信息安全服务资质自表-安全集成类-中国信息安全认证中心

编码：ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期：2017 年9 月 1 日生效日期：2017 年 9月 1日主责处室：体系与服务认证部批准：张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范，确保申请组织的自评价材料基本信息清晰明了。

2适用范围适用于所有服务资质申请企业。

3职责申请组织相关人员填写自评估表。

4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息：所提供的财务审计或者财务报告的年份，对于财务审核报告需填写所出具的会计事务所名称，需填写收入、净利润等信息。

4.1.2、办公场所填写内容包含以下信息：房屋产权证或房屋租赁合同；产权人/出租人、地址、面积、租期。

4.1.3、人员能力填写内容包含以下信息：1）填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

2）填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

3）填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

4）填写信息安全服务人员数量，养老保险证明出具单位及出具时间，劳动合同的签订时间及有效期。

5）信息安全专业保障人员认证证书，填写获证人员名称、证书编号、发证日期、有效期。

6）填写项目经理人员数量，人员的名称、证书名称、证书编号等。

4.1.4、业绩填写内容包含以下信息：1）填写首个信息安全服务（与申报类别一致）项目名称、合同签订时间、项目验收时间。

2）填写近三年信息安全服务项目（与申报类别一致）名称、合同金额、合同签订时间、验收时间、项目服务内容等。

4.1.5、服务管理填写内容包含以下信息：1）填写人员管理程序，内容应包含岗位职责，人员任前、中、后的监督、考核、评价、奖惩方式，信息安全服务相关技术岗位的能力指标。

信息安全服务资质认证
监督审核通知单
：
您好，贵组织已获中国网络安全审查技术与认证中心颁发的：
安全集成服务资质级认证证书（获证日期：年月日）
应急处理服务资质级认证证书（获证日期：年月日）
风险评估服务资质级认证证书（获证日期：年月日）
安全开发服务资质级认证证书（获证日期：年月日）
安全运维服务资质级认证证书（获证日期：年月日）
灾难备份与恢复服务资质A类级认证证书（获证日期：年月日）灾难备份与恢复服务资质B类级认证证书（获证日期：年月日）网络安全审计服务资质级认证证书（获证日期：年月日）
工业控制系统安全服务资质级认证证书（获证日期：年月日）根据《信息安全服务资质认证实施规则》的要求，贵方应于年月日前接受我中心的年度监督审核并交纳监督审核费用。

请在十个工作日内，将本通知的回执回复至本邮箱,我中心将在收到款项后开具发票并安排审核。

另外，请在贵方计划的审核日期两个月之前提交自评估材料（例如：如果计划在9月10日接受审核，自评估材料需在7月10日之前提交至中心，自评估表在“，自评估表及其附件要求的证明材料只接收电子版）。

如贵组织申请的认证类别和级别发生变化，针对有变化的认证类别需重新填写申请书和自评估表。

联系人：彭琳赓；联系电话：/4648
联系地址：北京市朝阳区朝外大街甲10号中国网络安全审查技术与认证中心。

收款账户：户名：中国信息安全认证中心；
开户行：中信银行北京国际大厦支行
账号：7
特此通知。

中国网络安全审查技术与认证中心
年月日
回执。

《信息系统安全集成服务资质认证评价要求》编制说明一、工作简况《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。

该项目由中国信息安全认证中心承担。

截止到2011年底，国内外尚未形成安全集成服务相关标准。

ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的，其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容，以及安全工程的能力成熟度模型，未涉及认证评价的内容，所以该标准不能完全满足信息安全服务资质认证工作的需要。

鉴于现状，我们征集了信息安全业界专家的意见，专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。

结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准，将安全集成服务资质分为三级，其中一级最高，三级最低，最终制定一套符合我国信息安全服务现状的认证实施规则，依据该规则指导安全集成服务资质认证工作。

为了规范信息系统安全集成（以下简称安全集成）服务市场，提升安全集成服务质量，我中心于2012年初，依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。

该实施规则得到了申请方的一致认可。

该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上，经编写小组多次讨论和征求意见后制定，形成了目前的标准草案稿。

信息安全集成服务资质认证实施规则信息安全是现代社会不可缺少的一个重要组成部分，随着网络技术的发展和普及，信息安全问题越来越引起人们的关注。

在这种背景下，信息安全集成服务逐渐成为了企业保障信息安全的一种重要手段。

为了保证这些服务的质量和可靠性，国家对信息安全集成服务进行了资质认证。

本文将从信息安全集成服务资质认证的意义、实施规则以及具体步骤等方面进行探讨。

一、信息安全集成服务资质认证的意义信息安全集成服务资质认证是指对从事信息安全集成服务的单位或者个人的从业能力、行为规范、德行等方面进行的检验和评估，以确定其能否为客户提供高质量的信息安全集成服务。

这种认证具有以下几个方面的意义：1.对信息安全服务的提供者进行规范化和统一管理信息安全集成服务资质认证可以对从事这类服务的单位或个人进行规范化和统一管理，促进信息安全服务产业的健康发展。

