资格要求

应达到本标准4.1风险评估服务商一级能力要求的所有条款,

并在以下方面增强或增加要求:

规模与资产

单位正式编制员工应不少于50人;

注册资金应不少于500万元人民币。

人员构成和素质要求

直接从事风险评估服务的人员不低于20人,大学本科以 上学历不少于80%;

从事风险评估的组织内至少应有5名具备2年以上通信领 域风险评估项目经验的安全工程师。

业绩要求

单位应具备2年以上的安全行业从业时间;

至少有4个项目中涉及风险评估服务的金额超过10万元 人民币;

近3年内至少成功完成10个风险评估项目,且终验通过;

近2年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目。

组织与管理要求

应具有专门从事电信网和互联网安全风险评估服务的部 门或团队;

对项目实施过程中获取、保存、传播和销毁与安全事件 处理服务有关商业秘密信息等方面作出明确规定;

应具有专门制定和宣贯保密制度的部门或团队。

质量保证要求

应有专门的部门或人员制定完整的质量体系,并具有健 全的制度宣传和培训机制;

质量体系应针对项目开始至项目结束各个环节有比较完 善和细致的控制手段。

项目管理要求

应有专门的部门或人员制定总体的项目管理体系,并具 有健全的制度宣传和培训机制;

项目管理体系应针对人和项目有明确的责权利分工,有 比较明确和完善的项目过程控制记录;

至少有1名安全服务人员接受过系统的项目管理培训,获得过相关权威机构的认证(如PMP等)。

技术能力要求

应了解电信网互联网安全防护系列标准,应对电信网 和互联网的整体概念和传统网和非传统网的若干网络单元有一 定了解;

应具有国家或行业权威机构对组织能力的认可证明(如 国家信息安全服务资质证书、信息安全风险评估资质证书、信 息安全应急服务资质证书等);

应具有专门研究电信网和互联网技术和业务的部门或团 队;

应依据电信网和互联网安全防护体系系列标准进行安全 风险评估服务;

应能够评估电信网和互联网安全风险、脆弱性、管控能 力及安全对电信网和互联网的影响力;

应具有确定电信网和互联网的安全需求的能力;

应具有对电信网和互联网安全系统有效维护的能力;

应具备切实可行的应急服务方案。

服务队伍要求

从事风险评估的队伍内至少应有2名经过电信网和互联 网安全防护技术和标准的系统培训安全工程师;

从事风险评估的队伍内应至少有4名经过国家和相关机 构认可,针对安全风险评估服务能力的安全工程师(有相关的能力证书如:CIW、CISP、CISSP、CISA等)。

设备、设施与环境要求

应具有针对网络安全问题研究的实验环境;

应具有针对网络安全问题研究的实验环境;