为提高数据安全服务质量,确保服务过程的安全可控性,促进数据安全服务行业的健康发展,协助政府主管部门加强对数据安全服务的指导,依据《中国计算机行业协会数据安全专业委员会协会章程》,制定数据安全服务能力评定管理办法。今天就跟着擎标一起了解一下什么是数据安全服务能力评定。
一、数据安全服务
数据是指任何以电子或者其他方式对信息的记录,所涉及的安全服务是指为了适应国家《数据安全法》及数据安全相关管理的需要,运用科学的方法和手段,通过有效的措施来保障数据的正常运行及处理,包括数据的收集、存储、使用、加工、传输、提供、公开、销毁、出境、转移等,为企业提供全面或部分数据安全评估、数据安全建设的服务,包含从数据安全体系咨询、评估及具体的技术解决措施。
数据安全服务能力评定是指对数据安全服务提供商从事数据安全服务综合能力的评定,包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况等要素。
二、数据安全服务类型
数据安全服务可以分为两个类型:数据安全评估、数据安全建设。
数据安全服务能力目前分为两个级别:一级、二级。
三、数据安全评估及能力要求
数据安全评估:运用科学的方法和手段,系统地分析数据及相关系统所面临的威胁及其存在的脆弱性,评估数据安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和安全措施,防范和化解数据及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通数据及相关系统的安全提供科学依据。
数据安全评估能力 | 一级能力要求 | 二级能力要求 | |
基本要求 | a. 应达到数据安全服务能力等级基本要求的所有条款; b. 从事数据安全评估的数据安全服务提供商应对数据主体及其业务的安全状况、安全要求有相应的了解。 | ||
服务商规模与资产 | 正式编制人员 | ≥15人 | ≥40人 |
直接从事数据安全评估服务的人员 | ≥8人 | ≥20人 | |
注册资本 | 产权关系明晰,注册资金(或开办资金)不少于500万元人民币。 | ||
业绩要求 | 数据安全行业从业时间 | ≥1年 | ≥2年 |
业务相关项目 | ≥2个 | ≥3个 | |
项目单个合同金额 | ≥20万元人民币 | ≥30万元人民币 | |
项目合同总金额 | ≥100万元人民币 | ≥180万元人民币 | |
终验通过项目 | ≥2个 | ≥4个 | |
无未通过/废止项目年限 | 近二年没有出现因各阶段验收未通过或企业自身原因而废止的数据安全评估服务项目。 | ||
客户服务要求 | 5×8小时电话热线支持或同等响应级别的客户服务 | ||
技术能力要求 | a. 了解数据安全相关法律法规及标准,对数据主体有深入了解; b. 有专门的人员持续对最新的数据安全技术进行研究; c. 能够独立完成数据安全相关渗透测试; d. 能够评估数据安全风险、脆弱性、管控能力及安全对数据的影响力; e. 具有确定数据的安全需求的能力; f. 具备切实可行的项目实施过程中风险的应急方案。 | ||
服务队伍要求 | 经过数据安全职业能力培训/曾参与起草数据安全产业系列标准的人员 | ≥2人 | ≥4人 |
数据安全服务项目经理 | ≥1人 | ||
直接从事数据安全评估的服务人员本科及以上学历占比 | 80% | ||
数据安全服务项目经验,并具有相关数据安全评估服务的成功案例人员 | ≥2人(1年以上经验) | ≥4人(2年以上经验) | |
具有相应的评估工具 | |||
四、数据安全建设及能力要求
数据安全建设:对所服务的数据主体的全生命周期过程的安全进行框架设计,形成数据安全建设规划,并对计划实施的数据安全策略细化,在数据安全解决方案的基础上,实施数据安全产品集成部署、数据安全软件定制开发、数据安全加固与整改或其它的数据安全技术和咨询服务。
数据安全建设能力 | 一级能力要求 | 二级能力要求 | ||
