YD/T 3503-2019 互联网新技术新业务安全评估服务机构能力认定准则.pdf
- 文档部分内容预览:
申请安全评估服务机构能力认定应具备的基本条件包括如下几点。 a 在中华人民共和国境内注册成立。 b 由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经 营资格的企事业单位。 拥有健全的组织机构和管理体系,有专门从事安全评估服务的部门或团队;配备相应的安全评 估专业人员。
申请安全评估服务机构能力认定应具备的基本条件包括如下几点。 a)在中华人民共和国境内注册成立。 b)由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经 营资格的企事业单位。 C 拥有健全的组织机构和管理体系,有专门从事安全评估服务的部门或团队;配备相应的安全评 估专业人员。
YD/T3503—2019
d)参照国际、国内标准,建立了业务范围覆盖安全评估服务的质量管理体系;有安全评估服务的 项目管理制度。 e)具有固定的办公场所。 从事通信网络与信息安全服务工作3年以上,近3年经营状况良好,财务数据真实可信,可提 供在中华人民共和国境内登记注册的会计师事务所出具的近三年财务审计报告。 g)具有系统的对员工进行安全技术、项目管理、保密规章制度的培训机制和计划,并能有效组织 实施与考核。
下列为A级要求: a)正式员工不少于100名; b)产权关系明晰花纹板标准,注册资金(或开办资金)不少于3000万元人民币。
下列为B级要求: a)正式员工不少于50名; b)产权关系明晰,注册资金(或开办资金)不少于500万元人民币。
下列为C级要求: a)正式员工不少于30名; b)产权关系明晰,注册资金(或开办资金)不少于100万元人民币。
6.3人员素质和人员资质要求
下列为A级要求: a)了解通信网络及其业务的基本信息安全状况、信息安全要求,承接过信息安全相关服务项目或 撰写过信息安全相关研究报告; b)从事信息安全相关工作人员至少30名(其中大学本科及以上学历不少于70%,计算机和IT 相关专业不少于50%); c)专职从事安全评估的人员至少15名: d)具有CISP、CISSP等信息安全相关资质的专业人员至少10名。
了解通信网络及其业务的基本信息安全状况、信息安全要求,承接过信息安全相关服务项 撰写过信息安全相关研究报告:
YD/T 35032019
b)从事信息安全相关工作人员至少20名(其中大学本科及以上学历不少于50%,计算机和I1 相关专业不少于50%); 专职从事安全评估的人员至少10名: d)具有CISP、CISSP等信息安全相关资质的专业人员至少5名,
下列为C级要求: a)了解通信网络及其业务的基本信息安全状况、信息安全要求,承接过信息安全相关服务项目或 撰写过信息安全相关研究报告; b) 从事信息安全相关工作人员至少10名(其中大学本科及以上学历不少于50%,计算机和IT 相关专业不少于50%); c) 专职从事安全评估的人员至少5名: d)具有CISP、CISSP等信息安全相关资质的专业人员至少3名
下列为A级要求: 近两年间具有30次以上省级基础电信企业或互联网企业业务安全评估服务经验(可依据合同 服务项目或安全评估报告数量),其中至少有10个项目涉及安全评估服务的金额超过10万元 人民币; 承接过通信行业主管部门委托的安全评估相关研究任务; C)近五年没有出现因各阶段验收未通过或机构自身原因而废止的安全评估服务项目
近两年间具有20次以上省级基础电信企业或互联网企业业务安全评估服务经验(可依据合同 服务项目或安全评估报告数量),其中至少有5个项目涉及安全评估服务的金额超过5万元人 民币; b)近三年没有出现因各阶段验收未通过或机构自身原因而废止的安全评估服务项目。
a)近两年间具有5次以上省级基础电信企业 务安全评服务经验( 安全评估报告); b)近两年没有出现因各阶段验收未通过或机构自身原因而废止的安全评估服务项目。
YD/T3503—2019
下列为A级要求: a)具有自主研发专门进行业务安全评估的相关工具或软件,具有进行安全评估所必须的实验环境; b)有专门人员持续对即时通信、搜索引擎、应用商店、大数据、云计算、网约车等新兴互联网业 务信息安全风险进行持续研究,具备一定的研判能力。
