《信息安全服務(wù)人員能力評(píng)估標(biāo)準(zhǔn)》團(tuán)體標(biāo)準(zhǔn)

1、ICS 35.040L 80ZJXTJC團(tuán)體標(biāo)準(zhǔn)T/ZJXTJC 0022020信息安全服務(wù)人員能力評(píng)估標(biāo)準(zhǔn)Informationsecurityservice Assessment criteriaforpersonnelcapability(征求意見稿 )XXXX- XX- XX發(fā)布實(shí)施XXXX- XX- XX浙江省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì)發(fā)布T/ZJXTJC 002 2020目? 次前言 . II引言 . III1范圍 .12規(guī)范性引用文件 .13術(shù)語和定義 .14信息安全服務(wù)原則. 34.1合規(guī)性 .34.2數(shù)據(jù)和業(yè)務(wù)保護(hù) . 45能力評(píng)估要求 .45.1肆級(jí)能力要求 . 45.2叁

2、級(jí)能力要求 . 55.3貳級(jí)能力要求 . 75.4壹級(jí)能力要求 . 85.5特級(jí)能力要求 . 10附錄 A（規(guī)范性附錄）信息安全服務(wù)類別及對(duì)應(yīng)項(xiàng)目級(jí)別劃分. 14IT/ZJXTJC 002 2020前? 言本標(biāo)準(zhǔn)依據(jù) GB/T1.1 2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由浙江省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì)提出并歸口管理。本標(biāo)準(zhǔn)由浙江省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì)牽頭組織制定。本標(biāo)準(zhǔn)主要起草單位：本標(biāo)準(zhǔn)主要起草人：本標(biāo)準(zhǔn)由浙江省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì)負(fù)責(zé)解釋。IIT/ZJXTJC 002 2020引? 言本標(biāo)準(zhǔn)是對(duì)提供信息安全服務(wù)的組織進(jìn)行能力評(píng)估， 在編制過程中考慮到省內(nèi)環(huán)境與信息安全行業(yè)的實(shí)際情況

3、，同時(shí)結(jié)合 GB/T 32914-2016、GB/T 30271-2013、GB/T 30283-2013等國家或行業(yè)標(biāo)準(zhǔn)制定而成。IIIT/ZJXTJC 002 2020信息安全服務(wù)企業(yè)能力評(píng)估標(biāo)準(zhǔn)1 范圍本標(biāo)準(zhǔn)規(guī)定了對(duì)信息安全服務(wù)提供方的服務(wù)能力通用等級(jí)要求。本標(biāo)準(zhǔn)適用于評(píng)估組織和監(jiān)管部門對(duì)信息安全服務(wù)提供方的服務(wù)能力進(jìn)行評(píng)估， 也為信息安全服務(wù)提供方對(duì)其自身服務(wù)能力的改善提供指導(dǎo)，同樣對(duì)信息安全服務(wù)需求方具有參考意義。2 規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件

4、。GB/T 32914-2016信息安全技術(shù)信息安全服務(wù)提供方管理要求GB/T 30271-2013信息安全技術(shù)信息安全服務(wù)能力評(píng)估準(zhǔn)則GB/T 30283-2013信息安全技術(shù)信息安全服務(wù)分類YD/T 1621-2007網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則3 術(shù)語和定義GB/T 32914-2016所界定的以及下列術(shù)語和定義適用于本文件。3.1信息安全服務(wù)informationsecurityservice面向組織或個(gè)人的各類信息安全需求和信息安全保障需求， 由服務(wù)提供方按照服務(wù)協(xié)議所執(zhí)行的一個(gè)信息安全過程或任務(wù)。注：信息安全服務(wù)通常以信息安全服務(wù)提供方和信息安全服務(wù)需求方之間的服務(wù)項(xiàng)目形式進(jìn)行。

5、3.2信息安全服務(wù)需求方informationsecurityserviceacquirer獲取外部所提供的信息安全服務(wù)， 以滿足信息安全需求和信息安全保障需求， 實(shí)現(xiàn)自身業(yè)務(wù)目標(biāo)的組織（或個(gè)人用戶）。3.3信息安全服務(wù)提供方 information security service provider 按照服務(wù)協(xié)議，通過專業(yè)的信息安全人員提供信息安全服務(wù)的組織。3.4服務(wù)協(xié)議serviceagreement服務(wù)需求方和服務(wù)提供方在服務(wù)開始前共同簽署的約定，并在服務(wù)過程中共同遵守。1T/ZJXTJC 002 2020注：通常包含服務(wù)原則、服務(wù)內(nèi)容、服務(wù)形式、服務(wù)級(jí)別、服務(wù)價(jià)格、服務(wù)交付成果、服務(wù)

6、安全要求等，在形式上可以是服務(wù)合同及其附屬的工作說明書。3.5服務(wù)級(jí)別servicelevel在服務(wù)協(xié)議中對(duì)服務(wù)交付成果明確約定、可測(cè)量和文檔化的一系列服務(wù)指標(biāo)。3.6服務(wù)目錄servicecatalogue在服務(wù)協(xié)議中明確展示服務(wù)內(nèi)容、服務(wù)形式、服務(wù)價(jià)格、服務(wù)交付成果和服務(wù)級(jí)別等的一份列表。3.7服務(wù)組合serviceportfolio多個(gè)服務(wù)類別或服務(wù)項(xiàng)目以及其他工作的集合。3.8供應(yīng)鏈supplychain通過多個(gè)資源和過程聯(lián)系在一起的一系列組織， 根據(jù)由服務(wù)協(xié)議或其他采購協(xié)議建立連續(xù)的供應(yīng)關(guān)系，每個(gè)組織充當(dāng)一個(gè)需求方、提供方或雙重角色。3.9服務(wù)要素servicefactors設(shè)計(jì)和實(shí)

