信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。
信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。安全集成服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。
信息系统安全集成(以下简称:安全集成)服务资质认证是依据ISCCC-SV-003:2011《信息系统安全集成服务资质认证规则》开展。
ISCCC-SV-003:2011《信息系统安全集成服务资质认证规则》是根据我国信息系统安全集成服务管理的要求,基于目前国内安全集成服务商的实际情况,参考GB/T 20261-2006《信息技术 系统安全工程 能力成熟度模型》、YD/T 1621-2007《网络与信息安全服务资质评估准则》、ISO/IEC 21827-2008《信息技术 系统安全工程 能力成熟度模型》等标准制定而成。该标准的评估对象是为信息系统所有者提供安全集成服务的组织。
该规则提出了安全集成服务提供者应具备的服务能力要求,及实施安全集成服务资质认证的程序与管理要求。在该规则中,安全集成服务能力要求包含基本资格、管理能力、技术能力与过程能力要求等内容。
基本资格部分包括了服务提供者的注册资本、从业经验、人员素质要求、项目经验、固定工作场所等方面的要求。
管理能力部分包括应制定技术和管理措施确保客户信息的安全、可控;制定保密管理要求,明确保密岗位与职责,定期对服务人员进行保密教育与培训;建立人员管理程序,使每一位服务人员持续满足岗位职责的需求;按照持续改进的要求制定安全集成项目的管理制度;使用符合标准要求的检查列表、文档模板、测试工具;建立项目管理、质量管理、信息安全管理体系文件。
技术能力部分包括与安全集成服务有关的服务方案、服务报告的制定能力;对安全集成系统进行检验和检测的能力;具备安全集成服务所需工具的研发能力等。
过程能力部分是指安全集成服务过程的集成准备、方案设计、建设实施、安全保证四个关键阶段。集成准备阶段主要是界定安全需求、签订服务合同、确定服务人员、签订保密协议等;方案设计阶段主要是充分考虑各方面的安全需求和安全背景,以设计出适用的项目方案;建设实施阶段主要是在客户环境中实现项目方案的预期安全目标和效果;安全保证阶段主要是通过在安全方案设计阶段、建设实施阶段等过程中,收集客户的安全需求已经得到满足的证据。
1、 基本资格:
1.1、具有中华人民共和国境内的独立法人资格,具有相关部门颁发的合法经营资格;
1.2、近两年内经济状况良好,财务数据真实可信,并应经国家相关部门认定的会计师事务所核实;
1.3、具有固定的工作场所。
1.4、遵守国家现行法律、法规的规定;
1.5、注册资本:产权关系明晰,注册资本不少于2000 万元人民币;
1.6、人员素质要求:人员总数200 人以上;信息系统安全集成服务人员30 名以上;本科以上学历人员占机构总人数比例在80%以上;
1.7、具有信息系统安全服务相关的资质人员至少10 人(如,CISAW,信息安全管理体系审核员、CISSP,CISA 等);至少有5 人具有项目管理的资格证书。
1.8、主要负责人应具有5 年以上从事电子信息技术领域企业管理经历,主要技术负责人应获得电子信息类高级职称且从事系统集成技术工作不少于5 年,财务负责人应具有中级以上职称。
1.9、从业时间:从事信息系统安全集成服务五年以上;
1.10、从业经验:独立完成全国范围的信息安全集成项目;近三年内至少完成并通过验收的10个以上完整的信息系统安全集成服务项目且无客户投诉,项目合同总金额不少于2000 万元人民币;至少完成一个500 万以上的安全集成项目。
2、管理能力:
2.1、采取技术和管理措施确保客户信息的安全、可控,这些信息包括但不限于客户资料、集成活动中产生的文档、最终安全集成报告等;
2.2、制定保密管理要求,明确保密岗位与职责,定期对服务人员进行保密教育与培训,并签订《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责落实;
2.3、建立人员管理程序,使每一位服务人员持续满足岗位职责的需求;制定安全集成技能培训计划,定期对服务人员进行培训、指导、考核;
2.4、制定规范的项目管理制度,并按照项目管理制度实施,具体包括在项目实施过程中如何与组织内外的交流机制、规划关键技术活动、分配资源、指派责任、设立项目的里程碑及评审要求、日常的监督检查要求、编制过程文档、提供工具、确保培训、策划过程等,以保证安全服务的质量;
2.5、制定项目风险管理制度,评估项目风险,制定项目风险控制措施并跟踪其有效性;
2.6、制定符合标准要求的安全集成方案、报告等文档模板;
2.7、制定针对供方的管理要求,包括准确识别供方提供的服务或系统构件及其专业资质和能力;并与供方的有效沟通机制等。
2.8、制定服务质量持续改进的制度,跟踪其落实情况;
2.9、参考GB/T 22080-2008/ISO/IEC 27001:2005《信息技术 安全技术 信息安全管理体系要求》标准建立信息安全管理体系并运行三个月以上。
3、技术能力:
3.1、具备安全集成有关的工作流程及操作规范;
3.2、具备制定安全集成方案并能够按照该方案实施的能力;能够提供信息系统安全集成服务报告、系统使用指南等文档;
