资格要求

从事电信网和互联网第三方安全风险评估服务的组织应 符合本标准第3章通用性要求的所有条款；

进行涉密集成的组织必须获得国家保密部门的能力证书。

规模与资产

单位正式编制员工应不少于15人；

注册资金应不少于100万元人民币。

人员构成和素质要求

直接从事风险评估服务的人员不低于8人，大学本科以上 学历不少于80%；

从事风险评估的组织内至少应有2名具备2年以上电信网 和互联网领域风险评估项目经验的安全工程师。

业绩要求

单位应具备1年以上的安全行业从业时间；

至少有2个项目中涉及风险评估服务的金额超过10万元 人民币；

近3年内至少成功完成2个风险评估项目，且终验通过；

近1年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目。

组织与管理要求

应拥有健全的组织与管理体系；

应制定符合国家保密部门要求的保密制度；

应落实保密规章制度和执行保密技术标准；

应建立人员管理程序，明确保密岗位与职责，定期对安 全服务人员进行安全保密教育与培训，并签订保密责任书，规定应当履行的安全保密义务和承担的法律责任。

质量保证要求

应建立并落实质量管理体系；

应能够自行评估服务质量的状况，并能对服务质量进行 持续改进；

从事风险评估服务的组织应建立相关投诉、应急响应服 务机制。

项目管理要求

应具有成文的项目管理制度，并符合相关项目管理标准；

应具有系统地对员工进行安全技术、项目管理、保密规章制度的培训机制和计划，并能有效组织实施与考核；

应能提供项目管理制度可有效运行的证据。

技术能力要求

应对电信网和互联网的整体概念有一定了解；

应能够独立完成电信网和互联网网络单元IP层面安全渗 透测试；

应具有确定网络的安全需求的能力；

应具有对网络安全系统有效维护的能力。

服务队伍要求

从事风险评估的队伍中的相关人员应是中国公民；

从事风险评估的队伍内至少应有1名经过电信网和互联 网安全防护技术和标准的系统培训的安全工程师；

从事风险评估的队伍内应至少有2名经过国家和相关机 构认可、针对安全风险评估服务能力的安全工程师（有相关的 能力证书如：CIW、CISP、CISSP、CISA等）。

设备、设施与环境要求

应具有固定的办公场所；

应具有专门从事电信网和互联网安全风险评估服务的相 关工具或软件，如漏洞扫描工具、安全基线核查、网站安全检 测工具等。

服务过程能力要求

从事风险评估的组织应具有以下基本能力：

－ 评估系统安全威胁的能力；

－ 评估系统脆弱性的能力；

－ 评估安全对系统的影响的能力；

－ 评估系统安全风险的能力；

－ 确定系统的安全需求的能力；

－ 确定系统的安全输入的能力；

－ 进行管理安全控制的能力；

－ 进行监测系统安全状况的能力；

－ 进行安全协调的能力；

－ 进行检测和证实系统安全性的能力；

－ 进行建立系统安全的保证证据的能力；

－ 根据风险评估结果进行系统整改的能力。

内容来源：龙域认证互联网服务平台

转载请注明以上内容