《信息安全服务 人员能力评估标准》团体标准
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ICS 35.040
L 80信息安全服务人员能力评估标准
Information security service
—Assessment criteria for personnel capability
(征求意见稿)
XXXX -XX -XX 发布XXXX -XX -XX 实施
团
体标准
T/ZJXTJC 002—2020ZJXTJC
目 次
前言.....................................................................................................................................................................II 引言...................................................................................................................................................................III 1范围. (1)
2规范性引用文件 (1)
3术语和定义 (1)
4信息安全服务原则 (3)
4.1合规性 (3)
4.2数据和业务保护 (4)
5能力评估要求 (4)
5.1肆级能力要求 (4)
5.2叁级能力要求 (5)
5.3贰级能力要求 (7)
5.4壹级能力要求 (8)
5.5特级能力要求 (10)
附录A(规范性附录)信息安全服务类别及对应项目级别划分 (14)
前 言
本标准依据GB/T1.1—2009给出的规则起草。
本标准由浙江省计算机信息系统集成行业协会提出并归口管理。
本标准由浙江省计算机信息系统集成行业协会牵头组织制定。
本标准主要起草单位:
本标准主要起草人:
本标准由浙江省计算机信息系统集成行业协会负责解释。
引 言
本标准是对提供信息安全服务的组织进行能力评估,在编制过程中考虑到省内环境与信息安全行业的实际情况,同时结合GB/T32914-2016、GB/T30271-2013、GB/T30283-2013等国家或行业标准制定而成。
信息安全服务企业能力评估标准
1范围
本标准规定了对信息安全服务提供方的服务能力通用等级要求。
本标准适用于评估组织和监管部门对信息安全服务提供方的服务能力进行评估,也为信息安全服务提供方对其自身服务能力的改善提供指导,同样对信息安全服务需求方具有参考意义。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T32914-2016信息安全技术信息安全服务提供方管理要求
GB/T30271-2013信息安全技术信息安全服务能力评估准则
GB/T30283-2013信息安全技术信息安全服务分类
YD/T1621-2007网络与信息安全服务资质评估准则
3术语和定义
GB/T32914-2016所界定的以及下列术语和定义适用于本文件。
3.1
信息安全服务information security service
面向组织或个人的各类信息安全需求和信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过程或任务。
注:信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行。
3.2
信息安全服务需求方information security service acquirer
获取外部所提供的信息安全服务,以满足信息安全需求和信息安全保障需求,实现自身业务目标的组织(或个人用户)。
3.3
信息安全服务提供方information security service provider
按照服务协议,通过专业的信息安全人员提供信息安全服务的组织。
3.4
服务协议service agreement
服务需求方和服务提供方在服务开始前共同签署的约定,并在服务过程中共同遵守。
注:通常包含服务原则、服务内容、服务形式、服务级别、服务价格、服务交付成果、服务安全要求等,在形式上可以是服务合同及其附属的工作说明书。
3.5
服务级别service level
在服务协议中对服务交付成果明确约定、可测量和文档化的一系列服务指标。
3.6
服务目录service catalogue
在服务协议中明确展示服务内容、服务形式、服务价格、服务交付成果和服务级别等的一份列表。
3.7
服务组合service portfolio
