国家信息安全测评认证信息系统安全服务资质认证指南（试行）.pdf

国家信息安全测评认证 信息系统安全服务资质认证指南 （试行） 发布日期：2002 年1 月 中国信息安全产品测评认证中心 中国信息安全产品测评认证中心(CNITSEC) 信息安全服务资质认证指南 目录 引言 3 1 认证依据 4 2 等级划分 4 3 认证要求 4 3.1 基本资格要求 4 3.2 基本能力要求 5 3.2.1 组织与管理要求 5 3.2.2 技术能力要求 5 3.2.3 人员构成与素质要求 5 3.2.4 设备、设施与环境要求 6 3.2.5 规模与资产要求 6 3.2.6 业绩要求 6 3.3 安全工程过程及能力级别 6 4 认证流程 9 5 受理过程 10 6 申请书 10 7 评审 10 8 认证与公布11 9 保持认证 12 10 认证发展 12 11 处置 12 12 争议、投诉与申诉 12 13 认证企业档案 13 14 费用及认证周期 13 15 相关文件与表格 13 发布日期：2002 年1 月 共13 页第2 页 CNITSEC 中国信息安全产品测评认证中心(CNITSEC) 信息安全服务资质认证指南 引言 中国信息安全产品测评认证中心(原中国国家信息安全测评认证中心，简称 CNITSEC)是经中央批准成立、代表国家开展信息安全测评认证的职能机构，依 据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家 信息安全测评认证体系。 中国信息安全产品测评认证中心的主要职能是： 1. 对国内外信息安全产品和信息技术进行测评和认证 2. 对国内信息系统和工程进行安全性评估和认证 3. 对提供信息系统安全服务的组织和单位进行评估和认证 4. 对信息安全专业人员的资质进行评估和认证 “中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息 系统安全质量以及信息安全服务资质、人员资质的最高认可。国家信息安全产品 测评认证活动的技术依据是由中国国家信息安全测评认证管理委员会确认的有 关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技 术要求与技术规范。 “信息系统安全服务资质认证”是对信息系统安全服务的提供者的技术、资 源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标 准和程序，对其安全服务保障能力进行认证。为我国信息安全服务行业的发展和 政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正 的评判依据。在我国,信息系统安全服务资质由中国信息安全产品测评认证中心 及其授权测评机构进行评估，由中国信息安全产品测评认证中心进行认证 。 本指南适用于所有向CNITSEC 提出信息系统安全服务资质等级评估的境内 外组织，试行期只受理一级资质认证申请。 发布日期：2002 年1 月 共13 页第3 页 CNITSEC 中国信息安全产品测评认证中心(CNITSEC) 信息安全服务资质认证指南 1 认证依据 信息系统安全服务资质评估是对信息系统服务提供者的资格状况、技