YD/T 3503-2019 标准规范下载简介
YD/T 3503-2019 互联网新技术新业务安全评估服务机构能力认定准则.pdf简介:
"YD/T 3503-2019 互联网新技术新业务安全评估服务机构能力认定准则.pdf" 是一份由中华人民共和国工业和信息化部电信研究院发布的标准。这份标准主要针对互联网新技术和新业务安全评估服务的机构,规定了其能力认定的准则和要求。它涵盖了评估服务提供商应具备的专业知识、技术能力、服务质量、风险管理能力、合规性等方面的要求,旨在促进互联网安全评估服务行业的健康发展,保障新技术和新业务的安全运营。
该准则可能包括服务提供商需要具备的评估方法和技术、评估流程、信息安全管理体系的建立和维护、对新技术风险的识别和评估能力、以及对客户数据和隐私的保护措施等。通过这份准则,服务机构可以明确自身需要达到的标准,而监管机构则可以据此对服务进行有效监管,确保互联网安全评估的公正、专业和有效性。
YD/T 3503-2019 互联网新技术新业务安全评估服务机构能力认定准则.pdf部分内容预览:
本标准对互联网新技术新业务安全评估服务机构的基础资格、规模与资产、人员素质和资质、经验 业绩能力、技术能力、服务能力、项目组织管理、教育培训等进行了基线统筹和细化明确,对机构资格 认定的申请、评审、监督管理等流程及日常管理事项实施进行了清晰指引。 本标准适用于对在通信及互联网行业中组织开展互联网新技术新业务安全评估服务机构的能力进 行资格认定。
下列术语和定义适用于本文件。
JT∕T 1105-2016 桥梁用热镀锌铝合金钢绞线信息安全informationsecurity
互联网技术、业务、应用制作、复制、发布、传播的公共信息内容应该满足《互联网信息服务 法》等相关法律法规要求,保障信息的真实性、完整性、可用性、保密性、可控制性和可审查
下列缩略语适用于本文件。 CISP Certified Information SecurityProfessional CISSPCertified Information System SecurityProfessiona
注册信息安全专业人员 国际注册信息安全专家
YD/T 35032019
安全评估服务能力是对安全评估服务机构的客观评价,直接反应了安全评估服务机构的资格、技术 水平和管理能力。 安全评估服务能力认定要求是对安全评估服务机构的基本条件、经济实力、技术水平、管理能力等 方面的具体衡量和评价。
能力认定评审机构由通信行业主管部门进行指导,成员由各相关单位新技术新业务安全评估专家组 我,专家至少来自三家不同单位,人数不少于6名,负责安全评估服务机构资格及能力等级认定、培训 考试及日常管理工作。
申请安全评估服务机构能力认定应具备的基本条件包括如下几点。 a 在中华人民共和国境内注册成立。 b 由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经 营资格的企事业单位。 拥有健全的组织机构和管理体系,有专门从事安全评估服务的部门或团队;配备相应的安全评 估专业人员。
申请安全评估服务机构能力认定应具备的基本条件包括如下几点。 a)在中华人民共和国境内注册成立。 b)由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经 营资格的企事业单位。 C 拥有健全的组织机构和管理体系,有专门从事安全评估服务的部门或团队;配备相应的安全评 估专业人员。
YD/T3503—2019
d)参照国际、国内标准,建立了业务范围覆盖安全评估服务的质量管理体系;有安全评估服务的 项目管理制度。 e)具有固定的办公场所。 从事通信网络与信息安全服务工作3年以上,近3年经营状况良好,财务数据真实可信,可提 供在中华人民共和国境内登记注册的会计师事务所出具的近三年财务审计报告。 g)具有系统的对员工进行安全技术、项目管理、保密规章制度的培训机制和计划,并能有效组织 实施与考核。
下列为A级要求: a)正式员工不少于100名; b)产权关系明晰,注册资金(或开办资金)不少于3000万元人民币。
下列为B级要求: a)正式员工不少于50名; b)产权关系明晰,注册资金(或开办资金)不少于500万元人民币。
下列为C级要求: a)正式员工不少于30名; b)产权关系明晰,注册资金(或开办资金)不少于100万元人民币。
6.3人员素质和人员资质要求
下列为A级要求: a)了解通信网络及其业务的基本信息安全状况、信息安全要求,承接过信息安全相关服务项目或 撰写过信息安全相关研究报告; b)从事信息安全相关工作人员至少30名(其中大学本科及以上学历不少于70%,计算机和IT 相关专业不少于50%); c)专职从事安全评估的人员至少15名: d)具有CISP、CISSP等信息安全相关资质的专业人员至少10名。
了解通信网络及其业务的基本信息安全状况、信息安全要求,承接过信息安全相关服务项 撰写过信息安全相关研究报告:
YD/T 35032019
b)从事信息安全相关工作人员至少20名(其中大学本科及以上学历不少于50%,计算机和I1 相关专业不少于50%); 专职从事安全评估的人员至少10名: d)具有CISP、CISSP等信息安全相关资质的专业人员至少5名,
