隨著我國信息化和信息安全保障工作的不斷深入推進，以應急處理、風險評估、災難恢復、系統測評、安全運維、安全審計、安全培訓和安全咨詢等為主要內容的信息安全服務在信息安全保障中的作用日益突出。加強和規范信息安全服務資質管理已成為信息安全管理的重要基礎性工作。

  一、信息安全服務資質認證基本介紹

  信息安全服務資質是信息安全服務機構提供安全服務的一種資格，包括法律地位、資源狀況、管理水平、 技術能力等方面的要求。信息安全服務資質認證是依據國家法律法規、國家標準、行業標準和技術規范，按照認證基本規范及認證規則，對提供信息安全服務機構的信息安全服務資質進行評價。

  應急處理服務是對影響計算機系統和網絡安全的不當行為(事件)進行標識、記錄、分類和處理，直到受影響的業務恢復正常運行的過程。

  風險評估服務是從風險管理角度，運用科學的方法和手段，系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，以求防范和化解信息安全風險，或將風險控制在可接受的水平。

  通過對信息安全服務分類分級的資質認證，可以對信息安全服務提供商的基本資格、管理能力、技術能力和服務過程能力等方面進行權威、客觀、公正的評價，證明其服務能力，滿足社會對服務的選擇需求。同時，認證過程也將有效促進服務提供方完善自身管理體系，提高服務質量和水平，引導行業健康規范發展。

  二、信息安全服務資質包含的專業：

  1、安全集成服務資質認證

  2、風險評估服務資質認證

  3、軟件安全開發服務資質認證

  4、安全運維服務資質認證

  5、應急處理服務資質認證

  6、災難備份與恢復服務資質認證

  7、工業控制安全服務資質認證

  8、網絡安全審計服務資質認證

  1、信息系統安全集成服務是指從事計算機應用系統工程和網絡系統工程的安全需求界定、安全設計、建設實施、安全保證的活動。信息系統安全集成包括在新建信息系統的結構化設計中考慮信息安全保證因素，從而使建設完成后的信息系統滿足建設方或使用方的安全需求而開展的活動。也包括在已有信息系統的基礎上額外增加信息安全子系統或信息安全設備等，通常被稱為安全優化或安全加固。

  2、信息安全風險評估是信息安全保障的基礎性工作和重要環節，貫穿于網絡和信息系統建設運行的全過程。服務提供者通過對信息系統提供風險評估服務，系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和安全整改措施，防范和消除信息安全風險，或將風險控制在可接受的水平，為網絡和信息安全保障提供科學依據。

  3、軟件安全開發資質認證是對軟件開發方的基本資格、管理能力、技術能力和軟件安全過程能力等方面進行評價。安全軟件開發服務資質級別是衡量服務提供方的軟件安全開發服務資格和能力的尺度。

  4、安全運維資質認證是通過技術設施安全評估，技術設施安全加固，安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢，協助組織的信息系統管理人員進行信息系統的安全運維工作，以發現并修復信息系統中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時加以響應。

  信息安全應急處理服務是通過制定應急計劃使得影響網絡與信息系統安全的安全事件能夠得到及時響應，并在安全事件一旦發生后進行標識、記錄、分類和處理，直到受影響的業務恢復正常運行的過程。應急處理服務是保障業務連續性的重要手段之一，它涵蓋了在安全事件發生后為了維持和恢復關鍵業務所進行的系列活動。

  三、信息安全服務資質認證申請的流程及材料：

  認證的基本環節：

  認證申請與受理;

  文檔審核;

  現場審核;

  認證決定;

  年度監督審核。

  初次申請服務資質認證時，申請單位應填寫認證申請書，并提交資格、能力方面的證明材料。申請材料通常包括：

  服務資質認證申請書;

  獨立法人資格證明材料;

  從事信息安全服務的相關資質證明;

  工作保密制度及相應組織監管體系的證明材料;

  與信息安全風險評估服務人員簽訂的保密協議復印件;

  人員構成與素質證明材料;

  公司組織結構證明材料;

  具備固定辦公場所的證明材料;

  項目管理制度文檔;

  信息安全服務質量管理文件;

  項目案例及業績證明材料;

  信息安全服務能力證明材料等。

  四、信息安全服務資質的評價申請基本要求：

  通用評價要求適用于風險評估、安全集成、應急處理、災難備份與恢復、軟件安全開發、安全運維、網絡安全審計、工業控制系統安全服務等類別的信息安全服務認證評價，均分為三個級別，其中一級最高。

