安全开发资质有哪些要求

     信息安全服务(安全开发类)资质认定是对信息安全开发服务提供者的综合实力的客观评价和确认,信息安全服务(安全开发类)资质级别反映了信息安全开发服务提供者从事信息安全开发保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全开发过程能力要求、项目与组织管理能力要求和其他补充要求等。

ISO20000

人员构成与素质要求
1. 具有充足的人力资源和合理的人员结构;

2. 所有与信息安全开发有关人员应具有基本的信息安全知识;

3. 有相对稳定的从事信息安全开发的技术队伍;

4. 技术骨干人员应系统地掌握信息安全基础理论和核心技术,并有足够的专业工作经验;

5. 必须有2名以上(含2名)专职的注册信息安全专业人员CISP(CISE或CISO或CISD)。


网站封面-CMMI

信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。

一级:基本执行级

二级:计划跟踪级

三级:充分定义级

四级:量化控制级

五级:持续改进级

ITSS

技术能力要求
1. 了解信息技术的最新动向,有能力掌握信息系统的最新技术;

2. 具有不断的技术更新能力;

3. 具有对信息系统和信息技术产品面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;

4. 具有对用户信息系统和信息技术产品安全风险的分析和处理能力;

5. 具有对开发的产品进行安全检测和验证的能力;

6. 具有对信息技术产品安全进行有效维护的能力;

7. 有跟踪、了解、掌握、应用国际、国家和行业标准的能力。