信息安全测评之信息安全服务资质评估

3)信息安全服务资质评估

信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价。资质等级的评定是在其基本资格和能力水平、组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上，针对不同服务种类，综合评价后确定的，并由国家测评机构授予相应的资质级别。其中，基本资格是评定安全服务机构的起评条件，如独立法人、具备安全服务许可资格、无违法行为记录等。基本能力要求是评定服务机构资质等级的基础，包括服务机构的组织架构和管理、规模和资产、质量保证、技术能力、人员构成与素质、设备设施与环境、业绩和培训等。工程能力是评定安全服务机构资质的主要依据，标志着服务机构提供给客户的安全服务专业水平和质量保证程度。

信息安全服务资质等级反映了安全服务机构的综合实力，包括该机构的安全服务资格、水平和能力。服务资质等级分为5级，由l级到5级递增。l级是基本执行级，表明服务机构具备为客户提供基本信息安全服务的能力；2级是计划跟踪级，表明服务机构能够为提供的服务制定周密的计划，并按照计划规范执行，同时‘能够提供证据确认过程按预定的方式执行，并能够控制项目进展；3级是充分定义级，服务机构定义该机构服务过程，并依据项目特点对已批准发布的标准过程进行适当裁剪以适应特定项目，与第2级相比，该级别的服务机构能够利用机构范围内的标准过程来管理和规划，同时能够通过项目和组织活动的协调，确保大型安全服务项目的实施质量；第4级是定量控制级，该级别的服务机构管理是客观的、丁作产品质量是量化的，能够收集和分析执行过程的详细测量，获得对过程能力和改进能力的量化理解以预测项目执行情况；第5级是连续改进级，该级别的服务机构能够通过执行已定义的过程和有创见的新概念、新技术的量化反馈，来保证对这些目标进行可持续的过程改进。