7、施服務(wù)的關(guān)鍵要素，包括服務(wù)人員、服務(wù)流程、服務(wù)工具、規(guī)章，以及其他服務(wù)所需的資源。3.10服務(wù)方案serviceplans基于服務(wù)目標(biāo)，對(duì)服務(wù)各階段中所需執(zhí)行的過程、任務(wù)、活動(dòng)以及相關(guān)服務(wù)要素、服務(wù)級(jí)別進(jìn)行詳細(xì)描述的文檔。3.11服務(wù)工具servicetools為達(dá)成服務(wù)目標(biāo)或提高服務(wù)質(zhì)量和效率所需要的設(shè)備、軟件、模板、知識(shí)庫等。3.12服務(wù)變更servicechange任何可能對(duì)服務(wù)產(chǎn)生影響的新增、修改或解除的活動(dòng)。注：服務(wù)變更可能涉及服務(wù)的范圍、人員、內(nèi)容、形式、價(jià)格、時(shí)間、方案、流程、工具、服務(wù)級(jí)別等。2T/ZJXTJC 002 20203.13信息安全風(fēng)險(xiǎn)評(píng)估informationse

8、curityriskassessment從風(fēng)險(xiǎn)管理角度， 對(duì)信息系統(tǒng)及由其處理、 傳輸和存儲(chǔ)的信息的保密性、 完整性和可用性等安全屬性進(jìn)行識(shí)別、分析和評(píng)價(jià)的過程。注：信息安全風(fēng)險(xiǎn)評(píng)估貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢棄各個(gè)階段。3.14信息安全系統(tǒng)集成informationsecuritysystemintegration按照信息系統(tǒng)建設(shè)的安全需求，采用信息系統(tǒng)安全工程的方法和理論，將安全單元、 產(chǎn)品部件進(jìn)行集成的行為或活動(dòng)。3.15信息安全系統(tǒng)運(yùn)維informationsecuritysystemoperationand maintenance依據(jù)信息安全服務(wù)需求方的安全需求對(duì)

9、信息系統(tǒng)進(jìn)行安全運(yùn)維準(zhǔn)備、安全運(yùn)維實(shí)施， 并對(duì)實(shí)施安全運(yùn)維服務(wù)的有效性進(jìn)行評(píng)審， 從而進(jìn)行持續(xù)性改進(jìn)， 全過程、 全生命周期地為信息系統(tǒng)運(yùn)行提供安全保障的過程。3.16信息安全應(yīng)急處理informationsecurityemergency treatment針對(duì)各類信息安全事件，提供實(shí)施層面的應(yīng)急響應(yīng)和應(yīng)急演練。注：應(yīng)急響應(yīng)是對(duì)已發(fā)生的各類信息安全事件做出快速響應(yīng)，及時(shí)而有效進(jìn)行事件處理，最大程度減少損失和該事件造成的消極影響。應(yīng)急演練是根據(jù)組織已有的應(yīng)急預(yù)案，在設(shè)備、系統(tǒng)、業(yè)務(wù)、組織等不同層面進(jìn)行測(cè)試和演練，從而提高組織的應(yīng)對(duì)各類突發(fā)信息安全事件的能力。3.17信息安全服務(wù)能力級(jí)別info

10、rmationsecurityservicelevel信息安全服務(wù)提供方在提供滿足需求方的安全服務(wù)的組織、協(xié)調(diào)、技術(shù)水平和管理的能力成熟程度。4信息安全服務(wù)原則4.1合規(guī)性遵循國家和行業(yè)關(guān)于信息安全服務(wù)的要求，基于明確的信息安全保障需求和信息安全服務(wù)目標(biāo)。具體原則如下：a) 應(yīng)符合國家信息安全閥了法規(guī)和政策、國家和行業(yè)相關(guān)信息安全標(biāo)準(zhǔn)的要求；b) 應(yīng)遵循服務(wù)過程有記錄，可監(jiān)視，可檢查，服務(wù)行為預(yù)先告知、服務(wù)和產(chǎn)品中立、資產(chǎn)保護(hù)等信息安全服務(wù)原則；c) 應(yīng)根據(jù)信息安全服務(wù)類別，通過需求調(diào)研、風(fēng)險(xiǎn)評(píng)估等手段，提取信息安全保障要求；d) 應(yīng)根據(jù)信息安全保障要求， 結(jié)合服務(wù)對(duì)象業(yè)務(wù)、 系統(tǒng)或設(shè)備的實(shí)際

11、情況， 確定信息安全服務(wù)目標(biāo)；3T/ZJXTJC 002 2020e) 應(yīng)按照服務(wù)協(xié)議所規(guī)定的關(guān)鍵節(jié)點(diǎn)、交付成果和服務(wù)級(jí)別要求，記錄、監(jiān)視、檢查和評(píng)審服務(wù)目標(biāo)的完成情況及差異程度。4.2數(shù)據(jù)和業(yè)務(wù)保護(hù)在信息安全服務(wù)實(shí)施過程中，對(duì)信息安全服務(wù)需求方的數(shù)據(jù)和業(yè)務(wù)進(jìn)行保護(hù)。具體原則如下：a) 在服務(wù)實(shí)施之前，應(yīng)與需求方簽訂數(shù)據(jù)保護(hù)協(xié)議，明確規(guī)定身份數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、系統(tǒng)數(shù)據(jù)等保護(hù)內(nèi)容，明確規(guī)定最小數(shù)據(jù)范圍、最小特權(quán)訪問、最小服務(wù)用途等保護(hù)要求；b)應(yīng)對(duì)在服務(wù)實(shí)施過程中所獲取得或產(chǎn)生得信息資料， 只在服務(wù)范圍內(nèi)進(jìn)行數(shù)據(jù)合理利用， 并采用必要的安全措施進(jìn)行妥善保管；c) 應(yīng)采取相應(yīng)的措施防止因信息安全服務(wù)

