1、基本资格要求
基本资格要求是评定信息安全灾难恢复服务资质的起评条件,申请信息安全灾难恢复服务资质(一级)的组织必须满足以下基本资格要求:
1.1、是具有独立法人地位的实体;
1.2、具有工商行政管理部门发给的合法营业执照;
1.3、遵守国家现行法律法规。
2、基本能力要求
基本能力要求包括:组织与管理要求,技术能力要求,设备、人员构成与素质要求,设施与环境要求,规模和资产要求,业绩要求和其他要求。
2.1、组织与管理要求
a、必须拥有健全的组织机构和管理体系,为持续的信息安全灾难恢复服务提供保证;
b、必须具有专业从事信息安全灾难恢复服务的队伍和相应的质保体系;
c、从事信息安全灾难恢复服务的所有成员要签订保密合同,并遵守有关法律法规。
2.2、技术能力要求
a、了解信息安全技术的最新动向,有能力掌握信息系统领域的最新技术;
b、具有不断的技术更新能力;
c、具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
d、能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;
e、具有对发生的突发性灾难事件进行分析和解决的能力;
f、具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;
g、具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力;
h、具有对集成的信息系统进行检测和验证的能力;
i、有能力对信息系统系统进行有效的维护;
j、有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
2.3、人员构成与素质要求
a、具有充足的人力资源和合理的人员结构;
b、所有与信息安全灾难恢复服务有关的管理和销售人员应具有基本的信息安全知识;
c、有相对稳定的从事信息安全灾难恢复服务的专业技术队伍,专业队伍人员应系统地掌握信息安全灾难恢复及信息安全灾难恢复基础理论和核心技术,并有足够的专业工作经验;
d、从事信息安全灾难恢复服务的管理、销售和技术的专业人员中,拥有CNITSEC专业资质证书的人员不少于总人数的10%,其中必须至少有2名具有CISP-DRP资质的人员,4名具有CISM-DRP资质的人员。
2.4、设备、设施与环境要求
a、具有固定的工作场所和良好的工作环境;
b、具有先进的开发、测试或模拟环境;
c、具有先进的开发、生产和测试设备;
d、具有实施相关服务必需的开发、生产和测试工具。
2.5、规模与资产要求
a、有足够的注册资金和充足的流动资金,其中注册资产应在100万元以上,流动资金占注册资产的20%以上;
b、近3年的财务状况良好,提供相应证明;
c、申请信息安全灾难恢复服务的组织应具有与所申请灾难恢复服务业务范围、承担的灾难恢复服务规模相适应的服务体系;
d、有足够的人员从事直接与信息安全灾难恢复服务相关的活动。
2.6、业绩要求
a、从事信息安全服务3年以上;
b、近3年完成的信息安全灾难恢复服务的项目总值应在100万以上;
c、近3年内在信息安全灾难恢复服务方面,没有出现验收未通过的项目。
3、灾难恢复服务过程能力,
3.1、灾难恢复过程能力包括:
a、灾难恢复需求确定的能力;
b、灾难恢复策略制定的能力;
c、灾难恢复资源获取方式确定的能力;
d、灾难恢复资源要求确定的能力;
e、灾难备份系统技术方案实现的能力;
f、灾难备份中心选择和建设的能力;
g、技术支持实现的能力;
h、运行维护管理的能力;
i、灾难恢复预案制定的能力;
j、灾难预案的教育、培训和演练的能力;
k、灾难恢复预案管理的能力。
3.2、项目和组织过程能力包括:
a、实现质量保证的能力;
b、实现配置管理的能力;
c、管理项目风险的能力;
d、监控技术活动的能力;
e、规划技术活动的能力;
f、管理系统工程支持环境的能力;
g、提供不短发展的技能和知识的能力;
h、与供应商协调的能力。
注册微创客 • 个人创业
灾难恢复服务过程能力等方面的具体衡量和评价。
CNITSEC将通过申诉系统、年度监督调查、现场见证以及灾难恢复服务项目进行抽样检查等方式来验证获得资质的组织的服务资格和能力。
服务评价
好评度