前言
众所周知,信息安全服务资质认定是对信息安全服务机构提供安全服务的资格,包括法律地位、资源状况、管理水平、技术能力等方面资质和能力进行评估。资质认定是对信息系统安全服务提供者的技术、资源、法律、管理等方面的资格质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。认定过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
对于资质的申请过程,为了解除首次申请流程上的疑惑,将其大致概括为从申请到证后监督共5个阶段。
由于资质颁发机构不止一家,下面以其中一家资质颁发机构——中国信息安全测评中心的资质申请流程进行介绍。
一、申请阶段
申请委托人将申请材料,包括:服务资质认证申请书;独立法人资格证明材料;从事信息安全服务的相关资质证明;与提供服务的公司签订的合同复印件,公司负责人简历和相关资质公司组织结构证明材料;具备固定办公场所的证明材料;项目管理制度文档;信息安全服务质量管理文件;项目案例及业绩证明材料;信息安全服务能力证明材料等,提交至认证机构。
其中最重要也最花费时间的是认证申请书,需要结合企业人员场地,财力物力,基础技术支撑能力,服务能力,行业地位和影响,未来业务发展以及实际实施过的具体案例(包括流程,方法论,以及中间文档的实例)来证实在实际项目中,是如何操作执行的,用充足的实践证明来获得认证机构的信任和认可
二、资格审查阶段
我们在向资质认证机构提交正式的申请书、申请资料之后,认证机构对提交的资料进行形式化审查并与申请单位进行调查沟通,以确认我们是否满足资质的基本资格要求,提交的申请材料是否完整有效。当发现资料有缺失或者偏差时,申请单位会接到补充和调整资料的通知,根据具体情况进行改进。资料如何能全面展现申请单位的过程能力?根据我们所经历的经验教训,需要着重注意以下几点,以避免返工,踩雷:
1. 避免过于形式化的文档流程(比如表单、技术流程和模板)的列举,更应着重详尽提供在项目实际执行中的证据材料作为支持依据。资质认证机构虽然也很注重各机构在工程项目实施过程中的规范性、标准化,但毕竟这些技术标准和流程要求只是技术方面的实践总结,各项目人员是否有相关的能力在工程实施过程中深度结合客户实际,准确分析和有效落实工程项目实施的模型、方法、流程、工具,进而能进行安全方面的需求分析、安全规划、安全设计、安全开发、安全集成建设、安全运维、监控和应急,也是认证机构重点关注的内容。因此,具体项目的中间过程文档资料也是提交的材料的重点。
2. 所提供的合同附件需要针对相应的标准框架。合同的名称、内容,需要完全切合所申请的资质所要求的能力。例如,申请风险评估项目的资质,所出具的合同必须是包含风险评估条款的服务合同。
3. 关于其他工作的准备。资料审查通过后,将向申请组织发出受理通知,并根据通知时限进行相关认证费用缴纳、合同的签报、排期预约、上传客户端、文档打印刻盘,寄送等事项。该类事项,由于往往需要走公司对应流程,建议预留足够时间,避免耽误最终评审,避免延误最终评审。
三、能力测评阶段
该阶段分为静态评估、现场审核、综合评定、认证审核四个步骤:
1. 静态评估是对申请组织进行符合性检查,通过阅读,分析被审核机构申请前期提交的纸质版、电子版申请材料和相关资质,进行进一步的审阅,以判断该组织是否满足最基本的申请资格,粗略了解申请组织的信息安全相应证据是否提交,为之后的现场审核或集中审核做准备。若该阶段发现有不符合要求的内容,或缺失的证据和资质材料,会要求申请组织单位补充材料,确保申请资料的内容最大程度反映申请组织的能力和资格情况。
2. 现场审核是当静态评估通过后,测评中心与申请组织现场沟通审核事宜,发出现场审核计划与通知,安排审核组在审核现场当面就项目资料、方法论、实施过程等对相关技术人员进行提问,以更真实地了解项目实施过程、实施方法等来确定是否实际具备该能力。审核的方式有现场审核或集中审核,后者需要主管领导和技术人员,相应配合人员前往认证机构进行现场答辩,所以需要更加充分的前期资料准备。评审后一般会当场提供审核结果。
3. 综合评定阶段是汇集资格审查,静态审核,现场审核的结论,对申请组织的资格、基本能力、以及相应申请资格所要求的各种能力进行综合评定,出具评定报告。对不符合结果做出限期整改的要求,当申请组织完成整改并提交整改报告后,测评中心将对整改结果做统一验证,整改后仍然不符合的将不能通过认证。
4. 认证审核是根据综合评定的结果,由认证决定委员会组织相关委员和专家进行认证审核,并做出认证决定。
四、 证书发放阶段
对通过认证决定的申请组织,CNITSEC将发放证书,并在网站、报刊杂志等媒体上公布获证组织的相关信息。一般来说,证书审批、制作和发放大约的周期为几周到几个月不等,不同的认证机构时间略有不同,考虑到证书申请、测评、发放等时间周期因素,为了确保证书不在时间上失效而影响业务和投标,证书申请工作最好在证书到期前至少4-6个月就开始准备。
五、证后监督阶段
虽然获得了证书,但并不代表从此万事大吉,只是本阶段的工作暂时告一段落。获得资质的组织需通过持续发展自身信息安全灾难恢复服务体系以保持其相应的信息安全能力。不同的证书根据不同年份进行维持换证等工作,在认证有效期内实行确认制度,获证组织提交年度审查表并办理年检。如果监督发现组织不符合原认证要求的,将要求其整改,若还不符合,则有权暂停或者取消证书。
由此可见,对于信息安全测评机构资质的认定也是相当高要求的,不仅要满足标准要求的文件化信息安全管理体系,还要有运行经验,大量实施案例等等。申请的过程也是较为复杂,提交的资料必须完整覆盖到要求的每个方面。
更多资质申请流程介绍,可参考中国信息安全测评中心网站。
王晶晶,信息安全工程师,多年测试工作经验,目前专注于企业信息安全服务资质的申请和信息安全咨询项目、等级保护测评项目实施等工作。作者邮箱:wangjingjing@cfca.com.cn,欢迎大家提出宝贵的建议!
声明:本文来自网安前哨,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。