通过认证，能够实现对从业者的行为规范、德行、从业能力等方面的监督，并建立信息安全服务市场的信誉度。

2.提高信息安全服务的质量和可靠性信息安全集成服务资质认证可以提高信息安全服务的质量和可靠性，保障客户的信息安全。

认证过程中，会对服务提供商的技术能力、专业知识、服务质量等方面进行严格检查和评估，证明其在信息安全领域拥有一定的专业知识和实践能力。

3.对客户提供有力的保障通过对信息安全集成服务提供商的资质认证，客户可以更加可信地选择服务提供商。

认证过程能够全面评估服务提供商的实力和能力，为客户提供有力的保障，减少客户信息泄漏、网络攻击等安全隐患。

二、信息安全集成服务资质认证实施规则信息安全集成服务资质认证实施规则主要分为以下五个方面：1.认证适用范围认证的适用范围主要包括单位或者个人从事的信息安全集成服务内容，具体包括：安全策划、安全设计、安全项目管理、安全实施、安全运维等几个方面。

2.认证对象认证对象应为单位或个人，包括咨询公司、技术服务公司、安全技术公司、系统集成商等。

3.资质认证程序资质认证程序包括资格审查、资料提交、现场评审、审核、颁发证书等环节，其中现场评审包括认证初审和认证复审两个阶段。

信息安全服务资质认证要求ISCCC XXX XXX-2007信息安全服务资质认证要求Certification Requirementsfor Qualification of Information Security Service Provider(备案送审稿)中国信息安全认证中心 发布××××-××-××实施××××-××-××发布备案号：××××—××××目录前言 (3)1 适用范围 (4)2 定义 (4)2.1信息安全服务 (4)2.2信息安全服务提供者 (4)2.3信息安全服务资质等级 (4)2.4信息安全工程过程能力级别 (4)3 服务类型与资质评定原则 (4)3.1信息安全服务的类型 (4)3.2信息安全服务资质等级的评判原则 (4)4 认证具体要求 (5)4.1基本资格 (5)4.1.1独立法人 (5)4.1.2法律要求 (6)4.2基本能力 (6)4.2.1资产与规模 (6)4.2.2人员素质与构成 (6)4.2.3设备、设施与环境 (7)4.2.4业绩 (7)4.3质量管理能力 (7)4.3.1体系和管理职责 (7)4.3.2资源管理 (8)4.3.3项目过程管理 (10)4.3.4测量、分析和改进 (12)4.3.5客户服务 (13)4.3.6技术能力更新 (14)4.4安全工程过程能力 (14)4.4.1风险过程 (14)4.4.2工程过程 (16)4.4.3保证过程 (19)5引用标准与参考文献 (20)5.1计算机信息系统安全保护等级划分准则 (20)5.2系统安全工程能力成熟模型 (20)5.3系统安全工程能力成熟模型—评定方法 (20)5.4信息系统安全工程手册 (20)5.5软件工程能力成熟模型 (20)6附录——系统安全工程主要术语 (21)6.1组织 (21)6.2项目 (21)6.3系统 (21)6.4安全工程 (21)6.5安全工程生命期 (21)6.6工作产品 (22)6.7顾客 (22)6.8过程 (22)6.9过程能力 (22)6.10制度化 (23)6.11过程管理 (23)前言本技术规范属于信息安全服务资质认证要求。

通信网络安全服务能力评定准则1. 通信网络安全服务概述1.1概念本准则所述的通信网络包括电信网和互联网，所涉及的安全服务是指为了适应通信网络安全管理的需要，运用科学的方法和手段，通过有效的措施来保障通信网络的正常运行，为企业提供全面或部分安全评估、设计与集成的服务，包含从安全体系到具体的技术解决措施。

1.2类型本准则涉及到的通信网络安全服务可以分为两种类型：风险评估、安全设计与集成。

1）风险评估运用科学的方法和手段，系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，并提出有针对性的抵御威胁的防护对策和安全措施，防范和化解通信网络及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障通信网络及相关系统的安全提供科学依据。

2）安全设计与集成对所服务的通信网络的安全框架进行设计，形成安全建设规划，并对计划实施的安全策略细化，在安全解决方案的基础上，实施安全产品集成、安全软件定制开发、安全加固或其它的安全技术和咨询服务。

2. 通信网络安全服务能力等级的评判原则通信网络安全服务能力是对通信网络安全服务单位的客观评价，直接反应了通信网络安全服务单位的服务资格、水平和能力。

通信网络安全服务能力要求分别针对每一类服务单位分为基本要求和分类要求，基本要求是指所有通信网络安全服务单位都必须要达到的安全能力要求；分类要求是指对不同类型的通信网络安全服务单位提出了不同的能力要求，其中风险评估、安全设计与集成类服务分别提出了三级能力要求，由高到低依次是三级、二级、一级能力。

