ISCCC 信息系统安全集成服务资质认证现场审核表

信息安全服务资质认证要求ISCCC XXX XXX-2007信息安全服务资质认证要求Certification Requirementsfor Qualification of Information Security Service Provider(备案送审稿)中国信息安全认证中心 发布××××-××-××实施××××-××-××发布备案号：××××—××××目录前言 (3)1 适用范围 (4)2 定义 (4)2.1信息安全服务 (4)2.2信息安全服务提供者 (4)2.3信息安全服务资质等级 (4)2.4信息安全工程过程能力级别 (4)3 服务类型与资质评定原则 (4)3.1信息安全服务的类型 (4)3.2信息安全服务资质等级的评判原则 (4)4 认证具体要求 (5)4.1基本资格 (5)4.1.1独立法人 (5)4.1.2法律要求 (6)4.2基本能力 (6)4.2.1资产与规模 (6)4.2.2人员素质与构成 (6)4.2.3设备、设施与环境 (7)4.2.4业绩 (7)4.3质量管理能力 (7)4.3.1体系和管理职责 (7)4.3.2资源管理 (8)4.3.3项目过程管理 (10)4.3.4测量、分析和改进 (12)4.3.5客户服务 (13)4.3.6技术能力更新 (14)4.4安全工程过程能力 (14)4.4.1风险过程 (14)4.4.2工程过程 (16)4.4.3保证过程 (19)5引用标准与参考文献 (20)5.1计算机信息系统安全保护等级划分准则 (20)5.2系统安全工程能力成熟模型 (20)5.3系统安全工程能力成熟模型—评定方法 (20)5.4信息系统安全工程手册 (20)5.5软件工程能力成熟模型 (20)6附录——系统安全工程主要术语 (21)6.1组织 (21)6.2项目 (21)6.3系统 (21)6.4安全工程 (21)6.5安全工程生命期 (21)6.6工作产品 (22)6.7顾客 (22)6.8过程 (22)6.9过程能力 (22)6.10制度化 (23)6.11过程管理 (23)前言本技术规范属于信息安全服务资质认证要求。

信息安全服务资质现场监督审核流程流程说明：1、准备阶段项目管理人员在持证组织证书到期前3个月，将《监督审核通知单》发送给持证组织，通知本年度现场监督审核工作启动；持证组织登录中国信息安全认证中心网站，下载《信息安全服务资质认证自评估表-公共管理》、对应的技术自评估表，实施自评估后（具体自评估表的填写方法可参考中心网站上的《信息安全服务资质认证自评估表填写指南》），将上述文档、自评估证明材料、《监督审核通知单》回执提交中心。

2、非现场审核及商务阶段（此阶段工作应在三周内完成，如需要持证组织补充材料，应在五周内完成）项目管理人员指派审查员对持证组织提交的材料进行非现场审核；审查员依据《信息安全服务规范》及相关技术标准，对持证组织所提供的材料是否满足要求进行判定，并填写《审核记录表》。

如满足要求，审查员通知项目管理人员向持证组织出具《受理通知单》（如持证组织有需求，也可签订《服务资质认证合同》），收取认证费用。

如不满足要求，审查员开具《材料问题清单》，通知持证组织补充材料重新提交，并对补充材料进行审核。

3、现场审核阶段（此阶段工作应在四周内完成，如开具不符合项，应在八周内完成）项目管理人员指派审核组长（一般情况下指派对该组织材料进行非现场审核的审查员为组长），协调审查员组建审核组；审核组长编制《审核计划》，准备现场审核的相关表格等材料，通过项目管理人员将《审核计划》发送给持证组织；审核组前往对持证组织开展现场审核工作，判断该组织目前对外提供的信息安全服务管理及技术能力是否符合《信息安全服务规范》的要求，并依据现场审核中的实际情况对非现场审核时已填写的《审核记录表》进行补充、完善和验证。

如满足要求，审核组长编制《审核报告》，并汇总《审核记录表》、《首末次会议记录》、《公正性、保密性承诺》等审核材料提交中心进行认证决定（如开具不符合项，审核组长则通知持证组织在一个月内提交整改材料）；如不满足要求（例如在现场审核时发现持证组织存在材料造假等严重不符合时），审核组长现场通知持证组织不推荐其继续持有证书，同时编制《审核报告》，在报告中注明不满足资质要求的具体情况，并提交中心进行认证决定。

