对提供信息安全服务的组织和单位资质进行审核、评估和认定。
信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。目前分为∶信息安全工程、信息安全灾难恢复、安全开发、风险评估、信息系统审计、云计算安全、大数据安全等七大类。
随着我国信息化和信息安全保障工作的不断深入推进,加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。
等级
本标准将信息安全服务组织的工程能力分为五个级别,即:
一级:基本执行级。
二级:计划跟踪级。
三级:充分定义级。
四级:量化控制级。
五级:持续改进级。
专业类别
信息安全工程 信息安全灾难恢复
安全开发 风险评估
信息系统审计 云计算安全
大数据安全
申请条件:以安全工程类一级为例
1、公司1年以上,注册资金100万。
2、近2年至少做过两个以上安全项目。
3、近三年的财务收入500万以上,利润要求10万以上,保持盈利。
4、至少2个CISP人员。
5、至少10个技术人员(其中本科不少于70%)。
6、具备信息安全检测工具和相应的环境。
7、通过ISO9001认证,如通过ISO20000和ISO27001认证更好。