数据安全服务能力评定是指对数据安全服务提供商从事数据安全服务综合能力的评定,包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况等要素。
数据安全服务能力分为二个类型:数据安全评估、数据安全建设。
数据安全评估是指运用科学的方法和手段,系统地分析数据及相关系统所面临的威胁及其存在的脆弱性,评估数据安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和安全措施,防范和化解数据及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障数据及相关系统的安全提供科学依据。
数据安全建设指对所服务的数据主体的全生命周期过程的安全进行框架设计,形成数据安全建设规划,并对计划实施的数据安全策略细化,在数据安全解决方案的基础上,实施数据安全产品集成部署、数据安全软件定制开发、数据安全加固与整改或其它的数据安全技术和咨询服务。
数据安全服务能力目前分为两个级别:一级、二级。
1.在中华人民共和国境内注册成立(港澳台地区除外);
2.由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位(港澳台地区除外);
3.拥有健全的组织与管理体系,有专门从事数据安全服务的部门或团队;
4.具有固定的办公场所;具有专门从事数据安全服务的相关工具或软件;具有进行安全服务所必须的实验环境;
5.具有系统的对员工进行安全技术、项目管理、保密规章制度的培训机制和计划,并能有效组织实施与考核;
6.建立并落实质量管理体系;
具体条件可参见《准则》的有关规定。
1.《数据安全专业委员会数据安全服务能力评定申请书》;
2.《企业法人营业执照》或《事业单位法人登记证书》副本(或上级主管部门批准成立的文件副本,需有年检标识)复印件;
3.法人及主要负责人任职文件、职称、身份证复印件;
4.固定办公场所证明材料。
前款材料中信息发生变化的,数据安全服务提供商应当自信息变化之日起一个月内向公司注册地行协申请变更。
数据安全服务提供商提交材料中的信息应当真实、完整。
数据安全服务提供商的提交材料申请,由专业委员会进行材料初审,审查合格后正式受理,数据安全专业委员会组织专家对提供商提交的数据安全服务提供商能力评定报告进行评审,提出评审意见,并出具评定报告,专业委员会接到正式评定报告后,组织专家对提供商进行现场评定工作,提出评审意见。
评审通过后,申请能力评定的数据安全服务提供商签订《承诺书》,由数据安全专业委员会颁发《评定证书》。《评定证书》分为正本和副本,正本和副本具有同等效力。
