摘要：通信网络安全服务能力评定要求是对通信网络安全服务单位的资格状况、经济实力、技术能力、服务队伍、服务过程能力等方面的具体衡量和评价。中国通信企业协会通信网络安全服务能力评定风险评估二级应达到风险评估服务一级能力要求的所有条款，并在以下方面增强或增加要求：

通信网络安全服务能力评定要求是对通信网络安全服务单位的资格状况、经济实力、技术能力、服务队伍、服务过程能力等方面的具体衡量和评价。中国通信企业协会通信网络安全服务能力评定风险评估二级应达到风险评估服务一级能力要求的所有条款，并在以下方面增强或增加要求：

规模与资产

1)单位正式编制员工应不少于50人；

2)注册资金应不少于500万元人民币。

人员构成和素质要求

1)直接从事风险评估服务的人员不低于20人，大学本科以上学历不少于80%；

2)从事风险评估的组织内至少应有5名具备2年以上通信领域风险评估项目经验的安全工程师。

业绩要求

1)单位应具备2年以上的安全行业从业时间；

2)至少有4个项目中涉及风险评估服务的金额超过10万元人民币；

3)近3年内至少成功完成10个风险评估项目，且终验通过；

4)近2年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目。

组织与管理要求

1)应具有专门从事电信网和互联网安全风险评估服务的部门或团队；

2)对项目实施过程中获取、保存、传播和销毁与安全事件处理服务有关商业秘密信息等方面作出明确规定；

3)应具有专门制定和宣贯保密制度的部门或团队。

质量保证要求

1)应有专门的部门或人员制定完整的质量体系，并具有健全的制度宣传和培训机制；

2)质量体系应针对项目开始至项目结束各个环节有比较完善和细致的控制手段。

项目管理要求

1)应有专门的部门或人员制定总体的项目管理体系，并具有健全的制度宣传和培训机制；

2)项目管理体系应针对人和项目有明确的责权利分工，有比较明确和完善的项目过程控制记录；

3)至少有1名安全服务人员接受过系统的项目管理培训，获得过相关权威机构的认证（如PMP等）。

技术能力要求

1)应了解电信网和互联网安全防护系列标准，应对电信网和互联网的整体概念和传统网和非传统网的若干网络单元有一定了解；

2)应具有国家或行业权威机构对组织能力的认可证明（如国家信息安全服务资质证书、信息安全风险评估资质证书、信息安全应急服务资质证书等）；

3)应具有专门研究电信网和互联网技术和业务的部门或团队；

4)应依据电信网和互联网安全防护体系系列标准进行安全风险评估服务；

5)应能够评估电信网和互联网安全风险、脆弱性、管控能力及安全对电信网和互联网的影响力；

6)应具有确定电信网和互联网的安全需求的能力；

7)应具有对电信网和互联网安全系统有效维护的能力；

8)应具备切实可行的应急服务方案。

服务队伍要求

1)从事风险评估的队伍内至少应有2名经过电信网和互联网安全防护技术和标准的系统培训安全工程师；

2)从事风险评估的队伍内应至少有4名经过国家和相关机构认可，针对安全风险评估服务能力的安全工程师（有相关的能力证书如：CIW、CISP、CISSP、CISA等）。

设备、设施与环境要求

1)应具有针对网络安全问题研究的实验环境；

2)应具有成熟的的工具、软件体系。

龙域认证凭借多年的行业经验和专业服务，赢得了企业的广泛认可，并成功帮助众多企业顺利解决了评估和申报中的各种难题。龙域认证期待与您的合作！

来源：龙域认证