近日,工业和信息化部发布《关于工业和信息化部批准发布5项通信行业标准等154项行业标准的公告》 ,《电信网和互联网安全服务实施要求》正式发布。
《电信网和互联网安全服务实施要求》规定了安全服务生命周期各个环节应达到的标准和要求,对风险评估、安全设计与集成、应急响应和安全培训四种安全服务类型的服务的定义、服务对象、管理流程、实施细则、服务交付等方面进行规范和标准化。
《电信网和互联网安全服务要求》的发布为安全服务企业改进自身服务质量提供指导,为网络安全服务使用单位客观选择安全服务提供评价标准,为进一步推动通信网络安全防护水平的提高起到积极促进作用。
通信网络安全服务能力评定简介
通信网络安全服务能力评定所述的通信网络包括电信网和互联网,所涉及的安全服务是指为了适应通信网络安全管理的需要,运用科学的方法和手段,通过有效的措施来保障通信网络的正常运行,为企业提供全面或部分安全评估、设计与集成的服务,包含从安全体系到具体的技术解决措施。
所涉及到的通信网络安全服务可以分为四种类型:风险评估、安全设计与集成、应急响应服务、安全培训,每个类型都分为三个等级:一级、二级、三级,其中一级为最基本等级,三级等级最高,需逐级申请。
办理通信网络安全服务能力评定基本条件
通信网络安全服务能力评定要求是对通信网络安全服务单位的资格状况、经济实力、技术能力、服务队伍、服务过程能力等方面的具体衡量和评价。
一、法律要求
在中华人民共和国境内注册成立(港澳台地区除外); 从事涉密的通信网络安全服务单位必须满足国家保密机关的相关要求; 从事通信网络安全服务工作一年以上且无违法记录;法人及主要业务、技术人员无犯罪记录。
二、组织与管理要求
1) 拥有健全的组织与管理体系, 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度,并能有效组织实施与考核;
2) 落实保密规章制度,对通信网络安全服务保密;
3) 建立人员管理程序,明确保密岗位与职责,定期对安全服务人员进行安全保密教育与培训,并签订保密责任书,规定应当履行的安全保密义务和承担的法律责任。
三、设备、设施与环境要求
具有固定的办公场所;具有专门从事通信网络安全服务的相关工具或软件;具有进行安全服务所必须的实验环境。
四、项目管理要求
1) 具有成文的项目管理制度,并提供项目管理制度有效运行的证据;
2) 具有对员工进行安全技术、项目管理的培训机制和计划, 并有效组织实施与考核的相关记录。
五、质量保证要求
1) 建立并落实质量管理体系,并提供质量保证有效实现的证据;
2) 能够自行评估服务质量的状况,并能对服务质量进行持续改进。
通信网络安全服务能力评定的有效期及维护
中国通信企业协会进行评定证书的审批和注册以及备案等相关工作。能力资格审定时间为一年两次,每半年进行一次。
所有等级证书有效期为三年。单位注册地行协对获证单位每年进行一次年检,通信安委会每年抽取部分获证单位进行必要的核查。获证单位在证书到期前提交证书维持申请。
获证后,每年在证书签发之日前一个月内,获证单位要向单位注册地行协提交证书原件和年度调查表,并到单位注册地行协或通信安委会办理年检。单位注册地行协年检中发现获证单位不符合资格评定要求的,将给予降级或取消证书。
在证书有效期届满前三个月内,由获证单位提出证书维持申请。证书原评定单位对维持申请单位进行评定,内容包括:申请单位获证期间通信网络安全服务能力维持情况、通信网络安全服务项目实施情况、通信网络安全服务质量保证情况等内容,以确定申请单位符合通信网络安全服务能力等级要求的持续性。
通信网络安全服务能力评定的证书样本
|声明 |
本文所用视频、图片、文字部分来源于互联网,版权属原作者所有。本文章仅做分享使用,别无他意。另文章仅代表作者观点,不代表本官网立场,如涉及到版权问题,请及时和我们联系删除,感恩,感谢。
