关于安全服务资质认证、信息安全保障人员认证
若干问题的答疑
各申报、问询单位:
近日,我协会接到众多企业关于安全服务资质认证、信息安全保障人员认证的申请和问询,期间提出诸多问题,现做以集中解答,望能够提供帮助。
问:安全服务资质认证、信息安全保障人员认证是国家强制要求吗?
答:不是,属于国家鼓励推行。
问:国内和我市目前关于信息安全服务资质认证工作的形势?
答:(1)国务院2012年发布的《关于大力推进信息化发展和切实保障信息安全的若干意见》明确提出要“完善信息安全认证认可体系,加强信息安全产品认证工作”。(2)我国山西等省份和部分地方已出台了关于奖励取得信息安全服务资质的企业办法。(3)我市已发布的《深圳市电子政务信息安全管理试行办法》也要求“各单位进行电子政务信息安全规划和建设时,聘请的第三方机构和人员应具备相应的信息安全资质。各单位应加强信息安全外包服务管理,选择具有信息安全相关资质的企业承接外包服务”。(4)在2015年3月27日召开的深圳市信息安全认证工作会议中,深圳市经贸信息委贾兴东副主任在讲话中,明确提出市经贸信息委下一步将重点研究梳理国家有关信息安全的相关认证要求,对党政机关采用相关的设备和服务设立基本的资质门槛,只有取得了这些基本资质的企业才允许为党政机关信息安全建设提供服务,并且会在联合检查和绩效评估等工作中予以督促。
问:协会目前认证种类有哪些?
答:协会目前除产品认证以外,体系认证(ISO/IEC27001:2005信息安全管理体系、ISO/IEC 20000信息技术服务管理体系)、安全服务资质认证(应急处理服务、风险评估服务、安全集成、灾难备份与恢复服务、软件安全开发服务、安全运维服务6个方向)、人员认证与培训(体系内、外审核员,信息安全服务资质认证评审员)都在开展。并且可以为客户提供“打包服务”(即体系认证、人员培训和认证、安全服务资质认证全套一体化服务)。
问:公司的信息安全产品、服务内容与信息安全服务资质中多个方面都有关联,应该如何选择,取得哪个方向的资质证书为佳?
答:目前国内该领域取得安全集成服务资质的企业较多。协会建议各申请企业立足本组织,以资质证书影响程度和所获收益比重为考虑。
问:能否直接申报安全服务一级资质?
答:不能(行业领头企业除外)。必须先取得二级,满一年后,再进行资质升级。
问:可否同时申报两个及以上方向的信息安全服务资质认证?
答:可以。
问:已取得其他认证机构颁发的资质证书,是否可以不再取得中国信息安全认证中心的资质证书?在业务拓展方面是否有影响?
答:可以。各企业视自己提供服务对象所处领域的认知度做以权衡。
问:中国信息安全认证中心《信息安全服务资质认证实施细则 第2版》关于人员素质与资质要求中“拥有信息安全专业认证人员x名以上”,已获得国家注册信息安全工程师等证件的人员,是否需要再取得CISAW认证证书?
答:必须取得CISAW认证证书。
问:中国信息安全认证中心《信息安全服务资质认证实施细则 第2版》关于人员素质与资质要求中“项目资格管理证书”包括哪些?
答:国家注册信息安全工程师、PMP、项目经理资格证等都被认可。
问:由中国信安认证中心颁发的安全保障人员认证证书,在国内是否具有认知度?并且持证人员在不同企业任职时,该证是否可以继续使用?
答:由中国信安认证中心颁发的安全保障人员认证证书,全国范围内有效,证书为个人,可以在任何机构使用。
温馨提示:
安全服务资质认证已于4月1日下午全面改版,请各企业登录深圳市K8凯发集团官方安全行业协会网站(http://www.forwain.com/),了解详细内容。申报材料以最新版为准。
深圳市K8凯发集团官方安全行业协会
2015年4月7日
