中國信息安全測評中心CNIT-SEC國家信息安全測評信息安全服務(wù)資質(zhì)證書

       信息安全服務(wù)資質(zhì)是對信息系統(tǒng)安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)和能力，以及其穩(wěn)定性、可靠性進(jìn)行評估，并依據(jù)公開的標(biāo)準(zhǔn)和程序，對其安全服務(wù)保障能力進(jìn)行認(rèn)定的過程。目前分為：信息安全工程、信息安全災(zāi)難恢復(fù)、安全開發(fā)、風(fēng)險(xiǎn)評估、信息系統(tǒng)審計(jì)、云計(jì)算安全、數(shù)據(jù)安全、安全運(yùn)營等八大類。

目前多數(shù)企業(yè)選擇做：國家信息安全測評信息安全服務(wù)資質(zhì)證書安全工程類一級，信息安全工程服務(wù)資質(zhì)是對提供信息安全工程服務(wù)組織綜合實(shí)力的客觀評價(jià)，反映了組織的服務(wù)資格、水平和能力。資質(zhì)級別劃分的主要依據(jù)包括：基本資格要求、基本能力要求、安全工程服務(wù)過程能力和其他補(bǔ)充要求等。 安全工程服務(wù)過程能力分為五個(gè)級別，一級是最基本級別，五級為最高級別，過程能力以及項(xiàng)目和組織過程能力級別的高低，標(biāo)志著從事安全工程服務(wù)組織的能力成熟程度，即已完成過程的管理和制度化程度的高低。

業(yè)務(wù)流程：

國家信息安全測評-信息安全服務(wù)資質(zhì)（安全工程類一級）需要材料：

國測可以是一個(gè)項(xiàng)目 也可以是一個(gè)項(xiàng)目包含所有上面內(nèi)容【比如我們?nèi)プ鐾臧踩珊蟾蛻艏s定的安全運(yùn)維，運(yùn)維過程后期的應(yīng)急，應(yīng)急隊(duì)整個(gè)系統(tǒng)的風(fēng)險(xiǎn)評估，組成安全工程】

關(guān)于項(xiàng)目的篩選參考一下【僅供參考，每家公司不一樣】

安全集成項(xiàng)目材料：

1.首先，項(xiàng)目需要是安全集成類的，就是說需要為甲方（客戶）進(jìn)行軟硬件產(chǎn)品的銷售及安裝調(diào)試服務(wù)，設(shè)備中要包含安全類的設(shè)備（如防火墻、安全網(wǎng)關(guān)、網(wǎng)閘、入侵檢測系統(tǒng)、安全審計(jì)系統(tǒng)等等），且設(shè)備不能太單一（不能像只賣防火墻這種）；

2.項(xiàng)目是目前已經(jīng)驗(yàn)收完成了的，近三年的；

3.項(xiàng)目盡量是走過招投標(biāo)流程，有投標(biāo)文件的（投標(biāo)文件中要有技術(shù)方案），

如果項(xiàng)目是沒有進(jìn)行過招投標(biāo)的，那么需要有對應(yīng)的技術(shù)方案；

4.滿足以上條件的項(xiàng)目，篩選3個(gè)比較典型的，并提供對應(yīng)的合同掃描件（含價(jià)格清單明細(xì)表）

5.提供公司近三年至今項(xiàng)目合同臺賬明細(xì)

安全運(yùn)維項(xiàng)目材料：

1.首先，項(xiàng)目需要是安全運(yùn)維類的，就是服務(wù)內(nèi)容要包括如：日常運(yùn)維服務(wù)、巡檢服務(wù)、配置管理、配置檢查、基線檢查、日志收集與審計(jì)分析、健康檢查服務(wù)、安全加固、漏洞掃描、病毒查殺、補(bǔ)丁安裝等等（盡量能提供對應(yīng)的過程記錄文件）；

2.運(yùn)維服務(wù)過程中需要產(chǎn)出：運(yùn)維服務(wù)月報(bào)、季報(bào)、年報(bào)等相關(guān)報(bào)告文件。

風(fēng)險(xiǎn)評估項(xiàng)目篩選：

1.需要有風(fēng)險(xiǎn)評估的資產(chǎn)調(diào)研與識別分析、脆弱性調(diào)研與識別分析、威脅調(diào)研與識別分析、已有安全措施的調(diào)研與識別分析、風(fēng)險(xiǎn)評估的計(jì)算過程及分析過程，最終產(chǎn)出了風(fēng)險(xiǎn)評估報(bào)告。

2.不管項(xiàng)目簽訂時(shí)間，最終項(xiàng)目驗(yàn)收時(shí)間需要落在近三年的就行。

應(yīng)急處理項(xiàng)目篩選：

1.需要有應(yīng)急服務(wù)過程中，針對安全事件的整個(gè)處理過程，包括安全事件的檢測記錄、抑制記錄、根除記錄、恢復(fù)記錄，有相關(guān)的方案和過程記錄文件；

2.盡量做過客戶的應(yīng)急演練，并且有應(yīng)急演練的相關(guān)記錄；

3.整個(gè)應(yīng)急過程完成后，產(chǎn)出了應(yīng)急總結(jié)報(bào)告。