140801信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請指南0729

1、信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請指南申請指南1. 向各地工作站提出申請(見 p1) 各地工作聯(lián)系方式見封 22. 簽訂認(rèn)證服務(wù)協(xié)議(見單行本) 3. 組織進(jìn)行服務(wù)能力建設(shè)與準(zhǔn)備認(rèn)證材料(要求見 p6-p18) 4. 組織申請安排評(píng)審(見 p19)5. 接受第一階段評(píng)審(見 p20)6. 接受第二階段評(píng)審(見 p21-p22) 7. 進(jìn)行第二階段問題整改(如果有,見 p23)8. 等待認(rèn)證決定(見 p24)9. 等待發(fā)證(見 p25)10. 接受年度監(jiān)督評(píng)審(見 p26-27) 11. q&a（見 p28-p32）中國信息安全認(rèn)證中心編制2014 年 7 月

2、1 日信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請書1中國信息安全認(rèn)證中心信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請書申請書（第（第 2 2 版）版）申請組織（蓋章）： 申請日期： 中國信息安全認(rèn)證中心中國信息安全認(rèn)證中心 制制信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請書2中國信息安全認(rèn)證中心申請申請信息信息1申請組織性質(zhì) a 類（不含外資背景企業(yè)） b 類（含外資背景企業(yè)） c 類（事業(yè)單位）2申請類型 初次認(rèn)證 級(jí)別變更 3申請級(jí)別 一級(jí) 二級(jí) 三級(jí)isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 31.基本基本信息信息申請組織全稱（中文）： 申請組

3、織全稱（英文）： 注冊地址： 郵政編碼： 實(shí)際辦公地址： 郵政編碼： 網(wǎng)址： 法定代表人姓名： 職務(wù)： 申請組織聯(lián)系方式：聯(lián)系人姓名： 職務(wù)： 辦公電話： 手機(jī)： 電子郵箱： 傳真： 辦公地址： 郵政編碼： 2.申請組織簡介申請組織簡介3.其他附件其他附件1)申請組織營業(yè)執(zhí)照副本或事業(yè)單位法人證、組織機(jī)構(gòu)代碼證副本；2)固定辦公場所證明材料，如房產(chǎn)證明、租賃合同等；3)公司保密管理制度；4)近三年簽訂并完成驗(yàn)收的安全集成項(xiàng)目（附表 1） 。isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 4申請組織聲明申請組織聲明我組織正式提出信息系統(tǒng)安全集成服務(wù)資

4、質(zhì)認(rèn)證申請，承諾申請書中所提供的信息屬實(shí)，遵守中華人民共和國認(rèn)證認(rèn)可條例及相關(guān)法規(guī)，按照中國信息安全認(rèn)證中心的有關(guān)程序和規(guī)范要求，接受認(rèn)證審核及證后監(jiān)督，遵守認(rèn)證證書、認(rèn)證標(biāo)志使用和公告的規(guī)定，并及時(shí)繳納信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證相關(guān)費(fèi)用。 法定代表人（簽名）： 申請組織（蓋章）： 年 月 日isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 5附表 1申請組織信息系統(tǒng)安全集成服務(wù)項(xiàng)目匯總表申請組織信息系統(tǒng)安全集成服務(wù)項(xiàng)目匯總表序號(hào)序號(hào)項(xiàng)目名項(xiàng)目名稱稱合同金合同金額額軟件購置軟件購置費(fèi)用費(fèi)用硬件購置費(fèi)硬件購置費(fèi)用用開發(fā)與服務(wù)開發(fā)與服務(wù)費(fèi)用費(fèi)用其他其他

5、合同簽訂合同簽訂時(shí)間時(shí)間項(xiàng)目驗(yàn)收時(shí)間項(xiàng)目驗(yàn)收時(shí)間isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 6文件編碼：文件編碼：isccc-sv-003:2014信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則2014-07-01 發(fā)布發(fā)布 2014-08-01 實(shí)施實(shí)施中國信息安全認(rèn)證中心中國信息安全認(rèn)證中心 發(fā)發(fā)isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 7目目 錄錄1.1.適用范圍適用范圍.32.2.規(guī)范性引用文件規(guī)范性引用文件.33.3.術(shù)語與定義術(shù)語與定義.33.1.3.1.

6、信息系統(tǒng)集成信息系統(tǒng)集成.33.2.3.2.信息系統(tǒng)安全集成服務(wù)信息系統(tǒng)安全集成服務(wù).34.4.安全集成資質(zhì)認(rèn)證要求安全集成資質(zhì)認(rèn)證要求.34.1.4.1.總則總則.34.2.4.2.資信要求資信要求.34.2.1.4.2.1.三級(jí)資信要求三級(jí)資信要求.34.2.1.1.4.2.1.1.法律地位要求法律地位要求 .34.2.1.2.4.2.1.2.財(cái)務(wù)資信要求財(cái)務(wù)資信要求 .44.2.1.3.4.2.1.3.辦公場所要求辦公場所要求 .44.2.1.4.4.2.1.4.人員素質(zhì)要求人員素質(zhì)要求 .44.2.1.5.4.2.1.5.人員資質(zhì)要求人員資質(zhì)要求 .44.2.1.6.4.2.1.6.業(yè)

7、績要求業(yè)績要求 .44.2.1.7.4.2.1.7.服務(wù)管理要求服務(wù)管理要求 .44.2.2.4.2.2.二級(jí)資信要求二級(jí)資信要求.44.2.2.1.4.2.2.1.法律地位要求法律地位要求 .44.2.2.2.4.2.2.2.財(cái)務(wù)資信要求財(cái)務(wù)資信要求 .44.2.2.3.4.2.2.3.辦公場所要求辦公場所要求 .44.2.2.4.4.2.2.4.人員素質(zhì)要求人員素質(zhì)要求 .54.2.2.5.4.2.2.5.人員資質(zhì)要求人員資質(zhì)要求 .54.2.2.6.4.2.2.6.業(yè)績要求業(yè)績要求 .54.2.2.7.4.2.2.7.服務(wù)管理要求服務(wù)管理要求 .54.2.3.4.2.3.一級(jí)資信要求一級(jí)

8、資信要求.54.2.3.1.4.2.3.1.申請條件申請條件 .54.2.3.2.4.2.3.2.法律地位要求法律地位要求 .54.2.3.3.4.2.3.3.財(cái)務(wù)資信要求財(cái)務(wù)資信要求 .54.2.3.4.4.2.3.4.辦公場所要求辦公場所要求 .54.2.3.5.4.2.3.5.人員素質(zhì)要求人員素質(zhì)要求 .54.2.3.6.4.2.3.6.人員資質(zhì)要求人員資質(zhì)要求 .64.2.3.7.4.2.3.7.業(yè)績要求業(yè)績要求 .64.2.3.8.4.2.3.8.服務(wù)管理要求服務(wù)管理要求 .64.3.4.3.能力要求能力要求.64.3.1.4.3.1.總則總則.64.3.2.4.3.2.三級(jí)能力要求

