随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。
就目前申报企业数量有多到少依次排序为:安全集成—安全运维--风险评估---应急处理---软件安全--灾难备份与恢复。其中传统的信息化企业有集成和运维业务企业大多选择申请安全集成和安全运维 。风险评估和应急处理对企业从业经验成功项目案例实施有更专业的要求,需要根据不同的项目详细分析。
后面文章针对企业需求数量比较多的六大专业认证方向做了简单介绍,供大家参考 。
第一:信息系统安全集成服务资质
1、工具和技术手段:漏洞检测工具,配置基线核查、源代码审计等等
2、业绩项目和规范:项目中要有信息安全服务的流程和规范;实施的信息安全服务项目案例,而且案例中所体现的信息安全服务过程能够符合《信息安全服务规范》的要求;申请三级需要对应专业2个项目,申请二级需要近三年的6个项目
3、公共管理和安全集成专业方向与评估表对标
(一)公共管理包含; 法律地位、财务资信、办公场所、人员要求、服务管理要求(人员管理 文档管理 保密管理 项目管理 合同管理 供应商管理,体系建设要求),技术工具要求等
(二)项目业绩:信息安全服务资质对企业在对外开展信息安全服务的一些关键环节和过程,也有相应的要求;要将公司现有的业务模式,与资质的要求进行融合,并按照资质规范的要求,形成相应的对标输出
4、安全集成为例项目阶段:集成准备 方案设计 建设实施和安全保障四个阶段 要在传统系统集成项目实施过程中融入“安全性”思维,并贯穿集成项目实施的整个过程,不能是单独的设备采买和安装,要把“安全性”思维贯穿始终,保证交付客户的集成项目不应仅仅是“可用”的,而且应该是“高安全性、低风险的”。
5、适合申请安全集成的组织类型:
目前的经营范围包括集成项目实施的组织
• 致力于提供高品质集成服务的组织,不再定位自身仅仅是“卖设备”的组织
• 所开展的项目类型为硬件集成、软件集成、软硬件集成三种 形式均可,但项目的主要环节需要覆盖需求