工作文档信息系统安全集成服务资质认证介绍.doc

信息系统安全集成服务资质认证介绍 一、工作背景 随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。 开展信息安全服务分类分级的资质认证可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。 中国信息安全认证中心是国家质检总局直属事业单位，经中央编制委员会批准成立，由国家认证认可监督管理委员会批准，可依据相关标准开展对信息安全服务资质分类分级的认证工作。2011年启动了信息系统安全集成服务资质认证工作，2013年4月，中国信息安全认证中心与辽宁省信息安全与软件测评认证中心签订了信息系统安全集成服务资质认证合作协议，授权测评认证中心为辽宁工作站，在辽宁省（含大连）内推广并实施信息系统安全集成服务资质认证工作。 二、认证简介 信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。 信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。安全集成服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。 信息系统安全集成服务资质认证是依据ISCCC-SV-003:2011《信息系统安全集成服务资质认证规则》开展。评估对象是为信息系统所有者提供安全集成服务的组织。 三、评价要求 事项 三级资质 二级资质 一级资质 基本资格 基本条件 (1) 具有中华人民共和国境内的独立法人资格，具有相关部门颁发的合法经营资格； (2) 近两年内经济状况良好，财务数据真实可信，并应经国家相关部门认定的会计师事务所核实； (3) 具有固定的工作场所。 (4) 遵守国家现行法律、法规的规定； 注册资本 200万元 1000万元 2000万元 人员素质要求 机构总人数30人以上； 机构总人数100人以上； 机构总人数200人以上； 集成服务人员10人以上； 集成服务人员20人以上； 集成服务人员30人以上； 本科以上学历 人员比例60%以上； 本科以上学历 人员比例70%以上； 本科以上学历 人员比例80%以上； 拥有安全集成服务资质人数 2人 6人 10人 拥有项目管理资格人数 1人 2人 5人 单位负责人要求 2年以上信息技术领域企业管理经历 3年以上信息技术领域企业管理经历 5年以上信息技术领域企业管理经历 技术负责人要求 电子信息技术类高级职称；安全集成技术工作不少于2年； 电子信息技术类高级职称；安全集成技术工作经验不少于3年； 电子信息技术类高级职称；安全集成技术工作经验不少于5年； 财务负责人要求 财务方面的初级以上职称 财务方面的中级以上职称 财务方面的中级以上职称 从业时间 信息系统安全集成服务1年以上 信息系统安全集成服务3年以上 信息系统安全集成服务5年以上 从业经验 3年内4个以上的项目且合同总额不少于300万元人民币；一个100万元以上的安全集成项目； 3年内6个以上的项目且合同总额不少于1000万元人民币；一个200万元以上的安全集成项目； 3年内完成10个以上的项目且合同总额不少于2000万元人民币；一个500万元以上的安全集成项目； 管理能力、技术能力、服务过程要求详见《信息系统安全集成服务资质认证实施规则》 四、工作流程 五、信息安全保障从业人员认证 申请信息系统安全集成服务资质的单位，必须配备相应级别要求的安全集成服务资质人数，即通过信息安全保障从业人员认证（CISAW）的人数。中国信息安全认证中心（ISCCC）面向IT从业人员，特别是与信息安全工作密切相关的高级管理人员、专业技术人员推出的人员资格认证和专业水平认证。目前设置的专业方向如下图： 1.申请人应具有的基本条件 具有独立的民事行为能力，具备承担法律责任的能力 未受过刑事处罚 不存在法律法规禁止从业的情形 符合《信息安全保障从业人员认证准则》要