9、三級(jí)能力要求.64.3.2.1.4.3.2.1.集成準(zhǔn)備階段集成準(zhǔn)備階段 .64.3.2.2.4.3.2.2.方案設(shè)計(jì)階段方案設(shè)計(jì)階段 .74.3.2.3.4.3.2.3.建設(shè)實(shí)施階段建設(shè)實(shí)施階段 .74.3.2.4.4.3.2.4.安全保障階段安全保障階段 .74.3.3.4.3.3.二級(jí)能力要求二級(jí)能力要求.74.3.3.1.4.3.3.1.集成準(zhǔn)備階段集成準(zhǔn)備階段 .74.3.3.2.4.3.3.2.方案設(shè)計(jì)階段方案設(shè)計(jì)階段 .74.3.3.3.4.3.3.3.建設(shè)實(shí)施階段建設(shè)實(shí)施階段 .84.3.3.4.4.3.3.4.安全保障階段安全保障階段 .84.3.4.4.3.4.一級(jí)能力要求

10、一級(jí)能力要求.84.3.4.1.4.3.4.1.集成準(zhǔn)備階段集成準(zhǔn)備階段 .84.3.4.2.4.3.4.2.方案設(shè)計(jì)階段方案設(shè)計(jì)階段 .84.3.4.3.4.3.4.3.建設(shè)實(shí)施階段建設(shè)實(shí)施階段 .84.3.4.4.4.3.4.4.安全保障階段安全保障階段 .95.5.安全集成資質(zhì)認(rèn)證程序安全集成資質(zhì)認(rèn)證程序.9isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 85.1.5.1.申請申請.95.2.5.2.文檔審核文檔審核.95.3.5.3.現(xiàn)場審核現(xiàn)場審核.95.4.5.4.認(rèn)證決定認(rèn)證決定.105.5.5.5.證后監(jiān)督證后監(jiān)督.105.5.1.

11、5.5.1.證后監(jiān)督頻次和方式證后監(jiān)督頻次和方式.105.5.2.5.5.2.證后監(jiān)督內(nèi)容證后監(jiān)督內(nèi)容.105.5.3.5.5.3.證后監(jiān)督結(jié)論證后監(jiān)督結(jié)論.105.5.4.5.5.4.信息通報(bào)信息通報(bào).105.6.5.6.認(rèn)證周期認(rèn)證周期.115.7.5.7.認(rèn)證證書管理認(rèn)證證書管理.115.7.1.5.7.1.證書有效期證書有效期.115.7.2.5.7.2.暫停認(rèn)證證書暫停認(rèn)證證書.115.7.3.5.7.3.撤銷認(rèn)證證書撤銷認(rèn)證證書.115.7.4.5.7.4.注銷認(rèn)證證書注銷認(rèn)證證書.115.7.5.5.7.5.證書變更證書變更.116.6.參考文獻(xiàn)參考文獻(xiàn).12isccc-sv-0

12、03:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 91.1.適用范圍適用范圍信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證是依據(jù)國家認(rèn)證認(rèn)可法律法規(guī)、相關(guān)技術(shù)標(biāo)準(zhǔn)和規(guī)范，對信息系統(tǒng)安全集成服務(wù)提供者的資質(zhì)進(jìn)行評(píng)價(jià)的合格評(píng)定活動(dòng)。本規(guī)則規(guī)定了信息系統(tǒng)安全集成服務(wù)提供者（以下簡稱服務(wù)提供者）應(yīng)具備的資信要求、能力要求以及認(rèn)證機(jī)構(gòu)開展資質(zhì)認(rèn)證的程序。本規(guī)則可用于第三方機(jī)構(gòu)對服務(wù)提供者進(jìn)行資信和能力評(píng)價(jià)，可作為服務(wù)提供者開展自我評(píng)價(jià)的依據(jù)，并可為政府及有關(guān)社會(huì)組織選擇服務(wù)提供者提供依據(jù)。2.2.規(guī)范性引用規(guī)范性引用文件文件下列文件中的條款通過本文件引用而成為本文件的條款。凡是注日期的引用文件，其

13、隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本文件，然而，鼓勵(lì)根據(jù)本文件達(dá)成協(xié)議的各方研究可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本文件。cnca/cts 0052-2007信息安全服務(wù)資質(zhì)認(rèn)證技術(shù)規(guī)范rb/t 201-2013信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證評(píng)價(jià)要求gb/t 5271.8-2001信息技術(shù)詞匯第8部分：安全中的術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.3.術(shù)語與術(shù)語與定義定義3.1.3.1.信息系統(tǒng)集成信息系統(tǒng)集成信息系統(tǒng)集成是指從事網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)、安防系統(tǒng)、建筑智能化系統(tǒng)的總體策劃、設(shè)計(jì)、開發(fā)、實(shí)施、服務(wù)及保障等活動(dòng)。3.2.3.2.信息系統(tǒng)安全集成服

14、務(wù)信息系統(tǒng)安全集成服務(wù)信息系統(tǒng)安全集成服務(wù)（以下簡稱“安全集成” ）是信息系統(tǒng)集成過程中的安全需求界定、安全設(shè)計(jì)、安全實(shí)施、安全保障等活動(dòng)。采用信息系統(tǒng)安全工程的方法和理論，將安全單元、安全產(chǎn)品部件進(jìn)行集成的活動(dòng)。4.4.安全集成資質(zhì)認(rèn)證要求安全集成資質(zhì)認(rèn)證要求4.1.4.1.總則總則安全集成資質(zhì)認(rèn)證要求包括資信和能力要求兩部分。安全集成資質(zhì)分為：一級(jí)、二級(jí)和三級(jí)，其中一級(jí)最高。4.2.4.2.資信要求資信要求4.2.1.4.2.1. 三級(jí)資信要求三級(jí)資信要求4.2.1.1.4.2.1.1.法律地位要求法律地位要求在中華人民共和國境內(nèi)注冊的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。4.2.1.

