信息安全服务资质FAQ

信息安全服务资质认证实施规则一、总则随着互联网的发展和信息化水平的提高，信息安全问题愈发突出，成为各个行业和领域关注的焦点。

为了保护信息安全，各个组织和企业开始关注信息安全服务的资质认证。

本规则旨在明确信息安全服务资质认证实施的基本原则和具体细节，规范认证过程，提高认证结果的可信度和有效性。

二、认证机构的选择1. 认证机构应当具备国家相关认证机构认可资质，并且在信息安全服务领域具有一定的经验和声誉。

2. 认证机构应当具备专业的技术人员和设备，能够对被认证对象的信息系统进行全面的评估和检测。

3. 认证机构应当具备独立性和公正性，不得受到任何利益关系的影响。

三、认证范围和要求1. 信息安全服务资质认证应当覆盖信息系统的硬件、软件、网络和人员等方面的安全。

2. 认证应当基于国家和行业的相关标准和规范，对被认证对象进行全面的评估和检测。

3. 认证应当包括对信息系统的漏洞扫描、风险评估、安全策略制定和安全培训等方面的检测。

四、认证过程1. 申请阶段：被认证对象应当向认证机构提交申请，包括申请表格和相关材料。

2. 预审阶段：认证机构将对申请资料进行初步审核，如有不符合要求的情况，将通知被认证对象进行补正。

3. 认证评审阶段：认证机构将派遣专业人员对被认证对象的信息系统进行全面的评估和检测。

4. 结论汇报阶段：认证机构将根据评审结果向被认证对象出具认证报告，报告包括认证结论和存在的问题及改进建议等。

5. 认证审核阶段：认证机构将对认证报告进行审核，并与被认证对象进行面谈和讨论。

6. 认证决策阶段：认证机构将根据认证报告和审核结果作出认证决策，认证决策结果将以书面形式通知被认证对象。

五、认证后的监督与维护1. 认证机构应当定期对已认证对象的信息系统进行跟踪检测和监督评估。

2. 认证机构应当接受被认证对象的监督，对于存在的问题应当及时进行整改。

3. 被认证对象应当定期进行信息安全演练和培训，提高信息安全意识和应急能力。

信息系统安全服务资质认证指南一、背景介绍随着信息化建设的不断推进，信息系统的安全保障成为企业和组织日益关注的焦点。

信息系统安全服务资质认证旨在评估服务机构是否具备提供信息系统安全相关服务的能力和水平，为用户选择合适的服务机构提供参考。

二、认证要求1.组织资质要求1.1.服务机构应具备合法的注册或设立证明文件，并能提供组织机构代码证明。

1.2.服务机构应具备一定的经验和实力，具备独立承担信息系统安全服务项目的能力。

1.3.服务机构应具备一定规模的专业团队，包括资深的信息系统安全专家和从业人员。

1.4.服务机构应具备一定的技术装备，包括安全测试工具、安全设备等。

2.服务能力要求2.1.服务机构应具备信息系统安全综合评估、漏洞扫描、风险评估等服务能力。

2.2.服务机构应具备信息系统安全策略和规程编制、安全事件响应和处置等服务能力。

2.3.服务机构应具备信息系统安全技术支持和培训能力。

3.项目管理要求3.1.服务机构应具备完善的项目管理流程和方法，能够对信息系统安全服务项目进行有效的组织和管理。

3.2.服务机构应建立健全的服务质量管理体系，能够保证服务的质量和效果。

3.3.服务机构应具备完善的风险管理体系，能够及时发现、评估和应对项目中的各类风险。

4.安全保障要求4.1.服务机构应建立完善的信息系统安全保护措施，包括网络安全、数据安全、物理安全等。

4.2.服务机构应具备信息系统安全保密和保护用户隐私的能力，保证服务过程中的信息不被泄露。

4.3.服务机构应遵守相关法律法规和行业标准，提供合规的信息系统安全服务。

三、认证流程1.申请与备案服务机构向认证机构提交申请表格，并提供相关资质证明文件。

认证机构进行初步审核，确认资格后进行备案。

2.资质评估认证机构根据认证要求，对服务机构进行综合评估。

包括组织资质、服务能力、项目管理和安全保障等方面的评估。

3.现场审查认证机构对服务机构进行现场审查，了解服务机构的实际情况，包括团队组成、技术装备、服务流程等。

安全标准介绍在与客户交流过程中，涉及安全理念的时候免不了要侃安全标准，下面对一下常见的安全标准进行简单介绍。

1 ISO 17799信息安全管理BS7799标准是由英国标准协会（BIS）制定的信息安全管理标准，是目前国际上具有代表性的信息安全管理体系标准，标准包括如下两部分✓BS7799-1:1999 《信息安全管理实施细则》✓BS7799-2:1999 《信息安全管理体系规范》BS7799-1:1999 《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则，主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。

