信息安全集成服务资质认证实施规则

信息安全服务资质认证实施规则CCRC-ISV-R01:20182018-05-25发布 2018-06-01实施中国网络安全审查技术与认证中心ISCCC-ISV-R01:2018 信息安全服务资质认证实施规则目录1 适用范围 (2)2 认证依据 (2)3 术语与定义 (2)3.1 信息安全服务 (2)3.2 自评估 (2)3.3 现场审核 (2)3.4 非现场审核 (2)3.5 现场见证 (2)3.6 特殊审核 (2)4 审核人员及审核组要求 (2)5 认证信息公开 (3)6 认证程序 (3)6.1 初次认证 (3)6.1.1 认证申请 (3)6.1.2 申请评审 (3)6.1.3 建立审核方案 (4)6.1.4 确定审核组 (5)6.1.5 非现场审核 (5)6.1.6 现场审核 (6)6.1.7 现场见证（必要时） (7)6.1.8 认证决定 (8)6.1.9 证书颁发 (8)6.2 监督审核 (8)6.2.1 频次和方式 (8)6.2.2 信息收集 (8)6.2.3 信息评审与审核方案维护 (9)6.2.4 制定审核计划 (9)6.2.5 审核实施 (10)6.2.6 监督审核结论 (10)6.2.7 认证决定 (10)6.2.8 审核方案记录与变更 (10)6.3 特殊审核 (10)6.3.1 变更或扩大认证范围 (10)6.3.2 审核方案记录与变更 (11)7 信息通报 (11)8 认证证书管理 (11)8.1 证书内容 (11)认证证书内容应分别以中、英文书写，至少包括以下方面： (11)8.2 证书编号 (11)8.3 证书有效期 (12)8.4 暂停认证证书 (12)8.5 撤销认证证书 (12)8.6 证书变更 (12)1适用范围本规则用于规范中国网络安全审查技术与认证中心（简称中心）开展信息安全服务资质认证活动。

2认证依据以CCRC-ISV-C01：2018《信息安全服务规范》为认证依据。

信息系统安全集成服务资质专业评价要求信息系统安全集成服务资质专业评价要求针对集成准备、方案设计、建设实施、安全保障四个过程进行，具体分级要求如下：B1 三级要求B1.1 集成准备阶段B1.1.1 需求调研与分析 a) 调研客户背景信息，采集系统建设需求和建设目标，明确系统功能、性能及安全性要求。

