信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)-中國信息安全測評中心

國家信息安全服務(wù)資質(zhì)災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）?版權(quán)2008—中國信息全安全測評中心2008年5月1日目錄TOC\o"1-5"\h\z\o"CurrentDocument"目錄 I\o"CurrentDocument"一、認(rèn)證依據(jù) 1\o"CurrentDocument"二、級別劃分 2\o"CurrentDocument"三、認(rèn)證要求 3（一）基本資格要求 3\o"CurrentDocument"（二）基本能力要求 3\o"CurrentDocument"1、組織與管理要求 3\o"CurrentDocument"2、技術(shù)能力要求 3\o"CurrentDocument"3、人員構(gòu)成與素質(zhì)要求 4\o"CurrentDocument"4、設(shè)備、設(shè)施與環(huán)境要求 4\o"CurrentDocument"5、規(guī)模與資產(chǎn)要求 4\o"CurrentDocument"6、業(yè)績要求 4（三）災(zāi)難恢復(fù)服務(wù)過程能力 4四、申請流程 6（一）申請流程圖 6（二）申請階段 7（三）資格審查階段 7（四）能力測評階段 7\o"CurrentDocument"1、靜態(tài)評估 7\o"CurrentDocument"2、現(xiàn)場審核 7\o"CurrentDocument"3、綜合評定 8\o"CurrentDocument"4、認(rèn)證審核 8（五）證書發(fā)放階段 8\o"CurrentDocument"五、監(jiān)督、維持和升級 9\o"CurrentDocument"六、處置 10\o"CurrentDocument"七、爭議、投訴與申訴 11\o"CurrentDocument"八、認(rèn)證企業(yè)檔案 12\o"CurrentDocument"九、認(rèn)證費用及周期 13中國信息全安全測評中心災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）一、認(rèn)證依據(jù)信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)評估是對信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)提供者的資格狀況、技術(shù)實力和實施災(zāi)難恢復(fù)服務(wù)過程能力等方面的具體衡量和評價。信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)，是依據(jù)《信息安全服務(wù)資質(zhì)評估準(zhǔn)則》、《信息安全災(zāi)難恢復(fù)服務(wù)能力評估準(zhǔn)則》等相關(guān)要求，在對申請組織的基本資格、技術(shù)實力、信息安全災(zāi)難恢復(fù)服務(wù)能力以及工程項目的組織管理水平等方面的評估結(jié)果基礎(chǔ)上的綜合評定后，由中國信息全安全測評中心給予的資質(zhì)認(rèn)證。第1頁，共13頁發(fā)布日期：2008年5月1日中國信息全安全測評中心災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）二、級別劃分信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)級別是對提供信息安全災(zāi)難恢復(fù)服務(wù)組織綜合實力的客觀評價，反映了組織的信息安全災(zāi)難恢復(fù)服務(wù)資格、水平和能力。資質(zhì)級別劃分的主要依據(jù)包括：基本資格要求、基本能力要求、災(zāi)難恢復(fù)服務(wù)過程能力和其他補充要求等。災(zāi)難恢復(fù)服務(wù)過程能力級別是評定信息安全災(zāi)難恢復(fù)服務(wù)組織資質(zhì)的主要標(biāo)志，標(biāo)志著服務(wù)組織提供給客戶的災(zāi)難恢復(fù)服務(wù)專業(yè)水平和質(zhì)量保證程度。《信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)評估準(zhǔn)則》將信息安全災(zāi)難恢復(fù)服務(wù)組織的過程能力分為五個級別，由一級到五級依次遞增，一級是最基本級別，五級為最高級別。一級：基本執(zhí)行級二級：計劃跟蹤級三級：充分定義級四級：量化控制級五級：持續(xù)改進(jìn)級災(zāi)難恢復(fù)服務(wù)過程能力以及項目和組織過程能力級別的高低，標(biāo)志著從事災(zāi)難恢復(fù)服務(wù)組織的能力成熟程度，即已完成過程的管理和制度化程度的高低。申請信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)級別認(rèn)證的組織需要符合相應(yīng)災(zāi)難恢復(fù)過程能力以及項目和組織過程能力級別。第2頁，共13頁發(fā)布日期：2008年5月1日中國信息全安全測評中心災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）三、認(rèn)證要求申請信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證的組織需要符合以下幾項要求：（一）基本資格要求基本資格要求是評定信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)的起評條件，申請信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）的組織必須滿足以下基本資格要求：是具有獨立法人地位的實體；具有工商行政管理部門發(fā)給的合法營業(yè)執(zhí)照；遵守國家現(xiàn)行法律法規(guī)。（二）基本能力要求基本能力要求包括：組織與管理要求，技術(shù)能力要求，設(shè)備、人員構(gòu)成與素質(zhì)要求，設(shè)施與環(huán)境要求，規(guī)模和資產(chǎn)要求，業(yè)績要求和其他要求。1、組織與管理要求必須擁有健全的組織機構(gòu)和管理體系，為持續(xù)的信息安全災(zāi)難恢復(fù)服務(wù)提供保證；必須具有專業(yè)從事信息安全災(zāi)難恢復(fù)服務(wù)的隊伍和相應(yīng)的質(zhì)保體系；從事信息安全災(zāi)難恢復(fù)服務(wù)的所有成員要簽訂保密合同，并遵守有關(guān)法律法規(guī)。2、技術(shù)能力要求了解信息安全技術(shù)的最新動向，有能力掌握信息系統(tǒng)領(lǐng)域的最新技術(shù)；具有不斷的技術(shù)更新能力；具有對信息系統(tǒng)面臨的安全威脅、存在的安全隱患進(jìn)行信息收集、識另I」、分析和提供防范措施的能力；能根據(jù)對用戶信息系統(tǒng)風(fēng)險的分析，向用戶建議有效的安全保護(hù)策略及建立完善的安全管理制度；具有對發(fā)生的突發(fā)性災(zāi)難事件進(jìn)行分析和解決的能力；具有對市場上的信息系統(tǒng)產(chǎn)品進(jìn)行功能分析，提出安全策略和安全解決方案及安全產(chǎn)品的系統(tǒng)集成能力；具有根據(jù)服務(wù)業(yè)務(wù)的需求開發(fā)信息系統(tǒng)應(yīng)用、產(chǎn)品或支持性工具的能力；具有對集成的信息系統(tǒng)進(jìn)行檢測和驗證的能力；有能力對信息系統(tǒng)系統(tǒng)進(jìn)行有效的維護(hù)；有跟蹤、了解、掌握、應(yīng)用國際、國家和行業(yè)標(biāo)準(zhǔn)的能力。第3頁，共13頁發(fā)布日期：2008年5月1日中國信息全安全測評中心

