通信网络安全服务能力评定管理办法
第一章总则
第一条为提高通信网络安全服务质量,确保服务过程的安全可控性,促进通信网络安全服务行业的健康发展,协助政府主管部门加强对通信网络安全服务的指导,依据《通信网络安全防护管理办法》,制定本办法。
第二条本办法适用于对中华人民共和国境内的通信网络安全服务单位提供安全服务的能力进行评定,可作为电信管理机构把握通信网络安全服务整体情况的参考,可作为电信运营企业选择通信网络安全服务的依据,也可以作为通信网络安全服务单位改进自身能力的指导。
第三条通信网络安全服务能力评定(以下简称能力评定)是指对通信网络安全服务单位从事通信网络安全服务综合能力的评定,包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况、获得奖励情况等要素。
第四条通信网络安全服务单位经过能力评定可取得《中国通信企业协会通信网络安全服务能力资格证书》(以下简称证书)。
第二章能力评定类型与等级
第五条通信网络安全服务能力分为两种类型:风险评估、安全设计与集成。
风险评估是指运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,并提出有针对性的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据;
安全设计与集成是指对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固或其它的安全技术和咨询服务。
第六条通信网络安全服务能力分为三个级别,由低至高依次是:一级、二级和三级。
第七条对各级别能力的具体要求可参见《通信网络安全服务能力评定准则》的有关规定。
第三章能力评定组织管理
第八条中国通信企业协会负责能力评定的发证工作,中国通信企业协会通信网络安全专业委员会(以下简称通信安委会)负责能力评定一级级别组织专家评审工作;二级及以上级别申请的协调和管理工作,包括组织技术专家评定1、组织专家评审2、公布能力评定结果和管理证后监督。
1由通信安委会组建技术专家库,由来自通信行业政府、事业单位、运营企业的安全技术专家组成,每批评定
工作从专家库随机抽取至少3名专家进行评定;
2由通信安委会专家指导组成员组成,每批评审随机抽取4名(一级)/5名(二级和三级)专家进行评审,评
审专家具有一票否决权。
企业营业执照年检第九条中国通信企业协会委托省、自治区、直辖市通信行业协会(以下简称行协),依据本办法的规定实行能力评定的属地化管理,负责本行政区域内相应等级的能力评定组织、协调和监督工作,包括受理评定申请,组织一级级别的技术专家评定3、公布能力评定结果、管理证后监督和维持换证工作。
第四章能力评定申请与评审
第十条通信网络安全服务单位申请能力评定应具备以下基本条件:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位(港澳台地区除外);
(三)拥有健全的组织与管理体系,有专门从事通信网络安全服务的部门或团队;
(四)具有固定的办公场所;具有专门从事通网络安全服务的相关工具或软件;具有安全服务所必须的实验环境;
(五)具有系统的对员工进行安全技术、项目管理、保密规章制度的培训机制和计划,并能有效组织实施与考核;
(六)建立并落实质量管理体系;
具体条件可参见《准则》的有关规定。
第十一条通信网络安全服务单位申请能力评定,需逐级3由各地通信行业协会自行组建技术专家库,每批评定工作从专家库随机抽取至少3名专家进行评定。
申请,即对照《准则》要求从一级开始逐级申请,获得一级证书后满一年可对照《准则》要求,提出升级申请。获得二级证书后满两年可对照《准则》要求,提出升级申请。
第十二条通信网络安全服务单位申请能力评定,应当提交以下材料:
(一)《中国通信企业协会通信网络安全服务能力评定申请书》;
(二)《企业法人营业执照》或《事业单位法人登记证书》副本(或上级主管部门批准成立的文件副本,需有年检标识)复印件;
(三)组织机构代码证副本(需有年检标识)复印件;
(四)税务登记证副本(需有年检标识)复印件;
(五)法人或负责人身份证复印件;
(六)固定办公场所证明材料。
前款材料中信息发生变化的,通信网络安全服务单位应当自信息变化之日起一个月内向单位注册地行协申请变更。
通信网络安全服务单位提交材料的信息应当真实、完整。
第十三条通信网络安全服务单位申请能力评定等级为一级的,能力评定按下列程序进行:
(一)应当将申请材料提交到单位注册地行协,由单位注册地行协进行材料的形式审查,审查合格后,由单位注册地行协组织技术专家对其能力条件进行书面、现场评定,出具能力
评定报告,提交通信安委会。
(二)通信安委会组织专家对申请单位的申请材料和能力评定报告首先进行评审,在必要时针对递交材料可能提出的问题,申请单位需以答辩的方式解答,最终形成评审结果。
(三)通信安委会将评审结果在上公示,公示期结束后,申请单位签订《通信网络安全服务承诺书》,由通信安委会报送中国通信企业协会并由其颁发证书。
第十四条通信网络安全服务单位申请能力评定等级为三级或二级的,应当将申请材料提交到单位注册地行协,能力评定按下列程序进行:
(一)通信网络安全服务单位的申请材料由单位注册地行协进行材料的形式审查,审查合格后,将申请材料及材料的形式审查报告提交通信安委会,由通信安委会组织技术专家对其能力条件进行书面、现场评定,出具能力评定报告。
(二)通信安委会组织专家对通信网络安全服务单位的申请材料和能力评定报告进行评审,通信网络安全服务单位以答辩形式解答评审专家针对提交材料可能提出的问题,最终形成评审结果。
(三)通信安委会将评审结果在上公示,公示期结束后,申请单位签订《通信网络安全服务承诺书》,由通信安委会报送中国通信企业协会并由其颁发证书。