通信网络安全服务能力评定
中国通信企业协会通信网络安全委员会(简称通信安委会),英文名称为(缩写CNCE-NS)是经工业和信息化部审核同意,民政部核准注册登记(社证字:第4235-9号)的非营利性社会团体,是由工业和信息化部电信研究院作为技术支撑单位,是中国通信企业协会的分支机构。主要职能之一是开展通信网络安全服务能力评定。
通信网络安全服务能力评定是对通信网络安全服务单位(简称申请单位)从事通信网络安全服务综合能力的评定,包括技术能力、服务能力、能力、人员构成与素质、经营业绩、资产状况等要素。为提高我国通信网络安全服务质量,确保服务过程的安全可控,促进通信网络安全服务行业的健康发展,协助政府主管部门加强对通信网络安全服务的管理以及全社会选择通信网络安全服务提供客观、公正的参考依据。
评定依据
通信网络安全服务能力评定是对通信网络安全服务单位从事通信网络安全服务综合能力的评定,包括技术能力、服务能力、能力、人员构成与素质、经营业绩、资产状况等要素。
通信网络安全服务能力评定是依据《通信网络安全防护管理办法》、《电信网与互联网第三方安全服务评定准则》YD/T2669-2013、以及《通信网络安全服务能力评定管理办法》的具体要求,对通信网络安全服务单位的技术能力、服务能力、能力、人员构成与素质、经营业绩、资产状况等方面的综合评定
类型与级别划分
通信网络安全服务能力分为四个类型:
类型一:风险评估
风险评估是指运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为大限度地保障通信网络及相关系统的安全提供科学依据。
类型二:安全设计与集成
安全设计与集成是指对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固与整改或其它的安全技术和咨询服务。
类型三:应急响应服务
网络安全应急响应服务是指服务提供方通过制定应急响应计划,在电信运营企业发生安全事件时提供紧急现场或远程援助,处理影响网络安全事件的服务,在网络安全事件发生后对其进行标识、记录、分析和处理,直到受到影响的业务恢复正常运行。
类型四:安全培训
安全培训服务是指针对电信网和互联网的安全管理、建设、运行维护等与网络和信息安全相关的岗位人员所开展的,以提高安全意识、安全素质和安全技能为目的教育培训活动。
通信网络安全服务能力等级分为三个级别:一级、二级和三级。
一级为基本级别。
中国通信企业协会进行评定证书的审批和注册以及备案等相关工作。能力资格审定时间为一年两次,每半年进行一次。
监督管理
获证单位需不断提高自身通信网络安全服务的能力。单位注册地行协是对获证的通信网络安全服务单位能力保持的监督检查和能力变更的管理。单位注册地行协将通过年检、申诉投诉、现场核查以及对通信网络安全典型性项目进行抽样检查来验证获证单位的能力。
所有等级证书有效期为三年。单位注册地行协对获证单位每年进行一次年检,通信安委会每年抽取部分获证单位进行必要的核查。获证单位在证书到期前提交证书维持申请。
获证后,每年在证书签发之日前一个月内,获证单位要向单位注册地行协提交证书原件和年度调查表,并到单位注册地行协或通信安委会办理年检。年检工作按照《通信网络安全服务能力评定管理办法》中相关规定实施。单位注册地行协年检中发现获证单位不符合资格评定要求的,将给予降级或取消证书。
在证书有效期届满前三个月内,由获证单位提出证书维持申请。证书原评定单位对维持申请单位进行评定,内容包括:申请单位获证期间通信网络安全服务能力维持情况、通信网络安全服务项目实施情况、通信网络安全服务情况等内容,以确定申请单位符合通信网络安全服务能力等级要求的持续性
问题与解答
1、开展通信网络安全服务能力评定的目的
答:为提高通信网络安全服务质量,确保服务过程的安全可控性,促进通信网络安全服务行业健康发展,协助政府主管部门加强对通信网络安全服务的指导。
2、开展通信网络安全服务能力评定的意义
答:通信网络安全服务能力评定可作为电信管理机构把握通信网络安全服务整体情况的参考,可作为电信运营企业选择通信网络安全服务的依据,也可以作为通信网络安全服务提供上改进自身能力的指导。
3、通信网络安全服务能力评定所依据的标准
答:通信网络安全服务能力评定是依据《通信网络安全防护管理办法》、《电信网和互联网第三方安全服务能力评定准则》YD/T2669-2013。
4、通信网络安全服务能力评定的适用范围
答:通信网络安全服务能力评定适用于中华人民共和国境内的通信网络安全服务单位。
5、通信网络安全服务概述
答:通信网络安全服务能力评定中的通信网络包括电信网和互联网,所涉及的安全服务是指为了适应通信网络安全管理的需要,运用科学的方法和手段,通过有效的措施来保障通信网络的正常运行,为企业提供全面或部分安全评估、设计与集成的服务,包含从安全体系到具体的技术解决措施。
北京智达鑫业信息咨询服务有限公司是一家涵盖管理认证、资质认定、知识产权及成果转化、科技项目、软件开发测试、培训服务六位一体的第三方企业服务解决方案提供商。专注于企业认证及服务的综合性公司,在行业内拥有地位。智达鑫业是一家按现代企业制度独立运作的咨询机构,目前拥有32名咨询顾问,8名技术交付团队,6名外聘专家,组成的服务团队。整个团队90%以上本科学历水平。团队中既拥有丰富咨询经验的技术人员,也有毕业于院校的年轻人;外援方面,由研究院所及行业协会的研究员、教授等国内专家组成顾问团,定期对内部人员进行培训和指导,充分保证了团队在发展过程中理论与实践的统一性。
北京智达鑫业为企业量身定制信息化、数字化解决方案:认证咨询服务;培训服务;近十余年行业经验,全程全栈式服务,证书公示后付款,的IT企业管理咨询服务商,以咨询服务和对信息产业的真挚情愫,温暖每一位奋斗在IT领域的践行者