12、的實(shí)施，影響需求方的系統(tǒng)正常使用和業(yè)務(wù)正常開展，或造成對(duì) IT 資產(chǎn)的損害；d) 針對(duì)直接作用于信息系統(tǒng)的信息安全實(shí)施服務(wù)，應(yīng)事先對(duì)服務(wù)意外中斷或終止的影響進(jìn)行確認(rèn)，并制定應(yīng)對(duì)措施；e) 在服務(wù)實(shí)施完成之后，應(yīng)按需求方和服務(wù)協(xié)議的要求，進(jìn)行資料、賬號(hào)、證件等清理工作（例如：移交、注銷、銷毀等）。5 能力評(píng)估要求信息安全服務(wù)能力評(píng)估要求適用于風(fēng)險(xiǎn)評(píng)估、系統(tǒng)集成、 應(yīng)急處理、 系統(tǒng)運(yùn)維等類別的信息安全服務(wù)認(rèn)證評(píng)估，均分為肆級(jí)、叁級(jí)、貳級(jí)、壹級(jí)、特級(jí)五個(gè)級(jí)別，其中特級(jí)最高。5.1肆級(jí)能力要求綜合要求a) 在中華人民共和國境內(nèi)注冊(cè)的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。b) 具有與從事信息安全服務(wù)

13、相適應(yīng)的注冊(cè)資本和實(shí)收資本。財(cái)務(wù)要求a) 企業(yè)財(cái)務(wù)狀況良好。b) 企業(yè)擁有與從事信息安全服務(wù)業(yè)務(wù)相適應(yīng)的固定資產(chǎn)和無形資產(chǎn)。信譽(yù)要求a) 企業(yè)有良好的資信和公眾形象，近三年無觸犯國家法律法規(guī)的行為。b) 企業(yè)有良好的履約能力， 近三年沒有因企業(yè)原因造成驗(yàn)收未通過的服務(wù)項(xiàng)目或應(yīng)由企業(yè)承擔(dān)責(zé)任的用戶重大投訴。c) 企業(yè)近三年無不正當(dāng)競(jìng)爭(zhēng)行為。d)企業(yè)遵循國家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求， 遵守信息安全服務(wù)管理相關(guān)規(guī)定，在能力資質(zhì)申報(bào)和能力資質(zhì)證書使用過程中誠實(shí)守信，近三年無不良行為。制度和體系要求a) 建立完備的質(zhì)量管理體系，有效運(yùn)行時(shí)間不少于一年。b) 建有服務(wù)項(xiàng)目管理流程，保證服務(wù)項(xiàng)目有效實(shí)施，對(duì)項(xiàng)

14、目過程相關(guān)文件進(jìn)行管理。c) 建有客戶服務(wù)流程，能有效地為客戶提供服務(wù)。d) 應(yīng)對(duì)組織內(nèi)部所有相關(guān)人員進(jìn)行管理制度或管理體系的教育、培訓(xùn)和考核。辦公場(chǎng)所要求a) 擁有固定辦公場(chǎng)所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。4T/ZJXTJC 002 2020人力資源要求a)企業(yè)主要負(fù)責(zé)人從事信息安全服務(wù)企業(yè)管理的經(jīng)歷不少于1 年。b)企業(yè)主要技術(shù)負(fù)責(zé)人具備信息安全服務(wù)類別管理能力，應(yīng)具有與服務(wù)類別一致工程師資質(zhì)，且從事信息安全服務(wù)類別對(duì)應(yīng)技術(shù)工作的經(jīng)歷不少于1 年。人員能力要求見T/ZJXTJC 002-2020信息安全服務(wù)人員能力評(píng)估標(biāo)準(zhǔn)。c) 企業(yè)從事信息安全服務(wù)的人員不少于15 人

15、。具備信息安全服務(wù)類別對(duì)應(yīng)技術(shù)能力的人員，工程師不少于2 人。d)經(jīng)過登記的信息安全服務(wù)項(xiàng)目管理人員人數(shù)不少于1 名。e) 制定服務(wù)人員能力培養(yǎng)計(jì)劃，確保服務(wù)人員勝任其承擔(dān)的職責(zé)。保密要求a) 建立保密管理制度。 涉及國家秘密的信息安全服務(wù)， 應(yīng)按照國家相關(guān)的保密法律法規(guī)、 政策和標(biāo)準(zhǔn)執(zhí)行。b) 與信息安全服務(wù)相關(guān)人員簽訂保密協(xié)議。技術(shù)能力要求a) 了解適用的國家信息安全相關(guān)法律法規(guī)、政策、標(biāo)準(zhǔn)和其他要求，并傳達(dá)給相關(guān)部門及人員。b) 具備承擔(dān)信息安全服務(wù)類別對(duì)應(yīng)項(xiàng)目所需的安全工具。c) 建有信息安全服務(wù)類別對(duì)應(yīng)要求的流程，并按照流程實(shí)施。業(yè)績(jī)要求無。服務(wù)協(xié)議要求a) 信息安全服務(wù)供需雙方應(yīng)簽

16、訂服務(wù)協(xié)議，明確規(guī)定信息安全服務(wù)的范圍、目標(biāo)和驗(yàn)收等條款。b) 服務(wù)協(xié)議中應(yīng)涉及知識(shí)產(chǎn)權(quán)條款，明確知識(shí)產(chǎn)權(quán)侵權(quán)責(zé)任。5.2叁級(jí)能力要求綜合要求a) 在中華人民共和國境內(nèi)注冊(cè)的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。b)企業(yè)注冊(cè)資本和實(shí)收資本均不少于500 萬元, 或所有者權(quán)益合計(jì)不少于500 萬元。財(cái)務(wù)要求a)企業(yè)近三年的信息安全服務(wù)收入總額不少于5000 萬元，財(cái)務(wù)數(shù)據(jù)真實(shí)可信，須經(jīng)在中華人民共和國境內(nèi)登記的會(huì)計(jì)師事務(wù)所審計(jì)。b) 企業(yè)建立財(cái)務(wù)管理制度并有效運(yùn)行。c) 企業(yè)財(cái)務(wù)狀況良好。d) 企業(yè)擁有與從事信息安全服務(wù)業(yè)務(wù)相適應(yīng)的固定資產(chǎn)和無形資產(chǎn)。e) 財(cái)務(wù)負(fù)責(zé)人應(yīng)具有財(cái)務(wù)系列初級(jí)職稱。

