140801信息系統(tǒng)安全集成服務資質認證申請指南0729

1、信息系統(tǒng)安全集成服務資質認證信息系統(tǒng)安全集成服務資質認證申請指南申請指南1. 向各地工作站提出申請(見 p1) 各地工作聯(lián)系方式見封 22. 簽訂認證服務協(xié)議(見單行本) 3. 組織進行服務能力建設與準備認證材料(要求見 p6-p18) 4. 組織申請安排評審(見 p19)5. 接受第一階段評審(見 p20)6. 接受第二階段評審(見 p21-p22) 7. 進行第二階段問題整改(如果有,見 p23)8. 等待認證決定(見 p24)9. 等待發(fā)證(見 p25)10. 接受年度監(jiān)督評審(見 p26-27) 11. q&a（見 p28-p32）中國信息安全認證中心編制2014 年 7 月

2、1 日信息系統(tǒng)安全集成服務資質認證申請書1中國信息安全認證中心信息系統(tǒng)安全集成服務資質認證信息系統(tǒng)安全集成服務資質認證申請書申請書（第（第 2 2 版）版）申請組織（蓋章）： 申請日期： 中國信息安全認證中心中國信息安全認證中心 制制信息系統(tǒng)安全集成服務資質認證申請書2中國信息安全認證中心申請申請信息信息1申請組織性質 a 類（不含外資背景企業(yè)） b 類（含外資背景企業(yè)） c 類（事業(yè)單位）2申請類型 初次認證 級別變更 3申請級別 一級 二級 三級isccc-sv-003:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 31.基本基本信息信息申請組織全稱（中文）： 申請組

3、織全稱（英文）： 注冊地址： 郵政編碼： 實際辦公地址： 郵政編碼： 網址： 法定代表人姓名： 職務： 申請組織聯(lián)系方式：聯(lián)系人姓名： 職務： 辦公電話： 手機： 電子郵箱： 傳真： 辦公地址： 郵政編碼： 2.申請組織簡介申請組織簡介3.其他附件其他附件1)申請組織營業(yè)執(zhí)照副本或事業(yè)單位法人證、組織機構代碼證副本；2)固定辦公場所證明材料，如房產證明、租賃合同等；3)公司保密管理制度；4)近三年簽訂并完成驗收的安全集成項目（附表 1） 。isccc-sv-003:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 4申請組織聲明申請組織聲明我組織正式提出信息系統(tǒng)安全集成服務資

4、質認證申請，承諾申請書中所提供的信息屬實，遵守中華人民共和國認證認可條例及相關法規(guī)，按照中國信息安全認證中心的有關程序和規(guī)范要求，接受認證審核及證后監(jiān)督，遵守認證證書、認證標志使用和公告的規(guī)定，并及時繳納信息系統(tǒng)安全集成服務資質認證相關費用。 法定代表人（簽名）： 申請組織（蓋章）： 年 月 日isccc-sv-003:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 5附表 1申請組織信息系統(tǒng)安全集成服務項目匯總表申請組織信息系統(tǒng)安全集成服務項目匯總表序號序號項目名項目名稱稱合同金合同金額額軟件購置軟件購置費用費用硬件購置費硬件購置費用用開發(fā)與服務開發(fā)與服務費用費用其他其他

5、合同簽訂合同簽訂時間時間項目驗收時間項目驗收時間isccc-sv-003:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 6文件編碼：文件編碼：isccc-sv-003:2014信息系統(tǒng)安全集成服務資質認證實施規(guī)則信息系統(tǒng)安全集成服務資質認證實施規(guī)則2014-07-01 發(fā)布發(fā)布 2014-08-01 實施實施中國信息安全認證中心中國信息安全認證中心 發(fā)發(fā)isccc-sv-003:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 7目目 錄錄1.1.適用范圍適用范圍.32.2.規(guī)范性引用文件規(guī)范性引用文件.33.3.術語與定義術語與定義.33.1.3.1.

6、信息系統(tǒng)集成信息系統(tǒng)集成.33.2.3.2.信息系統(tǒng)安全集成服務信息系統(tǒng)安全集成服務.34.4.安全集成資質認證要求安全集成資質認證要求.34.1.4.1.總則總則.34.2.4.2.資信要求資信要求.34.2.1.4.2.1.三級資信要求三級資信要求.34.2.1.1.4.2.1.1.法律地位要求法律地位要求 .34.2.1.2.4.2.1.2.財務資信要求財務資信要求 .44.2.1.3.4.2.1.3.辦公場所要求辦公場所要求 .44.2.1.4.4.2.1.4.人員素質要求人員素質要求 .44.2.1.5.4.2.1.5.人員資質要求人員資質要求 .44.2.1.6.4.2.1.6.業(yè)

7、績要求業(yè)績要求 .44.2.1.7.4.2.1.7.服務管理要求服務管理要求 .44.2.2.4.2.2.二級資信要求二級資信要求.44.2.2.1.4.2.2.1.法律地位要求法律地位要求 .44.2.2.2.4.2.2.2.財務資信要求財務資信要求 .44.2.2.3.4.2.2.3.辦公場所要求辦公場所要求 .44.2.2.4.4.2.2.4.人員素質要求人員素質要求 .54.2.2.5.4.2.2.5.人員資質要求人員資質要求 .54.2.2.6.4.2.2.6.業(yè)績要求業(yè)績要求 .54.2.2.7.4.2.2.7.服務管理要求服務管理要求 .54.2.3.4.2.3.一級資信要求一級