15、2.4.2.1.2.財(cái)務(wù)資信要求財(cái)務(wù)資信要求近3年經(jīng)營狀況良好，財(cái)務(wù)數(shù)據(jù)真實(shí)可信，應(yīng)提供在中華人民共和國境內(nèi)登記注冊的會(huì)計(jì)師事務(wù)所出具的近3年財(cái)務(wù)審計(jì)報(bào)告。isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 104.2.1.3.4.2.1.3.辦公場所要求辦公場所要求擁有長期固定辦公場所和相適應(yīng)的辦公條件，能滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。4.2.1.4.4.2.1.4.人員素質(zhì)要求人員素質(zhì)要求組織負(fù)責(zé)人擁有2年以上信息技術(shù)領(lǐng)域管理經(jīng)歷；技術(shù)負(fù)責(zé)人應(yīng)獲得信息系統(tǒng)安全集成相關(guān)專業(yè)認(rèn)證或信息安全專業(yè)碩士及以上學(xué)位或電子信息技術(shù)類中級(jí)職稱，且從事安全集成技術(shù)工作至

16、少2年；財(cái)務(wù)負(fù)責(zé)人具有財(cái)務(wù)系列初級(jí)以上職稱。信息系統(tǒng)安全集成技術(shù)服務(wù)人員10名以上。4.2.1.5.4.2.1.5.人員資質(zhì)要求人員資質(zhì)要求擁有信息系統(tǒng)安全集成相關(guān)專業(yè)認(rèn)證人員至少2名；擁有項(xiàng)目管理資格證書人員至少1名。4.2.1.6.4.2.1.6.業(yè)績要求業(yè)績要求從事信息系統(tǒng)安全集成服務(wù)至少1年。近3年內(nèi)簽訂并完成的安全集成項(xiàng)目總金額不少于300萬元人民幣，且至少完成一個(gè)100萬以上的安全集成項(xiàng)目。4.2.1.7.4.2.1.7.服務(wù)管理要求服務(wù)管理要求a) 遵循國家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無違法違規(guī)記錄，資信狀況良好。b) 制定保密管理制度，明確崗位保密責(zé)任，并與相關(guān)人員簽訂保密協(xié)議。c

17、) 建立人員管理程序和能力考核指標(biāo)；制定業(yè)務(wù)和技能培訓(xùn)計(jì)劃，定期對相關(guān)人員開展培訓(xùn)和考核。d) 建立文檔控制程序，明確文檔管理職責(zé)，任命管理人員，確保項(xiàng)目文檔資料妥善保管。e) 提供資源，確保安全集成項(xiàng)目的實(shí)施。4.2.2.4.2.2. 二級(jí)資信要求二級(jí)資信要求4.2.2.1.4.2.2.1.法律地位要求法律地位要求在中華人民共和國境內(nèi)注冊的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。4.2.2.2.4.2.2.2.財(cái)務(wù)資信要求財(cái)務(wù)資信要求近3年經(jīng)營狀況良好，財(cái)務(wù)數(shù)據(jù)真實(shí)可信，應(yīng)提供在中華人民共和國境內(nèi)登記注冊的會(huì)計(jì)師事務(wù)所出具的近3年財(cái)務(wù)審計(jì)報(bào)告。4.2.2.3.4.2.2.3.辦公場所要求辦

18、公場所要求擁有長期固定辦公場所和相適應(yīng)的辦公條件，能滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。4.2.2.4.4.2.2.4.人員素質(zhì)要求人員素質(zhì)要求組織負(fù)責(zé)人擁有3年以上信息技術(shù)領(lǐng)域管理經(jīng)歷；技術(shù)負(fù)責(zé)人應(yīng)獲得信息系統(tǒng)安全集成相關(guān)專業(yè)認(rèn)證或信息安全專業(yè)碩士及以上學(xué)位或電子信息技術(shù)類高級(jí)職稱，且從事安全集成技術(shù)工作至少5年；財(cái)務(wù)負(fù)責(zé)人擁有財(cái)務(wù)系列中級(jí)以上職稱。isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 11信息系統(tǒng)安全集成技術(shù)服務(wù)人員30名以上。4.2.2.5.4.2.2.5.人員資質(zhì)要求人員資質(zhì)要求擁有信息系統(tǒng)安全集成相關(guān)專業(yè)認(rèn)證人員至少6名；具有項(xiàng)目管理的資

19、格證書人員至少2名。4.2.2.6.4.2.2.6.業(yè)績要求業(yè)績要求從事信息系統(tǒng)安全集成服務(wù)3年以上，或取得安全集成三級(jí)資質(zhì)1年以上。近3年內(nèi)簽訂并完成至少6個(gè)安全集成項(xiàng)目，項(xiàng)目總金額至少1000萬元人民幣，且至少完成一個(gè)200萬以上的安全集成項(xiàng)目。4.2.2.7.4.2.2.7.服務(wù)管理要求服務(wù)管理要求a) 遵循國家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無違法違規(guī)記錄，資信狀況良好。b) 制定保密管理制度，明確崗位保密責(zé)任，與相關(guān)人員簽訂保密協(xié)議。c) 參照國際或國內(nèi)標(biāo)準(zhǔn)，建立業(yè)務(wù)范圍覆蓋安全集成服務(wù)的質(zhì)量管理體系，并有效運(yùn)行。d) 參照國際或國家標(biāo)準(zhǔn)，建立業(yè)務(wù)范圍覆蓋安全集成服務(wù)的信息安全管理體系或信息

20、技術(shù)服務(wù)管理體系，并有效運(yùn)行。e) 提供資源，確保安全集成項(xiàng)目的實(shí)施。4.2.3.4.2.3. 一級(jí)資信要求一級(jí)資信要求4.2.3.1.4.2.3.1.申請條件申請條件取得安全集成二級(jí)資質(zhì)1年以上。4.2.3.2.4.2.3.2.法律地位要求法律地位要求在中華人民共和國境內(nèi)注冊的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。4.2.3.3.4.2.3.3.財(cái)務(wù)資信要求財(cái)務(wù)資信要求近3年經(jīng)營狀況良好，財(cái)務(wù)數(shù)據(jù)真實(shí)可信，應(yīng)提供在中華人民共和國境內(nèi)登記的會(huì)計(jì)師事務(wù)所出具的近3年財(cái)務(wù)審計(jì)報(bào)告。4.2.3.4.4.2.3.4.辦公場所要求辦公場所要求擁有長期固定辦公場所和相適應(yīng)辦公條件，能滿足機(jī)構(gòu)設(shè)置及其業(yè)

21、務(wù)需要。4.2.3.5.4.2.3.5.人員素質(zhì)要求人員素質(zhì)要求組織負(fù)責(zé)人擁有4年以上信息技術(shù)領(lǐng)域管理經(jīng)歷；技術(shù)負(fù)責(zé)人應(yīng)獲得信息系統(tǒng)安全集成相關(guān)專業(yè)認(rèn)證或信息安全專業(yè)碩士及以上學(xué)位或電子信息技術(shù)類高級(jí)職稱，且從事安全集成技術(shù)工作至少8年；財(cái)務(wù)負(fù)責(zé)人擁有財(cái)務(wù)系列高級(jí)職稱或取得中級(jí)職稱8年以上。信息系統(tǒng)安全集成技術(shù)服務(wù)人員50名以上。4.2.3.6.4.2.3.6.人員資質(zhì)要求人員資質(zhì)要求擁有信息系統(tǒng)安全集成相關(guān)專業(yè)認(rèn)證人員至少10名；具有項(xiàng)目管理的資格證書人員至少5名。isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 124.2.3.7.4.2.3.7

