三級維保資質(zhì)要求

一、三級維保資質(zhì)的定義

三級維保資質(zhì)是指在特定領(lǐng)域中，對相關(guān)設(shè)施、設(shè)備或系統(tǒng)進(jìn)行維護(hù)保養(yǎng)工作所需要具備的一定標(biāo)準(zhǔn)和條件。以消防設(shè)施維護(hù)保養(yǎng)檢測為例，三級資質(zhì)是消防設(shè)施維護(hù)保養(yǎng)檢測機(jī)構(gòu)資質(zhì)中的一個(gè)等級。

在信息安全領(lǐng)域，三級等保資質(zhì)全稱是互聯(lián)網(wǎng)信息安全等級保護(hù)，是對非銀行機(jī)構(gòu)的較高等級保護(hù)認(rèn)證。信息系統(tǒng)的安全保護(hù)等級根據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，以及遭到破壞后產(chǎn)生的危害程度等因素確定，共分為五級，三級意味著信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。

二、三級維保資質(zhì)的行業(yè)分類要求

不同行業(yè)的三級維保資質(zhì)要求有所不同。

消防領(lǐng)域：

• 消防設(shè)施維護(hù)保養(yǎng)檢測機(jī)構(gòu)三級資質(zhì)需要具備企業(yè)法人資格，注冊資本三十萬元以上；維修用房滿足維修滅火器品種和數(shù)量的要求，且建筑面積一百平方米以上；與滅火器維修業(yè)務(wù)范圍相適應(yīng)的儀器、設(shè)備、設(shè)施；注冊消防工程師一人以上，具有滅火器維修技能的人員五人以上；健全的質(zhì)量管理制度等條件。

• 消防維保服務(wù)內(nèi)容包括火災(zāi)自動報(bào)警系統(tǒng)、自動噴淋滅火系統(tǒng)、消火栓系統(tǒng)、防火卷簾門系統(tǒng)、防火閥系統(tǒng)、正壓送風(fēng)、排煙系統(tǒng)等的維護(hù)保養(yǎng)和故障檢修。

信息安全領(lǐng)域：

• 一般適用于地市級以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省連接的網(wǎng)絡(luò)系統(tǒng)等。

三、不同地區(qū)三級維保資質(zhì)要求的差異

其核心要求基本一致，主要圍繞企業(yè)的資質(zhì)、人員配備、設(shè)備設(shè)施、管理制度等方面。

以消防維保資質(zhì)為例，不同地區(qū)可能在具體的注冊資本、人員資質(zhì)要求的細(xì)節(jié)上有所不同。有些地區(qū)可能對維修用房的位置、環(huán)境等有額外的規(guī)定，或者在業(yè)績要求方面有特定的標(biāo)準(zhǔn)。

四、獲取三級維保資質(zhì)的流程

獲取三級維保資質(zhì)通常需要經(jīng)過以下流程：

消防領(lǐng)域：

1. 摸底調(diào)查信息系統(tǒng)底數(shù)：包括業(yè)務(wù)類型、應(yīng)用或范圍、系統(tǒng)結(jié)構(gòu)等基本情況。

2. 確立定級對象：按照業(yè)務(wù)類別不同單獨(dú)確定為定級對象，不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定級對象。

3. 系統(tǒng)定級：定級是信息安全等級保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)安全建設(shè)、等級測評、監(jiān)督檢查等工作的重要基礎(chǔ)。

4. 評審：運(yùn)營使用單位或主管部門在確定系統(tǒng)安全保護(hù)等級后，可以聘請專家進(jìn)行評審。

5. 備案：備案單位準(zhǔn)備備案工具，填寫備案表，生成備案電子數(shù)據(jù)，到公安機(jī)關(guān)辦理備案手續(xù)。

6. 備案審核：受理備案的公安機(jī)關(guān)要及時(shí)公布備案受理地點(diǎn)、對備案材料進(jìn)行完整性審核和定級準(zhǔn)確審核。