BS7799-2:1999 《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。

BS7799标准第二部分明确提出安全控制要求，标准第一部分对应给出了通用的控制方法（措施），因此可以说，标准第一部分为第二部分的具体实施提供了指南。

但标准中的控制目标、控制方式的要求并非信息安全管理的全部，组织可以根据需要考虑另外的控制目标和控制方式。

其中BS7799-1:1999 于2000年12月通过国际标准化组织（ISO）认可，正式成为国际标准，即ISO/IEC17799:2000 《信息技术-信息安全管理实施细则》。

ISO 17799包含十个方面的内容：✓信息安全方针✓组织安全✓资产归类与控制✓人员安全✓实物与环境安全✓通信与运作安全✓访问控制✓系统开发与维护✓商务持续性管理✓符合性2 ISO 7498-2安全体系结构ISO 7498-2安全体系结构文献定义了安全就是最小化资产和资源的漏洞。

资产可以指任何事物。

漏洞是指任何可以造成破坏；系统或信息的弱点。

威胁是指潜在的安全破坏。

ISO 进一步把威胁分类为偶然的或故意的，主动的或被动的。

偶然威胁是指没有事先预谋的事件，这类的威胁包括天然的灾祸或错误的系统维护。

国家信息安全测评信息安全服务资质申请指南（安全开发类二级）©版权2017—中国信息安全测评中心2017年10月一、认定依据4二、级别划分4三、二级资质要求53.1 基本资格要求53.2 基本能力要求53.3质量管理能力要求 63.4安全开发过程能力要求 6四、资质认定74.1认定流程图74.2申请阶段 84.3资格审查阶段 84.4能力测评阶段 84.4.1静态评估84.4.2现场审核94.4.3综合评定94.4.4资质审定94.5证书发放阶段 9五、监督、维持和升级10六、处置10七、争议、投诉与申诉10八、获证组织档案11九、费用及周期11十、联系方式12中国信息安全测评中心（以下简称CNITSEC）是经中央批准成立、代表国家开展信息安全测评的职能机构，依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评体系。

中国信息安全测评中心的主要职能是：1.对国内外信息安全产品和信息技术进行测评；2.对国内信息系统和工程进行安全性评估；3.对提供信息系统安全服务的组织和单位进行评估；4.对信息安全专业人员的资质进行评估。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。

为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

本指南适用于所有向CNITSEC申请信息安全服务资质（安全开发类二级）的境内外组织。

一、认定依据信息安全服务（安全开发类）资质认定是对产品安全开发服务提供者的资格状况、技术实力和安全开发过程能力等方面的具体衡量和评价。

信息安全服务（安全开发类）资质级别的评定，是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质（安全开发类）具体要求，在对申请组织的基本资格、技术实力、安全开发过程能力以及安全开发项目的组织管理水平等方面的评估结果基础上的综合评定后，由中国信息安全测评中心给予相应的资质级别。

北京市信息化工作办公室关于发布《北京市信息安全服务单位资质等级评定条件(试行)》的通知文章属性•【制定机关】北京市信息化工作办公室•【公布日期】2002.09.18•【字号】•【施行日期】2002.09.18•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】通信业正文北京市信息化工作办公室关于发布《北京市信息安全服务单位资质等级评定条件(试行)》的通知市政府各委、办、局，各区、县信息化工作主管部门，各有关单位：为了加强对我市信息安全服务活动的规范化管理，保障“数字北京”和“数字奥运”建设的安全，根据《北京市信息安全工作组工作职责、组成人员和成员单位职责分工的通知》（京信发[2001]1号）、《北京市党政机关计算机网络与信息安全管理办法》（京办发[2001]27号）和《〈北京市政务与公共服务信息化工程建设管理办法〉实施细则》等相关规定，结合本市实际，制定了《北京市信息安全服务单位资质等级评定条件（试行）》。