下列为B级要求: 具有专门进行业务安全评估的相关工具或软件:具有进行安全评估所必须的实验环境
下列为C级要求: 具有能够进行业务安全评估的相关工具或软件:具有进行安全评估所必须的实验环境
6.7 项目组织管理能力
了解基础电信企业及互联网企业安全评估服务所应遵守的政策要求及相关标准,准确掌握安全 务的特定要求和范围。在服务合同签订过程中能准确反映和体现上述要求,并能在服务履行过程 遵守。
下列为A级要求: 专职从事安全评估的人员定期参加培训。通过培训后考试的专职安全评估人员人数占全量的80% 以上。
下列为B级要求: 专职从事安全评估的人员定期参加培训。通过培训后考试的专职安全评估人员人数占全量的 上。
YD/T 35032019
下列为C级要求: 专职从事安全评估的人员定期参加培训,通过培训后考试的专职安全评估人员人数占全量的 上。
不具有申请安全评估服务机构资格的情况包括: a)经营状况不良,无法提供专业机构出具的财务审计报告; b)近三年内企业有违法违规记录,相关监管部门有公示记录; C) 近三年因安全评估服务质量因素导致安全事件,被主管部门通报或遭到客户投诉的: d)从事安全评估服务的人员有违法违规操作记录,并遭到法律制裁或客户投诉的
安全评估服务能力等级分为A级、B级和C级,由高到低依次是A级、B级、C级。在本标准中, 高等级能力的认定要求涵盖了低等级能力认定要求的所有方面,符合较高等级能力认定要求可不经通过 较低能力认定直接申请。在6.1、6.6、6.7、6.9基础上,符合6.2、6.3、6.4、6.5及6.8中所有A级条款 的可申请认定为A级安全评估服务机构。符合能力认定要求中所有B级条款要求,,可申请认定为B 级安全评估服务机构。符合能力认定要求中所有C级条款要求,可申请认定为C级安全评估服务机构。
申请安全评估服务机构能力认定可对照能力认定级别,向能力认定评审机构提交正式申请材料,包 括: a) 《互联网新技术新业务安全评估服务机构能力认定申请书》; b 《企业法人营业执照》或《事业单位法人登记证书》复印件、组织机构代码证复印件、税务登 记证复印件(如已完成“三证合一”工作的,提交加载统一社会信用代码的新版营业执照复印 件); c 法人代表或负责人身份证复印件: d)固定办公场所证明材料; e)安全评估经验业绩、技术能力、项目组织管理能力及保密等能力证明材料; f)配备的专职业务安全评估人员情况说明。 以上申请材料除提交纸质版本以外,还需通过安全评估服务机构能力认定申请网站在线提交电子版 申请材料。如上述要求的申请材料形式(纸质版本和电子版本)之一缺失,视作申请单位未提交申请。
YD/T3503—2019
能力认定评审机构应当遵循客观公正、科学准确、统一规范和避免不必要重复的原则组织开展 定评审工作。
通过安全评估服务机构能力认定预审的申请单位向能力认定评审机构申请进行培训及考试。能 评审机构联合有关单位对通过申请预审的安全评估服务机构开展培训,培训内容包括通信行业主 工作要求、评估标准、操作实施流程、结果测算、 评估工具使用、评估报告编制等。
培训结束后,由能力认定评审机构联合有关单位对安全评估服务机构进行能力考评。具体形式包括 书面与现场考评。考试通过的人员有权在安全评估报告上签字。 书面考评主要是考察安全评估服务机构对安全评估相关工作及要求的知悉程度,包括通信行业主管 部门工作要求、评估标准、操作实施流程、结果测算、评估报告编制等内容。 现场考评主要是安全评估服务机构实际开展相关业务安全评估的能力,包括人员操作使用评估工具 熟练度、评估流程实施的规范程度等内容。
能力认定评审机构根据预审结果和考评成绩做出认证决定,向通过评审的安全评估服务机构 互联网新技术新业务安全评估服务机构能力认定书》(以下简称《能力认定书》),并将有关结果 示。
10.1能力认定监督的频次和方式
能力认定评审机构对获得《能力认定书》的安全评估服务机构能力进行监督管理,每年度(不 个月)进行一次监督评审,包括材料评审与现场监督评审。当获得能力认定的机构发生重大变
YD/T3503—2019
事故或客户投诉时,可增加现场监督评审的频次。
10.2能力认定监督的结论
对于通过能力认定监督评审的安全评估服务机构,做出维持原能力认定等级《能力认定书》有效的 决定:否则,视不达标情况,做出降低能力认定等级、暂停或撤销《能力认定书》的决定。