  1.法律地位要求

  a) 在中華人民共和國境內注冊的獨立法人組織，發展歷程清晰，產權關系明確。

  b) 遵循國家相關法律法規、標準要求，無違法違規記錄，資信狀況良好。

  2. 財務資信要求

  組織經營狀況正常，建立財務管理制度，可為安全服務提供必要的財務支持。

  3. 辦公場所要求

  擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構設置及其業務需要。

  4. 人員能力要求

  a) 組織負責人擁有2年以上信息技術領域管理經歷。

  b) 技術負責人具備信息安全服務(與申報類別一致)管理能力，經評價合格(與申報類別一致)，評價要求等。

  c) 項目負責人、項目工程師具備信息安全服務(與申報類別一致)技術能力，經評價合格等。

  5. 業績要求

  a) 從事信息安全服務(與申報類別一致)4個月以上。

  b) (監督審核時)近1年內簽訂并完成至少1個信息安全服務(與申報類別一致)項目。

  6. 服務管理要求

  a) 建立并運行人員管理程序，識別安全服務人員的服務能力要求，明確安全服務人員的崗位職責、技術能力要求，并通過評價證明其能夠勝任其承擔的職責。

  b) 制定服務人員能力培養計劃，包括網絡與信息安全相關的技術、技能、管理、意識等內容，并執行計劃，確保服務人員持續勝任其承擔的職責。

  c) 建立并運行文檔管理程序，包括組織管理、服務過程管理、質量管理等內容，明確項目產生、發布、保存、傳輸、使用(包括交付和內部使用)、廢棄等環節的文檔控制。

  d) 建立并運行項目管理程序，明確服務項目的組織、計劃、實施、風險控制、交付等環節的操作規程，提供項目風險管理記錄。

  e) 建立并運行保密管理程序，明確崗位保密責任，簽訂保密協議，并能夠適時對相關人員進行保密教育。

  f) 建立與運行供應商管理程序，確保其供應商滿足服務安全要求(僅適用于安全集成、安全運維、災難備份與恢復方向)。

  g) 建立合同管理程序，制定統一合同模板，按照合同約定實施信息安全服務項目。按照客戶要求，對于接觸到的客戶敏感信息和知識產權信息予以保護，并確保服務方人員了解客戶的相關要求。

  7. 服務技術要求

  a) 建立信息安全服務(與申報類別一致)要求的流程，并按照流程實施。

  b) 制定信息安全服務(與申報類別一致)要求的規范標準，并按照規范實施。

  認證流程說明:

  1、 準備階段

  申請組織根據自身實際情況確定需要申請的服務資質類型,登錄中國信息安全認證中心 網站,下載《信息安全服務資質認證自評估表-公共管理》、《信息安全服務資質認證申請 書》,實施自評估后(具體自評估表的填寫方法可參考中心網站上的《信息安全服務資質認 證自評估表填寫指南》),將上述文檔及自評估證明材料提交中心。

  (注:申請三級信息安全服務資質的組織,需要在《信息安全服務資質認證自評估表- 公共管理》的24-服務技術、25-服務過程文檔模板這兩個條目中,提供相應的證明材料。

  申請三級信息安全服務資質的組織,原則上無需填寫技術部分的自評估表,但如申請 組織已經具備了實施完成并通過驗收的信息安全服務項目案例,也可下載并填寫相應的技 術方向的自評估表,準備技術部分的自評估證明材料,提交中心作為參考。)

  2、 非現場審核及商務階段(此階段工作應在三周內完成,如需要申請組織補充材料,應在五周內完成)

  項目管理人員指派審核組長,協調審查員組建審核組; 審核組長編制《非現場審核計劃》,通過項目管理人員發送給審核組全體成員; 審核組對申請組織提交的材料進行非現場審核工作,判斷該組織目前對外提供的信息安全服務管理及技術能力是否符合《信息安全服務 規范》的要求。如滿足要求,審核組長在 通知項目管理人員向申請組織出具《受理通知單》(如申請組織有需求,也可簽訂《服務資 質認證合同》)、收取認證費用后,編寫《非現場審核報告》,并匯總《信息安全服務資質 認證公共管理審核記錄表》等審核材料提交中心進行認證決定;如不滿足要求,審核組長通 知申請組織補充材料重新提交,并對補充材料進行審核(如申請組織所補充的材料仍無法 滿足要求,審核組長應將此情況告知項目管理人員,項目管理人員通知申請組織目前尚不 能滿足申請資質的條件)。

  3、 認證決定階段(此階段工作應在兩周內完成)