22、.業(yè)績要求業(yè)績要求從事信息系統(tǒng)安全集成服務(wù)5年以上。近3年內(nèi)簽訂并完成至少10個(gè)安全集成項(xiàng)目，通過驗(yàn)收并投入實(shí)際應(yīng)用。項(xiàng)目合同總金額至少2000萬元人民幣，且至少完成一個(gè)500萬以上的安全集成項(xiàng)目。4.2.3.8.4.2.3.8.服務(wù)管理要求服務(wù)管理要求a) 遵循國家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無違法違規(guī)記錄，資信狀況良好。b) 制定保密管理制度，明確崗位保密責(zé)任，與相關(guān)人員簽訂保密協(xié)議。c) 參照國際、國內(nèi)標(biāo)準(zhǔn)，建立業(yè)務(wù)范圍覆蓋安全集成服務(wù)的質(zhì)量管理體系，并提供有效運(yùn)行的相關(guān)證明。d) 參照國際、國家標(biāo)準(zhǔn)，建立業(yè)務(wù)范圍覆蓋安全集成服務(wù)的信息安全管理體系或信息技術(shù)服務(wù)管理體系，并提供有效運(yùn)行的相關(guān)

23、證明。e) 提供足夠資源，確保安全集成項(xiàng)目的實(shí)施。4.3.4.3.能力要求能力要求4.3.1.4.3.1. 總則總則安全集成項(xiàng)目劃分為集成準(zhǔn)備、方案設(shè)計(jì)、建設(shè)實(shí)施、安全保障四個(gè)階段。4.3.2.4.3.2. 三級(jí)能力要求三級(jí)能力要求4.3.2.1.4.3.2.1.集成準(zhǔn)備階段集成準(zhǔn)備階段4.3.2.1.1.4.3.2.1.1.需求調(diào)研與分析需求調(diào)研與分析a)調(diào)研客戶背景信息，采集系統(tǒng)建設(shè)需求和建設(shè)目標(biāo)，明確系統(tǒng)功能、性能及安全性要求。b)基于系統(tǒng)建設(shè)需求，提出產(chǎn)品選型方案和建設(shè)預(yù)算。c)結(jié)合系統(tǒng)建設(shè)和安全需求，與客戶、設(shè)計(jì)、開發(fā)等人員充分溝通，達(dá)成共識(shí)并形成記錄。4.3.2.1.2.4.3.2

24、.1.2.簽訂服務(wù)協(xié)議簽訂服務(wù)協(xié)議a)與客戶、供應(yīng)商簽訂服務(wù)協(xié)議，明確范圍、目標(biāo)、時(shí)間、內(nèi)容、金額、質(zhì)量和輸出等。b)與客戶、供應(yīng)商等相關(guān)方簽訂保密協(xié)議，明確保密職責(zé)和違約責(zé)任。4.3.2.2.4.3.2.2.方案設(shè)計(jì)階段方案設(shè)計(jì)階段a)根據(jù)系統(tǒng)建設(shè)安全需求，編制安全集成技術(shù)方案。b)依據(jù)技術(shù)方案，編制安全集成實(shí)施方案，明確項(xiàng)目人員、進(jìn)度、質(zhì)量、溝通、風(fēng)險(xiǎn)等方面的要求。c)結(jié)合技術(shù)方案和實(shí)施方案，與客戶進(jìn)行溝通，獲得客戶認(rèn)可。4.3.2.3.4.3.2.3.建設(shè)實(shí)施階段建設(shè)實(shí)施階段4.3.2.3.1.4.3.2.3.1.實(shí)施集成實(shí)施集成isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資

25、質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 13a)依據(jù)已確認(rèn)的安全集成項(xiàng)目技術(shù)方案和實(shí)施方案，按照時(shí)間和質(zhì)量要求進(jìn)行系統(tǒng)建設(shè)。b)項(xiàng)目實(shí)施人員按時(shí)提交施工記錄和工程日志，及時(shí)向項(xiàng)目經(jīng)理匯報(bào)項(xiàng)目進(jìn)度。c)建立安全集成項(xiàng)目協(xié)調(diào)機(jī)制，明確責(zé)任人，暢通信息溝通渠道，保障各相關(guān)方在項(xiàng)目實(shí)施過程中能夠有效充分的溝通。4.3.2.4.4.3.2.4.安全保障階段安全保障階段4.3.2.4.1.4.3.2.4.1.系統(tǒng)測試系統(tǒng)測試a)依據(jù)項(xiàng)目技術(shù)方案和測試計(jì)劃，對系統(tǒng)進(jìn)行聯(lián)調(diào)和系統(tǒng)測試，完整記錄測試過程相關(guān)信息。b)對于新建系統(tǒng)重點(diǎn)測試系統(tǒng)的功能、性能和安全性等；對于系統(tǒng)改造或升級(jí)項(xiàng)目，還需進(jìn)行兼容性測試。4.3.

26、2.4.2.4.3.2.4.2.系統(tǒng)試運(yùn)行系統(tǒng)試運(yùn)行a)為測試系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，系統(tǒng)初驗(yàn)后需進(jìn)行試運(yùn)行，并記錄系統(tǒng)運(yùn)行狀況，試運(yùn)行周期至少一個(gè)月。b)基于系統(tǒng)運(yùn)行相關(guān)記錄，及時(shí)對系統(tǒng)設(shè)備進(jìn)行調(diào)整和維護(hù)。4.3.2.4.3.4.3.2.4.3.驗(yàn)收驗(yàn)收a)根據(jù)合同約定，向客戶提交完整的項(xiàng)目資料及交付物，并提出終驗(yàn)申請。b)根據(jù)合同約定，配合組織項(xiàng)目驗(yàn)收，出具項(xiàng)目驗(yàn)收報(bào)告。4.3.3.4.3.3. 二級(jí)能力要求二級(jí)能力要求組織申報(bào)二級(jí)資質(zhì)，除滿足三級(jí)能力要求外，還應(yīng)滿足以下要求：4.3.3.1.4.3.3.1.集成準(zhǔn)備階段集成準(zhǔn)備階段4.3.3.1.1.4.3.3.1.1.需求調(diào)研與分析需

