广西信息网络安全系统集成及
安全服务单位资质认证规程
(试 行)
广西信息网络安全协会
概 述
为促进广西信息网络安全行业市场的健康发展,提高网络安全服务行业综合实力,方便信息网络安全项目主建单位对承建企业进行选择,保证项目建设质量。广西信息网络安全协会(以下简称协会)对全区从事信息网络安全系统集成及安全服务的企业进行资质认证。
信息网络安全系统集成及安全服务企业资质认证,将依据国家有关法律法规及技术标准,参照外省及相关部门资质认证经验,结合广西信息网络安全行业的实际情况,对提供信息网络安全系统集成及安全服务的企业进行客观的评价。论证包括企业资产状况、经营业绩、技术水平、管理水平、服务水平、质量保证能力、技术装备、系统建设质量、人员构成与素质等要素。
广西信息网络安全系统集成及安全服务单位资质的认证活动,属行业推荐、引导行为,以企业自愿参加为原则,不具有许可性、强制性,并且不包括从事涉密信息系统的集成和服务资质认证的内容。
对申请企业的资质级别认证,按照认证与审批分离的原则,由广西信息网络安全协会专家委员会(以下简称专家委员会)依据本规程的评审标准,独立进行评审工作,专家委员会做出资质级别认证意见后,报协会审核批准并颁发资质证书,同时通过协会网站、会刊、新闻媒体等渠道向社会公告。
1.信息网络安全系统集成及安全服务资质等级划分
广西信息网络安全系统集成及安全服务单位资质等级分为四级,四级为基本级别,一级为最高级别。
2.信息网络安全系统集成及安全服务资质评定标准
申请广西信息网络安全系统集成及安全服务资质认证的单位必须是:具有独立法人资格的企业实体,持有合法营业执照;没有违反计算机信息系统安全保护、信息网络安全保护以及知识产权保护等有关法律的记录;从事安全服务的所有成员,必须与企业签订《保密合同》,保守因工作关系接触的项目主建单位和企业的商业秘密;遵守相关法律法规。同时各等级资质应符合以下标准:
2.1 一级资质要求:
2.1.1 注册资本300万元以上,近3年的财务状况良好。
2.1.2 近三年完成信息网络安全系统集成及安全服务项目总值800万元以上,并承担过至少1项200万元以上或至少3项100万元以上的项目;所完成项目中应具有自主开发的安全产品;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占工程项目总值的25%以上(即不低于200万元)。
2.1.3 具有信息网络安全或相关专业资格证书的专业技术人员不少于25人,其中大学本科以上学历的人员不少于15人,取得协会认证的信息网络安全师资格的技术人员不少于15名,其中取得高级信息网络安全师资格的技术人员不少于7名。
2.1.4 安全服务项目的管理人员应当具有5年以上从事信息网络安全技术领域企业管理工作经历;技术负责人已获得信息网络系统安全技术相关专业的高级职称,并且从事信息网络安全系统集成工作不少于5年。
2.1.5具有较强的综合技术研发实力,有配套的信息网络安全检测、防护、保护、数据恢复工具,有先进、配套的软件及系统开发环境和设备,有很强的技术开发能力,有自主开发的多个安全产品。
2.1.6 具有完善的组织管理制度、质量保证体系和客户服务体系,实行工程标准化管理和量化控制,并能不断改进。通过ISO9000质量认证 。
2.1.7 具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施。
2.1.8 承建的项目均通过项目主建单位的验收,并处于实际应用状态。
2.2 二级资质要求:
2.2.1 注册资本150万元以上,近3年的财务状况良好。
2.2.2 近三年完成信息网络安全系统集成及安全服务项目总值500万元以上,并承担过至少1项125万元以上或至少2项80万元以上的项目;所完成的项目中应具有自主开发的安全产品;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占项目总值的25%以上(即不低于125万元);项目按合同要求质量合格,已通过项目主建单位的验收并投入实际应用。
