YD/T 3488-2019 信息安全管理系统技术手段测试 第三方服务机构能力认定准则.pdf
- 文档部分内容预览:
甲请能力认定为A级的测试机构应具备的经验能力条件包括。 a)具有30次以上省级基础电信企业或互联网企业信息安全管理系统技术手段测试服务经验,其 中至少10个信息安全管理系统技术手段测试服务的单合同金额不低于50万元人民币。 b)承接过工业和信息化部,或各省通信管理局委托的信息安全管理系统技术手段测试相关督导检 查及课题研究任务。 C 近五年没有出现因各阶段验收未通过或测试机构自身原因而废止的信息安全管理系统技术手 段测试服务项目。 d)各阶段包含:企业自测、管局抽测、部级抽测等。 e) 机构自身原因包含:1)因经营不善导致无法继续提供测试相关服务的;2)在提供测试服务过 程中因操作不当或人员违法违规导致安全事件,客户责令停止服务的。 f)具有国家信息安全认证服务相关资质。 g)配备有不少于20名通过能力认定评审机构培训考试的信息安全技术检测人员。
YD/T3488—2019
YD/T3488—2019
申请能力认定为B级的测试机构应具备的经验能力条件包括: a)信息安全管理系统技术手段信息安全管理系统技术手段符合以下条件之一:①5年内具有不 少于10次省级基础电信企业或互联网企业信息安全管理系统技术手段测试服务经验;②5年 内信息安全管理系统技术手段测试服务的合同总金额不少于200方元人民币。 b 近三年没有出现因各阶段验收未通过或机构自身原因而废止的信息安全管理系统技术手段测 试服务项目。 c)各阶段包含:企业自测、管局抽测、部级抽测等。 d)机构自身原因包含:1)因经营不善导致无法继续提供测试相关服务的;2)在提供测试服务过 程中因操作不当或人员违法违规导致安全事件,客户责令停止服务的。 e) 配备有不少于5名通过能力认定评审机构培训考试的信息安全技术检测人员。
建筑常用表格7.3项目组织管理要件
了解通信及互联网企业信息安全管理系统技术手段测试服务所应遵守的政策要求及相关标准,准确 掌握通信及互联网企业信息安全管理系统技术手段测试服务的特定要求和范围。在服务合同签订过程中 能准确反应和体现上述要求,并能在服务履行过程中严格遵守。
不具有申请信息安全管理系统技术手段测试服务机构资格的情况包括: a)经营状况不良,无法提供专业机构出具的财务审计报告; 6 近三年内企业有违法违规记录,相关监管部门有处罚公示记录; 因信息安全管理系统技术手段测试服务及安全相关服务质量因素导致安全事件,并遭到客户投 诉的; d)从事信息安全管理系统技术手段测试服务及安全相关服务的人员有违法违规操作记录,并遭到 法律制裁或客户投诉的。
YD/T34882019
测试机构能力认定主要针对测试机构的技术服务能力,包括人员素质、服务质量、对检测要求的掌 握情况等进行评定。
能力认定评审机构联合有关单位对通过申请预 审的信息安全管理系统技术手段测试第三方服务机 构开展培训,培训内容包括考核要求、评估标准、操作实施流程、结果测算、报告格式等。
能力认定方式以书面考评为主,检验技术人员对相关技术手段检测要求的知悉度,包括法律法规、 管理要求、技术标准、测试方法、结果评定等内容
考评结果采用百分制计分,技术人员考评分数达80分及以上为合格。同时,当测试机构中有不少 于10名技术人员的考评结果为合格时,该测试机构才可通过考评。
能力认定评审机构根据预审结果和考评成绩做出认证决定,向通过评审的测试机构颁发《信息安全 管理系统技术手段测试第三方服务机构能力认定书》(以下简称《能力认定书》),并将有关结果予以公 示。
能力认定评审机构对获得《能力认定书》的测试机构进行监督管理,对其服务行为和服务质量开展 日常检查,并适时进行能力认定变更。
9.2能力认定资质管理
9.2.1能力认定资质有效期
9.2.2能力认定检查
A级的,有效期为两年。能力认定为B级的,有
获得能力认定的测试机构对照本标准每年进行一次自查,并将自查结果报能力认定评审机构 力认定评审机构每年抽取部分获证机构进行年度能力抽查。
YD/T3488—2019
YD/T3488—2019
能力认定到期前,测试机构应自觉接受续期检查。
9.3能力认定续期申请
申请能力认定资质续期的测试机构在《能力认定书》到期前三个月内完成申请,在续期期限内,测 试机构可正常使用《能力认定书》开展测试服务。申请能力认定资质续期的测试机构应提交以下年度审 查材料: a)在上一年度受托开展的信息安全管理系统技术手段测试报告; b) 测试机构测试人员配备与变更情况、开展培训情况、与信息安全管理系统技术手段测试相关的 软硬件能力条件变更情况等,
10.1信息安全管理系统技术手段测试第三方服务机构行为规范
申请能力认定的测试机构在预审及评审环节应遵守公平竞争原则,不得提供虚假信息,不得对 构进行贿路。
10.2能力认定评审机构行为规范
勘探标准能力认定评审机构在能力认定评审过程中应严格遵循8.1所述内容;在实施监督管理过程中不 职守、滥用职权、询私舞;不得以任何理由或方式向测试机构收取费用或变相收取费用。
11.1针对信息安全管理系统技术手段测试第三方服务机构
在能力认定过程中,若某一测试机构或人员因有本标准10.1所述行为而被举报投诉,且经能力认 定评审机构核查确实存在过错的,则对该测试机构和相关人员进行通报批评。情节严重、产生恶劣影响 的,取消能力认定评审资格。 获得能力认定后,测试机构没有按照相适应的能力等级进行测试服务,造成严重安全事件或被电信 管理机构投诉、检查发现重大问题的,给予暂停使用《能力认定书》三至六个月、降级、直至撤销《能 力认定书》的处罚。 获得能力认定后,测试机构应正确使用《能力认定书》,对于涂改、伪造、出借、转让或出卖《能 力认定书》的将给予警告、暂停使用或撤销《能力认定书》的处罚;情节严重涉嫌犯罪的,由相关部门 追究其法律责任。
11.2针对能力认定评审机构
YD/T34882019
在能力认定过程中,若能力认定评审机构成员有违反本标准10.2所述行为而被举报投诉,且 确实存在过错的,由所在单位给予警告或行政处分;情节严重涉嫌犯罪的变压器标准规范范本,由相关部门追究其法
....- 相关专题: 信息安全