7. 系統(tǒng)測評：三級以上信息系統(tǒng)按《信息系統(tǒng)安全等級保護(hù)備案表》要求提交材料。

8. 整改實(shí)施：根據(jù)測評結(jié)果進(jìn)行安全要求整改。

信息安全領(lǐng)域：

1. 自查：信息系統(tǒng)單位應(yīng)根據(jù)相關(guān)要求，對自身的信息系統(tǒng)進(jìn)行自查，評估其是否符合等保三級安全的要求，并制定相應(yīng)的改進(jìn)措施。

2. 申請：信息系統(tǒng)單位應(yīng)向有資質(zhì)的第三方檢測機(jī)構(gòu)申請進(jìn)行等保三級安全檢測，并提供相關(guān)資料和證明。

3. 檢測：第三方檢測機(jī)構(gòu)應(yīng)根據(jù)相關(guān)規(guī)范，對申請單位的信息系統(tǒng)進(jìn)行現(xiàn)場或遠(yuǎn)程檢測，并出具檢測報(bào)告。

4. 復(fù)核：第三方檢測機(jī)構(gòu)應(yīng)將檢測報(bào)告提交給有資質(zhì)的第三方評估機(jī)構(gòu)進(jìn)行復(fù)核，并根據(jù)復(fù)核意見進(jìn)行修改或補(bǔ)充。

5. 評估：第三方評估機(jī)構(gòu)應(yīng)根據(jù)相關(guān)規(guī)范，對檢測報(bào)告進(jìn)行評估，并出具評估報(bào)告。

6. 備案：信息系統(tǒng)單位應(yīng)將評估報(bào)告提交給主管部門進(jìn)行備案，并按照主管部門的要求進(jìn)行后續(xù)管理和維護(hù)。

五、三級維保資質(zhì)的審核標(biāo)準(zhǔn)

審核標(biāo)準(zhǔn)因行業(yè)和具體資質(zhì)類型而異。

消防領(lǐng)域：

• 審核企業(yè)是否具備法人資格，注冊資本是否達(dá)到要求，維修用房是否符合標(biāo)準(zhǔn)，儀器設(shè)備設(shè)施是否齊全，人員配備是否合規(guī)，質(zhì)量管理制度是否健全等。

信息安全領(lǐng)域：

• 組織管理方面，檢查信息系統(tǒng)單位是否建立了完善的安全管理組織和制度，是否制定了符合等保三級安全要求的安全策略和規(guī)范，是否實(shí)施了有效的安全教育和培訓(xùn)，是否建立了健全的安全審計(jì)和監(jiān)督機(jī)制，是否制定了應(yīng)急預(yù)案和處置措施，是否落實(shí)了安全責(zé)任和考核制度等。

• 物理環(huán)境方面，檢查信息系統(tǒng)單位是否采取了合理的物理防護(hù)措施，如門禁、防火、防水、防雷、防靜電、防塵、防震、防竊聽、防破壞等，是否對重要設(shè)備和介質(zhì)進(jìn)行了標(biāo)識和登記，是否對重要區(qū)域和場所進(jìn)行了劃分和限制，是否對重要物資進(jìn)行了存儲和銷毀等。

• 網(wǎng)絡(luò)通信方面，檢查信息系統(tǒng)單位是否采取了有效的網(wǎng)絡(luò)防護(hù)措施，如防火墻、入侵檢測、入侵防御、隔離器、加密器、認(rèn)證器、數(shù)字證書、VPN、代理服務(wù)器、網(wǎng)關(guān)等，是否對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行了合理設(shè)計(jì)，是否對網(wǎng)絡(luò)設(shè)備進(jìn)行了配置管理，是否對網(wǎng)絡(luò)流量進(jìn)行了監(jiān)控和分析，是否對網(wǎng)絡(luò)協(xié)議進(jìn)行了加密和完整性校驗(yàn)等。