27、求調(diào)研與分析a)準(zhǔn)確識(shí)別和綜合分析系統(tǒng)在保密性、完整性、可用性、可靠性等方面的安全需求，提出系統(tǒng)安全保障策略和建議。b)基于客戶需求和投入能力，開展需求分析，編制需求分析報(bào)告。4.3.3.2.4.3.3.2.方案設(shè)計(jì)階段方案設(shè)計(jì)階段a)結(jié)合需求分析和客戶在保障系統(tǒng)安全方面的投入能力，提出系統(tǒng)建設(shè)安全設(shè)計(jì)說明書，明確系統(tǒng)架構(gòu)、產(chǎn)品選型、產(chǎn)品功能、性能及配置等參數(shù)。b)組織客戶及相關(guān)技術(shù)專家對技術(shù)方案和實(shí)施方案進(jìn)行論證，確認(rèn)是否滿足系統(tǒng)功能、性能和安全性要求。c)結(jié)合技術(shù)方案，對項(xiàng)目組及第三方配合人員進(jìn)行業(yè)務(wù)和技能培訓(xùn)。d)依據(jù)技術(shù)方案具體指標(biāo)要求，制定系統(tǒng)測試計(jì)劃。4.3.3.3.4.3.3.3

28、.建設(shè)實(shí)施階段建設(shè)實(shí)施階段4.3.3.3.1.4.3.3.3.1.實(shí)施集成實(shí)施集成isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 14a)產(chǎn)品、設(shè)備安裝調(diào)試過程中，應(yīng)完整妥善記錄相關(guān)信息。b)項(xiàng)目建設(shè)施工完成后，需向客戶提交完工報(bào)告。c)項(xiàng)目實(shí)施完成后，相關(guān)過程記錄及時(shí)歸檔，并統(tǒng)一保管。4.3.3.3.2.4.3.3.3.2.監(jiān)督管理監(jiān)督管理建立客戶滿意度調(diào)查機(jī)制，并對調(diào)查結(jié)果進(jìn)行分析。4.3.3.4.4.3.3.4.安全保障階段安全保障階段4.3.3.4.1.4.3.3.4.1.系統(tǒng)測試系統(tǒng)測試a)系統(tǒng)測試完成后，制定系統(tǒng)測試報(bào)告，并提交客戶。b

29、)結(jié)合項(xiàng)目需要提出初驗(yàn)申請，組織客戶及相關(guān)方對項(xiàng)目進(jìn)行初驗(yàn)，并提交初驗(yàn)報(bào)告。4.3.3.4.2.4.3.3.4.2.系統(tǒng)試運(yùn)行系統(tǒng)試運(yùn)行試運(yùn)行結(jié)束后，項(xiàng)目組制定系統(tǒng)試運(yùn)行報(bào)告，并提交客戶。4.3.4.4.3.4. 一級(jí)能力要求一級(jí)能力要求組織申報(bào)一級(jí)資質(zhì)，除滿足二級(jí)能力要求外，還應(yīng)滿足以下要求：集成準(zhǔn)備集成準(zhǔn)備階段階段4.3.4.1.1.4.3.4.1.1.需求調(diào)研與分析需求調(diào)研與分析協(xié)助客戶有效識(shí)別系統(tǒng)建設(shè)過程中的政策、法律和約束條件,有效規(guī)避商業(yè)風(fēng)險(xiǎn)和泄密事件。4.3.4.1.2.4.3.4.1.2.簽訂服務(wù)協(xié)議簽訂服務(wù)協(xié)議建立安全集成服務(wù)級(jí)別管理程序，簽訂服務(wù)級(jí)別協(xié)議。4.3.4.2.4

30、.3.4.2.方案設(shè)計(jì)方案設(shè)計(jì)階段階段a)結(jié)合項(xiàng)目需要，編制安全集成項(xiàng)目施工手冊和作業(yè)指導(dǎo)書。b)對于新建系統(tǒng)，建設(shè)實(shí)施過程應(yīng)重點(diǎn)關(guān)注信息系統(tǒng)的功能、性能和安全性等方面要求。對于系統(tǒng)改造，還應(yīng)考慮改造前技術(shù)測試驗(yàn)證及在實(shí)施失敗后的回退措施。技術(shù)測試驗(yàn)證需要考慮新舊系統(tǒng)的兼容問題，包括網(wǎng)絡(luò)兼容、系統(tǒng)兼容、應(yīng)用兼容等。c)基于安全集成項(xiàng)目需求和進(jìn)度計(jì)劃，編制信息安全產(chǎn)品和工具定制開發(fā)計(jì)劃。4.3.4.3.4.3.4.3.建設(shè)實(shí)施建設(shè)實(shí)施階段階段4.3.4.3.1.4.3.4.3.1.實(shí)施集成實(shí)施集成a)建立項(xiàng)目變更管理程序，對項(xiàng)目實(shí)施過程中方案、資源變更進(jìn)行有效控制，完整記錄變更過程。b)制定項(xiàng)目

31、應(yīng)急處置方案和恢復(fù)策略，對項(xiàng)目過程中的應(yīng)急事件及時(shí)進(jìn)行響應(yīng)。4.3.4.3.2.4.3.4.3.2.監(jiān)督管理監(jiān)督管理定期對項(xiàng)目實(shí)施情況進(jìn)行評(píng)審，采取適當(dāng)措施，控制項(xiàng)目風(fēng)險(xiǎn)。isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 154.3.4.4.4.3.4.4.安全安全保障階段保障階段4.3.4.4.1.4.3.4.4.1.系統(tǒng)測試系統(tǒng)測試基于建設(shè)系統(tǒng)的安全要求，制定系統(tǒng)安全性測試方案，模擬攻擊場景，對系統(tǒng)安全性進(jìn)行測試。4.3.4.4.2.4.3.4.4.2.系統(tǒng)試運(yùn)行系統(tǒng)試運(yùn)行a)制定系統(tǒng)試運(yùn)行計(jì)劃，建立應(yīng)急響應(yīng)服務(wù)保障團(tuán)隊(duì)，及時(shí)應(yīng)對突發(fā)事件。b)綜

32、合分析系統(tǒng)運(yùn)行狀態(tài)，建立系統(tǒng)運(yùn)行策略和安全指南，并對相關(guān)產(chǎn)品和設(shè)備設(shè)施進(jìn)行配置管理。c)提供三個(gè)月以上的試運(yùn)行記錄和報(bào)告。5.5.安全集成資質(zhì)認(rèn)證安全集成資質(zhì)認(rèn)證程序程序5.1.5.1.申請申請申請組織可自愿向認(rèn)證機(jī)構(gòu)提出申請，并提交信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證申請書及以下材料：a)獨(dú)立法人資格相關(guān)證明材料；b)固定辦公場所證明材料；c)保密管理制度；d)安全集成業(yè)績證明材料等。5.2.5.2.文件審核文件審核依據(jù)認(rèn)證程序和相關(guān)標(biāo)準(zhǔn)要求，對申請組織提交的申請書及附件進(jìn)行評(píng)審，確保：a)認(rèn)證機(jī)構(gòu)和申請組織之間無理解差異；b)申請組織充分理解認(rèn)證實(shí)施規(guī)則相關(guān)要求；c)對于申請的認(rèn)證范圍、工作場所等