8、資信要求.54.2.3.1.4.2.3.1.申請條件申請條件 .54.2.3.2.4.2.3.2.法律地位要求法律地位要求 .54.2.3.3.4.2.3.3.財務資信要求財務資信要求 .54.2.3.4.4.2.3.4.辦公場所要求辦公場所要求 .54.2.3.5.4.2.3.5.人員素質要求人員素質要求 .54.2.3.6.4.2.3.6.人員資質要求人員資質要求 .64.2.3.7.4.2.3.7.業(yè)績要求業(yè)績要求 .64.2.3.8.4.2.3.8.服務管理要求服務管理要求 .64.3.4.3.能力要求能力要求.64.3.1.4.3.1.總則總則.64.3.2.4.3.2.三級能力要求

9、三級能力要求.64.3.2.1.4.3.2.1.集成準備階段集成準備階段 .64.3.2.2.4.3.2.2.方案設計階段方案設計階段 .74.3.2.3.4.3.2.3.建設實施階段建設實施階段 .74.3.2.4.4.3.2.4.安全保障階段安全保障階段 .74.3.3.4.3.3.二級能力要求二級能力要求.74.3.3.1.4.3.3.1.集成準備階段集成準備階段 .74.3.3.2.4.3.3.2.方案設計階段方案設計階段 .74.3.3.3.4.3.3.3.建設實施階段建設實施階段 .84.3.3.4.4.3.3.4.安全保障階段安全保障階段 .84.3.4.4.3.4.一級能力要求

10、一級能力要求.84.3.4.1.4.3.4.1.集成準備階段集成準備階段 .84.3.4.2.4.3.4.2.方案設計階段方案設計階段 .84.3.4.3.4.3.4.3.建設實施階段建設實施階段 .84.3.4.4.4.3.4.4.安全保障階段安全保障階段 .95.5.安全集成資質認證程序安全集成資質認證程序.9isccc-sv-003:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 85.1.5.1.申請申請.95.2.5.2.文檔審核文檔審核.95.3.5.3.現(xiàn)場審核現(xiàn)場審核.95.4.5.4.認證決定認證決定.105.5.5.5.證后監(jiān)督證后監(jiān)督.105.5.1.

11、5.5.1.證后監(jiān)督頻次和方式證后監(jiān)督頻次和方式.105.5.2.5.5.2.證后監(jiān)督內容證后監(jiān)督內容.105.5.3.5.5.3.證后監(jiān)督結論證后監(jiān)督結論.105.5.4.5.5.4.信息通報信息通報.105.6.5.6.認證周期認證周期.115.7.5.7.認證證書管理認證證書管理.115.7.1.5.7.1.證書有效期證書有效期.115.7.2.5.7.2.暫停認證證書暫停認證證書.115.7.3.5.7.3.撤銷認證證書撤銷認證證書.115.7.4.5.7.4.注銷認證證書注銷認證證書.115.7.5.5.7.5.證書變更證書變更.116.6.參考文獻參考文獻.12isccc-sv-0

12、03:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 91.1.適用范圍適用范圍信息系統(tǒng)安全集成服務資質認證是依據(jù)國家認證認可法律法規(guī)、相關技術標準和規(guī)范，對信息系統(tǒng)安全集成服務提供者的資質進行評價的合格評定活動。本規(guī)則規(guī)定了信息系統(tǒng)安全集成服務提供者（以下簡稱服務提供者）應具備的資信要求、能力要求以及認證機構開展資質認證的程序。本規(guī)則可用于第三方機構對服務提供者進行資信和能力評價，可作為服務提供者開展自我評價的依據(jù)，并可為政府及有關社會組織選擇服務提供者提供依據(jù)。2.2.規(guī)范性引用規(guī)范性引用文件文件下列文件中的條款通過本文件引用而成為本文件的條款。凡是注日期的引用文件，其

13、隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本文件，然而，鼓勵根據(jù)本文件達成協(xié)議的各方研究可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本文件。cnca/cts 0052-2007信息安全服務資質認證技術規(guī)范rb/t 201-2013信息系統(tǒng)安全集成服務資質認證評價要求gb/t 5271.8-2001信息技術詞匯第8部分：安全中的術語和定義適用于本標準。3.3.術語與術語與定義定義3.1.3.1.信息系統(tǒng)集成信息系統(tǒng)集成信息系統(tǒng)集成是指從事網絡系統(tǒng)、應用系統(tǒng)、安防系統(tǒng)、建筑智能化系統(tǒng)的總體策劃、設計、開發(fā)、實施、服務及保障等活動。3.2.3.2.信息系統(tǒng)安全集成服

14、務信息系統(tǒng)安全集成服務信息系統(tǒng)安全集成服務（以下簡稱“安全集成” ）是信息系統(tǒng)集成過程中的安全需求界定、安全設計、安全實施、安全保障等活動。采用信息系統(tǒng)安全工程的方法和理論，將安全單元、安全產品部件進行集成的活動。4.4.安全集成資質認證要求安全集成資質認證要求4.1.4.1.總則總則安全集成資質認證要求包括資信和能力要求兩部分。安全集成資質分為：一級、二級和三級，其中一級最高。4.2.4.2.資信要求資信要求4.2.1.4.2.1. 三級資信要求三級資信要求4.2.1.1.4.2.1.1.法律地位要求法律地位要求在中華人民共和國境內注冊的獨立法人組織，發(fā)展歷程清晰，產權關系明確。4.2.1.