现将《北京市信息安全服务单位资质等级评定条件（试行）》予以发布，自发布日起执行。

二00二年九月十八日北京市信息安全服务单位资质等级评定条件(试行)该评定条件适用于在北京市范围内从事非涉及国家秘密的信息安全服务的单位。

信息安全服务单位资质等级划分为一级、二级、暂定级，每级含系统安全建设与维护和培训两大类。

信息安全服务单位资质等级的评定条件为：一级系统安全建设与维护类（包括与建设维护有关的咨询培训）应具备的资质条件：1、独立的法人单位，注册资本200万元以上；2、有固定的工作场所，且具有相当的信息安全试验开发环境；3、有健全的组织机构、管理体系和服务规范；4、独立开展信息安全服务3年以上，近3年至少完成了5个系统安全建设与维护类项目，其安全服务合同总额3年累计为800万元以上，其中至少有一个安全服务合同额在100万元以上；5、负责信息安全服务的技术主管人员必须具备信息安全服务高级工程师资格，且须与所在单位签订3年以上聘用合同；6、有稳定的技术队伍，信息安全服务工程师不少于20名，其中信息安全服务高级工程师不少于5名。

信息安全服务资质介绍上期给⼤家讲了信息安全的流程和周期，今天⼩编给⼤家普及⼀下信息安全服务都有哪些资质？信息安全服务资质是信息安全服务机构提供安全服务的⼀种资格，包括法律地位、资源状况、管理⽔平、技术能⼒等⽅⾯的要求。

信息安全服务资质认证是依据国家法律法规、国家标准、⾏业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质进⾏评价。

通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能⼒、技术能⼒和服务过程能⼒等⽅⾯进⾏权威、客观、公正的评价，证明其服务能⼒，满⾜社会对服务的选择需求。

同时，认证过程也将有效促进服务提供⽅完善⾃⾝管理体系，提⾼服务质量和⽔平，引导⾏业健康规范发展。

信息安全服务资质分为8⼤类，下⾯给⼤家介绍信息安全服务5⼤类资质安全运维服务资质认证简介通过技术设施安全评估，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理⼈员进⾏信息系统的安全运维⼯作，以发现并修复信息系统中所存在的安全隐患，降低安全隐患被⾮法利⽤的可能性，并在安全隐患被利⽤后及时加以响应。

安全运维资质认证是对安全运维服务⽅的基本资格、管理能⼒、技术能⼒和安全运维过程能⼒等⽅⾯进⾏评价。

安全运维服务资质级别是衡量服务提供⽅的安全运维服务资格和能⼒的尺度。

资质级别分为⼀级、⼆级、三级共三个级别，其中⼀级最⾼，三级最低。

软件安全开发服务资质认证简介通过对软件开发过程的控制，将开发的软件存在的风险控制在可接受的⽔平。

软件安全开发资质认证是对软件开发⽅的基本资格、管理能⼒、技术能⼒和软件安全过程能⼒等⽅⾯进⾏评价。

安全软件开发服务资质级别是衡量服务提供⽅的软件安全开发服务资格和能⼒的尺度。

资质级别分为⼀级、⼆级、三级共三个级别，其中⼀级最⾼，三级最低。

信息系统灾难备份与恢复服务资质认证简介信息系统灾难备份与恢复服务是将信息系统的数据、数据处理系统、⽹络系统、基础设施、专业技术⽀持能⼒和运⾏管理能⼒进⾏备份，并在灾难发⽣时，将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运⾏状态，将其⽀持的业务功能从灾难造成的不正常状态恢复到可接受状态，⽽设计和提供的活动。

国家信息安全测评信息安全服务资质申请指南（安全工程类一级）©版权2008—中国信息安全测评中心2008年8月1日一、认定依据 (4)二、级别划分 (4)三、一级资质要求 (4)3.1 基本资格要求 (5)3.2 基本能力要求 (5)3.2.1 组织与管理要求 (5)3.2.2 技术能力要求 (5)3.2.3 人员构成与素质要求 (6)3.2.4 设备、设施与环境要求 (6)3.2.5 规模与资产要求 (6)3.2.6 业绩要求 (6)3.3 安全工程过程能力要求 (7)3.4 项目和组织过程能力要求 (7)四、资质认定 (8)4.1认定流程图 (8)4.2申请阶段 (9)4.3资格审查阶段 (9)4.4能力测评阶段 (9)4.4.1静态评估 (9)4.4.2现场审核 (10)4.4.3综合评定 (10)4.4.4资质审定 (10)4.5证书发放阶段 (10)五、监督、维持和升级 (11)六、处置 (11)七、争议、投诉与申诉 (11)八、获证组织档案 (12)九、费用及周期 (12)中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作，对信息技术产品、信息系统和工程的安全性进行测试与评估。