b) 基于系统建设需求，提出产品选型方案和建设预算。

c) 结合系统建设和安全需求，与客户、设计、开发等人员充分沟通，达成共识并形成记录。

B1.1.2 签订服务协议 a) 与客户、供应商签订服务协议，明确范围、目标、时间、内容、金额、质量和输出等。

b) 与客户、供应商等相关方签订保密协议，明确保密职责和违约责任。

B1.2 方案设计阶段 a) 根据系统建设安全需求，编制安全集成技术方案。

b) 依据技术方案，编制安全集成实施方案，明确项目人员、进度、质量、沟通、风险等方面的要求。

c) 结合技术方案和实施方案，与客户进行沟通，获得客户认可。

B1.3 建设实施阶段B1.3.1 实施集成 a) 依据已确认的安全集成项目技术方案和实施方案，按照时间和质量要求进行系统建设。

b) 项目实施人员按时提交施工记录和工程日志，及时向项目经理汇报项目进度。

c) 建立安全集成项目协调机制，明确责任人，畅通信息沟通渠道，保障各相关方在项目实施过程中能够有效充分的沟通。

B1.4 安全保障阶段B1.4.1 系统测试 a) 依据项目技术方案和测试计划，对系统进行联调和系统测试，完整记录测试过程相关信息。

b) 对于新建系统重点测试系统的功能、性能和安全性等；对于系统改造或升级项目，还需进行兼容性测试。

B1.4.2 系统试运行 a) 为测试系统运行的可靠性和稳定性，系统初验后需进行试运行，并记录系统运行状况，试运行周期至少一个月。

b) 基于系统运行相关记录，及时对系统设备进行调整和维护。

ISCCC-SV-001:2015B1.4.3 验收 a) 根据合同约定，向客户提交完整的项目资料及交付物，并提出终验申请。

信息安全集成服务资质认证实施规则1. 引言信息安全是现代社会的重要组成部分，对于企业和个人来说，信息安全的保护是至关重要的。

为了确保信息系统和网络的安全性，信息安全集成服务资质认证成为了企业以及服务提供商的重要选择。

本文将介绍信息安全集成服务资质认证的实施规则。

2. 定义和范围2.1 定义信息安全集成服务指的是基于企业或个人需求，以整合不同的信息安全产品和服务为主要目的，提供从方案设计、系统集成、方案实施、运维管理等一系列服务的综合性安全服务。

2.2 范围本文所述的信息安全集成服务资质认证实施规则适用于所有提供信息安全集成服务的服务提供商，并且适用于各类企事业单位在选择信息安全集成服务提供商时参考使用。

3. 认证要求3.1 企业资质要求为了提供高质量的信息安全集成服务，服务提供商需要满足一定的企业资质要求。

这些要求包括但不限于：企业注册资金、从业人员资质及证书、相关合规认证等。

3.2 信息安全产品和技术要求信息安全集成服务提供商需要具备一定的信息安全产品和技术实力。

他们需要熟悉并掌握各类信息安全产品的原理、功能和使用方法，并能够根据客户的需求提供合适的信息安全解决方案。

3.3 项目管理要求信息安全集成服务通常需要通过项目形式进行实施。

服务提供商需要具备一定的项目管理能力，能够合理规划项目进度、资源分配、风险管理等，以确保项目的顺利实施。

3.4 服务保障要求信息安全是一个持续性的工作，服务提供商应该具备一定的服务保障能力。

他们需要能够及时响应客户的需求，并提供及时有效的技术支持和维护服务。

4. 认证程序4.1 申请阶段服务提供商需要向认证机构提交认证申请，包括企业资质和相关文件。

4.2 初步评估认证机构会对申请材料进行初步评估，确认申请者是否满足认证要求。

4.3 现场审查认证机构将进行现场审查，对服务提供商的企业实际情况、技术实力、项目管理能力等进行评估。

4.4 文件审核认证机构将对服务提供商的相关文件和证书进行审核，以核实其真实性和有效性。

信息安全服务资质认证实施细则二、认证机构的设立和资质评估1. 认证机构应由有关部门或权威机构设立，具备一定的声誉和专业能力。

2. 认证机构应制定详细的资质评估标准，确保评估过程公正、公开、透明。

3. 资质评估主要包括资质核准、现场审核、资质认证等环节。

三、资质认证申请和审核1. 信息安全服务机构应向认证机构提交资质认证申请，申请材料应详细描述机构的组织架构、人员素质、服务能力等信息。

2. 认证机构对提交的申请材料进行初步审核，确定是否满足基本条件，不满足条件的申请将被拒绝。

3. 通过初步审核的申请将进入现场审核阶段，认证机构将根据资质评估标准对申请机构进行现场考察和调研。

4. 现场审核主要包括组织架构的合理性、人员素质的符合要求、服务流程的规范性等方面的评估。

5. 符合条件的申请机构将被认证机构颁发资质认证证书，成为合格的信息安全服务机构，证书的有效期为三年。

四、认证机构的监督和管理1. 认证机构应定期对已认证机构进行监督和考核，确保认证机构在有效期内维持其资质。

2. 认证机构应建立投诉处理机制，对用户投诉进行及时处理，并对投诉情况进行统计和分析。

3. 一旦发现被认证机构存在严重违规行为，认证机构有权暂停或取消其资质认证。

4. 认证机构应定期公布已认证机构的名单，并及时更新。

五、常见问题解答1. 认证机构是否有权利收取认证费用？认证机构有权利收取一定的认证费用来确保其运营的可持续性和专业性，但认证费用应合理、透明，并符合相关法律法规的要求。

