通信网络安全服务能力评定-简单介绍

CESSCN通信网络安全服务能力评定

01 认证简介

通  信网络安全服务能力评定所述的通信网络包括电信网和互联网，所涉及的安全服务是指为了适应通信网络安全管理的需要，运用科学的方法和手段，通过有效的措施来**通信网络的正常运行，为企业提供全面或部分安全评估、设计与集成的服务，包含从安全体系到具体的技术解决措施。所涉及到的通信网络安全服务可以分为四种类型：风险评估、安全设计与集成、安全培训、应急响应。每个分项共划分为三个等级，其中1级低，3级高。


02 基本条件

通信网络安全服务能力评定要求是对通信网络安全服务单位的资格状况、经济实力、技术能力、服务队伍、服务过程能力等方面的具体衡量和评价。

2.1通信网络安全服务能力等级基本要求

2.1.1法律要求

1) 在*人民共和国境内注册成立（港澳台地区除外）；

2) 由中国公民投资、中国法人投资或者投资的，具有独立法人资格及相关部门颁发的合法经营资格的企事业单位

（港澳台地区除外）；

3) 从事涉密的通信网络安全服务单位必须满足的相关要求；

4) 从事通信网络安全服务工作一年以上且无违法记录；

5) 法人及主要业务、技术人员无犯罪记录。



2.1.2组织与管理要求

1) 拥有健全的组织与管理体系，拥有清晰的组织结构图， 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度，并能有效组织实施与考核；

2) 落实保密规章制度，对通信网络安全服务保密，制度中 至少规定了：保守安全服务过程中知悉的、商业秘密、技术秘密和公民隐私信息，具备严格的控制方法来防范服务过 程中产生的泄密风险，不得出售或者非法向其他组织和个人提 供在安全检测过程所获信息，具备相应的控制办法；