33、相關(guān)要求，認(rèn)證機(jī)構(gòu)均有能力開展認(rèn)證服務(wù)。5.3.5.3.現(xiàn)場審核現(xiàn)場審核認(rèn)證機(jī)構(gòu)組成評(píng)審組，依據(jù)相關(guān)標(biāo)準(zhǔn)和審核要求，到申請組織現(xiàn)場進(jìn)行評(píng)審，主要內(nèi)容包括：a)驗(yàn)證申請組織相關(guān)資質(zhì)證明、規(guī)章制度和程序文件；b)通過檢查、觀察、訪談，驗(yàn)證申請組織的安全集成服務(wù)技術(shù)、管理能力；c)現(xiàn)場案例抽查。5.4.5.4.認(rèn)證決定認(rèn)證決定認(rèn)證機(jī)構(gòu)認(rèn)證決定委員會(huì)執(zhí)行認(rèn)證決定。認(rèn)證決定委員會(huì)由3名以上（含3名）奇數(shù)認(rèn)證決定人員組成。認(rèn)證決定人員依據(jù)認(rèn)證標(biāo)準(zhǔn)、認(rèn)證程序及實(shí)施規(guī)則要求，結(jié)合評(píng)審過程中采集的信息（對于存在不符合項(xiàng)的情況，需進(jìn)行整改并由評(píng)審組驗(yàn)證通過），對審核結(jié)果進(jìn)行綜合評(píng)isccc-sv-003:2014

34、 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 16價(jià)，做出“通過認(rèn)證”或 “不通過認(rèn)證”的決定。必要時(shí)，認(rèn)證決定委員會(huì)應(yīng)對申請組織是否滿足認(rèn)證標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評(píng)估后，再做出是否通過認(rèn)證的決定。對于符合認(rèn)證要求的申請組織，認(rèn)證機(jī)構(gòu)應(yīng)頒發(fā)認(rèn)證證書，并在官方媒體上予以公告。對于不符合認(rèn)證要求的申請組織，認(rèn)證機(jī)構(gòu)應(yīng)以書面的形式，明示其不能獲得認(rèn)證的原因。申請組織如對認(rèn)證決定結(jié)果有異議，可向認(rèn)證機(jī)構(gòu)提出申訴。認(rèn)證機(jī)構(gòu)自收到申訴之日起，在一個(gè)月內(nèi)進(jìn)行處理，并將處理結(jié)果書面通知申請組織。5.5.5.5.證后監(jiān)督證后監(jiān)督5.5.1.5.5.1. 證后監(jiān)督頻次和方式證后監(jiān)督頻次和方式認(rèn)證機(jī)構(gòu)需對獲證組

35、織實(shí)施監(jiān)督。監(jiān)督審核需到獲證組織現(xiàn)場實(shí)施，且每年度（不超過12個(gè)月）進(jìn)行一次監(jiān)督審核。當(dāng)獲證組織發(fā)生重大變更、事故或客戶投訴時(shí)，認(rèn)證機(jī)構(gòu)可增加現(xiàn)場監(jiān)督審核的頻次。5.5.2.5.5.2. 證后監(jiān)督內(nèi)容證后監(jiān)督內(nèi)容監(jiān)督審核除包括初次評(píng)審的內(nèi)容外，還應(yīng)對上一次審核中提出的不符合項(xiàng)和觀察項(xiàng)所采取糾正/預(yù)防措施進(jìn)行驗(yàn)證。5.5.3.5.5.3. 證后監(jiān)督結(jié)論證后監(jiān)督結(jié)論對于通過監(jiān)督審核的獲證組織，認(rèn)證機(jī)構(gòu)應(yīng)做出維持認(rèn)證證書有效的決定；否則，暫停或撤銷其認(rèn)證證書。5.5.4.5.5.4. 信息通報(bào)信息通報(bào)為確保獲證組織的安全服務(wù)能力持續(xù)有效，獲證組織應(yīng)建立信息通報(bào)渠道，及時(shí)向認(rèn)證機(jī)構(gòu)報(bào)告以下信息：a)組

36、織機(jī)構(gòu)變更信息；b)安全事故、客戶投訴信息；c)其他重要信息。認(rèn)證機(jī)構(gòu)應(yīng)及時(shí)對上述信息進(jìn)行處理并采取相應(yīng)措施，包括增加監(jiān)督審核頻次、暫停或撤銷認(rèn)證證書。5.6.5.6.認(rèn)證周期認(rèn)證周期認(rèn)證周期是指申請被正式受理之日起，至認(rèn)證證書頒發(fā)，實(shí)際發(fā)生的時(shí)間，包括認(rèn)證受理、文檔審核、現(xiàn)場審核、認(rèn)證決定以及證書審批等環(huán)節(jié)，一般為三個(gè)月。5.7.5.7.認(rèn)證證書認(rèn)證證書管理管理5.7.1.5.7.1. 證書有效期證書有效期獲證組織如持續(xù)滿足標(biāo)準(zhǔn)要求，且通過認(rèn)證機(jī)構(gòu)年度監(jiān)督評(píng)審，可保持證書有效。isccc-sv-003:2014 信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 175.7.2.5.7

37、.2. 暫停認(rèn)證證書暫停認(rèn)證證書獲證組織有下列情形之一，認(rèn)證機(jī)構(gòu)應(yīng)暫停其認(rèn)證證書：a)未按規(guī)定接受監(jiān)督審核；b)違規(guī)使用認(rèn)證證書，且未造成不良影響；c)監(jiān)督審核有嚴(yán)重不符合項(xiàng); d)不接受認(rèn)證機(jī)構(gòu)實(shí)施監(jiān)督;e)其他需要暫停證書的情況。證書暫停時(shí)間一般為三個(gè)月。在證書暫停期間，組織可提出恢復(fù)證書的申請，并經(jīng)認(rèn)證機(jī)構(gòu)審核、批準(zhǔn)后方可使用證書。5.7.3.5.7.3. 撤銷認(rèn)證證書撤銷認(rèn)證證書獲證組織有下列情形之一，認(rèn)證機(jī)構(gòu)應(yīng)撤銷其認(rèn)證證書：a)證書暫停期間，未在規(guī)定時(shí)間內(nèi)完成整改并通過驗(yàn)證；b)違規(guī)使用認(rèn)證證書，造成不良影響；c)獲證組織出現(xiàn)嚴(yán)重責(zé)任事故、被投訴且經(jīng)核實(shí)，影響其繼續(xù)有效提供服務(wù)；d