15、2.4.2.1.2.財務資信要求財務資信要求近3年經營狀況良好，財務數(shù)據(jù)真實可信，應提供在中華人民共和國境內登記注冊的會計師事務所出具的近3年財務審計報告。isccc-sv-003:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 104.2.1.3.4.2.1.3.辦公場所要求辦公場所要求擁有長期固定辦公場所和相適應的辦公條件，能滿足機構設置及其業(yè)務需要。4.2.1.4.4.2.1.4.人員素質要求人員素質要求組織負責人擁有2年以上信息技術領域管理經歷；技術負責人應獲得信息系統(tǒng)安全集成相關專業(yè)認證或信息安全專業(yè)碩士及以上學位或電子信息技術類中級職稱，且從事安全集成技術工作至

16、少2年；財務負責人具有財務系列初級以上職稱。信息系統(tǒng)安全集成技術服務人員10名以上。4.2.1.5.4.2.1.5.人員資質要求人員資質要求擁有信息系統(tǒng)安全集成相關專業(yè)認證人員至少2名；擁有項目管理資格證書人員至少1名。4.2.1.6.4.2.1.6.業(yè)績要求業(yè)績要求從事信息系統(tǒng)安全集成服務至少1年。近3年內簽訂并完成的安全集成項目總金額不少于300萬元人民幣，且至少完成一個100萬以上的安全集成項目。4.2.1.7.4.2.1.7.服務管理要求服務管理要求a) 遵循國家相關法律法規(guī)、標準要求，無違法違規(guī)記錄，資信狀況良好。b) 制定保密管理制度，明確崗位保密責任，并與相關人員簽訂保密協(xié)議。c

17、) 建立人員管理程序和能力考核指標；制定業(yè)務和技能培訓計劃，定期對相關人員開展培訓和考核。d) 建立文檔控制程序，明確文檔管理職責，任命管理人員，確保項目文檔資料妥善保管。e) 提供資源，確保安全集成項目的實施。4.2.2.4.2.2. 二級資信要求二級資信要求4.2.2.1.4.2.2.1.法律地位要求法律地位要求在中華人民共和國境內注冊的獨立法人組織，發(fā)展歷程清晰，產權關系明確。4.2.2.2.4.2.2.2.財務資信要求財務資信要求近3年經營狀況良好，財務數(shù)據(jù)真實可信，應提供在中華人民共和國境內登記注冊的會計師事務所出具的近3年財務審計報告。4.2.2.3.4.2.2.3.辦公場所要求辦

18、公場所要求擁有長期固定辦公場所和相適應的辦公條件，能滿足機構設置及其業(yè)務需要。4.2.2.4.4.2.2.4.人員素質要求人員素質要求組織負責人擁有3年以上信息技術領域管理經歷；技術負責人應獲得信息系統(tǒng)安全集成相關專業(yè)認證或信息安全專業(yè)碩士及以上學位或電子信息技術類高級職稱，且從事安全集成技術工作至少5年；財務負責人擁有財務系列中級以上職稱。isccc-sv-003:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 11信息系統(tǒng)安全集成技術服務人員30名以上。4.2.2.5.4.2.2.5.人員資質要求人員資質要求擁有信息系統(tǒng)安全集成相關專業(yè)認證人員至少6名；具有項目管理的資

19、格證書人員至少2名。4.2.2.6.4.2.2.6.業(yè)績要求業(yè)績要求從事信息系統(tǒng)安全集成服務3年以上，或取得安全集成三級資質1年以上。近3年內簽訂并完成至少6個安全集成項目，項目總金額至少1000萬元人民幣，且至少完成一個200萬以上的安全集成項目。4.2.2.7.4.2.2.7.服務管理要求服務管理要求a) 遵循國家相關法律法規(guī)、標準要求，無違法違規(guī)記錄，資信狀況良好。b) 制定保密管理制度，明確崗位保密責任，與相關人員簽訂保密協(xié)議。c) 參照國際或國內標準，建立業(yè)務范圍覆蓋安全集成服務的質量管理體系，并有效運行。d) 參照國際或國家標準，建立業(yè)務范圍覆蓋安全集成服務的信息安全管理體系或信息

20、技術服務管理體系，并有效運行。e) 提供資源，確保安全集成項目的實施。4.2.3.4.2.3. 一級資信要求一級資信要求4.2.3.1.4.2.3.1.申請條件申請條件取得安全集成二級資質1年以上。4.2.3.2.4.2.3.2.法律地位要求法律地位要求在中華人民共和國境內注冊的獨立法人組織，發(fā)展歷程清晰，產權關系明確。4.2.3.3.4.2.3.3.財務資信要求財務資信要求近3年經營狀況良好，財務數(shù)據(jù)真實可信，應提供在中華人民共和國境內登記的會計師事務所出具的近3年財務審計報告。4.2.3.4.4.2.3.4.辦公場所要求辦公場所要求擁有長期固定辦公場所和相適應辦公條件，能滿足機構設置及其業(yè)