17、信譽(yù)要求a) 企業(yè)有良好的資信和公眾形象，近三年無觸犯國家法律法規(guī)的行為。b) 企業(yè)有良好的知識(shí)產(chǎn)權(quán)保護(hù)意識(shí)， 近三年完成的信息安全服務(wù)項(xiàng)目中無銷售或提供非正版軟件的行為。c) 企業(yè)有良好的履約能力， 近三年沒有因企業(yè)原因造成驗(yàn)收未通過的服務(wù)項(xiàng)目或應(yīng)由企業(yè)承擔(dān)責(zé)任的用戶重大投訴。d) 企業(yè)近三年無不正當(dāng)競(jìng)爭(zhēng)行為。5T/ZJXTJC 002 2020e)企業(yè)遵循國家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求， 遵守信息安全服務(wù)管理相關(guān)規(guī)定，在能力資質(zhì)申報(bào)和能力資質(zhì)證書使用過程中誠實(shí)守信，近三年無不良行為。制度和體系要求a)應(yīng)建立質(zhì)量管理體系，體系須通過國家認(rèn)可的第三方認(rèn)證機(jī)構(gòu)認(rèn)證，且連續(xù)有效運(yùn)行時(shí)間不少于一年。b)

18、 建有服務(wù)項(xiàng)目管理流程，保證服務(wù)項(xiàng)目有效實(shí)施；c) 建有客戶服務(wù)流程，能及時(shí)、有效地為客戶提供服務(wù)。d) 能對(duì)項(xiàng)目相關(guān)文件進(jìn)行有效管理。e) 應(yīng)對(duì)組織內(nèi)部所有相關(guān)人員進(jìn)行管理制度或管理體系的教育、培訓(xùn)和考核。辦公場(chǎng)所要求a)擁有固定辦公場(chǎng)所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。辦公場(chǎng)地面積不少于 300 平米。人力資源要求a)企業(yè)主要負(fù)責(zé)人從事信息安全服務(wù)企業(yè)管理的經(jīng)歷不少于2 年，擁有 1 年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。b) 企業(yè)主要技術(shù)負(fù)責(zé)人具備信息安全服務(wù)類別管理能力，應(yīng)具有與服務(wù)類別一致高級(jí)工程師資質(zhì)，且從事信息安全服務(wù)類別對(duì)應(yīng)技術(shù)工作的經(jīng)歷不少于2 年。 人員能力要求見T/

19、ZJXTJC002-2020信息安全服務(wù)人員能力評(píng)估標(biāo)準(zhǔn)c) 企業(yè)從事信息安全服務(wù)的人員不少于50 人。具備信息安全服務(wù)類別對(duì)應(yīng)技術(shù)能力的人員，工程師不少于5 人，其中高級(jí)工程師不少于1 人。d)經(jīng)過登記的信息安全服務(wù)項(xiàng)目管理人員人數(shù)不少于3 名，其中高級(jí)項(xiàng)目經(jīng)理人數(shù)不少于1 名。e) 制定服務(wù)人員能力培養(yǎng)計(jì)劃，確保服務(wù)人員勝任其承擔(dān)的職責(zé)。保密要求a) 建立保密管理制度， 履行保密義務(wù)。 涉及國家秘密的信息安全服務(wù)， 應(yīng)按照國家相關(guān)的保密法律法規(guī)、政策和標(biāo)準(zhǔn)執(zhí)行。b) 與信息安全服務(wù)相關(guān)人員簽訂保密協(xié)議。c) 按照客戶要求，對(duì)于接觸到的客戶敏感信息和知識(shí)產(chǎn)權(quán)信息予以保護(hù)。技術(shù)能力要求a) 了

20、解適用的國家信息安全相關(guān)法律法規(guī)、政策、標(biāo)準(zhǔn)和其他要求，及時(shí)更新有關(guān)信息，并傳達(dá)給相關(guān)部門及人員。b) 信息安全服務(wù)類別相關(guān)的技術(shù)能力在行業(yè)內(nèi)有一定的水平。c) 具備承擔(dān)信息安全服務(wù)類別對(duì)應(yīng)項(xiàng)目所需的安全工具，并對(duì)工具進(jìn)行管理和版本控制。d) 建立信息安全服務(wù)類別對(duì)應(yīng)要求的流程，并按照流程實(shí)施。e) 跟蹤信息安全技術(shù)動(dòng)向，了解主流的信息安全產(chǎn)品和服務(wù)，提升自身的技術(shù)能力。業(yè)績(jī)要求a) 從事信息安全服務(wù)對(duì)應(yīng)類別應(yīng)在2 年以上。b)近三年內(nèi)簽訂并完成信息安全服務(wù)對(duì)應(yīng)類別項(xiàng)目10 個(gè)以上，其中二級(jí)項(xiàng)目5 個(gè)以上。c)近三年內(nèi)簽訂并完成信息安全服務(wù)對(duì)應(yīng)類別項(xiàng)目總額不少于5000 萬。服務(wù)協(xié)議要求a)

21、信息安全服務(wù)供需雙方應(yīng)簽訂服務(wù)協(xié)議，明確規(guī)定信息安全服務(wù)的范圍、目標(biāo)和驗(yàn)收等條款。b) 針對(duì)信息安全實(shí)施服務(wù)， 應(yīng)按行業(yè)或需求方的要求， 接受安全監(jiān)理、 安全審計(jì)等方式來監(jiān)督和確認(rèn)服務(wù)協(xié)議的執(zhí)行。6T/ZJXTJC 002 2020c) 服務(wù)協(xié)議中應(yīng)涉及知識(shí)產(chǎn)權(quán)條款，明確知識(shí)產(chǎn)權(quán)侵權(quán)責(zé)任。5.3貳級(jí)能力要求綜合要求a) 在中華人民共和國境內(nèi)注冊(cè)的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。b) 企業(yè)主業(yè)是信息安全服務(wù)，近三年的信息安全服務(wù)收入總額占營業(yè)收入總額的比例不低于50。c)企業(yè)注冊(cè)資本和實(shí)收資本均不少于2000 萬元, 或所有者權(quán)益合計(jì)不少于2000 萬元。5.3.2財(cái)務(wù)要求a) 企業(yè)近