多个服务类别或服务项目以及其他工作的集合。
3.8
供应链supply chain
通过多个资源和过程联系在一起的一系列组织,根据由服务协议或其他采购协议建立连续的供应关系,每个组织充当一个需求方、提供方或双重角色。
3.9
服务要素service factors
设计和实施服务的关键要素,包括服务人员、服务流程、服务工具、规章,以及其他服务所需的资源。
3.10
服务方案service plans
基于服务目标,对服务各阶段中所需执行的过程、任务、活动以及相关服务要素、服务级别进行详细描述的文档。
3.11
服务工具service tools
为达成服务目标或提高服务质量和效率所需要的设备、软件、模板、知识库等。
3.12
服务变更service change
任何可能对服务产生影响的新增、修改或解除的活动。
注:服务变更可能涉及服务的范围、人员、内容、形式、价格、时间、方案、流程、工具、服务级别等。
3.13
信息安全风险评估information security risk assessment
从风险管理角度,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行识别、分析和评价的过程。
注:信息安全风险评估贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段。
3.14
信息安全系统集成information security system integration
按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行集成的行为或活动。
3.15
信息安全系统运维information security system operation and maintenance
依据信息安全服务需求方的安全需求对信息系统进行安全运维准备、安全运维实施,并对实施安全运维服务的有效性进行评审,从而进行持续性改进,全过程、全生命周期地为信息系统运行提供安全保障的过程。
3.16
信息安全应急处理information security emergency treatment
针对各类信息安全事件,提供实施层面的应急响应和应急演练。
注:应急响应是对已发生的各类信息安全事件做出快速响应,及时而有效进行事件处理,最大程度减少损失和该事件造成的消极影响。
应急演练是根据组织已有的应急预案,在设备、系统、业务、组织等不同层面进行测试和演练,从而提高组织的应对各类突发信息安全事件的能力。
3.17
信息安全服务能力级别information security service level
信息安全服务提供方在提供满足需求方的安全服务的组织、协调、技术水平和管理的能力成熟程度。
4信息安全服务原则
4.1合规性
遵循国家和行业关于信息安全服务的要求,基于明确的信息安全保障需求和信息安全服务目标。
具体原则如下:
a)应符合国家信息安全阀了法规和政策、国家和行业相关信息安全标准的要求;
b)应遵循服务过程有记录,可监视,可检查,服务行为预先告知、服务和产品中立、资产保护等
信息安全服务原则;
c)应根据信息安全服务类别,通过需求调研、风险评估等手段,提取信息安全保障要求;
d)应根据信息安全保障要求,结合服务对象业务、系统或设备的实际情况,确定信息安全服务目
标;
e)应按照服务协议所规定的关键节点、交付成果和服务级别要求,记录、监视、检查和评审服务
目标的完成情况及差异程度。
4.2数据和业务保护
在信息安全服务实施过程中,对信息安全服务需求方的数据和业务进行保护。
具体原则如下:
a)在服务实施之前,应与需求方签订数据保护协议,明确规定身份数据、业务数据、系统数据等
保护内容,明确规定最小数据范围、最小特权访问、最小服务用途等保护要求;
b)应对在服务实施过程中所获取得或产生得信息资料,只在服务范围内进行数据合理利用,并采
用必要的安全措施进行妥善保管;
c)应采取相应的措施防止因信息安全服务的实施,影响需求方的系统正常使用和业务正常开展,
或造成对IT资产的损害;
d)针对直接作用于信息系统的信息安全实施服务,应事先对服务意外中断或终止的影响进行确
认,并制定应对措施;
e)在服务实施完成之后,应按需求方和服务协议的要求,进行资料、账号、证件等清理工作(例
如:移交、注销、销毁等)。
5能力评估要求
信息安全服务能力评估要求适用于风险评估、系统集成、应急处理、系统运维等类别的信息安全服务认证评估,均分为肆级、叁级、贰级、壹级、特级五个级别,其中特级最高。
5.1肆级能力要求
5.1.1综合要求
a)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b)具有与从事信息安全服务相适应的注册资本和实收资本。
