三級(jí)維保資質(zhì)要求

一、三級(jí)維保資質(zhì)的定義

三級(jí)維保資質(zhì)是指在特定領(lǐng)域中，對(duì)相關(guān)設(shè)施、設(shè)備或系統(tǒng)進(jìn)行維護(hù)保養(yǎng)工作所需要具備的一定標(biāo)準(zhǔn)和條件。以消防設(shè)施維護(hù)保養(yǎng)檢測(cè)為例，三級(jí)資質(zhì)是消防設(shè)施維護(hù)保養(yǎng)檢測(cè)機(jī)構(gòu)資質(zhì)中的一個(gè)等級(jí)。

在信息安全領(lǐng)域，三級(jí)等保資質(zhì)全稱(chēng)是互聯(lián)網(wǎng)信息安全等級(jí)保護(hù)，是對(duì)非銀行機(jī)構(gòu)的較高等級(jí)保護(hù)認(rèn)證。信息系統(tǒng)的安全保護(hù)等級(jí)根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及遭到破壞后產(chǎn)生的危害程度等因素確定，共分為五級(jí)，三級(jí)意味著信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。

二、三級(jí)維保資質(zhì)的行業(yè)分類(lèi)要求

不同行業(yè)的三級(jí)維保資質(zhì)要求有所不同。

消防領(lǐng)域：

• 消防設(shè)施維護(hù)保養(yǎng)檢測(cè)機(jī)構(gòu)三級(jí)資質(zhì)需要具備企業(yè)法人資格，注冊(cè)資本三十萬(wàn)元以上；維修用房滿足維修滅火器品種和數(shù)量的要求，且建筑面積一百平方米以上；與滅火器維修業(yè)務(wù)范圍相適應(yīng)的儀器、設(shè)備、設(shè)施；注冊(cè)消防工程師一人以上，具有滅火器維修技能的人員五人以上；健全的質(zhì)量管理制度等條件。

• 消防維保服務(wù)內(nèi)容包括火災(zāi)自動(dòng)報(bào)警系統(tǒng)、自動(dòng)噴淋滅火系統(tǒng)、消火栓系統(tǒng)、防火卷簾門(mén)系統(tǒng)、防火閥系統(tǒng)、正壓送風(fēng)、排煙系統(tǒng)等的維護(hù)保養(yǎng)和故障檢修。

信息安全領(lǐng)域：

• 一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類(lèi)系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、省（區(qū)、市）門(mén)戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。

三、不同地區(qū)三級(jí)維保資質(zhì)要求的差異

其核心要求基本一致，主要圍繞企業(yè)的資質(zhì)、人員配備、設(shè)備設(shè)施、管理制度等方面。

以消防維保資質(zhì)為例，不同地區(qū)可能在具體的注冊(cè)資本、人員資質(zhì)要求的細(xì)節(jié)上有所不同。有些地區(qū)可能對(duì)維修用房的位置、環(huán)境等有額外的規(guī)定，或者在業(yè)績(jī)要求方面有特定的標(biāo)準(zhǔn)。

四、獲取三級(jí)維保資質(zhì)的流程

獲取三級(jí)維保資質(zhì)通常需要經(jīng)過(guò)以下流程：

消防領(lǐng)域：

1. 摸底調(diào)查信息系統(tǒng)底數(shù)：包括業(yè)務(wù)類(lèi)型、應(yīng)用或范圍、系統(tǒng)結(jié)構(gòu)等基本情況。

2. 確立定級(jí)對(duì)象：按照業(yè)務(wù)類(lèi)別不同單獨(dú)確定為定級(jí)對(duì)象，不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定級(jí)對(duì)象。

3. 系統(tǒng)定級(jí)：定級(jí)是信息安全等級(jí)保護(hù)工作的首要環(huán)節(jié)，是開(kāi)展信息系統(tǒng)安全建設(shè)、等級(jí)測(cè)評(píng)、監(jiān)督檢查等工作的重要基礎(chǔ)。

4. 評(píng)審：運(yùn)營(yíng)使用單位或主管部門(mén)在確定系統(tǒng)安全保護(hù)等級(jí)后，可以聘請(qǐng)專(zhuān)家進(jìn)行評(píng)審。

5. 備案：備案單位準(zhǔn)備備案工具，填寫(xiě)備案表，生成備案電子數(shù)據(jù)，到公安機(jī)關(guān)辦理備案手續(xù)。

6. 備案審核：受理備案的公安機(jī)關(guān)要及時(shí)公布備案受理地點(diǎn)、對(duì)備案材料進(jìn)行完整性審核和定級(jí)準(zhǔn)確審核。

