级别服务能力的评价工作。
第三章 服务能力设定与评价第八条 信息通信建设企业服务能力评价暂设:信息通信网络系统集成企业服务能力评价、信息通信建设监理企业服务能力评价、信息通信用户管线建设企业服务能力评价、信息通信建设项目招标代理机构服务能力评价。
第九条 信息通信网络系统集成企业服务能力评价,是对企业从事信息通信网络系统集成及服务能力和水平的客观评价,服务能力分为甲级、乙级、丙级。
第十条 信息通信建设监理企业服务能力评价,是对企业从事信息通信建设工程项目监理服务能力和水平的客观评价,服务能力分为甲级、乙级、丙级。
网络安全评级规则
网络安全评级规则1. 背景随着互联网的快速发展,网络安全问题日益凸显,给个人和组织带来了巨大的威胁。
为了保护网络安全,评级规则的制定成为必要的举措之一。
本文将介绍网络安全评级规则的目标、原则和具体实施方法。
2. 目标网络安全评级规则的目标是为个人和组织提供一个客观、全面、可行的评级标准,以帮助他们评估自身的网络安全水平,并采取相应的措施提升安全性。
通过评级规则,可以促进网络安全意识的提高,并推动网络安全技术的发展。
3. 原则网络安全评级规则应遵循以下原则:- 独立性:评级决策应独立进行,不受外界干扰或影响,确保评级结果的客观性。
- 简洁性:评级规则应尽可能简洁,避免法律复杂性和争议性,以便广泛适用。
- 可操作性:评级规则应具备可操作性,能够指导个人和组织实施相应的安全措施。
- 可验证性:评级结果应具备可验证性,以便其他人能够验证评级的准确性和可靠性。
4. 实施方法网络安全评级规则的实施方法如下:4.1 确定评级指标评级指标是评估网络安全水平的关键要素,应根据实际情况和需求确定。
常见的评级指标包括网络防护能力、数据安全性、身份认证等。
4.2 制定评级等级根据评级指标的权重和评分标准,制定一套评级等级体系。
评级等级通常包括高、中、低三个等级,用于描述网络安全水平的高低程度。
4.3 进行评级评估根据评级指标和评级等级体系,对个人和组织的网络安全进行评估。
评估可以通过自查、第三方机构评估等方式进行。
4.4 提供评级报告和建议根据评估结果,为个人和组织提供评级报告和相应的安全建议。
评级报告应清晰、简明地呈现评估结果,建议应具体、可操作,能够帮助个人和组织改进网络安全。
4.5 定期复评网络安全评级是一个动态的过程,应定期进行复评,以跟踪网络安全水平的变化并及时调整安全措施。
5. 结论网络安全评级规则的制定和实施对于保护个人和组织的网络安全至关重要。
通过独立决策、简洁原则、可操作性和可验证性,可以有效提升网络安全水平,减少网络安全威胁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国通信企业协会通信网络安全服务能力评定准则(试行)1 通信网络安全服务概述1.1 概念本准则所述的通信网络包括通信网和互联网,所涉及的安全服务是指为了适应通信网络安全管理的需要,运用科学的方法和手段,通过有效的措施来保障通信网络的正常运行,为企业提供全面或部分安全评估、设计与集成的服务,包含从安全体系到具体的技术解决措施。
1.2 类型本准则涉及到的通信网络安全服务可以分为二个类型:风险评估、安全设计与集成。
a)风险评估运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据。
b)安全设计与集成对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固与整改或其它的安全技术和咨询服务。
2 通信网络安全服务能力等级的评判原则通信网络安全服务能力是对通信网络安全服务提供商的客观评价,直接反应了通信网络安全服务提供商的服务资格、水平和能力。
通信网络安全服务能力要求分别针对每一类服务提供商分为基本要求和分类要求,基本要求是指所有通信网络安全服务提供商都必须要达到的安全能力要求;分类要求是指对不同类型的通信网络安全服务提供商提出了不同的能力要求,其中风险评估、安全设计与集成类服务分别提出了三级能力要求,由高到低依次是甲级、乙级、丙级能力。
在本准则中,高等级能力的要求涵盖了低等级能力要求的所有方面。
通信网络安全服务能力评定要求是对通信网络安全服务提供商的资格状况、经济实力、技术能力、服务队伍、服务过程能力等方面的具体衡量和评价。