．对年检单位，系指本次年审的前两年；如年检单位参200年年审，则“本年审年度”系200年200年二、年审表封．“现资质级别”：按照资质证书的级别填写．“年审类别”：自查或年检，详见《计算机信息系统集成质年审换证及变更实施细则（试行．“填表单位”：以持证书的单位名称为准，并须加盖公章．“填表日期”：填报年审材料的日期三、单位基本情况表（ns-t．“单位类型”、“成立时间”等：请严格按照营业执照写“项目合同额”：请填写本年审年度内已经完成项目的额，应与ns-t 的“其中完成的项目总金额”相符．“最具优势的行业”：按用户所属行业分类统计已完成合额，填写前五位．“软件开发与系统集成相关人员构成”：主要包括研究发、工程实施、技术支持、技术服务等与系统集成直接相关的员，不包括销售、市场、人事、行政等人员．请提供营业执照副本复印件四、本年审年度新开发的软件产品情况表（ns-t．逐一填报本年审年度新开发的自主软件产品及其在项目中应用情况．请提供已评测／登记软件产品的有关证明的复印件五、本年审年度资产运营情况表（ns-t．须由财务人员填制，自查单位填报一年数据，年检单位填两年数据．“集成业务收入”：本年审年度已到帐的系统集成业务方的收入．“软件费用”：包括方案设计、软件开发、系统集成、技服务、培训费等费用，不包括软件购置等费用．“软件费用所占比例”＝软件费用／合同金额10％．“财务状况”各项比率计算公式如下流动资产／流动负流动比率速动比率＝（流动资产－存货）／流动负产权比率＝负债总额／所有者权资产负债率＝负债总额／资产总额10存货周转率（次数）＝销售成本／平均存＝销售成本／（期初存货＋期末存货）应收帐款周转率（次数）＝收入总额／应收帐款平均余＝收入总额／（期初帐款余额＋期末帐款余额）净利润率＝净利润／收入总额10权益净利净利所有者权*10资产净利净利平均资产总*10资本收益净利实收资*10．请提供本年审年度审计报告与信用等级证明材料。

编号：涉密信息系统集成资质书面审查表申请单位：申请等级：□甲级□乙级申请类别：申请日期：年月日国家保密局印制填写须知1.填写《审查表》前，应当阅读了解《中华人民共和国保守国家秘密法》、《涉密信息系统集成资质管理办法》等有关保密法律法规，知悉从事涉密信息系统集成业务应当承担的保密责任和义务。

2.单位法定代表人对填报内容和所提交的文件、证件的真实性、完整性、有效性、合法性负责，内容不得涉及国家秘密。

3.《审查表》按照表格样式自行印制，内容填写不下的，可增页填写。

4.《审查表》中所有表格内容须填写完整、清楚。

5.《审查表》及申请材料使用A4纸打印，编码装订，加盖骑缝章。

6.申请所提交的文件、证件复印件须加盖单位公章。

7.《审查表》一式三份。

另需提供与《审查表》及申请材料内容相同的光盘资料三份。

8.以上材料均填写电子版，打印要求：标题黑体二号字，正文宋体三号字，行间距32磅，上下左右页边距27mm。

申请单位法定代表人声明本单位自愿申请涉密信息系统集成资质，知悉涉密信息系统集成资质管理有关规定，保证积极配合保密行政管理部门资质审查工作。

本单位在近3年内无违纪违法行为，对申请涉密信息系统集成资质所有申报材料的真实性负责。

申报材料如有虚假，愿承担相应法律责任。

法定代表人签字：年月日申请单位（公章）：单位基本情况数据表申请单位提交材料清单1.企业营业执照或者事业单位法人证书复印件；2.企业分支机构营业执照或者事业单位分支机构登记证书复印件；3.组织机构代码证书复印件；4.单位章程复印件（须加盖工商行政管理部门印章）；5.法人股东的单位章程（须加盖工商行政管理部门印章）及营业执照复印件、自然人股东身份证复印件；6.办公场所产权证书或者租赁合同复印件；7.涉密业务研发及办公场所平面图；8.法定代表人及主要管理人员身份证复印件；9.资质相关人员名单（含姓名、性别、身份证号、岗位、职称或执业资格、涉密等级）；10.近3年相关业务合同清单（含合同编号、合同名称、委托方、收入金额、签订时间、项目所涉地区、项目所涉行业、是否安全集成或党政军项目、涉密等级和服务年限）；11.近3年完成的项目投资总值证明材料（系统咨询和工程监理类提供）；12.验资报告及上2个年度财务审计报告（含资产负债表、利润表和现金流量表）；13.企业上2个年度完税证明；14.近5年企业牵头完成的科研项目材料复印件；15.近5年获得的科技奖励或者知识产权材料复印件；16.近5年企业保密工作获国家级、省部级嘉奖材料复印件；17.近3年在中文核心期刊或者省部级主办的公开出版刊物发表的保密管理或技术有关论文复印件；18.保密设施设备清单（含涉密信息系统、信息设备）；19.单位基本管理制度（含人事、财务、生产、资产、保密管理制度）；20.保密管理情况报告（含保密组织机构设置、保密制度建设、涉密人员审查及教育管理、保密要害部位管理、保密设备配备及设施建设、涉密载体使用管理、涉密信息系统集成业务流程管理情况）；21.保密风险评估报告；22.取得的行业主管部门颁发的有关资质认证证书复印件。

