Cómo determinar las calificaciones de una agencia de evaluación de seguridad de la información
1. La organización debe establecer un sistema de gestión de seguridad de la información documentado que cumpla con los requisitos del estándar BS7799-2, completar auditorías internas y revisiones de la gestión antes de solicitar la certificación y garantizar que el sistema sea eficaz. y en pleno funcionamiento durante más de tres meses. ;
2. La organización debe proporcionar al organismo de certificación información suficiente sobre el funcionamiento del sistema de gestión de seguridad de la información. Para sitios múltiples, se debe indicar el alcance de la certificación, la dirección y la distribución del personal de cada sitio. La agencia de certificación realizará una auditoría de muestreo de múltiples sitios.
3. agencia Revisión preliminar;
4. La certificación se divide en dos etapas: la primera etapa es la revisión de documentos, que se puede realizar en el sitio o fuera del sitio;
p>
5. La supervisión se realizará una vez al año después de obtener la certificación;
6. Cuando el sistema de gestión de seguridad de la información de la organización cambie, o existan cambios importantes que afecten el cumplimiento de la gestión de seguridad de la información. sistema, el centro de certificación debe ser notificado de manera oportuna al centro de certificación. La revisión de supervisión, la revisión de renovación del certificado o el reexamen se llevarán a cabo según corresponda para mantener la validez del certificado;
Contenido de la certificación
De acuerdo con las leyes y regulaciones nacionales de gestión de seguridad de la información, el "Reglamento de Certificación y Acreditación" y sus detalles de implementación certifican productos de seguridad de la información dentro del ámbito comercial designado y llevan a cabo la certificación de sistemas de gestión, capacitación de personal e investigación y desarrollo de tecnología. relacionados con la seguridad de la información. Específicamente incluyen:
1. Llevar a cabo la certificación de productos y sistemas de gestión en el campo de la seguridad de la información;
2. Realizar normas de certificación, procedimientos y procedimientos de certificación, pruebas, inspección y evaluación. personal relacionado con la certificación. Capacitación sobre los requisitos relevantes;
3. Realizar capacitación de calificación y registro para instituciones y personal que brindan servicios de seguridad de la información;
4. y pruebas de tecnología;
5. Realizar otros trabajos relacionados de acuerdo con las leyes, reglamentos y autorizaciones.
Acerca de la solicitud de certificación:
1. Pasos básicos de la certificación:
2. Solicitud y aceptación de la certificación;
3. ;
4. Auditoría in situ;
5. Decisión de certificación;
6.
7. Al solicitar la certificación de calificación de servicio por primera vez, el solicitante debe completar el formulario de solicitud de certificación y enviar los materiales de certificación de calificación y capacidad. Los materiales de solicitud generalmente incluyen:
8. Formulario de solicitud de certificación de calificación de servicio;
9. Materiales de certificación de calificación de persona jurídica independiente;
10. Calificación de servicios de seguridad de la información relacionados. certificado;
11. Documentos que acrediten el sistema de confidencialidad del trabajo y el correspondiente sistema de supervisión organizacional;
12. Copia del acuerdo de confidencialidad firmado con el personal del servicio de evaluación de riesgos de seguridad de la información;
13. Documentos que acrediten la composición y calidad del personal;
14. Documentos que acrediten la estructura organizacional de la empresa;
15. 16. Documentos del sistema de gestión de proyectos;
17. Documentos de gestión de calidad del servicio de seguridad de la información;
18. Casos de proyectos y materiales de certificación de desempeño; de las capacidades del servicio de seguridad, etc.