21、務需要。4.2.3.5.4.2.3.5.人員素質要求人員素質要求組織負責人擁有4年以上信息技術領域管理經歷；技術負責人應獲得信息系統(tǒng)安全集成相關專業(yè)認證或信息安全專業(yè)碩士及以上學位或電子信息技術類高級職稱，且從事安全集成技術工作至少8年；財務負責人擁有財務系列高級職稱或取得中級職稱8年以上。信息系統(tǒng)安全集成技術服務人員50名以上。4.2.3.6.4.2.3.6.人員資質要求人員資質要求擁有信息系統(tǒng)安全集成相關專業(yè)認證人員至少10名；具有項目管理的資格證書人員至少5名。isccc-sv-003:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 124.2.3.7.4.2.3.7

22、.業(yè)績要求業(yè)績要求從事信息系統(tǒng)安全集成服務5年以上。近3年內簽訂并完成至少10個安全集成項目，通過驗收并投入實際應用。項目合同總金額至少2000萬元人民幣，且至少完成一個500萬以上的安全集成項目。4.2.3.8.4.2.3.8.服務管理要求服務管理要求a) 遵循國家相關法律法規(guī)、標準要求，無違法違規(guī)記錄，資信狀況良好。b) 制定保密管理制度，明確崗位保密責任，與相關人員簽訂保密協(xié)議。c) 參照國際、國內標準，建立業(yè)務范圍覆蓋安全集成服務的質量管理體系，并提供有效運行的相關證明。d) 參照國際、國家標準，建立業(yè)務范圍覆蓋安全集成服務的信息安全管理體系或信息技術服務管理體系，并提供有效運行的相關

23、證明。e) 提供足夠資源，確保安全集成項目的實施。4.3.4.3.能力要求能力要求4.3.1.4.3.1. 總則總則安全集成項目劃分為集成準備、方案設計、建設實施、安全保障四個階段。4.3.2.4.3.2. 三級能力要求三級能力要求4.3.2.1.4.3.2.1.集成準備階段集成準備階段4.3.2.1.1.4.3.2.1.1.需求調研與分析需求調研與分析a)調研客戶背景信息，采集系統(tǒng)建設需求和建設目標，明確系統(tǒng)功能、性能及安全性要求。b)基于系統(tǒng)建設需求，提出產品選型方案和建設預算。c)結合系統(tǒng)建設和安全需求，與客戶、設計、開發(fā)等人員充分溝通，達成共識并形成記錄。4.3.2.1.2.4.3.2

24、.1.2.簽訂服務協(xié)議簽訂服務協(xié)議a)與客戶、供應商簽訂服務協(xié)議，明確范圍、目標、時間、內容、金額、質量和輸出等。b)與客戶、供應商等相關方簽訂保密協(xié)議，明確保密職責和違約責任。4.3.2.2.4.3.2.2.方案設計階段方案設計階段a)根據(jù)系統(tǒng)建設安全需求，編制安全集成技術方案。b)依據(jù)技術方案，編制安全集成實施方案，明確項目人員、進度、質量、溝通、風險等方面的要求。c)結合技術方案和實施方案，與客戶進行溝通，獲得客戶認可。4.3.2.3.4.3.2.3.建設實施階段建設實施階段4.3.2.3.1.4.3.2.3.1.實施集成實施集成isccc-sv-003:2014 信息系統(tǒng)安全集成服務資

25、質認證實施規(guī)則中國信息安全認證中心 13a)依據(jù)已確認的安全集成項目技術方案和實施方案，按照時間和質量要求進行系統(tǒng)建設。b)項目實施人員按時提交施工記錄和工程日志，及時向項目經理匯報項目進度。c)建立安全集成項目協(xié)調機制，明確責任人，暢通信息溝通渠道，保障各相關方在項目實施過程中能夠有效充分的溝通。4.3.2.4.4.3.2.4.安全保障階段安全保障階段4.3.2.4.1.4.3.2.4.1.系統(tǒng)測試系統(tǒng)測試a)依據(jù)項目技術方案和測試計劃，對系統(tǒng)進行聯(lián)調和系統(tǒng)測試，完整記錄測試過程相關信息。b)對于新建系統(tǒng)重點測試系統(tǒng)的功能、性能和安全性等；對于系統(tǒng)改造或升級項目，還需進行兼容性測試。4.3.