災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）3、人員構(gòu)成與素質(zhì)要求具有充足的人力資源和合理的人員結(jié)構(gòu)；所有與信息安全災(zāi)難恢復(fù)服務(wù)有關(guān)的管理和銷售人員應(yīng)具有基本的信息安全知識；有相對穩(wěn)定的從事信息安全災(zāi)難恢復(fù)服務(wù)的專業(yè)技術(shù)隊伍，專業(yè)隊伍人員應(yīng)系統(tǒng)地掌握信息安全災(zāi)難恢復(fù)及信息安全災(zāi)難恢復(fù)基礎(chǔ)理論和核心技術(shù)，并有足夠的專業(yè)工作經(jīng)驗；從事信息安全災(zāi)難恢復(fù)服務(wù)的管理、銷售和技術(shù)的專業(yè)人員中，擁有CNITSEC專業(yè)資質(zhì)證書的人員不少于總?cè)藬?shù)的10%，其中必須至少有2名具有CISP-DRP資質(zhì)的人員，4名具有CISM-DRP資質(zhì)的人員。4、設(shè)備、設(shè)施與環(huán)境要求具有固定的工作場所和良好的工作環(huán)境；具有先進(jìn)的開發(fā)、測試或模擬環(huán)境；具有先進(jìn)的開發(fā)、生產(chǎn)和測試設(shè)備；具有實施相關(guān)服務(wù)必需的開發(fā)、生產(chǎn)和測試工具。5、規(guī)模與資產(chǎn)要求有足夠的注冊資金和充足的流動資金，其中注冊資產(chǎn)應(yīng)在100萬元以上，流動資金占注冊資產(chǎn)的20%以上；近3年的財務(wù)狀況良好，提供相應(yīng)證明；申請信息安全災(zāi)難恢復(fù)服務(wù)的組織應(yīng)具有與所申請災(zāi)難恢復(fù)服務(wù)業(yè)務(wù)范圍、承擔(dān)的災(zāi)難恢復(fù)服務(wù)規(guī)模相適應(yīng)的服務(wù)體系；有足夠的人員從事直接與信息安全災(zāi)難恢復(fù)服務(wù)相關(guān)的活動。6、業(yè)績要求從事信息安全服務(wù)3年以上；近3年完成的信息安全災(zāi)難恢復(fù)服務(wù)的項目總值應(yīng)在100萬以上；近3年內(nèi)在信息安全災(zāi)難恢復(fù)服務(wù)方面，沒有出現(xiàn)驗收未通過的項目。（三）災(zāi)難恢復(fù)服務(wù)過程能力災(zāi)難恢復(fù)過程能力包括：災(zāi)難恢復(fù)需求確定的能力；災(zāi)難恢復(fù)策略制定的能力；災(zāi)難恢復(fù)資源獲取方式確定的能力；災(zāi)難恢復(fù)資源要求確定的能力；災(zāi)難備份系統(tǒng)技術(shù)方案實現(xiàn)的能力；第4頁，共13頁發(fā)布日期：2008年5月1日中國信息全安全測評中心災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）災(zāi)難備份中心選擇和建設(shè)的能力；技術(shù)支持實現(xiàn)的能力；運行維護(hù)管理的能力；災(zāi)難恢復(fù)預(yù)案制定的能力；災(zāi)難預(yù)案的教育、培訓(xùn)和演練的能力;災(zāi)難恢復(fù)預(yù)案管理的能力。項目和組織過程能力包括：實現(xiàn)質(zhì)量保證的能力；實現(xiàn)配置管理的能力；管理項目風(fēng)險的能力；監(jiān)控技術(shù)活動的能力；規(guī)劃技術(shù)活動的能力；管理系統(tǒng)工程支持環(huán)境的能力；提供不短發(fā)展的技能和知識的能力；與供應(yīng)商協(xié)調(diào)的能力。第5頁，共13頁發(fā)布日期：2008年5月1日中國信息全安全測評中心災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）申請流程（一）申請流程圖申請階段資格審查

