国家信息安全测评

中国信息平安测评中心CNITSEC 信息平安服务资质申请指南（平安工程类三级） 国家信息平安测评 信息平安服务资质申请指南 （平安工程类三级） 版权2015中国信息平安测评中心 2016年 10月 1 日 书目 一、认定依据4 二、级别划分4 三、三级资质要求4 3.1 基本资格要求5 3.2 基本实力要求5 3.3 质量管理要求6 3.4平安工程过程实力要求6 四、资质认定7 4.1认定流程图7 4.2申请阶段8 4.3资格审查阶段8 4.4实力测评阶段8 4.4.1静态评估8 4.4.2现场审核9 4.4.3综合评定9 4.4.4资质审定9 4.5证书发放阶段9 五、监督、维持和升级10 六、处置10 七、争议、投诉与申诉10 八、获证组织档案11 九、费用及周期11 引言 中国信息平安测评中心（以下简称CNITSEC）是经中心批准成立、代表国家开展信息平安测评的职能机构，依据国家有关产品质量认证和信息平安管理的政策、法律、法规，管理和运行国家信息平安测评体系。 中国信息平安测评中心的主要职能是 1. 对国内外信息平安产品和信息技术进行测评； 2. 对国内信息系统和工程进行平安性评估； 3. 对供应信息系统平安服务的组织和单位进行评估； 4. 对信息平安专业人员的资质进行评估。 “信息平安服务资质认定”是对信息平安服务的供应者的技术、资源、法律、管理等方面的资质、实力和稳定性、牢靠性进行评估，依据公开的标准和程序，对其平安服务保障实力进行评定和确认。为我国信息平安服务行业的发展和政府主管部门的信息平安管理以及全社会选择信息平安服务供应一种独立、公正的评判依据。 本指南适用于全部向CNITSEC提出信息平安工程服务三级资质申请的境内外组织。 一、 认定依据 信息平安工程服务资质认定是对信息平安工程服务供应者的资格状况、技术实力和平安工程实施过程质量保证实力等方面的详细衡量和评价。 信息平安工程服务资质级别的评定，是依据信息平安服务资质评估准则和不同级别的信息平安工程服务资质详细要求，在对申请组织的基本资格、技术实力、信息平安工程服务实力以及平安工程项目的组织管理水同等方面的评估结果基础上的综合评定后，由中国信息平安测评中心赐予相应的资质级别。 二、 级别划分 信息平安工程服务资质认定是对信息平安工程服务供应者的综合实力的客观评价和确认，信息平安工程服务资质级别反映了信息平安工程服务供应者从事信息平安工程服务保障实力的成熟程度。资质级别划分的主要依据包括基本资格与基本实力要求、平安工程过程实力要求、项目与组织管理实力要求和其他补充要求等。 信息平安服务资质分为五个级别，由一级到五级依次递增，一级是最基本级别，五级为最高级别。 一级基本执行级 三级支配跟踪级 三级充分定义级 四级量化限制级 五级持续改进级 三、 三级资质要求 信息平安工程服务资质三级为充分定义级，要求满意基本资格的信息平安工程服务组织建立有效的质量管理体系以及标准化、文档化的平安工程过程标准体系，依据对已批准发布的、文档化的标准过程进行适当裁减，来充分定义组织的过程，在实施工程过程中依据组织过程执行，并协调平安实施。 申请信息平安工程服务三级资质的组织须要在基本资格、基本实力、质量管理和平安工程过程实力等几个方面符合信息平安服务资质详细要求（平安工程类三级）的规定。 3.1 基本资格要求 基本资格要求是评定信息平安服务资质的起评条件。 申请信息平安工程服务三级资质的组织必需 1. 是具有独立法人地位的实体； 2. 获得相关主管部门的批准； 3. 遵守国家现行法律法规； 4. 已获信息平安工程服务二级资质满一年以上； 5. 达到其他补充要求。 3.2 基本实力要求 基本实力的要求包括资产与规模要求，资源配置要求（包括人员构成与素养要求、设备、设施与环境要求），组织管理要求以及业绩要求。 申请信息平安服务三级资质的组织应当 1. 从事信息平安服务行业5年以上； 2. 注册资本应在5000万元以上； 3. 近3年的财务状况良好； 4. 从事信息平安服务的人力资源足够、人员结构合理、技术队伍相对稳定，拥有专职的注册信息平安专业人员（CISP）数量不少于从事平安工程服务专业技术人员的10，且不得少于12人（或10名CISP获证人员和8名CISM获证人员）； 5. 实践过一到两个完整的平安工程过程； 6. 近3年完成信息平安服务工程项目总值应在3000万元以上。 7. 近3年所做平安工程项目没有出现验收未通过的状况，且未发生过严峻的信息平安服务事故。 3.3 质量管理要求 申请信息平安工程服务三级资质的组织，在质量管理方面应当 1. 建立合理的组织架构来满意信息平安工程服务的实施和管理，有独立的信息平安工程服务技术部门； 2. 建立合理的管理架构来满意信息平安服务的管理，建立有效的技术管理、质量管理和组织管理机制； 3. 建立有效的质量管理体系，至少满意支持信息平安工程技术实力达到充分定义级所需的相关管理实力要求； 4. 建立有效的信息平安管理体系，能满意企业自身信息平安管理实力要求。 3.4平安工程过程实力要求 平安工程过程实力方面的要求是信息平安工程服务资质的核心要求。 申请信息平安工程服务三级资质的组织应当 1. 在依据三级所要求的各个过程域理论基础上，充分定义组织的信息平安工程服务过程，形成文档化标准过程； 2. 依据对已批准发布的、文档化的标准过程进行适当裁减，来充分定义组织的过程，并在实施工程过程中依据标准化的组织过程执行； 3. 开展项目和组织活动的协调，包括组内、组间以及组外活动的协调。 四、 资质认定 4.1认定流程图 4.2申请阶段 申请组织应首先到CNITSEC网站（ // itsec.gov ）查看并下载信息平安服务资质评估准则、信息平安服务资质申请指南（平安工程类三级）、和信息平安服务资质申请书（平安工程类三级），了解资质认定的流程及相关状况，确定本组织满意三级资质的基本资格要求和基本实力要求。 申请组织当确定申请三级信息平安工程服务资质后，依据信息平安服务资质申请书（平安工程类三级）的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC，同时提交申请费。在向CNITSEC递交申请书前，须逐项检查所填报的材料的完整性和正确性。 4.3资格审查阶段 CNITSEC接到正式申请书及相关资料以及申请费后，依据所提交的资料进行资格审查，以确认申请单位是否满意资质的基本资格要求，提交资料是否完整。 资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。假如资格审查阶段发觉有不符合要求的内容，CNITSEC将要求申请组织补充资料等。 当通过资格审查阶段后，