【YD通讯标准】 网络与信息安全服务资质评估准则

ICS35240
中华人民共和国通信行业标准
YD/T1621-2007
网络与信息安全服务资质评估准则Evaluation Criteria forCompetence of Information Security Service Provider2007-04-16发布
2007-10-01实施
中华人民共和国信息产业部发布前言·
范围·
2规范性引用文件·
3术语和缩略语·
3.1 术语和定义
3.2缩略语
4网络与信息安全服务的类型.
网络与信息安全服务资质等级的评判原测5
网络与信息安全服务资质等级划分方法安全服务基本能力要求·
7.1法律资格·
7.2组织与管理要求-
7.3技术能力要求
7.4人员构成与素质要求
7.5设备、设施与环境要求-
7.6规模与资产要求-
7.7业绩要求
8安全咨询服务商资质要求
三级资质要求
二级资质要求
一级资质要求·
9安全工程服务商资质要求
9.1三级资质要求·
二级资质要求
一级资质要求
10安全培训服务商资质要求：
10.1三级资质要求
二级资质要求.
一级资质要求…
11安全运行支持服务商资质要求11.1三级资质要求
二级资质要求·
一级资质要求
附录A（资料性附录）网络与信息安全服务资质要求简表HYYKABNYKAca
YD/T 1621-2007
YD/T 1621-2007
本标准根据电信运营企业的需求，同时考虑到国内网络与信息安全服务提供商的实际情况，并参考《计算机信息系统集成资质管理办法》、《计算机信息系统集成资质等级评定条作等文件和相关国际国内标准制定而成。本标准的评估对象为通信行业提供网络与信息安全服务的组织。本标准的附录A为资料性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位：国家计算机网络应急技术处理协调中心中国移动通信集团
亿阳信通有限公司
武汉邮电科学研究院
西安邮电学院
本标主要起草人：黄元飞刘楠王锋舒敏桑梓勤刘建华
1范围
网络与信息安全服务资质评估准则YD/T 1621-2007
本标准规定了为电信运营企业提供网络与信息安全服务的组织应具备的网络与信息安全服务资质要求。
本标准适用于对为电信运营企业提供网络与信息安全服务的组织进行网络与信息安全服务资质评估，可作为电信运营企业对网络与信息安全服务提供者的选择依据，可以作为国家有关主管部门对网络与信息安全服务提供者进行管理、检查的技术性规范，也可为网络与信息安全服务提供者改进自身能力的指导。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注有日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 19000.3-2001
GB/T 19001-2000
GB/T 19004.2-1994
GB/T 19004.4-1994
ISO/IEC21827:2002
3术语和缩略语
3.1术语和定义
质量管理和质量保证标准第3部分：GB/T19001在计算机软件开发、供应、安装和维护中的使用指南
质量体系，要求
质量管理和质量休系要素第2部分：服务指南质量管理和质量体系要素第4部分质量改进指南信息技术系统安全工程能力成熟模型GB/T5271.8-2001中的术语和定义适用于本标准，另外以下术语和定义也适用于本标准。3.1.1网络与信息安全服务Infornation Security Service网络与信息安全服务是指信息安全工程的设计、实施、测试、运行、维护以及相关的咨询和培训等活动。
3.1.2网络与信息安全服务提供者InfommationSecurityServiceProvider按照一定的合同或协议，为电信运营企业提供网络与信息安全服务的组织，也常称为网络与信息安全服务商。
3.1.3网络与信息安全服务资质等级InformationSecurityServiceLevel网络与信息安全服务资质等级是指一个组织提供网络与信息安全服务的综合能万等级，包括法律资格、组织与管理能力、技术能力、人员构成与索质、规模与资产、项月管理能力、安金工程过程能力等罗个方面。
3.1.4IT安全策略ITSecurityPolicyHYYKABNYKAca