26、2.4.2.4.3.2.4.2.系統(tǒng)試運行系統(tǒng)試運行a)為測試系統(tǒng)運行的可靠性和穩(wěn)定性，系統(tǒng)初驗后需進行試運行，并記錄系統(tǒng)運行狀況，試運行周期至少一個月。b)基于系統(tǒng)運行相關記錄，及時對系統(tǒng)設備進行調整和維護。4.3.2.4.3.4.3.2.4.3.驗收驗收a)根據(jù)合同約定，向客戶提交完整的項目資料及交付物，并提出終驗申請。b)根據(jù)合同約定，配合組織項目驗收，出具項目驗收報告。4.3.3.4.3.3. 二級能力要求二級能力要求組織申報二級資質，除滿足三級能力要求外，還應滿足以下要求：4.3.3.1.4.3.3.1.集成準備階段集成準備階段4.3.3.1.1.4.3.3.1.1.需求調研與分析需

27、求調研與分析a)準確識別和綜合分析系統(tǒng)在保密性、完整性、可用性、可靠性等方面的安全需求，提出系統(tǒng)安全保障策略和建議。b)基于客戶需求和投入能力，開展需求分析，編制需求分析報告。4.3.3.2.4.3.3.2.方案設計階段方案設計階段a)結合需求分析和客戶在保障系統(tǒng)安全方面的投入能力，提出系統(tǒng)建設安全設計說明書，明確系統(tǒng)架構、產品選型、產品功能、性能及配置等參數(shù)。b)組織客戶及相關技術專家對技術方案和實施方案進行論證，確認是否滿足系統(tǒng)功能、性能和安全性要求。c)結合技術方案，對項目組及第三方配合人員進行業(yè)務和技能培訓。d)依據(jù)技術方案具體指標要求，制定系統(tǒng)測試計劃。4.3.3.3.4.3.3.3

28、.建設實施階段建設實施階段4.3.3.3.1.4.3.3.3.1.實施集成實施集成isccc-sv-003:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 14a)產品、設備安裝調試過程中，應完整妥善記錄相關信息。b)項目建設施工完成后，需向客戶提交完工報告。c)項目實施完成后，相關過程記錄及時歸檔，并統(tǒng)一保管。4.3.3.3.2.4.3.3.3.2.監(jiān)督管理監(jiān)督管理建立客戶滿意度調查機制，并對調查結果進行分析。4.3.3.4.4.3.3.4.安全保障階段安全保障階段4.3.3.4.1.4.3.3.4.1.系統(tǒng)測試系統(tǒng)測試a)系統(tǒng)測試完成后，制定系統(tǒng)測試報告，并提交客戶。b

29、)結合項目需要提出初驗申請，組織客戶及相關方對項目進行初驗，并提交初驗報告。4.3.3.4.2.4.3.3.4.2.系統(tǒng)試運行系統(tǒng)試運行試運行結束后，項目組制定系統(tǒng)試運行報告，并提交客戶。4.3.4.4.3.4. 一級能力要求一級能力要求組織申報一級資質，除滿足二級能力要求外，還應滿足以下要求：集成準備集成準備階段階段4.3.4.1.1.4.3.4.1.1.需求調研與分析需求調研與分析協(xié)助客戶有效識別系統(tǒng)建設過程中的政策、法律和約束條件,有效規(guī)避商業(yè)風險和泄密事件。4.3.4.1.2.4.3.4.1.2.簽訂服務協(xié)議簽訂服務協(xié)議建立安全集成服務級別管理程序，簽訂服務級別協(xié)議。4.3.4.2.4

30、.3.4.2.方案設計方案設計階段階段a)結合項目需要，編制安全集成項目施工手冊和作業(yè)指導書。b)對于新建系統(tǒng)，建設實施過程應重點關注信息系統(tǒng)的功能、性能和安全性等方面要求。對于系統(tǒng)改造，還應考慮改造前技術測試驗證及在實施失敗后的回退措施。技術測試驗證需要考慮新舊系統(tǒng)的兼容問題，包括網絡兼容、系統(tǒng)兼容、應用兼容等。c)基于安全集成項目需求和進度計劃，編制信息安全產品和工具定制開發(fā)計劃。4.3.4.3.4.3.4.3.建設實施建設實施階段階段4.3.4.3.1.4.3.4.3.1.實施集成實施集成a)建立項目變更管理程序，對項目實施過程中方案、資源變更進行有效控制，完整記錄變更過程。b)制定項目

31、應急處置方案和恢復策略，對項目過程中的應急事件及時進行響應。4.3.4.3.2.4.3.4.3.2.監(jiān)督管理監(jiān)督管理定期對項目實施情況進行評審，采取適當措施，控制項目風險。isccc-sv-003:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 154.3.4.4.4.3.4.4.安全安全保障階段保障階段4.3.4.4.1.4.3.4.4.1.系統(tǒng)測試系統(tǒng)測試基于建設系統(tǒng)的安全要求，制定系統(tǒng)安全性測試方案，模擬攻擊場景，對系統(tǒng)安全性進行測試。4.3.4.4.2.4.3.4.4.2.系統(tǒng)試運行系統(tǒng)試運行a)制定系統(tǒng)試運行計劃，建立應急響應服務保障團隊，及時應對突發(fā)事件。b)綜

32、合分析系統(tǒng)運行狀態(tài)，建立系統(tǒng)運行策略和安全指南，并對相關產品和設備設施進行配置管理。c)提供三個月以上的試運行記錄和報告。5.5.安全集成資質認證安全集成資質認證程序程序5.1.5.1.申請申請申請組織可自愿向認證機構提出申請，并提交信息系統(tǒng)安全集成服務資質認證申請書及以下材料：a)獨立法人資格相關證明材料；b)固定辦公場所證明材料；c)保密管理制度；d)安全集成業(yè)績證明材料等。5.2.5.2.文件審核文件審核依據(jù)認證程序和相關標準要求，對申請組織提交的申請書及附件進行評審，確保：a)認證機構和申請組織之間無理解差異；b)申請組織充分理解認證實施規(guī)則相關要求；c)對于申請的認證范圍、工作場所等