7. 系統(tǒng)測(cè)評(píng)：三級(jí)以上信息系統(tǒng)按《信息系統(tǒng)安全等級(jí)保護(hù)備案表》要求提交材料。

8. 整改實(shí)施：根據(jù)測(cè)評(píng)結(jié)果進(jìn)行安全要求整改。

信息安全領(lǐng)域：

1. 自查：信息系統(tǒng)單位應(yīng)根據(jù)相關(guān)要求，對(duì)自身的信息系統(tǒng)進(jìn)行自查，評(píng)估其是否符合等保三級(jí)安全的要求，并制定相應(yīng)的改進(jìn)措施。

2. 申請(qǐng)：信息系統(tǒng)單位應(yīng)向有資質(zhì)的第三方檢測(cè)機(jī)構(gòu)申請(qǐng)進(jìn)行等保三級(jí)安全檢測(cè)，并提供相關(guān)資料和證明。

3. 檢測(cè)：第三方檢測(cè)機(jī)構(gòu)應(yīng)根據(jù)相關(guān)規(guī)范，對(duì)申請(qǐng)單位的信息系統(tǒng)進(jìn)行現(xiàn)場(chǎng)或遠(yuǎn)程檢測(cè)，并出具檢測(cè)報(bào)告。

4. 復(fù)核：第三方檢測(cè)機(jī)構(gòu)應(yīng)將檢測(cè)報(bào)告提交給有資質(zhì)的第三方評(píng)估機(jī)構(gòu)進(jìn)行復(fù)核，并根據(jù)復(fù)核意見(jiàn)進(jìn)行修改或補(bǔ)充。

5. 評(píng)估：第三方評(píng)估機(jī)構(gòu)應(yīng)根據(jù)相關(guān)規(guī)范，對(duì)檢測(cè)報(bào)告進(jìn)行評(píng)估，并出具評(píng)估報(bào)告。

6. 備案：信息系統(tǒng)單位應(yīng)將評(píng)估報(bào)告提交給主管部門(mén)進(jìn)行備案，并按照主管部門(mén)的要求進(jìn)行后續(xù)管理和維護(hù)。

五、三級(jí)維保資質(zhì)的審核標(biāo)準(zhǔn)

審核標(biāo)準(zhǔn)因行業(yè)和具體資質(zhì)類(lèi)型而異。

消防領(lǐng)域：

• 審核企業(yè)是否具備法人資格，注冊(cè)資本是否達(dá)到要求，維修用房是否符合標(biāo)準(zhǔn)，儀器設(shè)備設(shè)施是否齊全，人員配備是否合規(guī)，質(zhì)量管理制度是否健全等。

信息安全領(lǐng)域：

• 組織管理方面，檢查信息系統(tǒng)單位是否建立了完善的安全管理組織和制度，是否制定了符合等保三級(jí)安全要求的安全策略和規(guī)范，是否實(shí)施了有效的安全教育和培訓(xùn)，是否建立了健全的安全審計(jì)和監(jiān)督機(jī)制，是否制定了應(yīng)急預(yù)案和處置措施，是否落實(shí)了安全責(zé)任和考核制度等。

• 物理環(huán)境方面，檢查信息系統(tǒng)單位是否采取了合理的物理防護(hù)措施，如門(mén)禁、防火、防水、防雷、防靜電、防塵、防震、防竊聽(tīng)、防破壞等，是否對(duì)重要設(shè)備和介質(zhì)進(jìn)行了標(biāo)識(shí)和登記，是否對(duì)重要區(qū)域和場(chǎng)所進(jìn)行了劃分和限制，是否對(duì)重要物資進(jìn)行了存儲(chǔ)和銷(xiāo)毀等。

• 網(wǎng)絡(luò)通信方面，檢查信息系統(tǒng)單位是否采取了有效的網(wǎng)絡(luò)防護(hù)措施，如防火墻、入侵檢測(cè)、入侵防御、隔離器、加密器、認(rèn)證器、數(shù)字證書(shū)、VPN、代理服務(wù)器、網(wǎng)關(guān)等，是否對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行了合理設(shè)計(jì)，是否對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行了配置管理，是否對(duì)網(wǎng)絡(luò)流量進(jìn)行了監(jiān)控和分析，是否對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行了加密和完整性校驗(yàn)等。