  中心認證決定人員對審核組長提交的審核材料進行認證決定;

  如認證決定通過,則通知項目管理人員進行制證;如認證決定不通過,則通知申請組織 不通過原因。

  4、 制證階段(此階段工作應在一周內完成)

  項目管理人員制作證書,并郵寄給申請組織。

  (注:申請三級信息安全服務資質的組織,無論是否提交已實施完成并通過驗收的信 息安全服務項目案例,只要通過認證決定,所頒發的證書有效期均為一年。在第一次現場 監督審核時,必須提供在該年度實施完成并通過驗收的信息安全服務項目案例。)

  信息安全服務資質認證的申請條件：

  一級評價要求

  1、申請條件

  取得信息安全服務(與申報類別一致)二級資質1 年以上。(行業領頭企業除外)

  2、法律地位要求

  在中華人民共和國境內注冊的獨立法人組織，發展歷程清晰，產權關系明確。

  3、財務資信要求

  近3 年經營狀況良好，財務數據真實可信，應提供在中華人民共和國境內登記注冊的會計師事務所出具的近3 年財務審計報告。

  4、辦公場所要求

  擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構設置及其業務需要。

  5、人員素質與資質要求

  a.組織負責人擁有4年以上信息技術領域管理經歷。

  b.技術負責人應獲得信息安全相關專業碩士及以上學位或電子信息技術類高級職稱，且從事信息安全技術工作8年以上。

  c.財務負責人擁有財務系列高級職稱，或取得中級職稱8年以上。

  d.從事信息安全技術服務人員50名以上。

  e.擁有信息安全專業認證人員(與申報類別一致)10名以上。

  f.擁有項目管理資格證書人員5名以上。

  6、技術工具要求

  a. 具備獨立的測試環境及必要的軟、硬件設備，用于技術培訓和模擬測試。

  b.具備承擔信息安全服務(與申報類別一致)項目所需的安全工具，如漏洞掃描工具、滲透測試工具、協議分析儀等。

  7、業績要求

  a.從事信息安全服務(與申報類別一致)5年以上。

  b.近三年內至少簽訂并完成10個信息安全服務項目(與申報類別一致)。

  二級評價要求

  1、法律地位要求

  在中華人民共和國境內注冊的獨立法人組織，發展歷程清晰，產權關系明確。

  2、財務資信要求

  近3 年經營狀況良好，財務數據真實可信，應提供在中華人民共和國境內登記注冊的會計師事務所出具的近3 年財務審計報告。

  3、辦公場所要求

  擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構設置及其業務需要。

  4、人員素質與資質要求

  a.組織負責人擁有3年以上信息技術領域管理經歷。

  b. 技術負責人應獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱，（CCRC認證費用報價）且從事信息安全技術工作5年以上。

  c.財務負責人具有財務系列中級以上職稱。

  d.從事信息安全服務人員30名以上。

  e. 擁有信息安全專業認證(與申報類別一致)人員6名以上。

  f.擁有項目管理資格證書人員2名以上。

  5、技術工具要求

  a.具備獨立的測試環境及必要的軟、硬件設備，用于技術培訓和模擬測試。

  b. 具備承擔信息安全服務(與申報類別一致)項目所需的安全工具，并對工具進行管理和版本控制。

  6、業績要求

  a.從事信息安全服務(與申報類別一致)3年以上，或取得信息安全服務(與申報類別一致)三級資質1年以上。

  b.近三年內簽訂并完成至少6個信息安全服務項目(與申報類別一致)。

  三級評價要求

  1、法律地位要求在中華人民共和國境內注冊的獨立法人組織，發展歷程清晰，產權關系明確。

  2、財務資信要求

  近3 年經營狀況良好，財務數據真實可信，應提供在中華人民共和國境內登記注冊的會計師事務所出具的近3 年財務審計報告。

  3、辦公場所要求

  擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構設置及其業務需要。

  4.人員素質與資質要求

  a.組織負責人擁有2年以上信息技術領域管理經歷。

  b.技術負責人獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱，且從事信

  息安全技術工作2年以上。

  c.財務負責人具有財務系列初級以上職稱。

  d.從事信息安全服務人員10名以上。

  e.擁有信息安全專業認證(與申報類別一致)人員2名以上。

  f.擁有項目管理資格證書人員1名以上。

  5、業績要求

  a、從事信息安全服務(與申報類別一致)1年以上。

  b、近3年內簽訂并完成至少1個信息安全服務(與申報類別一致)項目。