3 通信网络安全服务能力等级基本要求3.1 法律要求a)在中华人民共和国境内注册成立(港澳台地区除外);b)由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位(港澳台地区除外);c)从事涉密的通信网络安全服务提供商必须满足国家保密机关的相关要求;d)从事通信网络安全服务工作一年以上,无违法记录;e)法人及主要业务、技术人员无犯罪记录。
3.2 组织与管理要求a)拥有健全的组织与管理体系,有专门从事通信网络安全服务的部门或团队;b)落实保密规章制度,对通信网络安全服务保密,安全服务过程中不得制造漏洞或者利用安全服务所获得的安全漏洞从事破坏、窃取机密等行为;c)建立人员管理程序,明确保密岗位与职责,定期对安全服务人员进行安全保密教育与培训,并签订保密责任书,规定应当履行的安全保密义务和承担的法律责任。
3.3 设备、设施与环境要求a)具有固定的办公场所;b)具有专门从事通信网络安全服务的相关工具或软件;c)具有进行安全服务所必须的实验环境。
3.4 项目管理要求a)具有成文的项目管理制度,并符合相关项目管理准则;b)具有系统的对员工进行安全技术、项目管理、保密规章制度的培训机制和计划,并能有效组织实施与考核;c)能提供项目管理制度可有效运行的证据。
3.5 质量保证要求a)建立并落实质量管理体系;b)能够自行评估服务质量的状况,并能对服务质量进行持续改进。
4 风险评估能力要求4.1 丙级能力要求4.1.1基本要求a)应达到本准则第3章通信网络安全服务能力等级基本要求的所有条款;b)从事风险评估的通信网络安全服务提供商应对通信网络及其业务的安全状况、安全要求有相应的了解。
4.1.2服务商要求4.1.2.1 规模与资产a)企业正式编制人员应不少于15人,直接从事风险评估服务的人员不低于8人;b)注册资本:产权关系明晰,注册资金(或开办资金)不少于50万元人民币。
4.1.2.2 业绩要求a)企业应具备一年以上的通信网络安全行业从业时间;b)至少有2个项目中涉及风险评估服务的项目合同总金额超过5万元人民币;c)至少成功完成2个以上的完整的风险评估服务项目,且终验通过;d)近二年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目。
4.1.2.3 客户服务要求从事风险评估服务的通信网络安全服务提供商应提供7×24小时电话热线支持。
4.1.2.4 技术能力要求a)了解安全防护系列准则,对通信网络有深入了解;b)有专门的人员持续对最新的通信网络安全技术进行研究;c)能够独立完成通信网络安全渗透测试;d)能够评估通信网络安全风险、脆弱性、管控能力及安全对通信网络的影响力;e)具有确定通信网络的安全需求的能力;f)具有对通信网络安全系统有效维护的能力;g)具备切实可行的应急服务方案。
4.1.3服务队伍要求a)从事风险评估的队伍内至少应有1名经过通信网络安全防护技术和标准的系统培训,曾参与起草安全防护系列标准的人员可等同参加过此类培训;b)从事风险评估的队伍内至少应有2名国家或者特定机构认可的安全工程师;c)应有一批相对稳定的技术队伍,每个安全服务项目至少应有1名项目经理,直接从事风险评估的服务人员大学本科以上学历不少于80%;d)至少有2人具有一年以上的通信网络安全服务项目经验,并具有相关通信网络风险评估服务的成功案例;e)具有相应的评估工具,如漏洞扫描工具、安全基线核查、网站安全检测工具等。
4.2 乙级能力要求4.2.1基本要求应达到本准则4.1节风险评估服务商丙级能力要求的所有条款,并在以下方面增强或者增加要求。
4.2.2服务商要求4.2.2.1 规模与资产a)企业正式编制人员应不少于40人,直接从事风险评估服务的人员不低于20人;b)注册资本:产权关系明晰,注册资金(或开办资金)不少于500万元人民币。
4.2.2.2 业绩要求a)企业应具备二年以上的通信网络安全行业从业时间;b)至少有4个项目中涉及风险评估服务的项目合同总金额超过10万元人民币;c)至少成功完成4个以上的完整的风险评估服务项目,且终验通过;d)近二年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目。
4.2.3服务队伍要求a)从事风险评估的队伍内至少应有2名经过通信网络安全防护技术和标准的系统培训,曾参与起草安全防护系列标准的人员可等同参加过此类培训;b)至少有4人具有二年以上的通信网络安全服务项目经验,并具有相关通信网络风险评估服务的成功案例。