下列为C级要求: a)了解通信网络及其业务的基本信息安全状况、信息安全要求,承接过信息安全相关服务项目或 撰写过信息安全相关研究报告; b) 从事信息安全相关工作人员至少10名(其中大学本科及以上学历不少于50%,计算机和IT 相关专业不少于50%); c) 专职从事安全评估的人员至少5名: d)具有CISP、CISSP等信息安全相关资质的专业人员至少3名
下列为A级要求: 近两年间具有30次以上省级基础电信企业或互联网企业业务安全评估服务经验(可依据合同 服务项目或安全评估报告数量),其中至少有10个项目涉及安全评估服务的金额超过10万元 人民币; 承接过通信行业主管部门委托的安全评估相关研究任务; C)近五年没有出现因各阶段验收未通过或机构自身原因而废止的安全评估服务项目
近两年间具有20次以上省级基础电信企业或互联网企业业务安全评估服务经验(可依据合同 服务项目或安全评估报告数量),其中至少有5个项目涉及安全评估服务的金额超过5万元人 民币; b)近三年没有出现因各阶段验收未通过或机构自身原因而废止的安全评估服务项目。
a)近两年间具有5次以上省级基础电信企业 务安全评服务经验( 安全评估报告); b)近两年没有出现因各阶段验收未通过或机构自身原因而废止的安全评估服务项目。
YD/T3503—2019
下列为A级要求: a)具有自主研发专门进行业务安全评估的相关工具或软件,具有进行安全评估所必须的实验环境; b)有专门人员持续对即时通信、搜索引擎、应用商店、大数据、云计算、网约车等新兴互联网业 务信息安全风险进行持续研究,具备一定的研判能力。
下列为B级要求: 具有专门进行业务安全评估的相关工具或软件:具有进行安全评估所必须的实验环境
下列为C级要求: 具有能够进行业务安全评估的相关工具或软件:具有进行安全评估所必须的实验环境
6.7 项目组织管理能力
了解基础电信企业及互联网企业安全评估服务所应遵守的政策要求及相关标准,准确掌握安全 务的特定要求和范围。在服务合同签订过程中能准确反映和体现上述要求,并能在服务履行过程 遵守。
下列为A级要求: 专职从事安全评估的人员定期参加培训。通过培训后考试的专职安全评估人员人数占全量的80% 以上。
下列为B级要求: 专职从事安全评估的人员定期参加培训。通过培训后考试的专职安全评估人员人数占全量的 上。
YD/T 35032019
下列为C级要求: 专职从事安全评估的人员定期参加培训,通过培训后考试的专职安全评估人员人数占全量的 上。
安全评估服务能力等级分为A级、B级和C级,由高到低依次是A级、B级、C级。在本标准中, 高等级能力的认定要求涵盖了低等级能力认定要求的所有方面别墅设计精美方案图,符合较高等级能力认定要求可不经通过 较低能力认定直接申请。在6.1、6.6、6.7、6.9基础上,符合6.2、6.3、6.4、6.5及6.8中所有A级条款 的可申请认定为A级安全评估服务机构。符合能力认定要求中所有B级条款要求,,可申请认定为B 级安全评估服务机构。符合能力认定要求中所有C级条款要求,可申请认定为C级安全评估服务机构。
申请安全评估服务机构能力认定可对照能力认定级别,向能力认定评审机构提交正式申请材料,包 括: a) 《互联网新技术新业务安全评估服务机构能力认定申请书》; b 《企业法人营业执照》或《事业单位法人登记证书》复印件、组织机构代码证复印件、税务登 记证复印件(如已完成“三证合一”工作的,提交加载统一社会信用代码的新版营业执照复印 件); c 法人代表或负责人身份证复印件: d)固定办公场所证明材料; e)安全评估经验业绩、技术能力、项目组织管理能力及保密等能力证明材料; f)配备的专职业务安全评估人员情况说明。 以上申请材料除提交纸质版本以外,还需通过安全评估服务机构能力认定申请网站在线提交电子版 申请材料。如上述要求的申请材料形式(纸质版本和电子版本)之一缺失,视作申请单位未提交申请。
YD/T3503—2019
能力认定评审机构应当遵循客观公正、科学准确、统一规范和避免不必要重复的原则组织开展 定评审工作。
通过安全评估服务机构能力认定预审的申请单位向能力认定评审机构申请进行培训及考试。能 评审机构联合有关单位对通过申请预审的安全评估服务机构开展培训,培训内容包括通信行业主 工作要求、评估标准、操作实施流程、结果测算、 评估工具使用、评估报告编制等。
培训结束后,由能力认定评审机构联合有关单位对安全评估服务机构进行能力考评。具体形式包括 书面与现场考评。考试通过的人员有权在安全评估报告上签字。 书面考评主要是考察安全评估服务机构对安全评估相关工作及要求的知悉程度,包括通信行业主管 部门工作要求、评估标准、操作实施流程、结果测算、评估报告编制等内容。 现场考评主要是安全评估服务机构实际开展相关业务安全评估的能力,包括人员操作使用评估工具 熟练度、评估流程实施的规范程度等内容。
能力认定评审机构根据预审结果和考评成绩做出认证决定CJT491-2016标准下载,向通过评审的安全评估服务机构 互联网新技术新业务安全评估服务机构能力认定书》(以下简称《能力认定书》),并将有关结果 示。