計算機信息系統(tǒng)安全服務等級評定是規(guī)范行業(yè)服務、提升企業(yè)誠信度、保證工程質(zhì)量、市場準入控制的重要保證，是安全服務機構(gòu)從事信息網(wǎng)絡安全服務能力的等級證明，為我省信息化建設使用單位在選擇網(wǎng)絡安全服務機構(gòu)時提供參考依據(jù)。

等級劃分

安全服務機構(gòu)等級評定是衡量安全服務機構(gòu)服務能力的尺度，依據(jù)安全服務機構(gòu)的基本條件、基本資格、管理能力、技術(shù)服務能力等分為一級、二級、三級、四級，其中一級最高，四級最低。

基本條件

安全服務機構(gòu)應具備的基本條件包括：

a) 具有中華人民共和國境內(nèi)注冊的獨立法人資格，并具有相關部門頒發(fā)的合法經(jīng)營資格；

b) 在廣東省內(nèi)擁有長期固定的辦公場所，具有能滿足業(yè)務需求的設備和環(huán)境；

c) 有健全的財務制度，財務數(shù)據(jù)真實可信；

d) 遵守國家現(xiàn)行法律、法規(guī)，無違法記錄。

提交材料

申請機構(gòu)根據(jù)評定要求先確定需要申請的等級，提交符合相應等級要求的材料，提交的證明材

料應包含但不限于：

a) 獨立法人資格證明；

b) 固定辦公場所的證明材料；

c) 人員構(gòu)成與素質(zhì)證明材料；

d) 財務制度及反映財務狀況的材料；

e) 人員管理制度和培訓制度材料；

f) 文檔管理制度文檔材料；

g) 項目管理制度文檔材料；

h) 保密管理制度文檔材料；

i) 質(zhì)量保證制度文檔材料；

j) 項目業(yè)績證明材料。

技術(shù)能力及服務能力過程證明材料。第三方評審機構(gòu)審查申請機構(gòu)提交的申請材料，并判斷所提交的證明材料是否滿足相應等級要求。如果滿足則文檔審核為通過，否則為不通過。

基本管理能力要求

安全服務機構(gòu)應具備的基本管理能力包括：

a) 建立人員管理制度和能力考核指標，制定相關培訓計劃，定期開展培訓；

b) 建立文檔管理制度，確保項目文檔資料妥善保管；

c) 建立項目管理制度，有健全的監(jiān)督檢查機制；

d) 建立保密管理制度，確?？蛻粜畔踩煽兀?/p>

e) 建立質(zhì)量管理制度，跟蹤服務質(zhì)量，并能對服務質(zhì)量進行持續(xù)改進。

基本技術(shù)能力要求

安全服務機構(gòu)應具備的基本技術(shù)能力包括：

a) 具備評估系統(tǒng)安全威脅的能力，能夠識別系統(tǒng)所面臨的各種安全威脅及其性質(zhì)和特征，以及對威脅的可能性進行評估；

b) 具備評估系統(tǒng)脆弱性的能力，能夠收集、合成系統(tǒng)的脆弱性數(shù)據(jù)；

c) 具備評估安全對系統(tǒng)的影響的能力，能夠識別安全對所實施的系統(tǒng)的影響，并對發(fā)生影響的 可能性進行評估；

d) 具備評估系統(tǒng)安全風險的能力，識別出給定環(huán)境中涉及到對某一系統(tǒng)有依賴關系的安全風險；

e) 具備確定系統(tǒng)安全需求的能力，能夠為客戶提供安全策略、安全目標、安全需求分析報告；

f) 具備確定系統(tǒng)的安全輸入的能力，能為系統(tǒng)的規(guī)劃者、設計者、實施者或用戶提供他們所需的安全信息，包括安全體系結(jié)構(gòu)、設計或?qū)嵤┻x擇以及安全指南；

g) 具備安全控制管理的能力，能建立安全職責，增強所有用戶和管理員的安全意識，開展安全教育培訓，對所有的安全配置進行管理（如軟件更新記錄、安全配置修改記錄等）；

h) 具備監(jiān)測系統(tǒng)安全狀況的能力，能對安全風險變化、事件記錄、安全防護措施進行監(jiān)視，能識別安全突發(fā)事件和對安全突發(fā)事件進行響應；

i) 具備檢測或證實系統(tǒng)安全性的能力，包括檢測或證實系統(tǒng)安全性的方法和工具；

j) 具備建立系統(tǒng)安全的保證數(shù)據(jù)的能力，包括對保證的目標進行識別、建立保證證據(jù)數(shù)據(jù)庫并對其進行分析；

k) 具備對整個系統(tǒng)進行管理配置的能力，包括維持已標識的配置單元的數(shù)據(jù)和狀況，并對系統(tǒng)及其配置單元的變化進行分析和控制。