22、三年的信息安全服務(wù)收入總額不少于 1 億元，財(cái)務(wù)數(shù)據(jù)真實(shí)可信， 須經(jīng)在中華人民共和國境內(nèi)登記的會(huì)計(jì)師事務(wù)所審計(jì)。b) 企業(yè)建立財(cái)務(wù)管理制度并有效運(yùn)行。c) 企業(yè)財(cái)務(wù)狀況良好。d) 企業(yè)擁有與從事信息安全服務(wù)業(yè)務(wù)相適應(yīng)的固定資產(chǎn)和無形資產(chǎn)。e) 財(cái)務(wù)負(fù)責(zé)人應(yīng)具有財(cái)務(wù)系列中級(jí)職稱。信譽(yù)要求a) 企業(yè)有良好的資信和公眾形象，近三年無觸犯國家法律法規(guī)的行為。b) 企業(yè)有良好的知識(shí)產(chǎn)權(quán)保護(hù)意識(shí)， 近三年完成的信息安全服務(wù)項(xiàng)目中無銷售或提供非正版軟件的行為。c) 企業(yè)有良好的履約能力， 近三年沒有因企業(yè)原因造成驗(yàn)收未通過的服務(wù)項(xiàng)目或應(yīng)由企業(yè)承擔(dān)責(zé)任的用戶重大投訴。d) 企業(yè)近三年無不正當(dāng)競(jìng)爭(zhēng)行為。e) 企

23、業(yè)遵循國家相關(guān)法律法規(guī)、 標(biāo)準(zhǔn)要求， 遵守信息安全服務(wù)管理相關(guān)規(guī)定， 在能力資質(zhì)申報(bào)和能力資質(zhì)證書使用過程中誠實(shí)守信，近三年無不良行為。制度和體系要求a)應(yīng)建立完備的質(zhì)量管理體系、信息安全管理體系或信息技術(shù)服務(wù)管理體系，將服務(wù)項(xiàng)目納入與管理體系相符合的管理流程或管理工具中，體系須通過國家認(rèn)可的第三方認(rèn)證機(jī)構(gòu)認(rèn)證，且連續(xù)有效運(yùn)行時(shí)間不少于一年。b) 建立完備的服務(wù)項(xiàng)目管理制度，保證服務(wù)項(xiàng)目有效實(shí)施。c) 建立客戶服務(wù)體系，能及時(shí)、有效地為客戶提供服務(wù)。d) 借助信息系統(tǒng)對(duì)企業(yè)運(yùn)行、 安全服務(wù)過程所產(chǎn)生的有關(guān)文檔進(jìn)行有效管控。 配備有檔案室及安全的文件服務(wù)器，有效管理項(xiàng)目文件。e) 應(yīng)對(duì)組織內(nèi)部所

24、有相關(guān)人員進(jìn)行管理制度或管理體系的教育、培訓(xùn)和考核；f) 建立合同管理程序，按照合同約定實(shí)施信息安全服務(wù)項(xiàng)目。g) 建立供應(yīng)商管理程序，制定合格供應(yīng)商和（或）外包商名錄，確保其供應(yīng)商或承包方滿足服務(wù)安全要求。辦公場(chǎng)所要求a)擁有固定辦公場(chǎng)所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。辦公場(chǎng)地面積不少于 1000 平米。人力資源要求a)企業(yè)主要負(fù)責(zé)人從事信息安全服務(wù)企業(yè)管理的經(jīng)歷不少于4 年，擁有 2 年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。7T/ZJXTJC 002 2020b)企業(yè)主要技術(shù)負(fù)責(zé)人具備信息安全服務(wù)類別管理能力，應(yīng)具有與服務(wù)類別一致的高級(jí)工程師資質(zhì)，且從事信息安全服務(wù)類別對(duì)應(yīng)技術(shù)工作的

25、經(jīng)歷不少于 4 年。 人員能力要求見T/ZJXTJC002-2020信息安全服務(wù)人員能力評(píng)估標(biāo)準(zhǔn)c)企業(yè)從事信息安全服務(wù)的人員不少于150 人。具備信息安全服務(wù)類別對(duì)應(yīng)技術(shù)能力的人員，工程師不少于 15 人，其中高級(jí)工程師不少于3 人。d)經(jīng)過登記的信息安全服務(wù)項(xiàng)目管理人員人數(shù)不少于10 名，其中高級(jí)項(xiàng)目經(jīng)理人數(shù)不少于3 名。e)建立人員管理程序， 識(shí)別安全服務(wù)人員的服務(wù)能力要求，通過執(zhí)行服務(wù)人員能力培養(yǎng)計(jì)劃，使其能夠勝任其承擔(dān)的職責(zé)。5.3.7保密要求a)建立保密管理制度， 保證組織內(nèi)部員工對(duì)企業(yè)和服務(wù)需求方履行保密義務(wù)。涉及國家秘密的信息安全服務(wù)，應(yīng)按照國家相關(guān)的保密法律法規(guī)、政策和標(biāo)準(zhǔn)執(zhí)