YD/T 1621-2007
支持如何在·个机构或其Ⅱ系统中管理、保护和配置资产（包括敏感信息）的规则、指令和习惯做法。
3.2缩略语
下列缩略语适用于本标雅：
Cisco Certificd Intcrnctwork ExpertCertified Information Security AuditorCertified Information Security ProfessiunalCertified Information Systerns Securily ProfessionalInformation Security Managenent SystemInformation Technology
National Certificationl of Informuliun Security Fngineer4网络与信息安全服务的类型
思科认证五联网专家
注册信息安全审核员
注册信息安全专家
注册信息系统安全专家
信息安全管理体系
信息技术
国家信息安全技术水平考试
网络与信息安全服务的类型主要指个组织按照一定的合同或协议，为另一个组织所履行的安全服务的具体形式，包括：
a）安全咨询服务
1）安全管理咨询：参照国内外信息安全标雅为电信运营企业制定符合实际带要的安全策略或完善现有安全策略、设计建立信息安全管理体系的咨询服务。2）安全架构咨询：包括安全框架、安全规划和安全解决方案设计。安全框渠是指以风险评估为依据，对组织的安全框架进行设计：一安全规划是指通过对安全框架内的具体安全策略进行紧追性分折、可实施性分析、难易分析和效果分析等，形成若丁年内的安全建设规划：一安全解决方案设计是指对计划实施的安全策略细化，包括提出为实现安全策略应外购的产品、服务或定制的软件等，并描述这些产品和服务成达到的功能和性能要求以及如何通过部署这些产品和服务来确保安全策略得到实施。
3）安全通告服务：是指定期或不定期地将经过汇总的最新安金漏洞、威胁信息、病毒信息、有害信息等安全信息及相应解决方案发布给电信运营企业的安全服务。b）安全工程服务
1）安全实施方案设计：指在安全解决方案的基础工为下一步将要实施的安全产品集成、安全软件定制开发、安全加固或其他安全技术服务制定实施方案的服务。2）安全集成服务：根据安全实施方案进行产品供货、施工和相关技术培训的服务。3）安全监理服务：在电信运营企业进行安全建设时，以监理的形式参与，协助电信运营企业编写安全需求，测试安全需求满足程度并督促供货商或集成商按照安全建设方案进行供货或施工的服务。c）安全培训服务：系统化地提供安全技术或安全管理培训，协助电信运营企业培养安全人才、提高从业人员安全技能、安全意识的服务。d）安全运行支持服务
1）安全评估服务；指通过调查既定范囤内的信息资产、分析其面临威胁以及资产上存在的漏洞，硫定资产可能面临的风险，并提相应风险控制措施的服务。2
YD/T1621-2007
2）安全加固/增强服务：针对网络与信息安全问题，给以更正或增强的安全服务，典型的包括操作系统加固，数据库加固等
3）应急响应服务：在电信运营企业发生安全事件时提供紧急现场或远程援助的安全服务。4）安全监控服务：对电信运营企业的网络与信息系统进行安全监控，从中发现安全威胁、安全漏洞、安全事件，并提供安全监控报告的安全服务。5）安全维护服务：指对电信运营企业的主机、网络设备、安全设备等进行日常安全运维的服务。6）安全定制开发服务：指通过定制开发为电信运营企业的系统提供安全功能的服务。5网络与信息安全服务资质等级的评判原则网络与信息安全服务资质评估是对网络与信息安全服务提供者的资格状况、技术实厅和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定，是在其基本能力水平、资格要求、单项评估结果基础上，针对不同的服务种类，采用一定的权值综合考虑后确定。网络与信息安全服务的资质等级的划分遵循以下原赠：
a）综合性原则：必须对组织的综合能力进行考察，它主要与组织的资格状况，技术实力、安全服务专业人员状况，信息安全工程过程能力以及其他要求有关：b）符合性原则：必须遵从国家有关主管部门颁布的相关法律、法规、规章、制度，与相关网络与信息安全标准相一致；