33、相關要求，認證機構均有能力開展認證服務。5.3.5.3.現(xiàn)場審核現(xiàn)場審核認證機構組成評審組，依據(jù)相關標準和審核要求，到申請組織現(xiàn)場進行評審，主要內容包括：a)驗證申請組織相關資質證明、規(guī)章制度和程序文件；b)通過檢查、觀察、訪談，驗證申請組織的安全集成服務技術、管理能力；c)現(xiàn)場案例抽查。5.4.5.4.認證決定認證決定認證機構認證決定委員會執(zhí)行認證決定。認證決定委員會由3名以上（含3名）奇數(shù)認證決定人員組成。認證決定人員依據(jù)認證標準、認證程序及實施規(guī)則要求，結合評審過程中采集的信息（對于存在不符合項的情況，需進行整改并由評審組驗證通過），對審核結果進行綜合評isccc-sv-003:2014

34、 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 16價，做出“通過認證”或 “不通過認證”的決定。必要時，認證決定委員會應對申請組織是否滿足認證標準進行風險評估后，再做出是否通過認證的決定。對于符合認證要求的申請組織，認證機構應頒發(fā)認證證書，并在官方媒體上予以公告。對于不符合認證要求的申請組織，認證機構應以書面的形式，明示其不能獲得認證的原因。申請組織如對認證決定結果有異議，可向認證機構提出申訴。認證機構自收到申訴之日起，在一個月內進行處理，并將處理結果書面通知申請組織。5.5.5.5.證后監(jiān)督證后監(jiān)督5.5.1.5.5.1. 證后監(jiān)督頻次和方式證后監(jiān)督頻次和方式認證機構需對獲證組

35、織實施監(jiān)督。監(jiān)督審核需到獲證組織現(xiàn)場實施，且每年度（不超過12個月）進行一次監(jiān)督審核。當獲證組織發(fā)生重大變更、事故或客戶投訴時，認證機構可增加現(xiàn)場監(jiān)督審核的頻次。5.5.2.5.5.2. 證后監(jiān)督內容證后監(jiān)督內容監(jiān)督審核除包括初次評審的內容外，還應對上一次審核中提出的不符合項和觀察項所采取糾正/預防措施進行驗證。5.5.3.5.5.3. 證后監(jiān)督結論證后監(jiān)督結論對于通過監(jiān)督審核的獲證組織，認證機構應做出維持認證證書有效的決定；否則，暫?；虺蜂N其認證證書。5.5.4.5.5.4. 信息通報信息通報為確保獲證組織的安全服務能力持續(xù)有效，獲證組織應建立信息通報渠道，及時向認證機構報告以下信息：a)組

36、織機構變更信息；b)安全事故、客戶投訴信息；c)其他重要信息。認證機構應及時對上述信息進行處理并采取相應措施，包括增加監(jiān)督審核頻次、暫?；虺蜂N認證證書。5.6.5.6.認證周期認證周期認證周期是指申請被正式受理之日起，至認證證書頒發(fā)，實際發(fā)生的時間，包括認證受理、文檔審核、現(xiàn)場審核、認證決定以及證書審批等環(huán)節(jié)，一般為三個月。5.7.5.7.認證證書認證證書管理管理5.7.1.5.7.1. 證書有效期證書有效期獲證組織如持續(xù)滿足標準要求，且通過認證機構年度監(jiān)督評審，可保持證書有效。isccc-sv-003:2014 信息系統(tǒng)安全集成服務資質認證實施規(guī)則中國信息安全認證中心 175.7.2.5.7

37、.2. 暫停認證證書暫停認證證書獲證組織有下列情形之一，認證機構應暫停其認證證書：a)未按規(guī)定接受監(jiān)督審核；b)違規(guī)使用認證證書，且未造成不良影響；c)監(jiān)督審核有嚴重不符合項; d)不接受認證機構實施監(jiān)督;e)其他需要暫停證書的情況。證書暫停時間一般為三個月。在證書暫停期間，組織可提出恢復證書的申請，并經認證機構審核、批準后方可使用證書。5.7.3.5.7.3. 撤銷認證證書撤銷認證證書獲證組織有下列情形之一，認證機構應撤銷其認證證書：a)證書暫停期間，未在規(guī)定時間內完成整改并通過驗證；b)違規(guī)使用認證證書，造成不良影響；c)獲證組織出現(xiàn)嚴重責任事故、被投訴且經核實，影響其繼續(xù)有效提供服務；d

38、)被客戶投訴，經調查事實存在e)其他需要撤銷證書的情況。5.7.4.5.7.4. 注銷認證證書注銷認證證書獲證組織因自身原因不再維持證書，可向認證機構提出注銷認證證書的申請，認證機構應及時給予注銷。認證證書撤銷或注銷后，認證機構應及時收回認證證書，并在官方媒體予以公告。5.7.5.5.7.5. 證書變更證書變更證書變更如只涉及地址、資金或法定代表人的變更，獲證組織需遞交變更申請，經書面審核批準后，認證機構可更換其證書并收回原證書。如獲證組織發(fā)生除以上外的重大調整，應向認證機構提出變更申請，并提供相關材料。認證機構需進行現(xiàn)場驗證，并做出認證決定。isccc-sv-003:2014 信息系統(tǒng)安全集

39、成服務資質認證實施規(guī)則中國信息安全認證中心 186.6.參考文獻參考文獻gb/t 20261-2006 信息技術 系統(tǒng)安全工程 能力成熟度模型yd/t 1621-2007 網絡與信息安全服務資質評價準則yd/t 1799-2008 網絡與信息安全應急處理服務資質評價方法yd/t 2252-2011 網絡與信息安全風險評估服務能力評價方法cnca/cts 0052-2007 信息安全服務資質認證技術規(guī)范計算機信息系統(tǒng)集成企業(yè)資質等級評定條件 （2012年修定版）通信信息網絡系統(tǒng)集成企業(yè)資質認定安防工程企業(yè)資質評定標準中安協(xié)資2007 2號建筑智能化工程專業(yè)承包企業(yè)資質等級標準組織申請安排評審中國

40、信息安全認證中心 19組織申請安排評審組織申請安排評審組織在完成安全集成能力建設,并按信息系統(tǒng)安全集成服務資質認證實施規(guī)則完成相關證據(jù)準備后，可以向當?shù)毓ぷ髡旧暾堅u審，申請時請?zhí)顚懮暾垎尾⑼ㄟ^郵件方式通知工作站，與工作站協(xié)商評審時間（由于要盡量集中安排評審，以降低組織負擔和提高效率，通常組織提出申請后 1 個月之內安排） 。 安排評審申請單安排評審申請單1.基本信息基本信息申請組織全稱（中文）： 申請組織全稱（英文）： 注冊地址： 郵政編碼： 實際辦公地址： 郵政編碼： 網址： 法定代表人姓名： 職務： 申請組織聯(lián)系方式：聯(lián)系人姓名： 職務： 辦公電話： 手機： 電子郵箱： 傳真： 辦公地址：

41、 郵政編碼： 2.申請評審時間申請評審時間計劃第一階段評審時間： 至 實際安排第一階段評審時間： 至 計劃第二階段評審時間： 至 實際安排第二階段評審時間： 至 接受第一階段評審中國信息安全認證中心 20接受第一階段評審接受第一階段評審各地工作站將依據(jù)與組織協(xié)商的時間安排第一階段評審，一階段評審主要是對組織資信水平進行驗證和組織能力建設情況進行考察，目的是評價組織滿足要求的充分性和適宜性。 評審主要通過文檔評審和環(huán)境巡視進行。在評審過程中發(fā)現(xiàn)的問題，評審員將與組織進行現(xiàn)場溝通，組織應依據(jù)評審員的要求進行整改，以便順利實施第二階段評審。第一階段結束時，組織應與評審員商定第二階段評審時間。接受第二

42、階段評審中國信息安全認證中心 21接受第二階段評審接受第二階段評審依據(jù)第一階段評審結束時組織與評審員商定的時間組織評審，對三級認證由各地工作站直接組織，對一、二級認證由中國信息安全認證中心組織。在評審過程中發(fā)現(xiàn)的問題，評審員將據(jù)實開具不符合報告或觀察項報告，格式如下：信息安全服務資質認證審核觀察項報告信息安全服務資質認證審核觀察項報告申請編號服務類別/級別受審核組織名稱審核類型初次審核 年監(jiān)督審核 其他審核組長受審核部門/陪同人審核員審核時間情況描述：依據(jù)：受審核部門確認日期受審核組織代表確認日期備注：接受第二階段評審中國信息安全認證中心 22信息安全服務資質認證現(xiàn)場審核信息安全服務資質認證現(xiàn)

43、場審核不符合項報告不符合項報告 申請編號服務類別/級別受審核組織名稱審核類型初次認證 年監(jiān)督 其他審核時間審核部門/陪同人員審核組長審核員不符合項描述：不符合標準條款：受審核部門代表確認： 日期：受審核組織代表確認： 日期：不符合類型： 嚴重 一般糾正措施（附含原因分析的糾正措施材料）受審核組織代表確認： 日期：糾正措施跟蹤驗證情況：審核員： 日期：備注注：現(xiàn)場審核不符合項應在 3 個月內完成糾正措施并經驗證合格。進行第二階段問題整改中國信息安全認證中心 23進行第二階段問題整改（如果有）進行第二階段問題整改（如果有）如果在第二階段評審過程中，評審員發(fā)現(xiàn)了不符合項，組織在確定不符合報告之后應按

44、要求進行整改。整改的關鍵是要找出問題的原因，對已存在的問題進行糾正，且采取有效措施確保原因得到消除，從而確保發(fā)現(xiàn)的不符合得到整改。整改應在 3 個月內完成。整改結果要得到評審員的確認，且被評審員認為所采取的糾正措施是恰當合有效的。等待認證決定中國信息安全認證中心 24等待認證決定等待認證決定評審員在完成第二階段評審之后，5 個工作日內出具認證評審報告（提交認證決定委員會和申請認證組織） 。認證決定委員會在接到認證決定請求后，3 個工作日內完成認證決定。不通過時，通過工作與組織及時進行溝通。通過時，將轉制證環(huán)節(jié)。等待發(fā)證中國信息安全認證中心 25等待發(fā)證等待發(fā)證通過認證決定的組織，中國信息安全認

45、證中心本部（或工作站）將在 5 個工作日內完成制證，且寄出。證書格式如下：接受年度監(jiān)督評審中國信息安全認證中心 26接受年度監(jiān)督評審接受年度監(jiān)督評審組織在獲得認證之后，應采取有效措施，以保證證書持續(xù)有效，中國信息安全認證中心將采取年度監(jiān)督評審方式來驗證組織證書保持狀態(tài)。證后監(jiān)督評審，每年進行一次。組織應自發(fā)證之日或監(jiān)督評審通過之日起，12 月內申請年度監(jiān)督評審（申請表如下，通過郵件方式發(fā)送給工作站） 。安排年度監(jiān)督申請單安排年度監(jiān)督申請單1.基本信息基本信息申請組織全稱（中文）： 申請組織全稱（英文）： 注冊地址： 郵政編碼： 實際辦公地址： 郵政編碼： 網址： 法定代表人姓名： 職務： 申請

46、組織聯(lián)系方式：聯(lián)系人姓名： 職務： 辦公電話： 手機： 電子郵箱： 傳真： 辦公地址： 郵政編碼： 1.申請監(jiān)督評審時間申請監(jiān)督評審時間計劃評審時間： 至 實際安排評審時間： 至 通過年度監(jiān)督評審的組織將獲得通過年度監(jiān)督評審標志（此標接受年度監(jiān)督評審中國信息安全認證中心 27志應貼在證書標志位中） ，同時，中國信息安全認證中心本部（或工作站）每三年將換發(fā)一次新證書。沒有通過年度監(jiān)督評審的組織將被暫停證書，直到證書恢復或撤銷。q&a中國信息安全認證中心 28q&a1中國信息安全認證中心是一個什么機構？ 答：中國信息安全認證中心（英文簡稱：isccc）是經中央機構編制委員會辦公室批

47、準成立，由公安部、安全部、信息產業(yè)部、國家保密局、國家密碼管理局、國務院信息化工作辦公室、國家質檢總局、國家認監(jiān)委等八部委授權，依據(jù)國家有關強制性產品認證，信息安全管理法律法規(guī)，負責實施信息安全認證的專門機構，系第三方公正機構和法人實體。其職能為：在批準的工作范圍內按照認證基本規(guī)范和認證規(guī)則開展認證工作：依據(jù)國家法律、法規(guī)及授權參加相關國際組織開展信息安全領域的國際合作。2什么組織可以申請信息系統(tǒng)安全集成服務資質認證？答：從事信息系統(tǒng)集成、智能樓宇集成、安防集成的組織均可以申請。3向誰申請信息系統(tǒng)安全集成服務資質認證？答：各地企業(yè)直接向當?shù)毓ぷ髡旧暾垼ū本┢髽I(yè)直接向中心總部申請）注：為保證服務

48、到位，各地每兩個月有一次集中評審時間，建議注意每期申報截至時間。4能否直接申請一級？ 答：新規(guī)則正式實施后（新規(guī)則 2014 年 8 月 1 日正式實施）不能直接申請一級，但可以直接申請二級。5認證如何收費？ 答：初次認證組織在簽訂合同后（年度監(jiān)督費用在實施年度監(jiān)督q&a中國信息安全認證中心 29前） ，向中國信息安全認證中心指定帳戶支付認證費用。信息系統(tǒng)安全集成服務資質認證（新）收費信息系統(tǒng)安全集成服務資質認證（新）收費標準標準2014 年 8 月 1 日起執(zhí)行新收費標準如下：初次認證費和（每年）證后監(jiān)督費，無再認證費用，不需交納年金。1、初次認證費用 單位：人民幣元級 別一 級二

49、級三 級申請費200020002000批準與注冊費200020002000評審費5000*13 人日=650005000*7 人日=350005000*3 人日=15000總 計6900039000190002、證后監(jiān)督費用獲證組織每年需按照相應級別，交納證后監(jiān)督費用。單位：人民幣元級 別一 級二 級三 級評審費5000*5 人日*0.8=200005000*3 人日*0.8=120005000*2 人日*0.8=8000證書維持費100010001000總計（每年）21000130009000信息系統(tǒng)安全集成服務資質認證（舊）收費標準信息系統(tǒng)安全集成服務資質認證（舊）收費標準2014 年 8

50、 月 1 日之前執(zhí)行如下收費標準：初次認證費、證后監(jiān)督費、年金、再認證費等。1、初次認證費用 單位：人民幣元級 別一 級二 級三 級申請費100010001000批準與注冊費100010001000評審費3000*6 人日=180003000*5 人日=150003000*4 人日=12000第一年年金500050005000總 計2500022000190002、證后監(jiān)督費用獲證組織需接受監(jiān)督，第一年不到現(xiàn)場，第二年到現(xiàn)場，需繳納費用如下：單位：人民幣元級 別一 級二 級三 級第二年監(jiān)督費100010001000第二年年金500050005000第三年監(jiān)督費3000*2 人日=60003000*2 人日=60003000*2 人日=6000