在本准则中，高等级能力的要求涵盖了低等级能力要求的所有方面。

通信网络安全服务能力评定要求是对通信网络安全服务单位的资格状况、经济实力、技术能力、服务队伍、服务过程能力等方面的具体衡量和评价。

3. 通信网络安全服务能力等级基本要求3.1法律要求1) 在中华人民共和国境内注册成立（港澳台地区除外）；2) 由中国公民投资、中国法人投资或者国家投资的，具有独立法人资格及相关部门颁发的合法经营资格的企事业单位（港澳台地区除外）；3) 从事涉密的通信网络安全服务单位必须满足国家保密机关的相关要求；4) 从事通信网络安全服务工作一年以上且无违法记录；5) 法人及主要业务、技术人员无犯罪记录。

信息安全集成服务资质认证实施规则一、概述二、申请流程1.资格审查：申请组织应提供必要的资格材料，包括组织机构代码证、营业执照、资质证书等，由认证机构进行资格审查。

2.评估准备：申请组织应按照《评估标准》的要求整理和准备必要的评估文档和资料。

3.评估实施：由认证机构组织专业评估师进行现场评估，内容包括对组织的组织架构、信息安全政策和安全管理体系的评估等。

4.结果确认：评估结果由认证机构根据评估报告进行确认，并向申请组织提供评估结果反馈。

5.认证证书颁发：若申请组织评估合格，并按照要求进行整改后，认证机构将颁发信息安全集成服务资质认证证书。

6.监督检查：认证证书有效期内，认证机构有权对申请组织进行监督检查，确保其持续符合认证要求。

三、评估内容1.组织架构评估：对申请组织的组织结构、人员设置、职责权限等进行评估，确保其能够履行信息安全集成服务的职责。

2.安全管理体系评估：对申请组织的信息安全管理体系进行评估，包括政策文件的准备与执行、风险管理、安全运维等。

3.项目管理评估：对申请组织的项目管理流程进行评估，包括项目启动、需求分析、设计、开发、测试、实施等环节。

4.服务质量评估：对申请组织提供的信息安全集成服务的质量进行评估，包括工程交付、售后服务等。

四、评估结果根据评估结果，认证机构将给予评估合格或不合格的结论。

1.评估合格：认证机构将颁发信息安全集成服务资质认证证书，有效期一般为三年，标志着申请组织具备了提供信息安全集成服务的资质。

2.评估不合格：申请组织需要根据评估报告进行整改，并在规定时间内重新申请评估，直到达到评估合格的标准为止。

五、监督检查1.认证证书有效期内，认证机构有权对申请组织进行监督检查，检查内容包括组织架构是否变更、信息安全管理体系的有效性等。

2.若申请组织发生重大变化，如组织架构变更、重大业务调整等，应及时通知认证机构，以便进行相应的评估和认证更新。

六、处罚措施对于违规行为或不符合认证要求的申请组织，认证机构有权采取相关处罚措施，包括暂停、撤销认证资格等。

编号：国家信息安全测评信息安全服务资质申请书(安全工程类一级)申请单位（公章）：填表日期：©版权2011—中国信息安全测评中心2011年1月1日目录填表须知 (3)申请表 (4)一、申请单位基本情况 (5)二、申请单位概况 (5)三、申请单位近三年资产运营情况 (5)四、申请单位人员情况 (5)五、申请单位技术能力基本情况 (5)六、申请单位的信息系统安全工程过程能力 (5)6.1评估系统安全威胁的能力 (5)6.2评估系统脆弱性的能力 (5)6.3评估安全对系统的影响的能力 (5)6.4评估系统安全风险的能力 (5)6.5确定系统的安全需求的能力 (5)6.6确定系统的安全输入的能力 (5)6.7进行管理安全控制的能力 (5)6.8进行监测系统安全状况的能力 (5)6.9进行安全性协调的能力 (5)6.10进行检测和证实系统安全性的能力 (5)6.11进行建立系统安全的保证证据的能力 (5)七、申请单位的项目和组织过程能力 (5)7.1实现质量保证的能力 (5)7.2管理项目风险的能力 (5)7.3规划项目技术活动的能力 (5)7.4监控技术活动的能力 (5)7.5提供不断发展的知识和技能的能力 (5)7.6与供应商协调的能力 (5)八、申请单位安全服务项目汇总 (5)九、申请单位获奖、资格授权情况 (5)十、申请单位在安全服务方面的发展规划 (5)十一、申请单位其他说明情况 (5)十二、申请单位附加信息 (5)申请单位声明 (5)填表须知用户在正式填写本申请书前，须认真阅读并理解以下内容：1．中国信息安全测评中心对下列对象进行测评：●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2．申请单位应仔细阅读《信息安全服务资质申请指南（安全工程类一级）》，并按照其要求如实、详细地填写本申请书所有项目。

3．申请单位应按照申请书原有格式进行填写。

如填写内容较多，可另加附页。