26、行。b) 與信息安全服務(wù)相關(guān)人員簽訂保密協(xié)議，并定期進(jìn)行保密教育和保密檢查。c)按照客戶要求， 對(duì)于接觸到的客戶敏感信息和知識(shí)產(chǎn)權(quán)信息予以保護(hù)，并確保服務(wù)方人員了解客戶的相關(guān)要求。技術(shù)能力要求a) 識(shí)別和獲取適用的國家信息安全相關(guān)法律法規(guī)、政策、標(biāo)準(zhǔn)和其他要求，及時(shí)更新有關(guān)信息，并傳達(dá)給相關(guān)部門及人員。b) 信息安全服務(wù)類別相關(guān)的技術(shù)能力居行業(yè)內(nèi)較高水平。c) 具備承擔(dān)信息安全服務(wù)類別對(duì)應(yīng)項(xiàng)目所需的安全工具，并對(duì)工具進(jìn)行管理和版本控制。d) 建立信息安全服務(wù)類別對(duì)應(yīng)要求的流程，并按照流程實(shí)施。e) 應(yīng)持續(xù)跟蹤國內(nèi)信息安全技術(shù)動(dòng)向，熟悉國內(nèi)主流的信息安全產(chǎn)品和服務(wù)，不斷提升自身的技術(shù)能力。業(yè)績(jī)要

27、求a) 從事信息安全服務(wù)對(duì)應(yīng)類別應(yīng)在3 年以上。b)近三年內(nèi)簽訂并完成信息安全服務(wù)對(duì)應(yīng)類別項(xiàng)目15 個(gè)以上，其中一級(jí)項(xiàng)目2 個(gè)以上，二級(jí)項(xiàng)目 20 個(gè)以上。c)近三年內(nèi)簽訂并完成信息安全服務(wù)對(duì)應(yīng)類別項(xiàng)目總額不少于1 億。服務(wù)協(xié)議要求a) 信息安全服務(wù)供需雙方應(yīng)簽訂服務(wù)協(xié)議，明確規(guī)定信息安全服務(wù)的范圍、目標(biāo)和驗(yàn)收等條款，未經(jīng)需求方許可，不得將信息安全服務(wù)進(jìn)行轉(zhuǎn)包、分包。b) 針對(duì)信息安全實(shí)施服務(wù)， 應(yīng)按行業(yè)或需求方的要求， 接受安全監(jiān)理、 安全審計(jì)等方式來監(jiān)督和確認(rèn)服務(wù)協(xié)議的執(zhí)行。c) 服務(wù)協(xié)議中應(yīng)涉及知識(shí)產(chǎn)權(quán)條款，明確知識(shí)產(chǎn)權(quán)侵權(quán)責(zé)任。5.4壹級(jí)能力要求綜合要求a) 在中華人民共和國境內(nèi)注冊(cè)的

28、獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。b) 企業(yè)主業(yè)是信息安全服務(wù)，近三年的信息安全服務(wù)收入總額占營業(yè)收入總額的比例不低于70。c)企業(yè)注冊(cè)資本和實(shí)收資本均不少于5000 萬元, 或所有者權(quán)益合計(jì)不少于5000 萬元。5.4.2財(cái)務(wù)要求8T/ZJXTJC 002 2020a) 企業(yè)近三年的信息安全服務(wù)收入總額不少于 5 億元，財(cái)務(wù)數(shù)據(jù)真實(shí)可信， 須經(jīng)在中華人民共和國境內(nèi)登記的會(huì)計(jì)師事務(wù)所審計(jì)。b) 企業(yè)建立財(cái)務(wù)管理制度并有效運(yùn)行。c) 企業(yè)財(cái)務(wù)狀況良好。d) 企業(yè)擁有與從事信息安全服務(wù)業(yè)務(wù)相適應(yīng)的固定資產(chǎn)和無形資產(chǎn)。e) 財(cái)務(wù)負(fù)責(zé)人應(yīng)具有財(cái)務(wù)系列高級(jí)職稱。信譽(yù)要求a) 企業(yè)有良好的資信和公

29、眾形象，近三年無觸犯國家法律法規(guī)的行為。b) 企業(yè)有良好的知識(shí)產(chǎn)權(quán)保護(hù)意識(shí)， 近三年完成的信息安全服務(wù)項(xiàng)目中無銷售或提供非正版軟件的行為。c) 企業(yè)有良好的履約能力， 近三年沒有因企業(yè)原因造成驗(yàn)收未通過的服務(wù)項(xiàng)目或應(yīng)由企業(yè)承擔(dān)責(zé)任的用戶重大投訴。d) 企業(yè)近三年無不正當(dāng)競(jìng)爭(zhēng)行為。e) 企業(yè)遵循國家相關(guān)法律法規(guī)、 標(biāo)準(zhǔn)要求， 遵守信息安全服務(wù)管理相關(guān)規(guī)定， 在能力資質(zhì)申報(bào)和能力資質(zhì)證書使用過程中誠實(shí)守信，近三年無不良行為。制度和體系要求a) 應(yīng)建立完備的質(zhì)量管理體系、 信息安全管理體系、 信息技術(shù)服務(wù)管理體系， 將服務(wù)項(xiàng)目納入與管理體系相符合的管理流程或管理工具中，體系須通過國家認(rèn)可的第三方認(rèn)證

30、機(jī)構(gòu)認(rèn)證，且連續(xù)有效運(yùn)行時(shí)間不少于一年。b) 應(yīng)按照 GB/T 24405.1-2009 要求建立完備的服務(wù)項(xiàng)目管理制度，使用管理工具進(jìn)行項(xiàng)目管理，并保證與所提供的信息安全服務(wù)類別相適宜且有效。c) 應(yīng)建立完備的客戶服務(wù)體系，能及時(shí)、有效地為客戶提供優(yōu)質(zhì)服務(wù)。d)應(yīng)建立完善的企業(yè)管理信息系統(tǒng)并能有效運(yùn)行，對(duì)企業(yè)運(yùn)行、 安全服務(wù)過程所產(chǎn)生的有關(guān)文檔進(jìn)行管控。 配備檔案室及高安全性的文件服務(wù)器， 至少近兩年的項(xiàng)目在文件管理系統(tǒng)中進(jìn)行管理。e) 應(yīng)對(duì)組織內(nèi)部所有相關(guān)人員進(jìn)行管理制度或管理體系的教育、培訓(xùn)和考核；f) 應(yīng)遵循需求方相關(guān)的管理制度和業(yè)務(wù)流程。g) 建立并運(yùn)行合同管理程序，制定統(tǒng)一合同模板

