您现在的位置:首页 > >

上海网络与信息安全服务单位能力评价指引-上海信息安全行业协会


上海市网络与信息安全服务单位能力评估指南
一、总则 1.为贯彻落实国家和本市有关要求, 进一步规范本市信息技术服 务外包的安全管理,切实提高各重点单位信息安全保障能力,促进信 息安全服务单位健康有序发展, 结合历年信息安全服务单位能力评估 工作经验,参考行业企业的相关安全服务标准,制定本评估规则。 2.信息安全服务能力评估是对能够提供安全咨询服务, 安全监测 服务,检测与加固服务,安全运维与应急响应服务,安全培训服务, 信息安全系统集成服务等专业安全服务的企事业单位,证明其可信、 可靠和良好发展的企业基本经营能力 ,安全服务制度规范性 ,安全服 务技术能力、安全服务满意度、企业诚信度等要素的评价和度量。 二、参评对象和基本条件 参评对象为在本市行政区域内注册或依法设立分支机构、 从事信 息安全服务的企事业单位。同时需满足以下基本参评条件: (一)具备持续开展信息安全服务的资产规模和财务条件,以及 固定的工作场所。 (二)建立完备的单位组织结构和内部管理制度。 (三) 获得国家有关主管部门或权威机构颁发的服务资质证书或 证明。 (四)具备结构合理、数量充足、相对稳定的专业服务队伍,技 术骨干人员通过相应的信息安全专业人员资质认证或能力证明。

(五)具备开展信息安全服务的软硬件配套设施、设备,可提供 已获得的信息安全方面的专利证书或著作权证书。 (六)在本市行政范围内合法从事信息安全服务,无不良记录, 并能够提供相应服务案例和被服务单位评价材料。 三、评估流程 评估分成三个阶段:材料申报,能力评估和审核发布。上海市信 息安全行业协会建立上海市信息安全服务单位能力评估专委会受理 申报材料, 并组织专家按照信息安全服务单位能力评分细则进行评估。 上海市信息安全服务单位能力评估专委会专家由上海市信息安 全行业协会聘请,由行业主管单位,企事业单位用户,安全厂商和行 业协会等多方面的专家组成,每届聘期两年。 上海市信息安全服务单位能力评估专委会评估产生推荐服务单 位名单,公开发布评估结果, 并报相关行业主管部门备案。 四、评分细则 主要从五个方面评估参评单位的信息安全服务能力: 基本经营状 况、信息安全服务制度规范性、信息安全服务技术能力、信息安全服 务满意度、企业诚信度等,共分为五大项 20 个小项,总分 100 分。 (一)经营情况(总分 25 分) 1.具有良好的资产负债率和盈利能力,近两年保持盈利可得 2 分。 2.资质情况 相关国际标准认证或获得国家及省市认可的信息安全服务资质、

信息安全管理体系、应急处理服务资质、风险评估服务资质、安全集 成服务资质、保密服务资质、军用信息安全服务资质等相关资格、资 质,每通过或获得一项资格、资质可得 0.5 分,累计最高可得 3 分。 3.经营时间 能提供相关服务合同或记录,证明独立开展信息安全服务满 2 年 但不足 5 年,可得 1 分;满 5 年,可得 2 分。 4.信息安全服务业绩 (1) 信息安全集成项目, 合同总额 (不含软硬件产品销售金额) 近两年累计达到 200 万元但不足 400 万元,可得 1 分;达到 400 万元 但不足 800 万元,可得 2 分;达到 800 万元可得 3 分,总分不超过 3 分。 (2)安全咨询服务,安全监测服务,检测与加固服务,安全运 维与应急响应服务,安全培训服务等其他类别服务项目,近两年内, 单个合同中信息安全服务部分金额达到 20 万元,或者信息系统运维 合同金额达到 50 万元的项目, 每个项目可得 1 分, 总分不超过 5 分。 本项累计最高可得 8 分。 5.重要项目成果 近一年内,承担省部级及以上项目,每个项目可得 1 分,总分不 超过 5 分;或者相关服务项目案例在本市市级以上评比中获奖,按获 奖等级一、二、三等奖(或杰出、优秀、特色) ,分别可获 5 分,3 分和 1 分,总分不超过 5 分。本项累计最高可得 10 分。 (二)信息安全服务制度规范性(总分 15 分)