5.1.2财务要求
a)企业财务状况良好。
b)企业拥有与从事信息安全服务业务相适应的固定资产和无形资产。
5.1.3信誉要求
a)企业有良好的资信和公众形象,近三年无触犯国家法律法规的行为。
b)企业有良好的履约能力,近三年没有因企业原因造成验收未通过的服务项目或应由企业承担责
任的用户重大投诉。
c)企业近三年无不正当竞争行为。
d)企业遵循国家相关法律法规、标准要求,遵守信息安全服务管理相关规定,在能力资质申报和
能力资质证书使用过程中诚实守信,近三年无不良行为。
5.1.4制度和体系要求
a)建立完备的质量管理体系,有效运行时间不少于一年。
b)建有服务项目管理流程,保证服务项目有效实施,对项目过程相关文件进行管理。
c)建有客户服务流程,能有效地为客户提供服务。
d)应对组织内部所有相关人员进行管理制度或管理体系的教育、培训和考核。
5.1.5办公场所要求
a)拥有固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
5.1.6人力资源要求
a)企业主要负责人从事信息安全服务企业管理的经历不少于1年。
b)企业主要技术负责人具备信息安全服务类别管理能力,应具有与服务类别一致工程师资质,且
从事信息安全服务类别对应技术工作的经历不少于1年。
人员能力要求见T/ZJXTJC002-2020《信息安全服务人员能力评估标准》。
c)企业从事信息安全服务的人员不少于15人。
具备信息安全服务类别对应技术能力的人员,工
程师不少于2人。
d)经过登记的信息安全服务项目管理人员人数不少于1名。
e)制定服务人员能力培养计划,确保服务人员胜任其承担的职责。
5.1.7保密要求
a)建立保密管理制度。
涉及国家秘密的信息安全服务,应按照国家相关的保密法律法规、政策和
标准执行。
b)与信息安全服务相关人员签订保密协议。
5.1.8技术能力要求
a)了解适用的国家信息安全相关法律法规、政策、标准和其他要求,并传达给相关部门及人员。
b)具备承担信息安全服务类别对应项目所需的安全工具。
c)建有信息安全服务类别对应要求的流程,并按照流程实施。
5.1.9业绩要求
无。
5.1.10服务协议要求
a)信息安全服务供需双方应签订服务协议,明确规定信息安全服务的范围、目标和验收等条款。
b)服务协议中应涉及知识产权条款,明确知识产权侵权责任。
5.2叁级能力要求
5.2.1综合要求
a)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b)企业注册资本和实收资本均不少于500万元,或所有者权益合计不少于500万元。
5.2.2财务要求
a)企业近三年的信息安全服务收入总额不少于5000万元,财务数据真实可信,须经在中华人民
共和国境内登记的会计师事务所审计。
b)企业建立财务管理制度并有效运行。
c)企业财务状况良好。
d)企业拥有与从事信息安全服务业务相适应的固定资产和无形资产。
e)财务负责人应具有财务系列初级职称。
5.2.3信誉要求
a)企业有良好的资信和公众形象,近三年无触犯国家法律法规的行为。
b)企业有良好的知识产权保护意识,近三年完成的信息安全服务项目中无销售或提供非正版软件
的行为。
c)企业有良好的履约能力,近三年没有因企业原因造成验收未通过的服务项目或应由企业承担责
任的用户重大投诉。
d)企业近三年无不正当竞争行为。
e)企业遵循国家相关法律法规、标准要求,遵守信息安全服务管理相关规定,在能力资质申报和
能力资质证书使用过程中诚实守信,近三年无不良行为。
5.2.4制度和体系要求
a)应建立质量管理体系,体系须通过国家认可的第三方认证机构认证,且连续有效运行时间不少
于一年。
b)建有服务项目管理流程,保证服务项目有效实施;
c)建有客户服务流程,能及时、有效地为客户提供服务。
d)能对项目相关文件进行有效管理。
e)应对组织内部所有相关人员进行管理制度或管理体系的教育、培训和考核。
5.2.5办公场所要求
a)拥有固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
办公场地面积不少
于300平米。
5.2.6人力资源要求
a)企业主要负责人从事信息安全服务企业管理的经历不少于2年,拥有1年以上信息技术领域管
理经历。
b)企业主要技术负责人具备信息安全服务类别管理能力,应具有与服务类别一致高级工程师资
质,且从事信息安全服务类别对应技术工作的经历不少于2年。
人员能力要求见T/ZJXTJC 002-2020《信息安全服务人员能力评估标准》
c)企业从事信息安全服务的人员不少于50人。
具备信息安全服务类别对应技术能力的人员,工
程师不少于5人,其中高级工程师不少于1人。
d)经过登记的信息安全服务项目管理人员人数不少于3名,其中高级项目经理人数不少于1名。