31、，按照合同約定實(shí)施信息安全服務(wù)項(xiàng)目。h) 建立與運(yùn)行供應(yīng)商管理程序，制定合格供應(yīng)商和（或）外包商名錄，明確服務(wù)過程中的風(fēng)險(xiǎn)，進(jìn)行識(shí)別，確保其供應(yīng)商或承包方滿足服務(wù)安全要求。辦公場(chǎng)所要求a)擁有固定辦公場(chǎng)所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。辦公場(chǎng)地面積不少于 1500 平米。人力資源要求a)企業(yè)主要負(fù)責(zé)人從事信息安全服務(wù)企業(yè)管理的經(jīng)歷不少于5 年，擁有 3 年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。b)企業(yè)主要技術(shù)負(fù)責(zé)人具備信息安全服務(wù)對(duì)應(yīng)類別管理能力，應(yīng)具有與服務(wù)類別一致的高級(jí)工程師資質(zhì)，且從事信息安全服務(wù)類別對(duì)應(yīng)技術(shù)工作的經(jīng)歷不少于5 年。人員能力要求見T/ZJXTJC002-2020信息

32、安全服務(wù)人員能力評(píng)估標(biāo)準(zhǔn)c)企業(yè)從事信息安全服務(wù)的人員不少于200 人。具備信息安全服務(wù)類別對(duì)應(yīng)技術(shù)能力的人員，工程師不少于30 人，其中高級(jí)工程師不少于10 人。9T/ZJXTJC 002 2020d)經(jīng)過登記的信息安全服務(wù)項(xiàng)目管理人員人數(shù)不少于25 名，其中高級(jí)項(xiàng)目經(jīng)理人數(shù)不少于10名。e)建立并有效運(yùn)行人員管理程序，識(shí)別安全服務(wù)人員的服務(wù)能力要求，明確安全服務(wù)人員的崗位職責(zé)、技術(shù)能力要求，并通過評(píng)估證明其能夠勝任其承擔(dān)的職責(zé)。f) 制定服務(wù)人員能力培養(yǎng)計(jì)劃，包括網(wǎng)絡(luò)與信息安全相關(guān)的技術(shù)、管理、意識(shí)等內(nèi)容，并執(zhí)行計(jì)劃，確保服務(wù)人員持續(xù)勝任其承擔(dān)的職責(zé)。g) 宜建立服務(wù)人員完整的工作履歷表，

33、 包含人員基本信息、 專業(yè)能力證明和曾經(jīng)參與服務(wù)的所有記錄。保密要求a) 建立并執(zhí)行滿足服務(wù)所需的保密管理制度， 明確保密職責(zé)， 保證組織內(nèi)部員工對(duì)企業(yè)和服務(wù)需求方履行保密義務(wù)。 涉及國家秘密的信息安全服務(wù)， 應(yīng)按照國家相關(guān)的保密法律法規(guī)、 政策和標(biāo)準(zhǔn)執(zhí)行。b) 與信息安全服務(wù)相關(guān)人員簽訂保密協(xié)議，并定期進(jìn)行保密教育和保密檢查。c)按照客戶要求， 對(duì)于接觸到的客戶敏感信息和知識(shí)產(chǎn)權(quán)信息予以保護(hù)，并確保服務(wù)方人員了解客戶的相關(guān)要求。技術(shù)能力要求a) 識(shí)別和獲取適用的國家信息安全相關(guān)法律法規(guī)、政策、標(biāo)準(zhǔn)和其他要求，及時(shí)更新有關(guān)信息，并傳達(dá)給相關(guān)部門及人員。b) 信息安全服務(wù)類別相關(guān)的技術(shù)能力居省內(nèi)

34、同行業(yè)領(lǐng)先水平。c) 具備獨(dú)立的開發(fā)、測(cè)試環(huán)境及必要的軟、硬件設(shè)備，用于技術(shù)開發(fā)、測(cè)試和培訓(xùn)。d) 具備承擔(dān)信息安全服務(wù)類別對(duì)應(yīng)項(xiàng)目所需的安全工具，并對(duì)工具進(jìn)行管理和版本控制。e) 建立信息安全服務(wù)類別對(duì)應(yīng)要求的流程，并按照流程實(shí)施。f) 制定信息安全服務(wù)類別對(duì)應(yīng)要求的規(guī)范標(biāo)準(zhǔn)，并按照規(guī)范實(shí)施。g) 應(yīng)持續(xù)跟蹤國內(nèi)信息安全技術(shù)動(dòng)向， 熟悉國內(nèi)主流的信息安全產(chǎn)品和服務(wù)， 不斷提升自身的技術(shù)能力。h) 應(yīng)關(guān)注國內(nèi)權(quán)威機(jī)構(gòu)發(fā)布的態(tài)勢(shì)報(bào)告及漏洞公告，對(duì)安全威脅和安全脆弱點(diǎn)有全面的了解。業(yè)績(jī)要求a) 從事信息安全服務(wù)對(duì)應(yīng)類別應(yīng)在4 年以上。b)近三年內(nèi)簽訂并完成信息安全服務(wù)對(duì)應(yīng)類別項(xiàng)目25 個(gè)以上，其中