对信息安全服务和人员的资质进行审核与评价。

中国信息安全测评中心的主要职能是：1.为信息技术安全性提供测评服务；2.信息安全漏洞分析；3.信息安全风险评估；4.信息技术产品、信息系统和工程安全测试与评估；5.信息安全服务和信息安全人员资质测评；6.信息安全技术咨询、工程监理与开发服务。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。

为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

信息安全管理体系信息安全管理体系(ISMS)FAQ一、信息安全管理体系认证的标准是什么,信息安全管理体系(Information Security Management System,简称ISMS)的概念最初来源于英国标准学会制定的BS7799标准, 并伴随着其作为国际标准的发布和普及而被广泛地接受。

ISO/IEC JTC1 SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会安全技术分委员会/第一工作组)是制定和修订ISMS标准的国际组织。

ISO/IEC27001:2005(《信息安全管理体系要求》)是ISMS认证所采用的标准。

目前我国已经将其等同转化为中国国家标准GB/T 22080-2008/ISO/IEC 27001:2005。

二、 ISO/IEC 27000族的成员标准主要有哪些,ISO/IEC 27000族是国际标准化组织专门为ISMS预留下来的一系列相关标准的总称，其包含的成员标准有:1. ISO/IEC 27000 ISMS概述和术语 IS2. ISO/IEC 27001 信息安全管理体系要求 IS3. ISO/IEC 27002 信息安全管理体系实用规则 IS4. ISO/IEC 27003 信息安全管理体系实施指南 FDIS5. ISO/IEC 27004 信息安全管理度量 FDIS6. ISO/IEC 27005 信息安全风险管理 IS7. ISO/IEC 27006 ISMS认证机构的认可要求 IS8. ISO/IEC 27007 信息安全管理体系审核指南 CD9. ISO/IEC 27008 ISMS控制措施审核员指南 WD10. ISO/IEC 27010 部门间通信的信息安全管理 NP11. ISO/IEC 27011 电信业信息安全管理指南 IS……目前，国际标准化组织(即:ISO)正在不断地扩充和完善ISMS系列标准，使之成为由多个成员标准组成的标准族。

信息安全服务资质认证证书一、认证内容概述信息安全服务资质认证证书是对信息安全服务机构的资质进行认定的证明。

认证内容主要包括以下方面：1. 法律法规的遵守：信息安全服务机构需合法合规开展相关业务，且能够严格遵守国家相关的法律法规。

2. 信息安全管理体系的建立与运行：信息安全服务机构需要建立完善的信息安全管理体系，并且能够保证其有效运行。

3. 信息安全技术能力与水平：信息安全服务机构需要具备一定的信息安全技术能力与水平，能够满足客户的需求。

4. 信息安全服务项目与能力：信息安全服务机构能够提供多种类型的信息安全服务项目，且能够保证其服务的质量和效果。

5. 客户信息保护与隐私保密：信息安全服务机构需保护客户的信息安全和隐私，且不得泄露客户信息。

6. 信息安全服务绩效与效果：信息安全服务机构能够对其服务的绩效与效果实施评估，并不断改进和提升其服务水平。

7. 其他相关内容：信息安全服务资质认证还可能包括其他相关的内容，具体视认证机构的要求而定。

以上是信息安全服务资质认证证书的基本认证内容概述，下面将从各个方面进行详细探讨。

二、法律法规的遵守信息安全服务机构在申请认证时，需要能够证明自己严格遵守国家相关的法律法规。

要求机构在运行过程中能够不断更新并遵守最新的相关法律法规，确保服务内容和方式符合法规要求。

机构应对员工进行相关法律法规的培训，提高员工的法律意识和法规遵守能力。

再次，机构需要建立健全的内部管理制度，以确保每项业务都符合法律法规的要求。

机构要在认证的过程中提供相关的证明材料和数据，以证明其合法合规的运行状态。

对于信息安全服务机构而言，合法合规的运营不仅是对外的资质认证要求，更是对自身合法合规意识的培养和规范。

在具体的认证流程中，除了准备相关的法规遵守证明文件外，机构还需接受认证机构的定期审核和检查，以确保其法律法规的遵守程度。

三、信息安全管理体系的建立与运行信息安全服务机构需要建立健全的信息安全管理体系，该管理体系应能够覆盖机构所有的信息安全相关活动，并确保其有效运行。