2.2.3 具有信息网络安全或相关专业资格证书的专业技术人员不少于15人,其中大学本科以上学历的人员不少于10人,取得协会认证的信息网络安全师资格的技术人员不少于10名,其中高级信息网络安全师资格的技术人员不少于5名。
2.2.4 安全服务工作的管理人员应当具有4年以上从事信息网络安全技术领域企业管理工作经历;技术负责人已获得信息网络安全技术相关专业的高级职称;从事信息网络安全集成工作不少于4年。
2.2.5具有信息网络安全检测、防护、保护、数据恢复工具,有比较配套的软件及系统开发环境和设备,有较强的技术开发能力,有自主开发的安全产品。
2.2.6 具有完善的组织管理制度、质量保证体系和客户服务体系,实行工程标准化管理和量化控制。通过ISO9000质量认证 。
2.2.7 具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施。
2.2.8 承建的项目均通过项目主建单位的验收,并处于实际应用状态。
2.3 三级资质要求:
2.3.1 注册资本100万元以上,近3年的财务状况良好。
2.3.2 近3年完成信息网络安全系统集成及安全服务项目总值200万元以上;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占项目总值的25%以上(即不低于50万元)。
2.3.3 具有信息网络安全或相关专业资格证书的专业技术人员不少于10人,其中大学本科以上学历的人员不少于8人,取得协会认证的信息网络安全师资格的技术人员不少于8名,其中高级信息网络安全师资格的技术人员不少于3名。
2.3.4 安全服务工作的管理人员应当具有3年以上从事信息网络安全技术领域企业管理工作经历;技术负责人已获得信息网络安全技术相关专业的高级职称;从事计算机信息系统安全集成工作不少于3年。
2.3.5 具有信息网络安全检测、防护、保护、数据恢复工具,有与所承担项目相适应的软件及系统开发环境和设备,具有较好的技术开发能力。
2.3.6 具有完善的组织管理制度、质量保证体系和客户服务体系,实行工程标准化管理。 已经正式提交ISO9000质量认证申请。
2.3.7 具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施。
2.3.8 承建的项目均通过项目主建单位的验收,并处于实际应用状态。
2.4 四级资质要求:
2.4.1 注册资本30万元以上,近3年的财务状况良好。
2.4.2 近3年完成信息网络安全系统集成及安全服务项目总值80万元以上;服务费用(含系统设计费、软件开发费、系统集成费和技术服务费)应占项目总值的10%以上(即不低于8万元)。
2.4.3 具有信息网络安全或相关专业资格证书的专业技术人员不少于5人,其中大学本科以上学历的人员不少于3人,取得协会认证的信息网络安全师资格的技术人员不少于3名,其中高级信息网络安全师资格的技术人员不少于1名。
2.4.4 安全服务工作的管理人员应当具有2年以上从事信息网络安全技术领域企业管理工作经历;技术负责人已获得信息网络安全技术相关专业的高级职称;从事计算机信息系统安全集成工作不少于2年。
2.4.5具备信息网络安全数据恢复工具,有初步的软件及系统开发环境和设备,具有一定的技术开发能力。
2.4.6 具有较为完善的组织管理制度、质量保证体系和客户服务体系。
2.4.7 具有系统的对员工进行新知识、新技术培训的计划,并能有效地组织实施。
2.4.8 承建的项目均通过项目主建单位的验收,并处于实际应用状态。
3.信息网络安全系统集成及安全服务资质认证程序
3.1企业申请广西信息网络安全系统集成及安全服务资质认证,首先到协会领取或在网站上下载《广西信息网络安全系统集成及安全服务资质认证申请书》,填写后送交协会秘书处。
3.2协会秘书处首先对申请书进行形式化审查。形式化审查是对申请书的完整性进行初审,如果材料不完整或有填写错误,将通知申请单位补充材料或者予以退回修改。
3.3申请单位的申请通过形式化审查被正式受理后,协会秘书处将申请资料提交给协会专家委员会,由专家委员会根据评审程序独立进行资质评审。专家委员会做出资质级别评审意见后,报协会审核批准并颁发资质证书。