10.3《能力认定书》管理
10.3.1《能力认定书》有效期
认定等级为A级的,《能力认定书》有效期为两年。能力认定等级为B级或C级的,《能力认 效期为三年。在《能力认定书》有效期期间,获得《能力认定书》的安全评估服务机构如持续 准要求,且通过年度监督评审的,可保持证书有效。
10.3.2《能力认定书》续期电请
审请能力认定资质续期的安全评估服务机构在《能力认定书》到期前三个月内完成申请,应提交以 下审查材料: a)近两年间受托开展的互联网新技术新业务安全评估服务的报告; b)安全评估服务机构的评估人员配备与变更情况、开展培训情况、与评估相关的软硬件能力条件 变更情况等。 因续期评审流程延长导致《能力认定书》超出有效期的,在续期评审完成前,安全评估服务机构可 正常使用《能力认定书》开展安全评估服务。 对于通过能力认定监督评审的安全评估服务机构,能力认定评审机构做出维持原能力认定等级《能 力认定书》有效或升高能力认定等级的决定;否则,视不达标情况,做出降低能力认定等级、暂停或撤 销《能力认定书》的决定。能力认定评审机构按照续期情况为安全评估服务机构更换《能力认定书》, 并予以公示。 若获得能力认定的安全评估服务机构对组织机构变更、安全事故情况或客户投诉信息进行隐瞒,将 取消续期资格。
10.3.3暂停《能力认定书》
获得能力认定的安全评估服务机构有下列情形之一,能力认定评审机构暂停其《能力认定书》: a)未按规定接受监督评审; b)违规使用《能力认定书》,且造成不良影响; c)监督评审中发现严重不达标项; d)未及时向能力认定评审机构报备组织机构等变更情况、安全事故情况、客户投诉信息及其他重 大情况。 《能力认定书》暂停时间一般为三个月。在暂停期间,安全评估服务机构可提出恢复证书的申请, 能力认定评审机构审核、批准后方可使用证书。
10.3.4撤销《能力认定书》
YD/T3503—2019
获得能力认定的安全评估服务机构有下列情形之一,能力认定评审机构撤销其《能力认定书》: a)《能力认定书》暂停期间,未在规定时间内完成整改并通过审核; b)违规使用《能力认定书》,造成重大不良影响: c)出现严重责任事故、被投诉且经核实,造成重大不良影响; d)其他需要撤销《能力认定书》的情况。 《能力认定书》撤销后,安全评估服务机构应交回《能力认定书》,能力认定评审机构予以公示。
10.3.5注销认证证书
获得能力认定的安全评估服务机构因自身原因不再维持《能力认定书》,可提出注销《能力认定书》 的申请,能力认定评审机构应及时给予注销。 《能力认定书》注销后,安全评估服务机构应交回《能力认定书》,能力认定评审机构予以公示。
保温标准规范范本11.1安全评估服务机构行为规范
申请能力认定的安全评估服务机构应在预审及评审环节应遵守公平竞争原则,不得提供虚假 得对能力认定评审机构进行贿略。
11.2能力认定评审机构行为规范
能力认定评审机构在能力认定评审过程中应严格遵循9.1所述内容;在实施监督管理过程中不得玩 忽职守、滥用职权、询私舞弊;不得以任何理由或者方式向安全评估服务机构收取费用或者变相收取费 用。
12.1针对安全评估服务机构
能力认定过程中,安全评估服务机构有违反本标准11.1所述行为而被举报投诉,且经能力认定评 审机构核查确实存在过错的,则对该安全评估服务机构和相关人员进行通报批评,情节严重或拒不整改 的,将取消能力认定评审资格。 获得能力认定后,安全评估服务机构没有按照相适应的能力等级进行安全评估服务,造成严重安全 事件或被电信管理机构投诉、检查发现重大问题的,给予暂停使用《能力认定书》三至六个月、降级、 直至撤销《能力认定书》的处罚。 获得能力认定后,安全评估服务机构应正确使用《能力认定证书》,对于涂改、伪造、出借、转让 或出卖《能力认定书》的将给予警告、暂停使用或撤销《能力认定证书》的处罚;情节严重涉嫌犯罪的, 由相关部门追究其法律责任。
YD/T 35032019
装饰标准规范范本12.2针对能力认定评审机构
在能力认定过程中,若能力认定评审机构成员有违反本标准11.2所述行为而被举报投诉,且 确实存在过错的,由所在单位给予警告或行政处分;情节严重涉嫌犯罪的,由相关部门追究其法
....- 相关专题: 互联网