e)制定服务人员能力培养计划,确保服务人员胜任其承担的职责。
5.2.7保密要求
a)建立保密管理制度,履行保密义务。
涉及国家秘密的信息安全服务,应按照国家相关的保密法
律法规、政策和标准执行。
b)与信息安全服务相关人员签订保密协议。
c)按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护。
5.2.8技术能力要求
a)了解适用的国家信息安全相关法律法规、政策、标准和其他要求,及时更新有关信息,并传达
给相关部门及人员。
b)信息安全服务类别相关的技术能力在行业内有一定的水平。
c)具备承担信息安全服务类别对应项目所需的安全工具,并对工具进行管理和版本控制。
d)建立信息安全服务类别对应要求的流程,并按照流程实施。
e)跟踪信息安全技术动向,了解主流的信息安全产品和服务,提升自身的技术能力。
5.2.9业绩要求
a)从事信息安全服务对应类别应在2年以上。
b)近三年内签订并完成信息安全服务对应类别项目10个以上,其中二级项目5个以上。
c)近三年内签订并完成信息安全服务对应类别项目总额不少于5000万。
5.2.10服务协议要求
a)信息安全服务供需双方应签订服务协议,明确规定信息安全服务的范围、目标和验收等条款。
b)针对信息安全实施服务,应按行业或需求方的要求,接受安全监理、安全审计等方式来监督和
确认服务协议的执行。
c)服务协议中应涉及知识产权条款,明确知识产权侵权责任。
5.3贰级能力要求
5.3.1综合要求
a)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b)企业主业是信息安全服务,近三年的信息安全服务收入总额占营业收入总额的比例不低于
50%。
c)企业注册资本和实收资本均不少于2000万元,或所有者权益合计不少于2000万元。
5.3.2财务要求
a)企业近三年的信息安全服务收入总额不少于1亿元,财务数据真实可信,须经在中华人民共和
国境内登记的会计师事务所审计。
b)企业建立财务管理制度并有效运行。
c)企业财务状况良好。
d)企业拥有与从事信息安全服务业务相适应的固定资产和无形资产。
e)财务负责人应具有财务系列中级职称。
5.3.3信誉要求
a)企业有良好的资信和公众形象,近三年无触犯国家法律法规的行为。
b)企业有良好的知识产权保护意识,近三年完成的信息安全服务项目中无销售或提供非正版软件
的行为。
c)企业有良好的履约能力,近三年没有因企业原因造成验收未通过的服务项目或应由企业承担责
任的用户重大投诉。
d)企业近三年无不正当竞争行为。
e)企业遵循国家相关法律法规、标准要求,遵守信息安全服务管理相关规定,在能力资质申报和
能力资质证书使用过程中诚实守信,近三年无不良行为。
5.3.4制度和体系要求
a)应建立完备的质量管理体系、信息安全管理体系或信息技术服务管理体系,将服务项目纳入与
管理体系相符合的管理流程或管理工具中,体系须通过国家认可的第三方认证机构认证,且连续有效运行时间不少于一年。
b)建立完备的服务项目管理制度,保证服务项目有效实施。
c)建立客户服务体系,能及时、有效地为客户提供服务。
d)借助信息系统对企业运行、安全服务过程所产生的有关文档进行有效管控。
配备有档案室及安
全的文件服务器,有效管理项目文件。
e)应对组织内部所有相关人员进行管理制度或管理体系的教育、培训和考核;
f)建立合同管理程序,按照合同约定实施信息安全服务项目。
g)建立供应商管理程序,制定合格供应商和(或)外包商名录,确保其供应商或承包方满足服务
安全要求。
5.3.5办公场所要求
a)拥有固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
办公场地面积不少
于1000平米。
5.3.6人力资源要求
a)企业主要负责人从事信息安全服务企业管理的经历不少于4年,拥有2年以上信息技术领域管
理经历。
b)企业主要技术负责人具备信息安全服务类别管理能力,应具有与服务类别一致的高级工程师资
质,且从事信息安全服务类别对应技术工作的经历不少于4年。
人员能力要求见T/ZJXTJC002-2020《信息安全服务人员能力评估标准》
c)企业从事信息安全服务的人员不少于150人。
具备信息安全服务类别对应技术能力的人员,工
程师不少于15人,其中高级工程师不少于3人。
d)经过登记的信息安全服务项目管理人员人数不少于10名,其中高级项目经理人数不少于3名。
e)建立人员管理程序,识别安全服务人员的服务能力要求,通过执行服务人员能力培养计划,使
其能够胜任其承担的职责。
5.3.7保密要求
a)建立保密管理制度,保证组织内部员工对企业和服务需求方履行保密义务。
涉及国家秘密的信