階段能力測評

階段證書發(fā)放

階段證后監(jiān)督

階段申請流程（一）申請流程圖申請階段資格審查

階段能力測評

階段證書發(fā)放

階段證后監(jiān)督

階段第6頁，共13頁發(fā)布日期：2008年5月1日中國信息全安全測評中心災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）（二）申請階段申請災(zāi)難恢復(fù)服務(wù)資質(zhì)的組織應(yīng)首先到中國信息全安全測評中心（以下簡稱CNITSEC）網(wǎng)站（http:〃www」）查看并下載《信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)認(rèn)證指南》、《信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)申請流程》、《信息安全災(zāi)難恢復(fù)服務(wù)能力測評準(zhǔn)則》和《信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)申請書》，了解認(rèn)證的流程及相關(guān)情況，確定本組織滿足認(rèn)證的基本資格要求和基本能力要求。當(dāng)決定申請信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）后，根據(jù)《信息安全災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）申請書》的要求填寫申請書、加蓋公章并將申請書中所要求的相關(guān)資料一起提交給CNITSEC，同時提交申請費。（三）資格審查階段CNITSEC接到正式申請書及相關(guān)資料以及申請費后，根據(jù)所提交的資料進(jìn)行資格審查，資格審查包括對申請單位所提交資料進(jìn)行的形式化審查以及同申請單位的調(diào)查溝通，以確認(rèn)申請單位是否滿足資質(zhì)的基本資格要求，提交資料是否完整。如果資格審查階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC將要求申請組織補充資料等。當(dāng)通過資格審查階段后，CNITSEC將向申請組織發(fā)出受理通知書，正式受理該認(rèn)證申請，并通知相關(guān)費用的繳納事宜等。（四）能力測評階段當(dāng)申請組織通過資格審查階段并繳納了相關(guān)費用后，資質(zhì)申請進(jìn)入能力測評階段。能力測評階段包括靜態(tài)評估、現(xiàn)場審核、綜合評定和認(rèn)證審核四個步驟：1、靜態(tài)評估靜態(tài)評估是對申請組織資料進(jìn)行符合性審查，了解申請組織的信息安全災(zāi)難恢復(fù)服務(wù)能力以及質(zhì)量管理能力，為現(xiàn)場審核作準(zhǔn)備。如果靜態(tài)評估階段發(fā)現(xiàn)有不符合審查要求的內(nèi)容，CNITSEC仍有權(quán)利要求申請組織補充資料，確保申請資料的內(nèi)容最大程度反映申請組織的各方面的資格和能力情況。2、現(xiàn)場審核當(dāng)申請組織通過靜態(tài)評估符合性審查后，CNITSEC將與申請組織溝通現(xiàn)場審核事宜，發(fā)出現(xiàn)場審核計劃，安排審核組進(jìn)行現(xiàn)場審核?，F(xiàn)場審核是對申請組織的信息安全災(zāi)難恢復(fù)服務(wù)能力進(jìn)行現(xiàn)場核實和確認(rèn)。現(xiàn)場審核結(jié)束后，評審組提交現(xiàn)場審核結(jié)果供綜合評定使用。第7頁，共13頁發(fā)布日期：2008年5月1日中國信息全安全測評中心災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）3、綜合評定在綜合評定階段，將依據(jù)資格審查的結(jié)果、靜態(tài)評估的結(jié)果以及現(xiàn)場審核結(jié)論，對申請組織的基本資格、基本能力、災(zāi)難恢復(fù)服務(wù)能力以及資質(zhì)所要求的其他內(nèi)容進(jìn)行綜合評定，出具綜合評定報告。