1.服务热线 具有固定的服务热线并能提供热线号码可得 1 分;提供 7*24 热 线服务可得 1 分;热线服务人员超过 3 人可得 1 分。本项总得分为以 上三个分项之和。 2.服务规范度 具有基本服务流程规范文件,得 1 分;具有完善的服务规范并能 够提供服务项目的标准化文档资料,最高可得 5 分。 3.培训 具有系统性的对信息安全服务队伍进行新知识、 新技术以及职业 道德培训计划,并能有效组织实施与考核,年度人均培训费用达到 800 元且不足 1500 元的可得 2 分,达到 1500 元可得 4 分。 4.安全保密制度措施 全体技术服务人员与所在单位签订一年以上劳动合同和保密协 议,遵守中华人民共和国宪法和法律,没有犯罪记录,没有其它不诚 信的记录,则得 3 分,有上述任何一项不符合项,则不得分。 (三)信息安全服务技术能力(总分 30 分) 1.服务队伍规模 有专职信息安全服务工程师队伍,不足 20 人可得 1 分;达到 20 人但不足 40 人可得 2 分;达到 40 人可得 3 分。 2.服务队伍结构 有专职信息安全服务资深工程师,占比不足 30%可得 1 分;达到 30%但不足 40%可得 3 分;达到 40%可得 4 分。

信息安全服务资深工程师是指获得国家相关部门认定并颁发高 级专业人员技术职称、 岗位证书以及行业公认的培训证书的信息安全 服务工程师, 或者为在省级及以上信息安全技能竞赛中获奖的工程师。 3.技术带头人 每名技术带头人可得 2 分,本项累计最高可得 5 分。 技术带头人应为主持过国家级或省部级或投资金额达到 500 万 元的信息安全系统建设项目, 或主持过投资金额达到 100 万元的信息 安全服务项目, 且主持大项目累计时间达到 5 年及 3 个及以上项目的 技术专家,或者是在省级及以上信息安全技能竞赛中获奖的技术团队 负责人,主持解决过重大安全事件,发现或提出过重大安全隐患。 4.服务队伍技术实战能力 在省级及以上信息安全技能竞赛中获得奖项,一等奖,每项可得 5 分;二等奖,每项可得 3 分;三等奖,每项可得 2 分。本项累计最 高可得 10 分。 5.人员稳定性 信息安全服务团队人员年度流动比例低于 10%,可得 2 分;达到 10%但低于 20%,可得 1 分;达到 20%不得分。 6.专业能力 拥有完整知识产权的信息化专利,每项可得 1 分;拥有完整软件 著作权,每项可得 1 分。参评单位主持制定行业标准,国家标准,每项 可得 2 分。本项累计最高可得 6 分。 (四)信息安全服务满意度(总分 15 分)

1.被服务单位评价 能够提供完整的服务单位的服务满意度和问题处理反馈情况, 没 有任何问题,获得满分 10 分,每一件投诉或问题未处理完成,扣分 1 分,扣分累计不受 10 分限制。 2.服务满意度第三方调查 由第三方针对服务项目进度满意度调查和问题处理效果调查, 如 果没有任何不一致,满分 5 分,每发现一项满意度不符合或处理效果 客户评价不一致,扣分 5 分,扣分累计不受总分限制。 (五)荣誉与信用(总分 15 分) 1.单位征信记录 根据参评单位的企业征信档案,无不良记录,得 4 分。三年内, 曾经有信息安全服务相关的法律诉讼, 且仲裁败诉或有行政处罚记录 的,扣 10 分;三年内连续受到两次及以上行政处罚或法律诉讼、仲 裁败诉的取消参评资格。 2.高级管理人员征信记录 参评单位副总及以上高层管理人员和资深技术人员, 应具有良好 的个人征信记录,根据权威的第三方征信机构(如社会公共信用信息 平台)的相关报告,5 年内个人存在欠税记录、法院民事判决记录、 强制执行记录、行政处罚记录、公用事业记录等不良记录的,每项不 良记录扣 2 分,最高扣 10 分。无不良记录得 5 分。 (3)其他荣誉情况 参评单位参与行业协会,知名媒体等非政府机构组织的评比、评

选,三年内获得的荣誉,累计可得 3 分;三年前获得的荣誉,累计 可得 3 分。累计最高可得 6 分。 其中获得国家级荣誉每项可得 1.5 分,省部级荣誉每项可得 1 分,其他荣誉每项可得 0.3 分 以上各评分项目中,未达到该项最低评分标准的不得分。

五、发布和修订 1.本指南自发布之日起开始执行。 2.本指南自发布之日起,两年修订一次。

上海市信息安全行业协会 2016 年 9 月 19 日



友情链接: 幼儿教育 小学教案 初中教案 高中教案 职业教育 成人教育