息安全服务,应按照国家相关的保密法律法规、政策和标准执行。
b)与信息安全服务相关人员签订保密协议,并定期进行保密教育和保密检查。
c)按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解
客户的相关要求。
5.3.8技术能力要求
a)识别和获取适用的国家信息安全相关法律法规、政策、标准和其他要求,及时更新有关信息,
并传达给相关部门及人员。
b)信息安全服务类别相关的技术能力居行业内较高水平。
c)具备承担信息安全服务类别对应项目所需的安全工具,并对工具进行管理和版本控制。
d)建立信息安全服务类别对应要求的流程,并按照流程实施。
e)应持续跟踪国内信息安全技术动向,熟悉国内主流的信息安全产品和服务,不断提升自身的技
术能力。
5.3.9业绩要求
a)从事信息安全服务对应类别应在3年以上。
b)近三年内签订并完成信息安全服务对应类别项目15个以上,其中一级项目2个以上,二级项
目20个以上。
c)近三年内签订并完成信息安全服务对应类别项目总额不少于1亿。
5.3.10服务协议要求
a)信息安全服务供需双方应签订服务协议,明确规定信息安全服务的范围、目标和验收等条款,
未经需求方许可,不得将信息安全服务进行转包、分包。
b)针对信息安全实施服务,应按行业或需求方的要求,接受安全监理、安全审计等方式来监督和
确认服务协议的执行。
c)服务协议中应涉及知识产权条款,明确知识产权侵权责任。
5.4壹级能力要求
5.4.1综合要求
a)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b)企业主业是信息安全服务,近三年的信息安全服务收入总额占营业收入总额的比例不低于
70%。
c)企业注册资本和实收资本均不少于5000万元,或所有者权益合计不少于5000万元。
5.4.2财务要求
a)企业近三年的信息安全服务收入总额不少于5亿元,财务数据真实可信,须经在中华人民共和
国境内登记的会计师事务所审计。
b)企业建立财务管理制度并有效运行。
c)企业财务状况良好。
d)企业拥有与从事信息安全服务业务相适应的固定资产和无形资产。
e)财务负责人应具有财务系列高级职称。
5.4.3信誉要求
a)企业有良好的资信和公众形象,近三年无触犯国家法律法规的行为。
b)企业有良好的知识产权保护意识,近三年完成的信息安全服务项目中无销售或提供非正版软件
的行为。
c)企业有良好的履约能力,近三年没有因企业原因造成验收未通过的服务项目或应由企业承担责
任的用户重大投诉。
d)企业近三年无不正当竞争行为。
e)企业遵循国家相关法律法规、标准要求,遵守信息安全服务管理相关规定,在能力资质申报和
能力资质证书使用过程中诚实守信,近三年无不良行为。
5.4.4制度和体系要求
a)应建立完备的质量管理体系、信息安全管理体系、信息技术服务管理体系,将服务项目纳入与
管理体系相符合的管理流程或管理工具中,体系须通过国家认可的第三方认证机构认证,且连续有效运行时间不少于一年。
b)应按照GB/T24405.1-2009要求建立完备的服务项目管理制度,使用管理工具进行项目管理,
并保证与所提供的信息安全服务类别相适宜且有效。
c)应建立完备的客户服务体系,能及时、有效地为客户提供优质服务。
d)应建立完善的企业管理信息系统并能有效运行,对企业运行、安全服务过程所产生的有关文档
进行管控。
配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理。
e)应对组织内部所有相关人员进行管理制度或管理体系的教育、培训和考核;
f)应遵循需求方相关的管理制度和业务流程。
g)建立并运行合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。
h)建立与运行供应商管理程序,制定合格供应商和(或)外包商名录,明确服务过程中的风险,
进行识别,确保其供应商或承包方满足服务安全要求。
5.4.5办公场所要求
a)拥有固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
办公场地面积不少
于1500平米。
5.4.6人力资源要求
a)企业主要负责人从事信息安全服务企业管理的经历不少于5年,拥有3年以上信息技术领域管
理经历。
b)企业主要技术负责人具备信息安全服务对应类别管理能力,应具有与服务类别一致的高级工程
师资质,且从事信息安全服务类别对应技术工作的经历不少于5年。
人员能力要求见T/ZJXTJC002-2020《信息安全服务人员能力评估标准》
c)企业从事信息安全服务的人员不少于200人。
具备信息安全服务类别对应技术能力的人员,工
程师不少于30人,其中高级工程师不少于10人。