通用評價要求適用于風(fēng)險評估、安全集成、應(yīng)急處理、災(zāi)難備份與恢復(fù)、軟件安全開發(fā)、安全運(yùn)維、網(wǎng)絡(luò)安全審計、工業(yè)控制系統(tǒng)安全服務(wù)等類別的信息安全服務(wù)認(rèn)證評價，均分為三個級別，其中一級最高。

  1.法律地位要求

  a) 在中華人民共和國境內(nèi)注冊的獨立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。

  b) 遵循國家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無違法違規(guī)記錄，資信狀況良好。

  2. 財務(wù)資信要求

  組織經(jīng)營狀況正常，建立財務(wù)管理制度，可為安全服務(wù)提供必要的財務(wù)支持。

  3. 辦公場所要求

  擁有長期固定辦公場所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。

  4. 人員能力要求

  a) 組織負(fù)責(zé)人擁有2年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。

  b) 技術(shù)負(fù)責(zé)人具備信息安全服務(wù)(與申報類別一致)管理能力，經(jīng)評價合格(與申報類別一致)，評價要求等。

  c) 項目負(fù)責(zé)人、項目工程師具備信息安全服務(wù)(與申報類別一致)技術(shù)能力，經(jīng)評價合格等。

  5. 業(yè)績要求

  a) 從事信息安全服務(wù)(與申報類別一致)4個月以上。

  b) (監(jiān)督審核時)近1年內(nèi)簽訂并完成至少1個信息安全服務(wù)(與申報類別一致)項目。

  6. 服務(wù)管理要求

  a) 建立并運(yùn)行人員管理程序，識別安全服務(wù)人員的服務(wù)能力要求，明確安全服務(wù)人員的崗位職責(zé)、技術(shù)能力要求，并通過評價證明其能夠勝任其承擔(dān)的職責(zé)。

  b) 制定服務(wù)人員能力培養(yǎng)計劃，包括網(wǎng)絡(luò)與信息安全相關(guān)的技術(shù)、技能、管理、意識等內(nèi)容，并執(zhí)行計劃，確保服務(wù)人員持續(xù)勝任其承擔(dān)的職責(zé)。

  c) 建立并運(yùn)行文檔管理程序，包括組織管理、服務(wù)過程管理、質(zhì)量管理等內(nèi)容，明確項目產(chǎn)生、發(fā)布、保存、傳輸、使用(包括交付和內(nèi)部使用)、廢棄等環(huán)節(jié)的文檔控制。

  d) 建立并運(yùn)行項目管理程序，明確服務(wù)項目的組織、計劃、實施、風(fēng)險控制、交付等環(huán)節(jié)的操作規(guī)程，提供項目風(fēng)險管理記錄。

  e) 建立并運(yùn)行保密管理程序，明確崗位保密責(zé)任，簽訂保密協(xié)議，并能夠適時對相關(guān)人員進(jìn)行保密教育。

  f) 建立與運(yùn)行供應(yīng)商管理程序，確保其供應(yīng)商滿足服務(wù)安全要求(僅適用于安全集成、安全運(yùn)維、災(zāi)難備份與恢復(fù)方向)。

  g) 建立合同管理程序，制定統(tǒng)一合同模板，按照合同約定實施信息安全服務(wù)項目。按照客戶要求，對于接觸到的客戶敏感信息和知識產(chǎn)權(quán)信息予以保護(hù)，并確保服務(wù)方人員了解客戶的相關(guān)要求。

  7. 服務(wù)技術(shù)要求

  a) 建立信息安全服務(wù)(與申報類別一致)要求的流程，并按照流程實施。

  b) 制定信息安全服務(wù)(與申報類別一致)要求的規(guī)范標(biāo)準(zhǔn)，并按照規(guī)范實施。