3.4协会自接到申请之日起二个月内作出信息网络安全系统集成及安全服务资质等级认证的书面决定,符合信息网络安全系统集成及安全服务资质等级认证要求的,颁发相应等级的《广西信息网络安全系统集成及安全服务资质证书》。不符合信息网络安全系统集成及安全服务资质等级认证要求的,说明理由并书面通知申请单位。
3.5资质证书每三年进行一次复查换证,在三年有效期内实行年确认制度。在证书有效期届满前90天内,由获证单位提出复查换证申请。
3.6 取得资质证书的企业,在企业发展到已经具备申请更高资质级别条件的时候,可以不受原资质证书有效期的限制,提出更高资质认证的申请。
4.认证申请材料
申请资质认证的单位需向协会递交认证申请材料,包括:
4.1 企业法人签署的声明函,声明所提交的所有申请材料真实有效,并愿意承担相应法律责任。
4.2 《广西信息网络安全系统集成及安全服务资质认证申请书》(可在协会网站下载)纸版一式三份、电子版一份。
4.3 企业营业执照复印件。
4.4 企业税务登记证复印件。
4.5 企业近三年财务审计报告复印件。
4.6 企业技术人员表及毕业证书复印件;中、高级信息网络安全师资格证书复印件。
4.7 协会要求提供的其他资料
5.认证和审批
按照认证与审批分离的原则,资质认证由专家委员会负责,资质审批由协会负责。步骤如下:
5.1静态评估
静态评估的目的是对申请认证单位申请书提供材料的内容进行真实性审查。
5.2现场核查
现场核查的目的是对申报单位从事信息网络安全系统集成及服务的综合能力(包括研究开发能力、技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩和商业信誉、资产状况等要素)进行确认。
专家委员会抽调3至5名成员组成评审小组进行静态评估和现场核查,对不符合要求的单位,评审小组通过协会秘书处向申请单位提出整改建议,并书面通知申请单位。经整改后,评审小组再依据整改情况进行静态评估和现场核查,出具评审报告。
5.3专家委员会认证
专家委员会在静态评估和现场审核生成的评审报告的基础上对申请认证单位的能力进行进一步评审,作出《广西信息网络安全系统集成及安全服务资质认证报告》。
5.4协会审批与公布
协会对申请材料和专家委员会作出的《广西信息网络安全系统集成及安全服务资质认证报告》进行审核,对通过审核的单位,颁发资质证书。对于没有通过的单位,书面通知申请单位。
对于通过审核、颁发资质证书的单位,协会将在网上公布《广西信息网络安全系统集成与安全服务资质等级认证单位名录》,包括以下内容:
1) 获得认证单位名称
2) 获得认证的资质级别
3) 资质证书编号
4) 获得认证的服务范围
5) 联系电话,传真,电子邮件地址等
6) 通讯地址、邮政编码等
7) 获得认证日期
6.费用及认证周期
资质认证收费划分为如下三个部分:
6.1申请费:200元
6.2评估核查费:
1) 一级资质4500元;
2) 二级资质3500元;
3) 三级资质2500元;
4) 四级资质1500元;
6.3评审与注册费(含证书费):2500元
6.4从受理到完成审批的周期为二个月。
7.解释权
7.1本规程由广西信息网络安全协会负责解释。
附注:关于信息网络安全系统集成及安全服务项目总值的计算
信息网络安全系统集成及安全服务资质认证申请条件中的“信息网络安全系统集成及安全服务资质认证项目总值”系指信息网络安全系统集成及服务资质认证工程项目的总金额。项目包括:计算机信息系统(包括计算机机房)安全设计、建设、检测、维护、监理等业务。主要有以下种类:
一、计算机机房安全项目;
二、系统冗余或备份项目;
三、计算机病毒防治项目;
四、网络攻击防范、追踪项目;
五、安全审计和预警措施项目;
六、日志记录留存项目;
七、记录用户主叫电话号码和网络地址项目;
八、身份登记和识别确认项目;
九、操作权限管理项目;
十、信息发布审查、登记、保存、清除和备份项目;
十一、信息群发限制和有害数据防治项目;
十二、安全监测、安全维护、安全检测、安全评估和风险管理项目;
十三、系统安全管理平台;
十四、其他用于保护系统安全的项目。
附件一: