國(guó)家信息安全測(cè)評(píng)

1、國(guó)家信息安全測(cè)評(píng)國(guó)家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全工程類三級(jí)）?版權(quán)2015中國(guó)信息安全測(cè)評(píng)中心2016年10月1日中國(guó)信息安全測(cè)評(píng)中心 （CNITSEC）信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全工程類三級(jí)）目錄1、 認(rèn)定依據(jù)62、 級(jí)別劃分63、 三.級(jí)資質(zhì)要求63.1 基本資格要求73.2 基本能力要求73.3 質(zhì)量管理要求83.4 安全工程過程能力要求.84、 資質(zhì)認(rèn)定94.1 認(rèn)定流程圖94.2 申請(qǐng)階段104.3 資格審查階段104.4 能力測(cè)評(píng)階段104.4.1 靜態(tài)評(píng)估104.4.2 現(xiàn)場(chǎng)審核114.4.3 綜合評(píng)定114.4.4 資質(zhì)審定114.5證書發(fā)放階段五、12八、12

2、七、12八、1311監(jiān)督、維持和升級(jí) 處置.爭(zhēng)議、投訴與申訴獲證組織檔案九、費(fèi)用及周期13發(fā)布日期：2016年10月1日第6頁(yè)共13頁(yè)引言中國(guó)信息安全測(cè)評(píng)中心（以下簡(jiǎn)稱CNITSEC）是經(jīng)中央批準(zhǔn)成立、代表國(guó)家開展信息安全測(cè)評(píng)的職能機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息安全管理的政策、法律、法規(guī)，管理和運(yùn)行國(guó)家信息安全測(cè)評(píng)體系。中國(guó)信息安全測(cè)評(píng)中心的主要職能是：1 .對(duì)國(guó)內(nèi)外信息安全產(chǎn)品和信息技術(shù)進(jìn)行測(cè)評(píng)；2 .對(duì)國(guó)內(nèi)信息系統(tǒng)和工程進(jìn)行安全性評(píng)估；3 .對(duì)提供信息系統(tǒng)安全服務(wù)的組織和單位進(jìn)行評(píng)估；4 .對(duì)信息安全專業(yè)人員的資質(zhì)進(jìn)行評(píng)估?！靶畔踩?wù)資質(zhì)認(rèn)定”是對(duì)信息安全服務(wù)的提供者的技術(shù)、資源

3、、法律、管理等方面的資質(zhì)、能力和穩(wěn)定性、可靠性進(jìn)行評(píng)估，依據(jù)公開的標(biāo)準(zhǔn)和程序，對(duì)其安全服務(wù)保障能力進(jìn)行評(píng)定和確認(rèn)。為我國(guó)信息安全服務(wù)行業(yè)的發(fā)展和政府主管部門的信息安全管理以及全社會(huì)選擇信息安全服務(wù)提供一種獨(dú)立、公正的評(píng)判依據(jù)。本指南適用于所有向CNITSEC提出信息安全工程服務(wù)三級(jí)資質(zhì)申請(qǐng)的境內(nèi)外組織。一、認(rèn)定依據(jù)信息安全工程服務(wù)資質(zhì)認(rèn)定是對(duì)信息安全工程服務(wù)提供者的資格狀況、技術(shù)實(shí)力和安全工程實(shí)施過程質(zhì)量保證能力等方面的具體衡量和評(píng)價(jià)。信息安全工程服務(wù)資質(zhì)級(jí)別的評(píng)定，是依據(jù)信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則和不同級(jí)別的信息安全工程服務(wù)資質(zhì)具體要求，在對(duì)申請(qǐng)組織的基本資格、技術(shù)實(shí)力、信息安全工程服務(wù)能力以

4、及安全工程項(xiàng)目的組織管理水平等方面的評(píng)估結(jié)果基礎(chǔ)上的綜合評(píng)定后，由中國(guó)信息安全測(cè)評(píng)中心給予相應(yīng)的資質(zhì)級(jí)別。二、級(jí)別劃分信息安全工程服務(wù)資質(zhì)認(rèn)定是對(duì)信息安全工程服務(wù)提供者的綜合實(shí)力的客觀評(píng)價(jià)和確認(rèn)，信息安全工程服務(wù)資質(zhì)級(jí)別反映了信息安全工程服務(wù)提供者從事信息安全工程服務(wù)保障能力的成熟程度。資質(zhì)級(jí)別劃分的主要依據(jù)包括：基本資格與基本能力要求、安全工程過程能力要求、項(xiàng)目與組織管理能力要求和其他補(bǔ)充要求等。信息安全服務(wù)資質(zhì)分為五個(gè)級(jí)別，由一級(jí)到五級(jí)依次遞增，一級(jí)是最基本級(jí)別，五級(jí)為最高級(jí)別。一級(jí)：基本執(zhí)行級(jí)三級(jí)：計(jì)劃跟蹤級(jí)三級(jí)：充分定義級(jí)四級(jí)：量化控制級(jí)五級(jí)：持續(xù)改進(jìn)級(jí)三、三級(jí)資質(zhì)要求信息安全工程服務(wù)

5、資質(zhì)三級(jí)為充分定義級(jí)，要求滿足基本資格的信息安全工程服務(wù)組織建立有效的質(zhì)量管理體系以及標(biāo)準(zhǔn)化、文檔化的安全工程過程標(biāo)中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全工程類三級(jí)）準(zhǔn)體系，依據(jù)對(duì)已批準(zhǔn)發(fā)布的、文檔化的標(biāo)準(zhǔn)過程進(jìn)行適當(dāng)裁減，來充分定義組織的過程，在實(shí)施工程過程中按照組織過程執(zhí)行，并協(xié)調(diào)安全實(shí)施。申請(qǐng)信息安全工程服務(wù)三級(jí)資質(zhì)的組織需要在基本資格、基本能力、質(zhì)量管理和安全工程過程能力等幾個(gè)方面符合信息安全服務(wù)資質(zhì)具體要求（安全工程類三級(jí)）的規(guī)定。3.1 基本資格要求基本資格要求是評(píng)定信息安全服務(wù)資質(zhì)的起評(píng)條件。申請(qǐng)信息安全工程服務(wù)三級(jí)資質(zhì)的組織必須：1 .是具有獨(dú)立法

6、人地位的實(shí)體；2 .獲得相關(guān)主管部門的批準(zhǔn)；3 .遵守國(guó)家現(xiàn)行法律法規(guī)；4 .已獲信息安全工程服務(wù)二級(jí)資質(zhì)滿一年以上；5 .達(dá)到其他補(bǔ)充要求。3.2 基本能力要求基本能力的要求包括：資產(chǎn)與規(guī)模要求，資源配置要求（包括人員構(gòu)成與素質(zhì)要求、設(shè)備、設(shè)施與環(huán)境要求），組織管理要求以及業(yè)績(jī)要求。申請(qǐng)信息安全服務(wù)三級(jí)資質(zhì)的組織應(yīng)該：1 .從事信息安全服務(wù)行業(yè)5年以上；2 .注冊(cè)資本應(yīng)在5000萬元以上；3 .近3年的財(cái)務(wù)狀況良好；4 .從事信息安全服務(wù)的人力資源充足、人員結(jié)構(gòu)合理、技術(shù)隊(duì)伍相對(duì)穩(wěn)定，擁有專職的注冊(cè)信息安全專業(yè)人員（CISP）數(shù)量不少于從事安全工程服務(wù)專業(yè)技術(shù)人員的10%,且不得少于12人（

7、或10名CISP獲證人員和8名CISM獲證人員）；5 .實(shí)踐過一到兩個(gè)完整的安全工程過程；6 .近3年完成信息安全服務(wù)工程項(xiàng)目總值應(yīng)在3000萬元以上。7 .近3年所做安全工程項(xiàng)目沒有出現(xiàn)驗(yàn)收未通過的情況，且未發(fā)生過嚴(yán)重發(fā)布日期：2016年10月1日第7頁(yè)共13頁(yè)中國(guó)信息安全測(cè)評(píng)中心 （CNITSEC）信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全工程類三級(jí)）的信息安全服務(wù)事故。3.3 質(zhì)量管理要求申請(qǐng)信息安全工程服務(wù)三級(jí)資質(zhì)的組織，在質(zhì)量管理方面應(yīng)該：1 .建立合理的組織架構(gòu)來滿足信息安全工程服務(wù)的實(shí)施和管理，有獨(dú)立的信息安全工程服務(wù)技術(shù)部門；2 .建立合理的管理架構(gòu)來滿足信息安全服務(wù)的管理，建立有效的技術(shù)

8、管理、質(zhì)量管理和組織管理機(jī)制；3 .建立有效的質(zhì)量管理體系，至少滿足支持信息安全工程技術(shù)能力達(dá)到充分定義級(jí)所需的相關(guān)管理能力要求；4 .建立有效的信息安全管理體系，能滿足企業(yè)自身信息安全管理能力要求。3.4 安全工程過程能力要求安全工程過程能力方面的要求是信息安全工程服務(wù)資質(zhì)的核心要求。申請(qǐng)信息安全工程服務(wù)三級(jí)資質(zhì)的組織應(yīng)該：1 .在按照三級(jí)所要求的各個(gè)過程域理論基礎(chǔ)上，充分定義組織的信息安全工程服務(wù)過程，形成文檔化標(biāo)準(zhǔn)過程；2 .依據(jù)對(duì)已批準(zhǔn)發(fā)布的、文檔化的標(biāo)準(zhǔn)過程進(jìn)行適當(dāng)裁減，來充分定義組織的過程，并在實(shí)施工程過程中按照標(biāo)準(zhǔn)化的組織過程執(zhí)行；3 .開展項(xiàng)目和組織活動(dòng)的協(xié)調(diào)，包括組內(nèi)、組間以

9、及組外活動(dòng)的協(xié)調(diào)。發(fā)布日期：2016年10月1日第9頁(yè)共13頁(yè)四、資質(zhì)認(rèn)定4.1 認(rèn)定流程圖申請(qǐng)階段資格審查階段能力測(cè)評(píng)階段證書發(fā)放階段證后監(jiān)督階段中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全工程類三級(jí)）4.2 申請(qǐng)階段申請(qǐng)組織應(yīng)首先到CNITSEC網(wǎng)站（）查看并下載信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則、信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全工程類三級(jí)）、和信息安全服務(wù)資質(zhì)申請(qǐng)書（安全工程類三級(jí)）»,了解資質(zhì)認(rèn)定的流程及相關(guān)情況，確定本組織滿足三級(jí)資質(zhì)的基本資格要求和基本能力要求。申請(qǐng)組織當(dāng)決定申請(qǐng)三級(jí)信息安全工程服務(wù)資質(zhì)后，根據(jù)信息安全服務(wù)資質(zhì)申請(qǐng)書（安全工程類三級(jí)）的要求填寫

10、申請(qǐng)書、加蓋公章并將申請(qǐng)書中所要求的相關(guān)資料一起提交給CNITSEC,同時(shí)提交申請(qǐng)費(fèi)。在向CNITSEC遞交申請(qǐng)書前，須逐項(xiàng)檢查所填報(bào)的材料的完整性和正確性。4.3 資格審查階段CNITSEC接到正式申請(qǐng)書及相關(guān)資料以及申請(qǐng)費(fèi)后，根據(jù)所提交的資料進(jìn)行資格審查，以確認(rèn)申請(qǐng)單位是否滿足資質(zhì)的基本資格要求，提交資料是否完整。資格審查包括對(duì)申請(qǐng)單位所提交資料進(jìn)行的形式化審查以及對(duì)申請(qǐng)單位的進(jìn)一步調(diào)查和溝通。如果資格審查階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC將要求申請(qǐng)組織補(bǔ)充資料等。當(dāng)通過資格審查階段后，CNITSEC將向申請(qǐng)組織發(fā)出受理通知書，正式受理該申請(qǐng)，并通知相關(guān)費(fèi)用的繳納事宜等。4.4 能

11、力測(cè)評(píng)階段當(dāng)申請(qǐng)組織通過資格審查并繳納了相關(guān)費(fèi)用后，資質(zhì)申請(qǐng)進(jìn)入能力測(cè)評(píng)階段。能力測(cè)評(píng)階段包括靜態(tài)評(píng)估、現(xiàn)場(chǎng)審核、綜合評(píng)定和資質(zhì)審定四個(gè)步驟。4.4.1 靜態(tài)評(píng)估靜態(tài)評(píng)估是對(duì)申請(qǐng)組織資料進(jìn)行符合性審查，是對(duì)申請(qǐng)組織的信息安全工中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全工程類三級(jí)）程服務(wù)能力做出基本判斷，初步確定申請(qǐng)組織的信息安全工程服務(wù)能力水平狀況，為現(xiàn)場(chǎng)審核做準(zhǔn)備。如果靜態(tài)評(píng)估階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC將要求申請(qǐng)組織進(jìn)一步補(bǔ)充資料，以便反映申請(qǐng)組織的客觀情況。4.4.2 現(xiàn)場(chǎng)審核現(xiàn)場(chǎng)審核是對(duì)申請(qǐng)組織從事信息安全工程服務(wù)的綜合能力（包括技術(shù)能力、管理能

12、力、質(zhì)量保證、設(shè)施設(shè)備、工作環(huán)境、人員構(gòu)成及素質(zhì)、經(jīng)營(yíng)業(yè)績(jī)、資產(chǎn)狀況等方面）進(jìn)行核實(shí)和確認(rèn)。通過靜態(tài)評(píng)估后，CNITSEC將與申請(qǐng)組織溝通現(xiàn)場(chǎng)審核事宜，安排審核組進(jìn)行現(xiàn)場(chǎng)審核?，F(xiàn)場(chǎng)審核若發(fā)現(xiàn)需整改的不符合項(xiàng)，審核組將對(duì)申請(qǐng)組織提出限期整改的要求，并對(duì)整改效果進(jìn)行驗(yàn)證。4.4.3 綜合評(píng)定在綜合評(píng)定階段，將依據(jù)靜態(tài)評(píng)估和現(xiàn)場(chǎng)審核結(jié)果，對(duì)申請(qǐng)組織的基本資格、基本能力、信息安全工程服務(wù)能力以及資質(zhì)所要求的其他內(nèi)容進(jìn)行綜合評(píng)定，出具綜合評(píng)定報(bào)告。對(duì)評(píng)定結(jié)果不符合的，CNITSEC將要求申請(qǐng)組織限期整改。申請(qǐng)組織完成整改并向CNITSEC提交整改報(bào)告后，CNITSEC將對(duì)整改結(jié)果進(jìn)行驗(yàn)證，整改仍不符合的

13、，將不能通過能力測(cè)評(píng)。逾期未整改的，視作整改不符合。4.4.4 資質(zhì)審定根據(jù)綜合評(píng)定的報(bào)告，CNITSEC技術(shù)委員會(huì)將組織技術(shù)專家對(duì)申請(qǐng)組織的信息安全工程服務(wù)資質(zhì)進(jìn)行審查，并最終做出是否通過的決定。4.5 證書發(fā)放階段資質(zhì)審定通過后，CNITSEC將進(jìn)行資質(zhì)證書的制作、審批和發(fā)放，并在網(wǎng)站、報(bào)刊雜志等媒體上公布獲證組織的相關(guān)信息。發(fā)布日期：2016年10月1日第11頁(yè)共13頁(yè)中國(guó)信息安全測(cè)評(píng)中心 （CNITSEC）信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全工程類三級(jí)）申請(qǐng)組織領(lǐng)取三級(jí)資質(zhì)證書時(shí)需將二級(jí)資質(zhì)證書交回CNITSEC五、監(jiān)督、維持和升級(jí)獲得資質(zhì)的組織需通過持續(xù)發(fā)展自身信息安全服務(wù)體系以保持基本能

14、力及安全工程過程能力。CNITSEC將通過申訴系統(tǒng)、現(xiàn)場(chǎng)見證以及對(duì)信息安全服務(wù)項(xiàng)目進(jìn)行抽樣檢查來驗(yàn)證每個(gè)獲得資質(zhì)組織的能力。證書在三年有效期內(nèi)實(shí)行年確認(rèn)制度，每三年進(jìn)行一次維持換證。獲證后，每年在證書簽發(fā)之日前30天內(nèi)，獲證組織要向CNITSEC提交年度調(diào)查表，并到CNITSEC辦理年檢。CNITSEC年檢中發(fā)現(xiàn)獲證組織不符合資質(zhì)認(rèn)定要求的，將要求其限期整改，整改后仍不合格，CNITSEC將暫?；蛉∠C書。在證書有效期屆滿前90天內(nèi)，由獲證組織提出維持換證申請(qǐng)。CNITSEC將依據(jù)信息安全服務(wù)資質(zhì)維持有關(guān)政策進(jìn)行評(píng)審，以確定獲證組織符合信息安全工程服務(wù)能力三級(jí)資質(zhì)要求的持續(xù)性。若獲證組織相關(guān)資

15、料變動(dòng)時(shí)，須及時(shí)通知CNITSEC,并申請(qǐng)更改。若獲證組織實(shí)體發(fā)生變化，需要進(jìn)行資質(zhì)證書的轉(zhuǎn)移，可到CNITSEC網(wǎng)站（）下載并填寫信息安全服務(wù)資質(zhì)變更申請(qǐng)書，并提出資質(zhì)轉(zhuǎn)移申請(qǐng)。獲證組織獲證后，可根據(jù)自身能力的提升情況，向CNITSEC申請(qǐng)三級(jí)資質(zhì)。六、處置獲證組織存在違規(guī)行為時(shí)，CNITSEC有權(quán)視組織違規(guī)情節(jié)輕重予以以下處置：警告、限期整改、暫停證書、取消證書。七、爭(zhēng)議、投訴與申訴對(duì)CNITSEC所作的評(píng)審、復(fù)查、處置等決定有異議時(shí)，可向CNITSEC提出書面申訴。CNITSEC將會(huì)責(zé)成與所申訴、投訴事項(xiàng)無利益相關(guān)的人員進(jìn)行調(diào)查，CNITSEC在調(diào)查基礎(chǔ)上做出結(jié)論。發(fā)布日期：2016年10月1日第13頁(yè)共13頁(yè)中國(guó)信息安全測(cè)評(píng)中心（CNITSEC）信息安全服務(wù)資質(zhì)申請(qǐng)指南（安全工程類三級(jí)）獲證組織應(yīng)妥善處理因組織自身行為而發(fā)生的投訴，保留記錄并采取措施防止問題的再發(fā)生。CNITSEC將在必要時(shí)查閱獲證組織的申訴/投訴記錄。八、獲證組織檔案CNITSEC將對(duì)每個(gè)獲證組織建立專項(xiàng)檔案，所有資料將保存10年以上，升級(jí)，年度確認(rèn)或者復(fù)核換證時(shí)，只需補(bǔ)交所要求的相應(yīng)材料，CNITSEC實(shí)行記錄累加制度。九、費(fèi)用及周期信息安全服務(wù)資質(zhì)認(rèn)定收費(fèi)劃分為如下幾