4.3 甲级能力要求4.3.1基本要求应达到本准则4.2节风险评估服务商乙级能力要求的所有条款,并在以下方面增强或者增加要求。
4.3.2服务商要求4.3.2.1 规模与资产a)企业正式编制人员应不少于60人;直接从事风险评估服务的人员不低于30人,且要求全部是中国公民;b)注册资本:产权关系明晰,注册资金(或开办资金)不少于3000万元人民币。
4.3.2.2 业绩要求a)企业应具备三年以上的通信网络安全行业从业时间;b)至少有6个项目中涉及风险评估服务的项目合同总金额超过10万元人民币;c)至少成功完成20个以上的完整的风险评估服务项目,且终验通过;d)近五年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目。
4.3.2.3 技术能力要求具有自主研发的检测工具(硬件或软件),并获得国家相关部门的认可。
4.3.3服务队伍要求a)从事风险评估的队伍内至少应有5名经过通信网络安全防护技术和准则的系统培训,曾参与起草安全防护系列标准的人员可等同参加过此类培训;b)从事风险评估的队伍内至少应有12名具备三年以上通信网络风险评估项目经验的安全工程师;c)具有专业的安全攻防队伍,有能力对各类主流操作系统、主流数据库及为完成特定功能所开发的系统进行黑盒测试,并对代码进行白盒检查。
5 安全设计与集成能力要求5.1 丙级能力要求5.1.1基本要求a)应达到本准则第3章通信网络安全服务能力等级基本要求的所有条款;b)从事安全设计与集成的通信网络安全服务提供商应对通信网络及其业务的安全状况、安全要求、安全设计与集成流程有相应的了解,具备承接通信领域各方面安全设计与集成项目的前提能力。
5.1.2服务商要求5.1.2.1 资格要求进行涉及国家秘密的通信网络安全服务提供商必须获得国家保密部门的能力证书。
5.1.2.2 规模与资产a)企业正式编制人员应不少于20人;b)注册资本:产权关系明晰,注册资金(或开办资金)不少于500万元人民币。
5.1.2.3 人员构成和素质要求a)直接从事安全设计与集成服务的人员不低于10人,每个安全设计与集成服务项目至少应有1名项目经理,大学本科以上学历人员占企业总人数比例不少于80%;b)企业至少有5人具有三年以上的安全设计与集成服务项目经验,并具有安全设计与集成服务的成功案例。
5.1.2.4 业绩要求a)企业应具备一年以上的通信网络安全行业从业时间;b)至少有2个项目中涉及安全设计与集成服务的项目合同总金额超过100万元人民币;c)至少成功完成2个完整的安全设计与集成项目,且终验通过;d)近一年没有出现因各阶段验收未通过或企业自身原因而废止的安全设计与集成服务项目。
5.1.2.5 客户服务要求从事安全设计与集成服务的通信网络安全服务提供商应提供7×24小时电话热线支持。
5.1.2.6 技术能力要求a)了解安全防护系列准则,对通信网络有深入了解;b)能对市场的通信网络安全产品进行功能分析、提出安全策略和安全解决方案,具有安全产品的系统集成能力;c)具有对集成的系统进行安全性检测和验证的能力;d)能对集成的系统进行有效的安全性维护。
5.1.3服务队伍要求a)从事安全设计与集成的队伍中的相关人员应是中国公民;b)从事安全设计与集成的队伍内至少应有2名经过通信网络安全防护技术和准则的系统培训,曾参与起草安全防护系列标准的人员可等同参加过此类培训;c)从事安全设计与集成的队伍内至少应有2名国家和相关机构认可的安全工程师;d)具有相应的国家权威单位认可的测试设备和环境,如漏洞扫描工具、安全基线核查、网站安全检测工具等。
5.2 乙级能力要求5.2.1基本要求应达到本准则5.1节安全设计与集成服务商丙级能力要求的所有条款,并在以下方面增强或者增加要求。
5.2.2服务商要求5.2.2.1 规模与资产a)企业正式编制人员应不少于100人;b)注册资本:产权关系明晰,注册资金(或开办资金)不少于1000万元人民币。
5.2.2.2 人员构成和素质要求a)直接从事安全设计与集成服务的人员不低于15人,每个安全设计与集成服务项目至少应有1名项目经理,大学本科以上学历人员占企业总人数比例不少于80%;b)企业至少有8人具有三年以上的安全设计与集成服务项目经验,并具有安全设计与集成服务的成功案例。