c）可裁剪原则：安全服务有多种类型，对不同类型的安全服务可进行适当的裁剪；d）可操作原则：应考虑国内安全服务商以及安全服务市场的实际情况，保证标客观、实际、可操作。
网络与信息安全服务资质等级划分方法网络与信息安全服务资质等级是对网络与信息安全服务提供者综合实力的客观评价，反映了网络与信息安全服务提供者的网络与信息安全服务资格、水平和能力。网络与信息安全服务资质要求分为基本要求和分类要求，基本要求指所有安全服务提供者都必须达到的安全能力要求；分类要求则是对不同类型的服务提供者分别提出了3级能力要求，级别由低到高依次是三级、二级、·级资质，每级要求的增强是通过增加新的能力要求条款或在原有条款上进行增强来实现的。
7安全服务基本能力要求
7.1法律资格
7.1.1提供网络与信息安全服务的组织必须是一个独立的实体，具有独立法人资格，具有相关部门颁发的合法经营资格。
7.1.2从事涉及国家秘密的网络与信息安全服务的组织必须获得国家保密机关的资质认证。7.1.3必须遵守国家现行法律、法规的规定。7.2组织与管理要求
7.2.1必须拥有健全的组织结构和管理休系，有专门进行安全服务工作的部门或团队。7.2.2应制定符合国家保密部门要求的工作保密制度和建立相应的组织监管体系。3
HYYKABNYKAca
YD/T 1621-2007
7.2.3安全服务人员应与安全服务提供者签订保密协议，并遵守有关法律法规，安全服务提供组织有义务对安全服务人员进行保密教育。7.3技术能力要求
7.3.1了解信息安全技术、标准的动向，有能力掌握信息安全的最新技术和标准。7.3.2了解当前的主要安全威胁、安全弱点及相应的安全措施。7.4人员构成与素质要求
7.4.1从事信息安全眼务的组织应具有充足的人力资源和合理的人员结构。7.4.2所有与信息安全服务有关的人员等应具有基本的信息安全知识，骨干技术人员应系统地掌握信息安全基础理论和核心技术，并具有足够的专业工作经验。7.4.3应拥有相对稳定的网络与信息安全专业技术队伍。7.5设备、设施与环境要求
7.5.1具有固定的工作场所，良好的工作环境。7.5.2具有实施相关服务的必需的开发，生产、测试和管理工具。7.6规模与资产要求
7.6.1拥有特合实施相关服务所需的注册资金和流动资金。7.6.2建立与所承担的业务范围和服务规模相适应的服务体系。7.6.3拥有足够的人员从事直接与信息安全服务相关的活动。7.7业绩要求
从事网与信息安全服务的组织，应有一定的安全服务实施案例。8安全咨询服务商资质要求
8.1三级资质要求
8.1.1人员构成与素质要求免费标准下载网bzxz
从事安全咨询服务的组织：
a）组织内NCSE、CISP、CISSP、CISA安全认证或同等安全认证工程师至少应有2名；b）直接从事安全咨询服务的人员不少于5人，大学本科以上学历不少于80%；C）室心有项目经理3人、高级项月经理1人；d）至少2名项目经理具有管理安全咨询服务项目的成功经验，项目中涉及安全咨询服务的金额不低于50万元人民币；
e）应有一批相对稳定的技术队伍，有至少3人具有2年以上的安全咨询服务项目经验。8.1.2技术能力要求
从事安全资谢服务的组织：
a）应具有针对电信运营企业相关网络与信息系统的设计合理的安全技术方案，具有制定完善的安全管理制度的能力；
b）应具有对市场的信息安全产品进行功能分析、提出安全策略和安全解决方案的能力。8.1.3规模与资产要求
从事安全咨询服务的组织：
注册资金50万元人民币以上。
8.1.4项目管理要求
从事安全咨询服务的组织：
a）应具有成文的项H管理制度，并符合相关项目管理标准；b）应能提供项月管理制度可以有效运行的证据。8.1.5安全工程过程能力要求
事安全咨询服务的组织应具有ISO/正C21827：2002规定的以下基本能力：a）评估系统安全威胁的能力；
b）评估系统脆弱性的能力；
心）评估安全对系统的影响的能力：d）评估系统安全风险的能力：
e）确定系统的安全需求的能力：f）确定系统的安全输入的能力；）进行安全协调的能力；
h）进行检测和证实系统安全性的能力。8.1.6业续要求
从事安全咨询服务的组织：
a）从业时间：应有2年以上相应从业时间：b）工程规模：至少有2个项目涉及安全咨询服务的金额超过50万元人民币：c）工程数量：至少完成5个以上安全咨询服务项目：d）完成结果评价：至少有80%的项目成功率。8.1.7质量保证要求