38、)被客戶投訴，經(jīng)調(diào)查事實(shí)存在e)其他需要撤銷證書的情況。5.7.4.5.7.4. 注銷認(rèn)證證書注銷認(rèn)證證書獲證組織因自身原因不再維持證書，可向認(rèn)證機(jī)構(gòu)提出注銷認(rèn)證證書的申請，認(rèn)證機(jī)構(gòu)應(yīng)及時(shí)給予注銷。認(rèn)證證書撤銷或注銷后，認(rèn)證機(jī)構(gòu)應(yīng)及時(shí)收回認(rèn)證證書，并在官方媒體予以公告。5.7.5.5.7.5. 證書變更證書變更證書變更如只涉及地址、資金或法定代表人的變更，獲證組織需遞交變更申請，經(jīng)書面審核批準(zhǔn)后，認(rèn)證機(jī)構(gòu)可更換其證書并收回原證書。如獲證組織發(fā)生除以上外的重大調(diào)整，應(yīng)向認(rèn)證機(jī)構(gòu)提出變更申請，并提供相關(guān)材料。認(rèn)證機(jī)構(gòu)需進(jìn)行現(xiàn)場驗(yàn)證，并做出認(rèn)證決定。isccc-sv-003:2014 信息系統(tǒng)安全集

39、成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則中國信息安全認(rèn)證中心 186.6.參考文獻(xiàn)參考文獻(xiàn)gb/t 20261-2006 信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型yd/t 1621-2007 網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評(píng)價(jià)準(zhǔn)則yd/t 1799-2008 網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評(píng)價(jià)方法yd/t 2252-2011 網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力評(píng)價(jià)方法cnca/cts 0052-2007 信息安全服務(wù)資質(zhì)認(rèn)證技術(shù)規(guī)范計(jì)算機(jī)信息系統(tǒng)集成企業(yè)資質(zhì)等級(jí)評(píng)定條件 （2012年修定版）通信信息網(wǎng)絡(luò)系統(tǒng)集成企業(yè)資質(zhì)認(rèn)定安防工程企業(yè)資質(zhì)評(píng)定標(biāo)準(zhǔn)中安協(xié)資2007 2號(hào)建筑智能化工程專業(yè)承包企業(yè)資質(zhì)等級(jí)標(biāo)準(zhǔn)組織申請安排評(píng)審中國

40、信息安全認(rèn)證中心 19組織申請安排評(píng)審組織申請安排評(píng)審組織在完成安全集成能力建設(shè),并按信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則完成相關(guān)證據(jù)準(zhǔn)備后，可以向當(dāng)?shù)毓ぷ髡旧暾堅(jiān)u審，申請時(shí)請?zhí)顚懮暾垎尾⑼ㄟ^郵件方式通知工作站，與工作站協(xié)商評(píng)審時(shí)間（由于要盡量集中安排評(píng)審，以降低組織負(fù)擔(dān)和提高效率，通常組織提出申請后 1 個(gè)月之內(nèi)安排） 。 安排評(píng)審申請單安排評(píng)審申請單1.基本信息基本信息申請組織全稱（中文）： 申請組織全稱（英文）： 注冊地址： 郵政編碼： 實(shí)際辦公地址： 郵政編碼： 網(wǎng)址： 法定代表人姓名： 職務(wù)： 申請組織聯(lián)系方式：聯(lián)系人姓名： 職務(wù)： 辦公電話： 手機(jī)： 電子郵箱： 傳真： 辦公地址：

41、 郵政編碼： 2.申請?jiān)u審時(shí)間申請?jiān)u審時(shí)間計(jì)劃第一階段評(píng)審時(shí)間： 至 實(shí)際安排第一階段評(píng)審時(shí)間： 至 計(jì)劃第二階段評(píng)審時(shí)間： 至 實(shí)際安排第二階段評(píng)審時(shí)間： 至 接受第一階段評(píng)審中國信息安全認(rèn)證中心 20接受第一階段評(píng)審接受第一階段評(píng)審各地工作站將依據(jù)與組織協(xié)商的時(shí)間安排第一階段評(píng)審，一階段評(píng)審主要是對組織資信水平進(jìn)行驗(yàn)證和組織能力建設(shè)情況進(jìn)行考察，目的是評(píng)價(jià)組織滿足要求的充分性和適宜性。 評(píng)審主要通過文檔評(píng)審和環(huán)境巡視進(jìn)行。在評(píng)審過程中發(fā)現(xiàn)的問題，評(píng)審員將與組織進(jìn)行現(xiàn)場溝通，組織應(yīng)依據(jù)評(píng)審員的要求進(jìn)行整改，以便順利實(shí)施第二階段評(píng)審。第一階段結(jié)束時(shí)，組織應(yīng)與評(píng)審員商定第二階段評(píng)審時(shí)間。接受第二

42、階段評(píng)審中國信息安全認(rèn)證中心 21接受第二階段評(píng)審接受第二階段評(píng)審依據(jù)第一階段評(píng)審結(jié)束時(shí)組織與評(píng)審員商定的時(shí)間組織評(píng)審，對三級(jí)認(rèn)證由各地工作站直接組織，對一、二級(jí)認(rèn)證由中國信息安全認(rèn)證中心組織。在評(píng)審過程中發(fā)現(xiàn)的問題，評(píng)審員將據(jù)實(shí)開具不符合報(bào)告或觀察項(xiàng)報(bào)告，格式如下：信息安全服務(wù)資質(zhì)認(rèn)證審核觀察項(xiàng)報(bào)告信息安全服務(wù)資質(zhì)認(rèn)證審核觀察項(xiàng)報(bào)告申請編號(hào)服務(wù)類別/級(jí)別受審核組織名稱審核類型初次審核 年監(jiān)督審核 其他審核組長受審核部門/陪同人審核員審核時(shí)間情況描述：依據(jù)：受審核部門確認(rèn)日期受審核組織代表確認(rèn)日期備注：接受第二階段評(píng)審中國信息安全認(rèn)證中心 22信息安全服務(wù)資質(zhì)認(rèn)證現(xiàn)場審核信息安全服務(wù)資質(zhì)認(rèn)證現(xiàn)

