Hi,欢迎来到阿斯科! 请登录

安全设计与集成

简介:对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固或其它的安全技术和咨询服务。

级别:一级最低,三级最高

通信网络安全服务能力等级基本要求:
1 法律要求
1) 在中华人民共和国境内注册成立(港澳台地区除外);
2) 由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位(港澳台地区除外);
3) 从事涉密的通信网络安全服务单位必须满足国家保密机关的相关要求;
4) 从事通信网络安全服务工作一年以上且无违法记录;
5) 法人及主要业务、技术人员无犯罪记录
2 组织与管理要求
1) 拥有健全的组织与管理体系,拥有清晰的组织结构图,具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度,并能有效组织实施与考核;
2) 落实保密规章制度,对通信网络安全服务保密,制度中至少规定了:保守安全服务过程中知悉的国家秘密、商业秘密、技术秘密和公民隐私信息,具备严格的控制方法来防范服务过程中产生的泄密风险,不得出售或者非法向其他组织和个人提供在安全检测过程所获信息,具备相应的控制办法;
3) 建立人员管理程序,明确保密岗位与职责,定期对安全服务人员进行安全保密教育与培训,并签订保密责任书,规定应当履行的安全保密义务和承担的法律责任。
3 设备、设施与环境要求
1) 具有固定的办公场所;
2) 具有专门从事通信网络安全服务的相关工具或软件;
3) 具有进行安全服务所必须的实验环境。
4 项目管理要求
1) 具有成文的项目管理制度,并提供项目管理制度有效运行的证据,例如管理制度流程中具有核心流程、支持流程、管理流程等制度体系;
2) 具有对员工进行安全技术、项目管理的培训机制和计划,并有效组织实施与考核的相关记录。
5 质量保证要求
1) 建立并落实质量管理体系,并提供质量保证有效实现的证据;
2) 能够自行评估服务质量的状况,并能对服务质量进行持续改进。


1.1 资格要求
进行涉密集成的组织必须获得国家保密部门的能力证书。
1.2 规模与资产
1) 单位正式编制员工应不少于20人;
2) 注册资金不少于500万元人民币。
1.3 人员构成和素质要求
1) 直接从事安全设计与集成服务的人员不低于10人,大学本科以上学历不少于80%;
2) 至少有5人具有3年以上的安全设计与集成服务行业从业经验,并具有深度参与的安全设计与集成服务成功案例。
1.4 业绩要求
1) 单位应具备1年以上的安全行业从业时间;
2) 至少有2个项目中涉及安全设计与集成服务的金额超过100万元人民币;
3) 近3年内至少成功完成2个安全设计与集成项目,且终验通过;
4) 近1年没有出现因各阶段验收未通过或企业自身原因而废止的安全设计与集成服务项目。
1.5 组织与管理要求
1) 应拥有健全的组织与管理体系;
2) 应制定符合国家保密部门要求的保密制度;
3) 应落实保密规章制度和执行保密技术标准;
4) 应建立人员管理程序,明确保密岗位与职责,定期对安全服务人员进行安全保密教育与培训,并签订保密责任书,规定应当履行的安全保密义务和承担的法律责任。
1.6 质量保证要求
1) 应建立并落实质量管理体系;
2) 应能够自行评估服务质量的状况,并能对服务质量进行持续改进;
3) 从事安全设计与集成服务的组织应建立相关投诉、应急响应服务机制,例如应该具备7*24小时服务电话。
1.7 项目管理要求
1) 应具有成文的项目管理制度,并符合相关项目管理标准;
2) 应具有系统地对员工进行安全技术、项目管理、保密规章制度的培训机制和计划,并能有效组织实施与考核;
3) 应能提供项目管理制度可有效运行的证据。
1.8 技术能力要求
1) 应对电信网和互联网的整体概念有一定了解;
2) 应能对市场上的主流网络安全产品进行功能分析,在具体项目中应能针对具体的网络架构和网络单元中存在的安全事件设计安全侧率和安全解决方案,具有安全产品的系统集成能力;
3) 应具有对集成的系统进行安全性检测和验证的能力;
4) 应具有对集成的系统有效维护的能力。
1.9 服务队伍要求
1) 从事安全设计与集成的队伍中的相关人员应是中国公民;
2) 从事安全设计与集成的队伍内至少应有1名经过电信网和互联网安全防护技术和标准的系统培训的安全工程师;
3) 从事安全设计与集成服务的队伍内至少应有2名经过国际、国家和相关机构认可的,与安全设计与集成能力相关的安全工程师(有相关的能力证书如:CIW、CISP、CISSP、CISA、CCNA、CCIE等)。
1.10 设备、设施与环境要求
1) 应具有固定的办公场所;
2) 应具有自主研发的安全产品,具有比较完善的研发和实验环境






1、 开展通信网络安全服务能力评定的目的
答:为提高通信网络安全服务质量,确保服务过程的安全可控性,促进通信网络安全服务行业健康发展,协助政府主管部门加强对通信网络安全服务的指导。
2、 开展通信网络安全服务能力评定的意义
答:通信网络安全服务能力评定可作为电信管理机构把握通信网络安全服务整体情况的参考,可作为电信运营企业选择通信网络安全服务的依据,也可以作为通信网络安全服务提供上改进自身能力的指导。
3、 通信网络安全服务能力评定所依据的标准
答:通信网络安全服务能力评定是依据《通信网络安全防护管理办法》、《电信网和互联网第三方安全服务能力评定准则》YD/T2669-2013。

4、 通信网络安全服务能力评定的适用范围
答:通信网络安全服务能力评定适用于中华人民共和国境内的通信网络安全服务单位。

5、 通信网络安全服务概述
答:通信网络安全服务能力评定中的通信网络包括电信网和互联网,所涉及的安全服务是指为了适应通信网络安全管理的需要,运用科学的方法和手段,通过有效的措施来保障通信网络的正常运行,为企业提供全面或部分安全评估、设计与集成的服务,包含从安全体系到具体的技术解决措施。

6、 目前已开展了哪几类通信网络安全服务能力评定
答:通信网络安全服务能力评定为两个类型:
风险评估、安全设计与集成、安全培训、应急响应服务
资质说明
       随着通信网络的发展和用户规模的不断扩大,针对业务应用的网络恶意行为甚至网络犯罪现象日益突出,面对网络安全问题日益突出的现象,通信运营企业越来越多的与提供网络安全服务的第三方机构进行专业安全合作,而因为网络安全服务必然涉及业务系统的核心单元,第三方介入的同时势必会带来新的安全风险。与此同时,通信运营企业在选择通信网络安全服务时缺乏统一的规范和标准,缺乏甄别第三方网络安全服务能力的客观依据。因此,加强对网络安全服务机构的专业技术水平、服务能力和信用程度的规范和管理,对通信网络安全保障工作具有重要意义。
       通信网络安全服务能力评定是指对通信网络安全服务单位从事通信网络安全服务综合能力的评定,包括:技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况等要素。
       通信网络安全服务能力评定工作按照《通信网络安全服务能力评定管理办法》的有关规定,依据《通信网络安全服务能力评定准则》对通信网络安全服务单位的综合服务能力进行评定。

证书查询: CMMI ITSS 国家认监委(ISO) 中国信息安全认证中心 中国信息安全测评中心 中国电子行业联合会 中国通信企业协会 中国通信工业协会 知识版权中心

Copyright© 2017 北京阿斯科科技有限公司上海分公司 沪ICP备16042961号-1

沪ICP备16042961号-1