通信网络安全服务能力评定
中国通信企业协会通信网络安全专业委员会(简称通信安委会),英文名称为(缩写CNCE-NS)是经工业和信息化部审核同意,民政部核准注册登记(社证字:第4235-9号)的非营利性社会团体,是由工业和信息化部电信研究院作为技术支撑单位,是中国通信企业协会的分支机构。主要职能之一是开展通信网络安全服务能力评定。
通信网络安全服务能力评定是对通信网络安全服务单位(简称申请单位)从事通信网络安全服务综合能力的评定,包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况等要素。为提高我国通信网络安全服务质量,确保服务过程的安全可控,促进通信网络安全服务行业的健康发展,协助政府主管部门加强对通信网络安全服务的管理以及全社会选择通信网络安全服务提供客观、公正的参考依据。
评定依据
通信网络安全服务能力评定是对通信网络安全服务单位从事通信网络安全服务综合能力的评定,包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况等要素。
通信网络安全服务能力评定是依据《通信网络安全防护管理办法》、《电信网与互联网第三方安全服务评定准则》YD/T2669-2013、以及《通信网络安全服务能力评定管理办法》的具体要求,对通信网络安全服务单位的技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况等方面的综合评定
类型与级别划分
通信网络安全服务能力分为四个类型:
类型一:风险评估
风险评估是指运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为限度地保障通信网络及相关系统的安全提供科学依据。
类型二:安全设计与集成
安全设计与集成是指对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固与整改或其它的安全技术和咨询服务。
类型三:应急响应服务
网络安全应急响应服务是指服务提供方通过制定应急响应计划,在电信运营企业发生安全事件时提供紧急现场或远程援助,处理影响网络安全事件的服务,在网络安全事件发生后对其进行标识、记录、分析和处理,直到受到影响的业务恢复正常运行。
类型四:安全培训
安全培训服务是指针对电信网和互联网的安全管理、建设、运行维护等与网络和信息安全相关的岗位人员所开展的,以提高安全意识、安全素质和安全技能为目的教育培训活动。
通信网络安全服务能力等级分为三个级别:一级、二级和三级。
一级为最基本级别。
中国通信企业协会进行评定证书的审批和注册以及备案等相关工作。能力资格审定时间为一年两次,每半年进行一次。
监督管理
获证单位需不断提高自身通信网络安全服务的能力。单位注册地行协是对获证的通信网络安全服务单位能力保持的监督检查和能力变更的管理。单位注册地行协将通过年检、申诉投诉、现场核查以及对通信网络安全典型性项目进行抽样检查来验证获证单位的能力。
所有等级证书有效期为三年。单位注册地行协对获证单位每年进行一次年检,通信安委会每年抽取部分获证单位进行必要的核查。获证单位在证书到期前提交证书维持申请。
获证后,每年在证书签发之日前一个月内,获证单位要向单位注册地行协提交证书原件和年度调查表,并到单位注册地行协或通信安委会办理年检。年检工作按照《通信网络安全服务能力评定管理办法》中相关规定实施。单位注册地行协年检中发现获证单位不符合资格评定要求的,将给予降级或取消证书。
在证书有效期届满前三个月内,由获证单位提出证书维持申请。证书原评定单位对维持申请单位进行评定,内容包括:申请单位获证期间通信网络安全服务能力维持情况、通信网络安全服务项目实施情况、通信网络安全服务质量保证情况等内容,以确定申请单位符合通信网络安全服务能力等级要求的持续性