• 系統(tǒng)平臺方面，檢查信息系統(tǒng)單位是否采取了有效的系統(tǒng)防護(hù)措施，如操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件、應(yīng)用服務(wù)器、Web 服務(wù)器等，是否對系統(tǒng)軟件進(jìn)行了版本管理，是否對系統(tǒng)漏洞進(jìn)行了及時(shí)修復(fù)，是否對系統(tǒng)日志進(jìn)行了記錄和保存，是否對系統(tǒng)資源進(jìn)行了分配和控制，是否對系統(tǒng)接口進(jìn)行了驗(yàn)證和過濾等。

• 人員行為方面，檢查信息系統(tǒng)單位是否采取了有效的人員防護(hù)措施，如用戶管理、權(quán)限管理、身份認(rèn)證、訪問控制、行為監(jiān)控、行為約束、行為懲戒等，是否對用戶進(jìn)行了分級和分組，是否對用戶進(jìn)行了密碼管理和安全教育，是否對用戶進(jìn)行了操作記錄和審計(jì)追溯，是否對用戶進(jìn)行了安全提示和警告，是否對用戶進(jìn)行了違規(guī)處理和處罰等。

CCRC 安全運(yùn)維服務(wù)資質(zhì)領(lǐng)域：

1. 法律地位要求：在中華人民共和國境內(nèi)注冊的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。

2. 財(cái)務(wù)資信要求：組織經(jīng)營狀況正常，建立財(cái)務(wù)管理制度，可為安全服務(wù)提供必要的財(cái)務(wù)支持。

3. 公共場所要求：擁有長期固定辦公場所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。

4. 人員能力要求：組織負(fù)責(zé)人擁有 2 年以上信息技術(shù)領(lǐng)域管理經(jīng)歷；項(xiàng)目負(fù)責(zé)人、項(xiàng)目工程師具備信息安全服務(wù)（與申報(bào)類別一致）技術(shù)能力，經(jīng)評價(jià)合格。

5. 業(yè)績要求：從事信息安全服務(wù)（與申報(bào)類別一致）4 個(gè)月以上；（監(jiān)督審核時(shí)）近 1 年內(nèi)簽訂并完成至少 1 個(gè)信息安全服務(wù)（與申報(bào)類別一致）項(xiàng)目。

6. 服務(wù)管理要求：建立并運(yùn)行人員管理程序，識別安全服務(wù)人員的服務(wù)能力要求，明確安全服務(wù)人員的崗位職責(zé)、技術(shù)能力要求，并通過評價(jià)證明其能夠勝任其承擔(dān)的職責(zé)；制定服務(wù)人員能力培養(yǎng)計(jì)劃，包括網(wǎng)絡(luò)與信息安全相關(guān)的技術(shù)、技能、管理、意識等內(nèi)容，并執(zhí)行計(jì)劃，確保服務(wù)人員持續(xù)勝任其承擔(dān)的職責(zé)；建立并運(yùn)行文檔管理程序，包括組織管理、服務(wù)過程管理、質(zhì)量管理等內(nèi)容，明確項(xiàng)目產(chǎn)生、發(fā)布、保存、傳輸、使用（包括交付和內(nèi)部使用）、廢棄等環(huán)節(jié)的文檔控制；建立并運(yùn)行保密管理程序，明確崗位保密責(zé)任，簽訂保密協(xié)議，并能夠適時(shí)對相關(guān)人員進(jìn)行保密教育；建立與運(yùn)行供應(yīng)商管理程序，確保其供應(yīng)商滿足服務(wù)安全要求（僅適用于安全集成、安全運(yùn)維、災(zāi)難備份與恢復(fù)方向）；建立合同管理程序，制定統(tǒng)一合同模板，按照合同約定實(shí)施信息安全服務(wù)項(xiàng)目。

7. 服務(wù)技術(shù)要求：建立信息安全服務(wù)（與申報(bào)類別一致）要求的流程，并按照流程實(shí)施；制定信息安全服務(wù)（與申報(bào)類別一致）要求的規(guī)范標(biāo)準(zhǔn)，并按照規(guī)范實(shí)施。