基本要求 | a. 应达到数据安全服务能力等级基本要求的所有条款; | |||
服务商要求 | 资格要求 | 从事涉密的数据安全服务提供商必须满足国家保密机关的相关要求 | ||
规模与资产 | 正式编制人员 | ≥20人 | ≥100人 | |
| 注册资本 | ≥500万元人民币 | ≥1000万元人民币 | |
人员构成和素质要求 | 直接从事数据安全建设服务的人员 | ≥10人 | ≥15人 | |
项目经理 | ≥1人 | |||
大学本科以上学历人员占企业总人数比例 | ≥80% | |||
三年以上的数据安全建设服务项目经验,并具有数据安全建设服务的成功案例人员 | ≥5人 | ≥8人 | ||
业绩要求 | 数据安全行业从业时间 | ≥1年 | ≥3年 | |
业务相关项目 | ≥2个 | ≥3个 | ||
项目单个合同金额 | ≥50万元人民币 | ≥80万元人民币 | ||
项目合同总金额 | ≥150万元人民币 | ≥250万元人民币 | ||
终验通过项目 | ≥2个 | ≥3个 | ||
无未通过/废止项目年限 | 近一年 | |||
客户服务要求 | 7×24 | |||
技术能力要求 | a. 了解安全防护系列准则,对数据主体有深入了解; b. 能对市场的数据安全产品进行功能分析、提出安全策略和安全解决方案,具有安全产品的系统集成部署能力; c. 具有对集成部署的系统进行安全性检测和验证的能力; d. 能对集成部署的系统进行有效的安全性维护。 | |||
服务队伍要求 | 组成人员 | 从事数据安全建设的队伍中的相关人员应是中国公民; | ||
经过数据安全防护技术和准则的系统培训/曾参与起草安全防护系列标准的人员 | ≥2人 | ≥3人 | ||
国家和相关机构认可的安全工程师 | ≥2人 | |||
设备与环境 | 具有相应的国家权威单位认可的测试设备和环境,如渗透测试工具等。 | |||
五、申请材料
数据安全服务提供商申请能力评定,应当提交以下材料:
1、《数据安全专业委员会数据安全服务能力评定申请书》;
2、《企业法人营业执照》或《事业单位法人登记证书》副本(或上级主管部门批准成立的文件副本,需有年检标识)复印件;
3、法人及主要负责人任职文件、职称、身份证复印件;
4、固定办公场所证明材料。
前款材料中信息发生变化的,数据安全服务提供商应当自信息变化之日起一个月内向公司注册地行协申请变更。
数据安全服务提供商提交材料中的信息应当真实、完整。
六、申请流程
数据安全服务提供商申请能力评定等级为一级或二级的, 应当将申报材料提交到数据安全专业委员会,能力评定按下列程序进行:
数据安全服务提供商的提交材料申请,由专业委员会进行材料初审,审查合格后正式理,数据安全专业委员会组织专家对提供商提交的数据安全服务提供商能力评定报告进行评审,提出评审意见,并出具评定报告,专业委员会接到正式评定报告后,组织专家对提供商进行现场评定工作,提出评审意见。
评审通过后,申请能力评定的数据安全服务提供商签订《承诺书》,由数据安全专业委员会颁发《评定证书》。
七、注意事项
1、年检
年检包括二个方面:数据安全服务提供商的能力和被服务单位对安全服务提供商的服务情况的反馈;
没有按时申请换证检查或拒绝接受监督检查的数据安全服务提供商,视为自动放弃资格,其《评定证书》予以注销。
2、证书换证
获证的数据安全服务提供商发生分立、合并后原有《评定证书》应交由数据安全专业委员会重新审查。
获证的数据安全服务提供商变更名称、地址、法人、技术负责人等,应在变更内容发生之日起一个月内向专业委员会报告变更情况,并根据实际情况决定是否重新审核其能力。
八、证书样本
《评定证书》有效期为三年。
获证的数据安全服务提供商应每年进行一次自查,并将自查结果报送专业委员会;数据安全专业委员会对获证单位每年进行一次年检。
获证单位在《评定证书》到期前至少需提前六个月申请评审和换证。
以上就是擎标整理的数据安全服务能力评定的相关内容,如果您想进一步了解相关信息,欢迎拨打咨询热线:400-182-7001!