對評定結(jié)果不符合的，CNITSEC將要求申請組織限期整改。申請組織完成整改并向CNITSEC提交整改報告后，CNITSEC將對整改結(jié)果進(jìn)行驗證，整改仍不符合的，將不能通過認(rèn)證。逾期未整改的，視作整改不符合。4、認(rèn)證審核認(rèn)證審核將根據(jù)綜合評定的結(jié)果，由認(rèn)證決定委員會組織相關(guān)委員和專家進(jìn)行認(rèn)證評審，做出認(rèn)證決定。（五）證書發(fā)放階段對通過認(rèn)證決定的申請組織，CNITSEC將發(fā)放證書，并在網(wǎng)站、報刊雜志等媒體上公布獲證組織的相關(guān)信息。第8頁，共13頁發(fā)布日期：2008年5月1日中國信息全安全測評中心災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）五、監(jiān)督、維持和升級獲得資質(zhì)的組織需通過持續(xù)發(fā)展自身信息安全災(zāi)難恢復(fù)服務(wù)體系以保持其信息安全災(zāi)難恢復(fù)能力。CNITSEC將通過申訴系統(tǒng)、年度監(jiān)督調(diào)查、現(xiàn)場見證以及災(zāi)難恢復(fù)服務(wù)項目進(jìn)行抽樣檢查等方式來驗證獲得資質(zhì)的組織的服務(wù)資格和能力。證書每三年進(jìn)行一次維持換證，在三年有效期內(nèi)實行年確認(rèn)制度。獲證后，每年在證書簽發(fā)之日前30天內(nèi)，獲證組織要向CNITSEC提交年度調(diào)查表，并到CNITSEC辦理年檢。在證書有效期屆滿前90天內(nèi)，由獲證組織提出維持換證申請。CNITSEC監(jiān)督發(fā)現(xiàn)獲證組織不符合原認(rèn)證要求的，將要求其限期整改，整改后仍不合格，CNITSEC有權(quán)暫停或取消證書。獲得資質(zhì)等級證書的組織，由于自身條件的改變，可向CNITSEC提出升級申請，升級可根據(jù)更高級別申請要求進(jìn)行申請。第9頁，共13頁發(fā)布日期：2008年5月1日中國信息全安全測評中心災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）六、處置獲證組織存在違規(guī)行為時，CNITSEC有權(quán)視組織違規(guī)情節(jié)輕重予以處罰。處罰方式包括：警告、限期整改、暫停證書、取消證書。第10頁，共13頁發(fā)布日期：2008年5月1日中國信息全安全測評中心災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）七、爭議、投訴與申訴對CNITSEC所做的評審、監(jiān)督復(fù)查、維持審查、處置等決定有異議時，可向CNITSEC提出書面申訴。CNITSEC將會責(zé)成與所申訴、投訴事項無利益相關(guān)的人員進(jìn)行調(diào)查，CNITSEC在調(diào)查基礎(chǔ)上做出結(jié)論。每個獲證組織都應(yīng)妥善處理因組織自身行為而發(fā)生的投訴，保留記錄并采取措施防止問題的再發(fā)生。CNITSEC將在必要時查閱認(rèn)證企業(yè)的申訴/投訴記錄。第11頁，共13頁發(fā)布日期：2008年5月1日中國信息全安全測評中心災(zāi)難恢復(fù)服務(wù)資質(zhì)（一級）認(rèn)證指南（試行）八、認(rèn)證企業(yè)檔案CNITSEC將對每個認(rèn)證企業(yè)建立專項檔案，所有資料將保存10年以上，升級，年度確認(rèn)或者維持換證時，只需補交所要求的相應(yīng)材料，CNITSEC實行記錄累加制度。第12頁，共13頁發(fā)布日期：2008年5月1日中國信息全安全測評中心