信息系统安全集成服务资质认证现场审核表
审查员签名：日期：
审查员签名：日期：
审查员签名：日期：
审查员签名：日期：
审查员签名：日期：
审查员签名：日期：
审查员签名：日期：
验证审核结论：
该组织提供的申请材料，
■满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》安全集成类（一级）要求，验证审核通过。

□存在不符合项（详见不符合项报告），需进行整改，验证符合后通过。

□不满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》类（级）要求，验证审核不通过。

审核组长签名：
审核日期：。

现场审核主要核查情况现场审核主要核查以下方面的情况：（一）软件开发及系统集成环境和设备情况内容：考察、验证软件开发及系统集成环境和设备情况，主要涉及公司的研究开发和工程实施部门。

目的：主要验证设备、环境情况。

内容：自主开发的软件和典型项目演示及企业MIS或办公自动化建设情况。

目的：考察公司技术开发实力。

（二）软件开发与工程实施情况重点了解：项目管理情况，软件开发能力，本部门内涉及质量保证与过程控制的实施与执行情况；了解软件开发工程化程度；重点查阅：两个典型开发项目整套开发文档（三）质量保证组织管理情况重点了解：质量保证与质量管理的建设与组织实施情况；重点查询：质量管理文档、质量过程控制记录等文档（四）客户服务情况重点了解：客户服务体系和相应机构的建设情况；客户服务的执行情况；重点查询：客户服务规程、服务过程记录、用户反馈意见等文档（五）人力资源管理与培训情况重点了解：公司系统集成相关人员的构成情况、各类人员比例；开发人员数目；培训计划制定和实施情况查阅文档：查阅工程技术人员名单及证明材料；查阅年度培训计划、培训记录或培训档案等（六）合同情况内容：查阅公司上报所有项目的合同目的：验证合同是否为近三年完成并投入使用；合同所列的合同额、软硬件购置费、软件开发费、技术服务费的构成是否与登记表填报相一致。

审查材料清单：1. 公司情况介绍PPT2. 有关的获奖、荣誉等证书和材料3. 营业执照副本4. 公司增资、更名等企业变更工商证明材料的原件5. 验资报告6. 企业负责人、技术负责人、财务负责人的毕业证书、职称证书、有关获奖证书7. 本科以上人员的学历证书8. 软件产品的登记证书、版权证书、评测报告9. 自主开发产品的演示稿10. 有关开发环境的软硬件设备的台帐（或固定资产清单）11. 质量管理体系认证证书12. 员工培训、质量保证、客户服务执行情况的记录或相关文档13. 近三年的财务审计报告14. 近三年的完税证明或纳税凭证15. 近三年完成的项目的合同（含设备清单）、验收报告及与项目有关的证明材料。

文件编码：ISCCC-SV-003:2011信息系统安全集成服务资质认证实施规则2011-06-01发布2011-10-01实施中国信息安全认证中心发布目录1.适用范围 (2)2.引用标准 (2)3.术语与定义 (2)4.安全集成服务提供者基本的资质要求 (2)4.1 基本条件 (3)4.2 基本管理能力要求 (3)4.3 基本技术能力要求 (3)5.信息系统安全集成服务过程要求 (4)5.1安全集成服务过程概述 (4)5.2集成准备 (4)5.3方案设计 (6)5.4建设实施 (7)5.5安全保证 (9)6.信息系统安全集成服务资质分级评价要求 (11)6.1三级信息系统安全集成服务资质要求 (11)6.2二级信息系统安全集成服务资质要求 (12)6.3 一级信息系统安全集成服务资质要求 (12)7.信息系统安全集成服务资质认证模式与流程 (13)8.认证证书管理 (16)附录A 信息安全工程过程能力级别参考 (18)附录B 各级资质要求对照表 (20)1.适用范围信息系统安全集成服务资质认证是依据国家认证认可法律法规及国际、国内相关技术标准和规范，对信息系统安全集成服务提供者的资质进行评价的合格评定活动。

本规则提出了信息系统安全集成服务提供者（以下简称服务提供者）应具备的服务能力要求，及实施信息系统安全集成服务资质认证的程序与管理要求。

本规则适用于对服务提供者服务能力的评价活动；可作为信息系统所有者选择服务提供者的依据；可为有关管理部门对服务提供者进行管理提供参考；也可为服务提供者自我能力改进提供参考。

2.引用标准下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

对信息系统安全集成服务提供者所具备的服务资质进行评价所引用的标准包括：GB/T 20261-2006 信息技术系统安全工程能力成熟度模型YD/T 1621-2007 网络与信息安全服务资质评价准则YD/T 1799-2008 网络与信息安全应急处理服务资质评价方法YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法CNCA/CTS 0052-2007 信息安全服务资质认证技术规范GB/T 5271.8-2001《信息技术词汇第8部分：安全》中的术语和定义适用于本标准。