3) 建立人员管理程序，明确保密岗位与职责，定期对安全服务人员进行安全保密教育与培训，并签订保密责任书，规定应当履行的安全保密义务和承担的法律责任。

2.1.3设备、设施与环境要求

1) 具有固定的办公场所；

2) 具有专门从事通信网络安全服务的相关工具或软件；

3) 具有进行安全服务所必须的实验环境。

2.1.4项目管理要求

1) 具有成文的项目管理制度，并提供项目管理制度有效运行的证据，例如管理制度流程中具有核心流程、支持流程、管理流程等制度体系；

2) 具有对员工进行安全技术、项目管理的培训机制和计划， 并有效组织实施与考核的相关记录。

2.1.5质量保证要求

1) 建立并落实质量管理体系，并提供质量保证有效实现的证据；

2) 能够自行评估服务质量的状况，并能对服务质量进行持续改进。

Ø 风险评估能力评定要求

2.2 一级能力评定要求

2.2.1资格要求

1) 从事电信网和互联网第三方安全风险评估服务的组织应符合本标准*3章通用性要求的所有条款；

2) 进行涉密集成的组织必须获得门的能力。

2.2.2规模与资产

1) 单位正式编制员工应不少于15人；

2) 注册资金应不少于100万元人民币。

2.2.3人员构成和素质要求

1) 直接从事风险评估服务的人员不低于8人，大学本科以上不少于80%；

2) 从事风险评估的组织内至少应有2名具备2年以上电信网和互联网领域风险评估项目经验的程师。

2.2.4业绩要求

1) 单位应具备1年以上的安全行业从业时间；

2) 至少有2个项目中涉及风险评估服务的金额**过10万元人民币；

3) 近3年内至少成功完成2个风险评估项目，且终验通过；

4) 近1年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目。

2.2.5组织与管理要求

1) 应拥有健全的组织与管理体系；

2) 应制定符合部门要求的保密制度；

3) 应落实保密规章制度和执行保密技术标准；

4) 应建立人员管理程序，明确保密岗位与职责，定期对安全服务人员进行安全保密教育与培训，并签订保密责任书，规定应当履行的安全保密义务和承担的法律责任。

2.2.6质量保证要求

1) 应建立并落实质量管理体系；

2) 应能够自行评估服务质量的状况，并能对服务质量进行持续改进；

3) 从事风险评估服务的组织应建立相关投诉、应急响应服务机制。

2.2.7项目管理要求

1) 应具有成文的项目管理制度，并符合相关项目管理标准；

2) 应具有系统地对员工进行安全技术、项目管理、保密规章制度的培训机制和计划，并能有效组织实施与考核；

3) 应能提供项目管理制度可有效运行的证据。

2.2.8技术能力要求

1) 应对电信网和互联网的整体概念有一定了解；

2) 应能够独立完成电信网和互联网网络单元IP层面安全渗透测试；

3) 应具有确定网络的安全需求的能力；

4) 应具有对网络安全系统有效维护的能力。

2.2.9服务队伍要求

1) 从事风险评估的队伍中的相关人员应是中国公民；

2) 从事风险评估的队伍内至少应有1名经过电信网和互联网安全防护技术和标准的系统培训的程师；

3) 从事风险评估的队伍内应至少有2名经过和相关机构认可、针对安全风险评估服务能力的程师（有相关的能力如：CIW、CISP、CISSP、CISA等）。

2.2.10 设备、设施与环境要求

1) 应具有固定的办公场所；

2) 应具有专门从事电信网和互联网安全风险评估服务的相关工具或软件，如漏洞扫描工具、安全基线核查、网站安全检测工具等。

2.2.11 服务过程能力要求

从事风险评估的组织应具有以下基本能力：

－ 评估系统安全威胁的能力；

－ 评估系统脆弱性的能力；

－ 评估安全对系统的影响的能力；

－ 评估系统安全风险的能力；

－ 确定系统的安全需求的能力；

－ 确定系统的安全输入的能力；

－ 进行管理安全控制的能力；

－ 进行监测系统安全状况的能力；

－ 进行安全协调的能力；

－ 进行检测和证实系统安全性的能力；

－ 进行建立系统安全的保证证据的能力；

－ 根据风险评估结果进行系统整改的能力。

Ø 安全设计与集成服务能力评定要求

2.3 一级能力评定要求

应达到本标准*3章通信网络安全服务能力评定通用性要求的所有条款。

2.3.1资格要求

进行涉密集成的组织必须获得部门的能力。

2.3.2规模与资产

1) 单位正式编制员工应不少于20人；

2) 注册资金不少于500万元人民币。

2.3.3人员构成和素质要求

1) 直接从事安全设计与集成服务的人员不低于10人，大学 本科以上不少于80%；

2) 至少有5人具有3年以上的安全设计与集成服务行业从业经验，并具有深度参与的安全设计与集成服务成功案例。

2.3.4业绩要求

1) 单位应具备1年以上的安全行业从业时间；

2) 至少有2个项目中涉及安全设计与集成服务的金额**过100万元人民币；

3) 近3年内至少成功完成2个安全设计与集成项目，且终验 通过；

4) 近1年没有出现因各阶段验收未通过或企业自身原因而废止的安全设计与集成服务项目。

2.3.5组织与管理要求

1) 应拥有健全的组织与管理体系；

2) 应制定符合部门要求的保密制度；

3) 应落实保密规章制度和执行保密技术标准；

4) 应建立人员管理程序，明确保密岗位与职责，定期对安全服务人员进行安全保密教育与培训，并签订保密责任书，规定应当履行的安全保密义务和承担的法律责任。

2.3.6质量保证要求

1) 应建立并落实质量管理体系；

2) 应能够自行评估服务质量的状况，并能对服务质量进行持续改进；

3) 从事安全设计与集成服务的组织应建立相关投诉、应急响应服务机制，例如应该具备7*24小时服务电话。

2.3.7项目管理要求

1) 应具有成文的项目管理制度，并符合相关项目管理标准；

2) 应具有系统地对员工进行安全技术、项目管理、保密规章制度的培训机制和计划，并能有效组织实施与考核；

3) 应能提供项目管理制度可有效运行的证据。

2.3.8技术能力要求

1) 应对电信网和互联网的整体概念有一定了解；

2) 应能对市场上的主流网络安全产品进行功能分析，在具体项目中应能针对具体的网络架构和网络单元中存在的安全事件设计安全侧率和安全解决方案，具有安全产品的系统集成能力；

3) 应具有对集成的系统进行安全性检测和验证的能力；

4) 应具有对集成的系统有效维护的能力。

2.3.9服务队伍要求

1) 从事安全设计与集成的队伍中的相关人员应是中国公民；

2) 从事安全设计与集成的队伍内至少应有1名经过电信网和互联网安全防护技术和标准的系统培训的程师；

3) 从事安全设计与集成服务的队伍内至少应有2名经过、和相关机构认可的，与安全设计与集成能力相关的程师（有相关的能力如：CIW、CISP、CISSP、CISA、CCNA、CCIE等）。

2.3.10 设备、设施与环境要求

1) 应具有固定的办公场所；

2) 应具有*的安全产品，具有比较完善的研发和实验环境。


03  申请流程 





图片

一、申请阶段

申请单位应先到通信安委会网站查看《通信网络安全服务能力评定准则》、《通信网络安全服务能力评定申请指南》和下载《通信网络安全服务能力评定申请书》及有关附件，认真阅读上述文档，了解评定的流程及相关情况，并根据《通信网络安全服务能力评定管理办法》的规定申报，按照《通信网络安全服务能力评定申请书》的要求填写申请书、加盖公章并将申请书中所要求的相关材料，包括电子版一并提交给单位注册地行协，在向单位注册地行协递交申请书前，须逐项检查所填报材料的完整性和正确性。

二、材料审查阶段

单位注册地行协或通信安委会接到申请单位所提交的正式申请书及相关资料后，对申请材料进行材料形式性审查，以确认申请单位是否满足资质的基本资格要求，提交材料是否完整。

  材料形式审查包括对申请单位所提交材料进行完整性和齐备性的审查以及对申请单位的进一步调查和沟通。如果材料需要补充说明的，单位注册地行协告知申请单位一次性补齐材料。

  当通过材料形式审查阶段后，单位注册地行协将正式受理该申请。自接到申请材料之日起十五个工作日内完成上述工作。