信息安全集成服务资质认证实施规则精选.pdf

文件编码：ISCCC-SV-003:2011 信息系统安全集成服务资质 认证实施规则 2011-10-01 发布 2011-10-01 实施 中国信息安全认证中心发布 ISCCC-SV-003 ：2011 信息安全集成服务资质认证实施规则 目 录 1. 适用范围 2 2. 引用标准 2 3. 术语与定义 2 4. 安全集成服务提供者基本的资质要求 2 4.1 基本条件 3 4.2 基本管理能力要求 3 4.3 基本技术能力要求 3 5. 信息系统安全集成服务过程要求 4 5.1 安全集成服务过程概述 4 5.2 集成准备 4 5.3 安全方案设计 6 5.4 建设实施 7 5.5 安全保证 9 6. 信息系统安全集成服务资质分级评价要求 11 6.1 三级信息系统安全集成服务资质要求 11 6.2 二级信息系统安全集成服务资质要求 12 6.3 一级信息系统安全集成服务资质要求 12 7. 信息系统安全集成服务资质认证模式与流程 13 8. 认证证书管理 17 附录A 信息安全工程过程能力级别参考 18 附录B 各级资质要求对照表 20 中国信息安全认证中心 第1 页 ISCCC-SV-003 ：2011 信息安全集成服务资质认证实施规则 1. 适用范围 信息系统安全集成服务资质认证是依据国家认证认可法律法规及国际、国内相关技术标准和规 范，对信息系统安全集成服务提供者的资质进行评价的合格评定活动。 本规则提出了信息系统安全集成服务提供者 （以下简称服务提供者）应具备的服务能力要求， 及实施信息系统安全集成服务资质认证的程序与管理要求。 本规则适用于对服务提供者服务能力的评价活动；可作为信息系统所有者选择服务提供者的依 据；可为有关管理部门对服务提供者进行管理提供参考；也可为服务提供者自我能力改进提供参考。 2. 引用标准 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所 有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的 各方研究可使用这些文件的必威体育精装版版本。凡是不注日期的引用文件，其必威体育精装版版本适用于本标准。 对信息系统安全集成服务提供者所具备的服务资质进行评价所引用的标准包括： GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型 YD/T 1621-2007 网络与信息安全服务资质评价准则 YD/T 1799-2008 网络与信息安全应急处理服务资质评价方法 YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法 CNCA/CTS 0052-2007 信息安全服务资质认证技术规范 GB/T 5271.8-2001 《信息技术词汇第8部分：安全》中的术语和定义适用于本标准。 3. 术语与定义 3.1 GB/T 20261-2006 中的术语均适用于本规则。 3.2 信息系统安全集成服务 信息系统安全集成服务 （以下简称：安全集成）是指从事计算机应用系统工程和网络系统工程 的安全需求界定、安全设计、建设实施、安全保证的活动。 信息系统安全集成一般是按照信息系统建设的安全需求，采用信息系统安全工