35、一級(jí)項(xiàng)目10 個(gè)以上。c)近三年內(nèi)簽訂并完成信息安全服務(wù)對(duì)應(yīng)類別項(xiàng)目總額不少于5 億。服務(wù)協(xié)議要求a) 信息安全服務(wù)供需雙方應(yīng)簽訂服務(wù)協(xié)議，明確規(guī)定信息安全服務(wù)的范圍、目標(biāo)和驗(yàn)收等條款，未經(jīng)需求方許可，不得將信息安全服務(wù)進(jìn)行轉(zhuǎn)包、分包。b) 應(yīng)建立信息安全服務(wù)目錄， 確定每項(xiàng)服務(wù)的交付成果、 服務(wù)級(jí)別， 并在服務(wù)實(shí)施過程中進(jìn)行有效的質(zhì)量管理。c) 針對(duì)信息安全實(shí)施服務(wù)， 應(yīng)按行業(yè)或需求方的要求， 接受安全監(jiān)理、 安全審計(jì)等方式來監(jiān)督和確認(rèn)服務(wù)協(xié)議的執(zhí)行。d) 服務(wù)協(xié)議中應(yīng)涉及知識(shí)產(chǎn)權(quán)條款，明確知識(shí)產(chǎn)權(quán)侵權(quán)責(zé)任。5.5特級(jí)能力要求綜合要求a) 在中華人民共和國境內(nèi)注冊(cè)的獨(dú)立法人組織，發(fā)展歷程清晰

36、，產(chǎn)權(quán)關(guān)系明確。10T/ZJXTJC 002 2020b) 企業(yè)主業(yè)是信息安全服務(wù)，近三年的信息安全服務(wù)收入總額占營業(yè)收入總額的比例不低于70。c)企業(yè)注冊(cè)資本和實(shí)收資本均不少于1 億元, 或所有者權(quán)益合計(jì)不少于1 億元。財(cái)務(wù)要求a)企業(yè)近三年的信息安全服務(wù)收入總額不少于10 億元，財(cái)務(wù)數(shù)據(jù)真實(shí)可信，須經(jīng)在中華人民共和國境內(nèi)登記的會(huì)計(jì)師事務(wù)所審計(jì)。b) 企業(yè)建立財(cái)務(wù)管理制度并有效運(yùn)行。c) 企業(yè)財(cái)務(wù)狀況良好。d) 企業(yè)擁有與從事信息安全服務(wù)業(yè)務(wù)相適應(yīng)的固定資產(chǎn)和無形資產(chǎn)。e) 財(cái)務(wù)負(fù)責(zé)人應(yīng)具有財(cái)務(wù)系列高級(jí)職稱。信譽(yù)要求a) 企業(yè)有良好的資信和公眾形象，近三年無觸犯國家法律法規(guī)的行為。b) 企業(yè)

37、有良好的知識(shí)產(chǎn)權(quán)保護(hù)意識(shí)， 近三年完成的信息安全服務(wù)項(xiàng)目中無銷售或提供非正版軟件的行為。c) 企業(yè)有良好的履約能力， 近三年沒有因企業(yè)原因造成驗(yàn)收未通過的服務(wù)項(xiàng)目或應(yīng)由企業(yè)承擔(dān)責(zé)任的用戶重大投訴。d) 企業(yè)近三年無不正當(dāng)競(jìng)爭(zhēng)行為。e) 企業(yè)遵循國家相關(guān)法律法規(guī)、 標(biāo)準(zhǔn)要求， 遵守信息安全服務(wù)管理相關(guān)規(guī)定， 在能力資質(zhì)申報(bào)和能力資質(zhì)證書使用過程中誠實(shí)守信，近三年無不良行為。制度和體系要求a) 應(yīng)建立完備的質(zhì)量管理體系、 信息安全管理體系、 信息技術(shù)服務(wù)管理體系， 將服務(wù)項(xiàng)目納入與管理體系相符合的管理流程或管理工具中，體系須通過國家認(rèn)可的第三方認(rèn)證機(jī)構(gòu)認(rèn)證，且連續(xù)有效運(yùn)行時(shí)間不少于一年。b) 應(yīng)按

38、照 GB/T 24405.1-2009 要求建立完備的服務(wù)項(xiàng)目管理制度，使用管理工具進(jìn)行項(xiàng)目管理，并保證與所提供的信息安全服務(wù)類別相適宜且有效；c) 應(yīng)建立完備的客戶服務(wù)體系，能及時(shí)、有效地為客戶提供優(yōu)質(zhì)服務(wù)。d)應(yīng)建立完善的企業(yè)管理信息系統(tǒng)并能有效運(yùn)行，對(duì)企業(yè)運(yùn)行、 安全服務(wù)過程所產(chǎn)生的有關(guān)文檔進(jìn)行管控。 配備檔案室及高安全性的文件服務(wù)器， 至少近兩年的項(xiàng)目在文件管理系統(tǒng)中進(jìn)行管理。e) 應(yīng)對(duì)組織內(nèi)部所有相關(guān)人員進(jìn)行管理制度或管理體系的教育、培訓(xùn)和考核；f) 應(yīng)遵循需求方相關(guān)的管理制度和業(yè)務(wù)流程。g) 建立并運(yùn)行合同管理程序，制定統(tǒng)一合同模板，按照合同約定實(shí)施信息安全服務(wù)項(xiàng)目。h) 建立與運(yùn)

39、行供應(yīng)商管理程序，制定合格供應(yīng)商和（或）外包商名錄，明確服務(wù)過程中的風(fēng)險(xiǎn)，進(jìn)行識(shí)別，確保其供應(yīng)商或承包方滿足服務(wù)安全要求。辦公場(chǎng)所要求a)擁有固定辦公場(chǎng)所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。辦公場(chǎng)地面積不少于 3000 平米。人力資源要求a)企業(yè)主要負(fù)責(zé)人從事信息安全服務(wù)企業(yè)管理的經(jīng)歷不少于8 年，擁有 4 年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。11T/ZJXTJC 002 2020b)企業(yè)主要技術(shù)負(fù)責(zé)人具備信息安全服務(wù)類別管理能力，應(yīng)具有與服務(wù)類別一致的高級(jí)工程師資質(zhì)，且從事信息安全服務(wù)類別對(duì)應(yīng)技術(shù)工作的經(jīng)歷不少于 8 年。 人員能力要求見T/ZJXTJC002-2020信息安全服務(wù)人員能力評(píng)估標(biāo)準(zhǔn)c)企業(yè)從事信息安全服務(wù)的人員不少于400 人。具備信息安全