摘要：通信网络安全服务能力是对通信网络安全服务单位的客观评价，直接反应了通信网络安全服务单位的服务资格、水平和能力。通信网络安全服务能力要求分别针对每一类服务单位分为基本要求和分类要求，基本要求是指所有通信网络安全服务单位都必须要达到的安全能力要求；分类要求是指对不

通信网络安全服务能力是对通信网络安全服务单位的客观评价，直接反应了通信网络安全服务单位的服务资格、水平和能力。通信网络安全服务能力要求分别针对每一类服务单位分为基本要求和分类要求，基本要求是指所有通信网络安全服务单位都必须要达到的安全能力要求；分类要求是指对不同类型的通信网络安全服务单位提出了不同的能力要求，其中风险评估由高到低依次是三级、二级、一级能力。本文详细介绍风险评估服务三级能力要求，希望企业能有所了解。

风险评估三级要求

风险评估服三级应满足二级能力要求的所有条款， 并在以下方面增强或增加要求：

规模与资产要求

1)单位正式编制员工应不少于100人；

2)注册资金应不少于3000万元人民币。

人员构成和素质要求

1)直接从事风险评估服务的人员不低于30人，大学本科以上学历不少于80%；

2)从事风险评估的组织内至少应有12名具备3年以上通信领域风险评估项目经验的安全工程师。

业绩要求

1)单位应具备3年以上的安全行业从业时间；

2)至少有6个项目中涉及风险评估服务的金额超过10万元人民币；

3)单位风险评估服务年业绩中电信网和互联网行业比重大于或等于30%；

4)近3年内至少成功完成20个风险评估项目，且终验通过；

5)近5年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目。

组织与管理要求

1)从事电信网和互联网安全风险评估服务的部门或团队应为单位二级部门；

2)对项目实施过程中获取、保存、传播和销毁与安全事件处理服务有关商业秘密信息等方面有明确的行之有效的控制手段。

质量保证要求

1)应依据ISO9001质量体系标准制定完善的质量体系；

2)应依据ISO27001制定完善的信息安全管理体系规范（ISMS）。

项目管理要求

1)项目管理制度应对项目立项、审批过程有明晰表述；

2)项目管理制度应对项目过程有控制方法或有依据标准，应有对过程中发生的项目变更或变化进行管理的手段；

3)项目管理制度应对项目完成后的审计、验证、考核等内容有管理办法；

4)应具备项目管理制度落实的证据，可以但不限于电子文档、会议记录、过程管理表格等。

技术能力要求

1)深入了解电信网和互联网安全防护系列标准，并参与起草制定国家或行业标准，对电信网和互联网的整体概念和传统网和非传统网的若干网络单元有深入了解；

2)参与支撑国家或行业重大项目。

服务队伍要求

1)从事风险评估的队伍内至少应有5名经过电信网和互联网安全防护技术和标准的系统培训的安全工程师；

2)从事风险评估服务的队伍内应至少有10名经过国家和相关机构认可，针对安全风险评估服务能力的安全工程师（有相关的能力证书如：CIW、CISP、CISSP、CISA等）；

3)应具有产品研发团队，其中大学本科以上学历人员占90%以上；

4)具有专业的安全攻防队伍，有能力对各类主流操作系统、主流数据库及为完成特定功能所开发的系统进行黑盒测试，并对代码进行白盒检查。

设备、设施与环境要求

1)应具有专业的攻防实验室，支撑国家相关部门；

2)应具有自主研发的检测工具（硬件或软件），并获得国家相关部门的认可；

3)安全产品应在国家和行业领域占据领先地位，应获得国家或行业权威认可证明。

龙域认证凭借多年的行业经验和专业服务，赢得了企业的广泛认可，并成功帮助众多企业顺利解决了评估和申报中的各种难题。龙域认证期待与您的合作！

来源：龙域认证