2. 如何证明认证机构的合法性和专业性？认证机构应具备相关资质和执业证书，同时在业界有一定的声誉和业绩。

相关部门或权威机构可以通过审核、监管等途径对认证机构进行评估和监督。

3. 资质认证是否需要定期更新？是的，资质认证的有效期为三年，过期后需要重新申请认证，重新提交申请材料，并进行现场审核和评估。

4. 用户如何选择合格的信息安全服务机构？用户可以查看认证机构公布的合格机构名单，选择已获得认证的安全服务机构。

信息安全服务资质认证实施规则一、总则随着互联网的发展和信息化水平的提高，信息安全问题愈发突出，成为各个行业和领域关注的焦点。

为了保护信息安全，各个组织和企业开始关注信息安全服务的资质认证。

本规则旨在明确信息安全服务资质认证实施的基本原则和具体细节，规范认证过程，提高认证结果的可信度和有效性。

二、认证机构的选择1. 认证机构应当具备国家相关认证机构认可资质，并且在信息安全服务领域具有一定的经验和声誉。

2. 认证机构应当具备专业的技术人员和设备，能够对被认证对象的信息系统进行全面的评估和检测。

3. 认证机构应当具备独立性和公正性，不得受到任何利益关系的影响。

三、认证范围和要求1. 信息安全服务资质认证应当覆盖信息系统的硬件、软件、网络和人员等方面的安全。

2. 认证应当基于国家和行业的相关标准和规范，对被认证对象进行全面的评估和检测。

3. 认证应当包括对信息系统的漏洞扫描、风险评估、安全策略制定和安全培训等方面的检测。

四、认证过程1. 申请阶段：被认证对象应当向认证机构提交申请，包括申请表格和相关材料。

2. 预审阶段：认证机构将对申请资料进行初步审核，如有不符合要求的情况，将通知被认证对象进行补正。

3. 认证评审阶段：认证机构将派遣专业人员对被认证对象的信息系统进行全面的评估和检测。

4. 结论汇报阶段：认证机构将根据评审结果向被认证对象出具认证报告，报告包括认证结论和存在的问题及改进建议等。

5. 认证审核阶段：认证机构将对认证报告进行审核，并与被认证对象进行面谈和讨论。

6. 认证决策阶段：认证机构将根据认证报告和审核结果作出认证决策，认证决策结果将以书面形式通知被认证对象。

五、认证后的监督与维护1. 认证机构应当定期对已认证对象的信息系统进行跟踪检测和监督评估。

2. 认证机构应当接受被认证对象的监督，对于存在的问题应当及时进行整改。

3. 被认证对象应当定期进行信息安全演练和培训，提高信息安全意识和应急能力。

信息系统安全集成实施规目录1 目的 (4)2 适用围 (4)3 安装调试 (4)3.1准备阶段 (5)3.1.1 准备工作安排 (5)3.1.2 技术支持人员要求 (6)3.1.3 险点分析与控制 (6)3.1.4 工具及材料准备 (6)3.2施工阶段 (7)3.2.1 开工 (7)3.2.2 施工工艺标准 (7)4 信息系统安全集成项目验收 (8)4.1信息系统安全集成项目自调测 (8)4.2信息系统安全集成项目验收步骤 (8)4.3信息系统安全集成项目验收容 (9)5 售后服务 (11)5.1售后服务方式 (11)5.2售后服务流程 (11)5.2.1 维护 (12)5.2.2 现场维护 (12)5.2.3 定期回访 (13)6 客户培训 (14)6.1培训人员 (14)6.2培训目标 (14)6.3培训方式 (14)6.4培训容 (14)7 建立客户档案 (14)1目的规信息系统安全集成的作业流程，确保人身和设备的安全。