从事安全咨询服务的组织：
a）应建立片落实质量管理体系；b）能够自行评估服务质量的状况，并能对服务质量进行持续改进。8.2二级资质要求
8.2.1基本要求
应达到安全咨询服务商三级要求的所有条款，并在以下方面增强或增加要求。8.2.2人员构成与素质要求
从事安全咨询服务的组织：
YD/T 1621-2007
）组织内NCSE、CISP、CISSP、CISA安全认证或同等安全认证工程师至少应有4名b）直接从事安全咨询服务的人员不低于8人，大学本科以上学历不少于即%；心）至少有项目经理3人、高级项目经理2人；d）至少4名项目经理具有管理安全咨询服务项目的成功经验，项目中涉及安全咨询服务的金额不低于100万元人民币：
e）应有一批相对稳定的技术队伍，有至少4人具有3年以上的安全咨询服务项目经验，8.2.3技术能力要求
从事安全咨询腋务的组织：
能够独立完成信息安全管理体系（ISMS）的规划建设。5
HYYKABNYKAca
YD/T 1621-2007
8.2.4规模与资产要求
以事安全咨询服务的组织：
注册资金在100万元人民币以上。82.5安全工程过程能力要求
从事安全咨询服务的组织应实现8.1.5要求的所有工程能力，并保证这些工程过程的执行是经计划并被跟踪的。
8.2.6业绩要求
从事安全咨询服务的组织：
a）从业时间：应有3年以上相应从业时间：b）工程规模：至少有4个项自中涉及安全咨询服务的金额超过50万元人民币；至少2个项目中涉及的安全咨询服务金额超过100万元人民币；c）工程数量：至少完成10个以上安全咨询服务项目；d）完成结果评价：至少有90%的项目成功率。8.2.7质量保证要求
提供安全咨询服务的组织应通过ISO900D认证，并能够在提供安全服务的过程中实现以下要求来保证服务质量：
a）全程审讨：
b）服务结果评价；
c）服务过程评价；
d）内部反馈；
e）质量改进：
f）持续改进需求。
8.3一级资质要求
8.3.1基本要求
应达到二级资质要求的所有条款，并在以下方面增强或增加要求。8.3.2人员构成与素质要求
从事安全咨询服务的组织：
a）组织内NCSE、CISP、CISSP、CISA安全认证或同等安全认证T程师至少应有6名；b）直接从事安全咨询服务的人员不低于20人，大学本科以上学历不少下80%：c）至少有项目经理5人、高级项目经理3人；d）至少6名项目经理具有管理安全咨询服务项目的成功经验，项目中涉及安全资询服务的金额不低于100万元人民市；
）应有一批相对稳定的技术队伍，有至少8人具有3年以上的安全咨询服务项目经验。8.3.3技术能力要求
从事安全咨询服务的组织：
a）能够帮助电信运营企业完成安全管理体系建设，并通过权威第三方认证或认定：b）服务商自身也应通过权威第三方安全认证或认定。8.3.4规模与资产要求
从事安全咨询服务的组织：
注册资金在200万元人民币以上.。8.3.5安全工程过程能力要求
YD/T 1621-2007
从事安咨询服务的组织实现8.1.5要求的所有工程过程能力，并保证这些工程过程的执行是按照充分定义的过程执行。充分定义过程指对文档化的标准过程进行裁前并经批准而形成的过程版本。8.3.6业续要求
从事安全咨询服务的组织：
a）从业时间：应有4年以上相应从业时间；b）工程规模：完成的安全服务项日规模至少有8个项目中涉及安全服务的金额超过100万元人民币c）工程数量：至少完城30个以上安全服务项月：d完戒结巢评价：至少有器的项音成现露。9安全工程服务商资质要求
9.1三级资质要求
9.1.1资格要求
a）进行涉密集成的组织必须获得国家保密部门的资质认证：b）从事安全工程服务的组织应达到计算机信息系统集成三级以上资质。9.1.2人员构成与素质要求
从事安全工程服务的组织：
a）组织内NCSE、CISP、CISSP、CISA安全认证或同等安全认证工程师至少应有2名；b）CCE同等认证网络工程师至少有1名：心）直接从事安全工程服务的人员不低于8人，大学本科以上学历不少于80%；d）至少有项目经理3人、高级项目经理1人；e）至少2名项目经理具有管理安全工程服务项目的成功经验，项目中涉及安全工程服务的金额不低于500万元人民币；
f）应有一批相对稳定的技术队伍，有至少3人具有3年以上的安全工程服务项目经验。9.1.9技术能力要求