3.3、具备对安全集成完成的系统进行检测和验证的能力;
3.4、熟悉国内外主流的信息技术产品、信息安全产品的功能及特性;
3.5、具有满足项目需要的开发、测试工具或模拟环境;
3.6、有专门的技术人员关注并掌握信息安全技术、标准和法规;关注国内外权威机构发布的安全公告及漏洞公告,对最新的安全相关技术进行研究。
3.7、应具有足够的技术力量根据服务业务的需求,开发信息安全产品或支持性工具的能力;
3.8、应具有足够的技术力量,对市场上普通使用的信息安全产品进行功能分析、提出安全策略及对安全产品进行集成的能力;
3.9、至少提供一个已完成的信息系统,经国家(或行业)权威机构或专家组验证其安全性符合要求。
1、申请方基本情况,具体内容参见《信息系统安全集成服务资质认证申请书》。
1.1、申请单位简介;
1.2、独立法人及组织机构职能介绍;
1.3、服务人员简介及人员汇总表;
1.4、近三年的服务项目汇总表;
1.5、独立的工作环境与相应的设备情况介绍;
1.6、最近两年的财务状况;
1.7、相关资质证明材料(复印件);
1.8、申请方声明。
2、服务管理与技术能力介绍(符合相关等级要求)
2.1、项目管理制度及落实情况的证明材料;
2.2、质量管理制度及落实情况的证明材料;
2.3、信息安全管理制度及落实情况的证明材料;
2.4、服务流程及操作规范;
2.5、相关的服务技术能力证明材料;
3、服务过程能力:
3.1、一个已完成的服务案例。
4、文件资料:
4.1、信息系统安全集成服务资质认证申请书;
4.2、独立法人资格证明材料;
4.3、从事信息系统安全集成服务的相关资质证明;
4.4、工作保密制度及相应组织监管体系已建立的证明材料;
4.5、与信息系统安全集成服务人员签订的保密协议复印件;
4.6、人员构成与素质证明材料;
4.7、公司组织结构证明材料;
4.8、具备固定办公场所的证明材料;
4.9、项目管理制度文档;
4.10、安全集成服务流程;
4.11、安全集成服务规范性文件;
4.12、安全集成服务质量管理文件(一、二级);
4.13、信息安全管理体系文件及设施情况的材料(一级);
4.14、项目案例及业绩证明材料等。
信息系统安全集成服务资质的服务过程分为四个阶段:集成准备、方案设计、建设实施、安全保证。
1、集成准备阶段主要是界定安全需求、签订服务合同、确定服务人员、签订保密协议等;
2、方案设计阶段主要是充分考虑各方面的安全需求和安全背景,以设计出适用的项目方案;
3、建设实施阶段主要是在客户环境中实现项目方案的预期安全目标和效果;
4、安全保证阶段主要是通过在方案设计阶段、建设实施阶段等过程中,收集客户需求已经得到满足的证据。
信息系统安全集成服务资质的认证过程分为五个阶段:提交申请、文档审核、现场审核、认证决定、证后监督。
信息系统安全集成服务资质一级的认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的时间,其中包括认证受理、文档审核、现场审核、认证决定以及证书颁发环节。 申请信息系统安全集成服务资质一级的大概完成时间是4-6个月。
关于信息系统安全集成服务资质一级的收费说明:
1、知企网平台报价为咨询服务费的价格,不包含其他费用。
2、官费收费:审核费20000元,年费5000元。
信息系统安全集成服务资质认证模式,需要提醒申请的企业注意:
认证模式:现场检查 + 特定服务检查 + 获证后监督
1、现场检查是在文档审核通过后,审核组到申请方的注册地址或业务量较集中的办公地址进行的标准符合性验证活动。
2、特定服务检查是审核组对申请方的服务团队进行的特定服务过程演示或到客户现场见证服务过程的检查活动,从而判定该申请方的服务能力。
3、获证后监督是确保获证方在获证后能够持续满足标准的要求,在证书的三年有效期内认证机构对获证方进行一或两次现场监督审核。
注意:如有特殊情况发生,认证机构可增加监督审核频次。
1、信息系统安全集成服务资质一级认证证书的有效期是多久?
答:信息系统安全集成服务资质一级认证证书有效期为3年。
2、证书到期前多久,可以申请再次认证?
答:在认证证书有效期满的前三个月内,服务提供者可申请再认证。再认证程序与初次认证程序相同。
3、信息系统安全集成服务提供者出现何种情形之一的,认证机构应当暂停认证证书?
答:(1) 未按规定及时接受监督审核或再认证;(2) 未按规定使用认证证书;(3) 监督结果证明信息系统安全集成服务提供者的信息安全服务能力不符合认证要求,但不需要立即撤销认证证书。暂停期限一般为三个月。在三个月内,申请方可提出恢复证书的申请,认证机构经审核、批准后方可使用该证书。在认证证书暂停期间,申请方不得继续使用证书。
4、信息系统安全集成服务提供者出现何种情形之一的,认证机构应当撤销其认证证书?
答:(1) 监督结果证明信息系统安全集成服务提供者的信息安全服务能力不符合认证要求,应立即撤销证书的;(2) 认证证书暂停使用期间,信息系统安全集成服务提供者未采取有效纠正措施;(3) 信息系统安全集成服务提供者出现严重责任事故,影响其继续有效提供集成服务(4) 信息系统安全集成服务提供者不接受认证机构对其实施的监督或未申请再认证。
数量 |
数量 |
数量 |
数量 |
服务评价
好评度