• 系統(tǒng)平臺(tái)方面，檢查信息系統(tǒng)單位是否采取了有效的系統(tǒng)防護(hù)措施，如操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件、應(yīng)用服務(wù)器、Web 服務(wù)器等，是否對(duì)系統(tǒng)軟件進(jìn)行了版本管理，是否對(duì)系統(tǒng)漏洞進(jìn)行了及時(shí)修復(fù)，是否對(duì)系統(tǒng)日志進(jìn)行了記錄和保存，是否對(duì)系統(tǒng)資源進(jìn)行了分配和控制，是否對(duì)系統(tǒng)接口進(jìn)行了驗(yàn)證和過(guò)濾等。

• 人員行為方面，檢查信息系統(tǒng)單位是否采取了有效的人員防護(hù)措施，如用戶管理、權(quán)限管理、身份認(rèn)證、訪問(wèn)控制、行為監(jiān)控、行為約束、行為懲戒等，是否對(duì)用戶進(jìn)行了分級(jí)和分組，是否對(duì)用戶進(jìn)行了密碼管理和安全教育，是否對(duì)用戶進(jìn)行了操作記錄和審計(jì)追溯，是否對(duì)用戶進(jìn)行了安全提示和警告，是否對(duì)用戶進(jìn)行了違規(guī)處理和處罰等。

CCRC 安全運(yùn)維服務(wù)資質(zhì)領(lǐng)域：

1. 法律地位要求：在中華人民共和國(guó)境內(nèi)注冊(cè)的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。

2. 財(cái)務(wù)資信要求：組織經(jīng)營(yíng)狀況正常，建立財(cái)務(wù)管理制度，可為安全服務(wù)提供必要的財(cái)務(wù)支持。

3. 公共場(chǎng)所要求：擁有長(zhǎng)期固定辦公場(chǎng)所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。

4. 人員能力要求：組織負(fù)責(zé)人擁有 2 年以上信息技術(shù)領(lǐng)域管理經(jīng)歷；項(xiàng)目負(fù)責(zé)人、項(xiàng)目工程師具備信息安全服務(wù)（與申報(bào)類(lèi)別一致）技術(shù)能力，經(jīng)評(píng)價(jià)合格。

5. 業(yè)績(jī)要求：從事信息安全服務(wù)（與申報(bào)類(lèi)別一致）4 個(gè)月以上；（監(jiān)督審核時(shí)）近 1 年內(nèi)簽訂并完成至少 1 個(gè)信息安全服務(wù)（與申報(bào)類(lèi)別一致）項(xiàng)目。

6. 服務(wù)管理要求：建立并運(yùn)行人員管理程序，識(shí)別安全服務(wù)人員的服務(wù)能力要求，明確安全服務(wù)人員的崗位職責(zé)、技術(shù)能力要求，并通過(guò)評(píng)價(jià)證明其能夠勝任其承擔(dān)的職責(zé)；制定服務(wù)人員能力培養(yǎng)計(jì)劃，包括網(wǎng)絡(luò)與信息安全相關(guān)的技術(shù)、技能、管理、意識(shí)等內(nèi)容，并執(zhí)行計(jì)劃，確保服務(wù)人員持續(xù)勝任其承擔(dān)的職責(zé)；建立并運(yùn)行文檔管理程序，包括組織管理、服務(wù)過(guò)程管理、質(zhì)量管理等內(nèi)容，明確項(xiàng)目產(chǎn)生、發(fā)布、保存、傳輸、使用（包括交付和內(nèi)部使用）、廢棄等環(huán)節(jié)的文檔控制；建立并運(yùn)行保密管理程序，明確崗位保密責(zé)任，簽訂保密協(xié)議，并能夠適時(shí)對(duì)相關(guān)人員進(jìn)行保密教育；建立與運(yùn)行供應(yīng)商管理程序，確保其供應(yīng)商滿足服務(wù)安全要求（僅適用于安全集成、安全運(yùn)維、災(zāi)難備份與恢復(fù)方向）；建立合同管理程序，制定統(tǒng)一合同模板，按照合同約定實(shí)施信息安全服務(wù)項(xiàng)目。

7. 服務(wù)技術(shù)要求：建立信息安全服務(wù)（與申報(bào)類(lèi)別一致）要求的流程，并按照流程實(shí)施；制定信息安全服務(wù)（與申報(bào)類(lèi)別一致）要求的規(guī)范標(biāo)準(zhǔn)，并按照規(guī)范實(shí)施。