从事安全工程服务的红织应具有：）足够的技术力量，能对市场的信息安全产品进行功能分析、提出安全策略和安全解决方案，具有安全产品的系统集成能力；
b）对集成的系统进行安全性检测和验证的能力；c！能对集成的系统进行有效的安全性维护。9.1.4设备、设施与环境要求
从事安全工程服务的组织，应具有：a）进行相应安全服务所必须的测试或模拟环境；b）进行相应安全服务所必须的测试设备。9.1.5规模与资产要求
从事安全工程服务的组织：
YYKAONYKAca
YD/T 1621-2007
注册资金在1000万元人民币以上。9.1.6客户服务要求
从事安全工程服务的组织应提供7×24h电话热线支持。9.1.7项目管理要求
从事安全工程服务的组织：
a）应具有成文的项目管理制度，并符合相关项目管理标准；b）应能提供项日管理制度可以有效运行的证据。9.1.8安全工程过程能力要求
从事安全工程服务的组织应具有ISO/IEC21827：2002规定的以下基本能力：a）评估系统安全威胁的能力；
b）评估系统脆弱性的能力;
℃）评估安全对系统的影响的能力；d）评估系统安全风险的能力：
e）确定系统的安全需求的能力；f）确定系统的安全输入的能力：g）进行管理安全控制的能力；
h）进行监测系统安全状况的能力；i）进行安全协调的能力；
i）进行检测和证实系统安全性的能力：k）进行建立系统安全的保证证据的能力。9.1.9业绩要求
从事安全工程服务的组织：
a）从业时间：应有3年以上相应从业时间；b）工程规模：至少有2个项目中涉及安全工程服务的金额超过500万元人民币：C）工程数量：至少完成5个以上安全工程服务项目；d）完成结果评价：至少有80%的项目成功率。9.1.10质量保证要求
从事安全工程服务的组织：
a）应建立并落实质量管理体系；b）能够自行评估服务质量的状况，并能对服务质盘进行持续改进。9.2二级资质要求
9.2.1基本要求
应达到安全工程服务商三级要求的所有条款，并在以下方面有增加或增强的要求。9.2.2资格要求
从事安全工程服务的组织应达到计算机信息系统集成二级以上资质。9.2.3人员构成与素质要求
从事安全工程服务的组织：
a）组织内NCSE、CISP、CISSP、CIS.A安全认证或同等安全认证工程师率少应有4名；8
b）CCE同等认证网络工程师至少应有2名；c）直接从事安全工程服务的人员不低于15人，大学本科以上学历不少于80%；d）至少有项目经理5人、高级项目经理2人：YD/T 1621-2007
e）至少4人具有大型安全工程服务项目项目经理的成功案例，项目中涉及安全工程服务的金额不低于500万元人民币；
f）.应有一批相对稳定的技术队伍，有至少5人具有3年以上的安全工程服务项日经验。9.2.4规模与资产要求
从事安全工程服务的组织：
注册资金在2000万元人民币以上。9.2.5项目管理要求
从事安全工程服务的组织：
a）应具有成文的项目管理制度，并符合相关项目管理标推；b）应提供证据，证明项日管理制度能成功管理100万元人民币规模的安全工程项目。9.2.6安全工程过程能力要求
从事安全工程服务的组织应实现9.1.8要求的所有工程过程，并保证这些工程过程的执行是按计划并被跟踪的。
9.2.7业绩要求
从事安全咨询服务的组织：
a）从业时间：应有5年以上相应从业时间：b）工程规模：至少有4个项目中涉及安全工程服务的金额超过500万元人民币；c）工程数量：至少完成10个以上安全工程服务项目：）完成结果评价：至少有85%的项目成功率。9.2.8质量保证要求
从事安全工程服务的组织应通过ISO9000认证，并能够在提供安全服务的过程中实现以下要求来保证服务质量，强调持续改进：
丑）全程审计；
b）服务结果评价；
心）服务过程评价；
）内部反馈；
e）质量改进；
f）持续改进需求。
9.3一级资质要求
9.3.1基本要求
应达到安全工程服务商二级要求的所有条款，并在以下方面有增强或增加的要求。9.3.2资格要求
从事安余工程服务的组织应达到计算机信息系统集成一级资质。9.3.3人员构成与素质要求
从事安全工程服务的组织：
HYYKABNYKAca
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。