提高信息系统安全集成的安装、调试工作、资料归纳的管理水平及所属资料文档的规化、标准化。

提高信息系统安全集成服务人员的服务水平与服务意思。

提高客户对信息系统安全集成后设备的操作、使用水平。

保障信息系统安全集成后网络的安全、稳定运行。

信息系统安全集成工程的工作主要包括以下三个方面：现场的安装调试、工程验收、售后服务和客户培训。

2适用围适用于公司信息系统安全集成项目所有应用产品的安装、调试、验收、售后服务和培训工作。

安装、调试、验收和售后服务部分针对人群为本公司技术支持工程师；培训部分针对于客户信息系统中安全系统的管理、操作和维护人员。

3安装调试为保障信息系统安全集成服务项目的安全、有效的进行。

保证设备验收一次性通过，以及施工后的维护工作顺利进行。

项目集成过程中要严格按照流程进行操作。

一、远程核实现场实施条件，协调客户完善现场实施环境，确认实施日期。

二、现场确认实施条件，协调客户完善现场实施环境，确认实施日期。

信息安全服务资质认证实施细则一、背景和目的随着信息技术的广泛应用和互联网的快速发展，信息安全问题日益引起人们的关注。

为了保护用户的信息和数据安全，推动信息安全服务行业的发展，制定信息安全服务资质认证实施细则。

二、适用范围本实施细则适用于从事信息安全服务的机构或个人。

三、认证标准1.法律法规依从性：认证机构必须遵守国家和地方的法律法规，如信息安全法、网络安全法等。

2.组织结构：认证机构必须具备明确的组织架构和管理体系，确保信息安全服务的稳定和可靠性。

3.人员资质：认证机构必须具备合格的专业技术人员，并定期进行培训和考核。

4.服务能力：认证机构必须具备提供全面、专业、高效的信息安全服务能力。

5.风险管理：认证机构必须建立完善的风险管理体系，能够识别、评估和控制信息安全风险。

6.服务质量：认证机构必须确保提供的信息安全服务符合相关的技术标准和用户需求。

7.机构信誉：认证机构必须具备良好的行业声誉和客户信任。

8.保密能力：认证机构必须具备保密客户信息和数据的能力，确保客户信息的安全和保密。

四、认证程序1.申请：认证机构向认证机构提交申请，包括机构情况、人员资质、服务能力等相关材料。

2.资格审查：认证机构对申请材料进行资格审查，确认申请机构是否符合认证标准。

4.综合评估：认证机构综合评估申请机构的资质，并作出认证意见。

5.认证决定：认证机构根据综合评估结果和认证标准，做出是否认证的决定，并向申请机构发出认证证书。

6.监督检查：认证机构对已认证机构的服务质量、管理能力等进行监督检查，确保其持续符合认证标准。

五、认证效果1.认证证书：认证机构向通过认证的机构颁发认证证书，标志其具备相关的信息安全服务资质。

2.推广宣传：认证机构可以通过官方网站、媒体等途径宣传认证机构的资质和服务能力，提高其行业知名度和市场竞争力。

3.合作机会：通过认证的机构可以与其他合作伙伴进行合作，共同提供更优质的信息安全服务。

4.用户信任：认证证书可以增强用户对机构的信任，提高用户选择该机构的意愿。

信息安全服务资质认证实施规则
根据《信息安全服务资质认证实施规则》，信息安全服务资质认证实施的主要规则如下：
1. 申请资格：申请人必须是依法设立的企事业单位或个体工商户，具备从事信息安全服务的能力和条件。

2. 申请材料：申请人需提交申请表格、企业资质证明、从业人员资质证明、服务方案及案例等相关材料。

3. 评审流程：评审由认证机构负责组织实施，包括初审、现场核查和终审等环节。

4. 评审内容：评审内容包括申请人的组织管理、从业人员素质、技术设备和服务能力等方面的评估。

5. 评审标准：评审标准包括相关法律法规、行业标准以及安全技术要求等方面的综合评定。

6. 认证结果：根据评审结果，认证机构将作出认证合格或不合格的决定，并出具认证证书。

7. 监督检查：认证机构将对已认证的信息安全服务提供商进行定期监督检查，确保其一直满足认证要求。

8. 信息公示：认证机构将认证结果进行公示，向社会公开认证的安全服务提供商名单。

以上是《信息安全服务资质认证实施规则》的基本内容，具体实施细则根据具体的认证机构和地区可能会有所不同。