43、場審核不符合項(xiàng)報(bào)告不符合項(xiàng)報(bào)告 申請編號(hào)服務(wù)類別/級(jí)別受審核組織名稱審核類型初次認(rèn)證 年監(jiān)督 其他審核時(shí)間審核部門/陪同人員審核組長審核員不符合項(xiàng)描述：不符合標(biāo)準(zhǔn)條款：受審核部門代表確認(rèn)： 日期：受審核組織代表確認(rèn)： 日期：不符合類型： 嚴(yán)重 一般糾正措施（附含原因分析的糾正措施材料）受審核組織代表確認(rèn)： 日期：糾正措施跟蹤驗(yàn)證情況：審核員： 日期：備注注：現(xiàn)場審核不符合項(xiàng)應(yīng)在 3 個(gè)月內(nèi)完成糾正措施并經(jīng)驗(yàn)證合格。進(jìn)行第二階段問題整改中國信息安全認(rèn)證中心 23進(jìn)行第二階段問題整改（如果有）進(jìn)行第二階段問題整改（如果有）如果在第二階段評(píng)審過程中，評(píng)審員發(fā)現(xiàn)了不符合項(xiàng)，組織在確定不符合報(bào)告之后應(yīng)按

44、要求進(jìn)行整改。整改的關(guān)鍵是要找出問題的原因，對已存在的問題進(jìn)行糾正，且采取有效措施確保原因得到消除，從而確保發(fā)現(xiàn)的不符合得到整改。整改應(yīng)在 3 個(gè)月內(nèi)完成。整改結(jié)果要得到評(píng)審員的確認(rèn)，且被評(píng)審員認(rèn)為所采取的糾正措施是恰當(dāng)合有效的。等待認(rèn)證決定中國信息安全認(rèn)證中心 24等待認(rèn)證決定等待認(rèn)證決定評(píng)審員在完成第二階段評(píng)審之后，5 個(gè)工作日內(nèi)出具認(rèn)證評(píng)審報(bào)告（提交認(rèn)證決定委員會(huì)和申請認(rèn)證組織） 。認(rèn)證決定委員會(huì)在接到認(rèn)證決定請求后，3 個(gè)工作日內(nèi)完成認(rèn)證決定。不通過時(shí)，通過工作與組織及時(shí)進(jìn)行溝通。通過時(shí)，將轉(zhuǎn)制證環(huán)節(jié)。等待發(fā)證中國信息安全認(rèn)證中心 25等待發(fā)證等待發(fā)證通過認(rèn)證決定的組織，中國信息安全認(rèn)

45、證中心本部（或工作站）將在 5 個(gè)工作日內(nèi)完成制證，且寄出。證書格式如下：接受年度監(jiān)督評(píng)審中國信息安全認(rèn)證中心 26接受年度監(jiān)督評(píng)審接受年度監(jiān)督評(píng)審組織在獲得認(rèn)證之后，應(yīng)采取有效措施，以保證證書持續(xù)有效，中國信息安全認(rèn)證中心將采取年度監(jiān)督評(píng)審方式來驗(yàn)證組織證書保持狀態(tài)。證后監(jiān)督評(píng)審，每年進(jìn)行一次。組織應(yīng)自發(fā)證之日或監(jiān)督評(píng)審?fù)ㄟ^之日起，12 月內(nèi)申請年度監(jiān)督評(píng)審（申請表如下，通過郵件方式發(fā)送給工作站） 。安排年度監(jiān)督申請單安排年度監(jiān)督申請單1.基本信息基本信息申請組織全稱（中文）： 申請組織全稱（英文）： 注冊地址： 郵政編碼： 實(shí)際辦公地址： 郵政編碼： 網(wǎng)址： 法定代表人姓名： 職務(wù)： 申請

46、組織聯(lián)系方式：聯(lián)系人姓名： 職務(wù)： 辦公電話： 手機(jī)： 電子郵箱： 傳真： 辦公地址： 郵政編碼： 1.申請監(jiān)督評(píng)審時(shí)間申請監(jiān)督評(píng)審時(shí)間計(jì)劃評(píng)審時(shí)間： 至 實(shí)際安排評(píng)審時(shí)間： 至 通過年度監(jiān)督評(píng)審的組織將獲得通過年度監(jiān)督評(píng)審標(biāo)志（此標(biāo)接受年度監(jiān)督評(píng)審中國信息安全認(rèn)證中心 27志應(yīng)貼在證書標(biāo)志位中） ，同時(shí)，中國信息安全認(rèn)證中心本部（或工作站）每三年將換發(fā)一次新證書。沒有通過年度監(jiān)督評(píng)審的組織將被暫停證書，直到證書恢復(fù)或撤銷。q&a中國信息安全認(rèn)證中心 28q&a1中國信息安全認(rèn)證中心是一個(gè)什么機(jī)構(gòu)？ 答：中國信息安全認(rèn)證中心（英文簡稱：isccc）是經(jīng)中央機(jī)構(gòu)編制委員會(huì)辦公室批

47、準(zhǔn)成立，由公安部、安全部、信息產(chǎn)業(yè)部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室、國家質(zhì)檢總局、國家認(rèn)監(jiān)委等八部委授權(quán)，依據(jù)國家有關(guān)強(qiáng)制性產(chǎn)品認(rèn)證，信息安全管理法律法規(guī)，負(fù)責(zé)實(shí)施信息安全認(rèn)證的專門機(jī)構(gòu)，系第三方公正機(jī)構(gòu)和法人實(shí)體。其職能為：在批準(zhǔn)的工作范圍內(nèi)按照認(rèn)證基本規(guī)范和認(rèn)證規(guī)則開展認(rèn)證工作：依據(jù)國家法律、法規(guī)及授權(quán)參加相關(guān)國際組織開展信息安全領(lǐng)域的國際合作。2什么組織可以申請信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證？答：從事信息系統(tǒng)集成、智能樓宇集成、安防集成的組織均可以申請。3向誰申請信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證？答：各地企業(yè)直接向當(dāng)?shù)毓ぷ髡旧暾垼ū本┢髽I(yè)直接向中心總部申請）注：為保證服務(wù)

48、到位，各地每兩個(gè)月有一次集中評(píng)審時(shí)間，建議注意每期申報(bào)截至?xí)r間。4能否直接申請一級(jí)？ 答：新規(guī)則正式實(shí)施后（新規(guī)則 2014 年 8 月 1 日正式實(shí)施）不能直接申請一級(jí)，但可以直接申請二級(jí)。5認(rèn)證如何收費(fèi)？ 答：初次認(rèn)證組織在簽訂合同后（年度監(jiān)督費(fèi)用在實(shí)施年度監(jiān)督q&a中國信息安全認(rèn)證中心 29前） ，向中國信息安全認(rèn)證中心指定帳戶支付認(rèn)證費(fèi)用。信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證（新）收費(fèi)信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證（新）收費(fèi)標(biāo)準(zhǔn)標(biāo)準(zhǔn)2014 年 8 月 1 日起執(zhí)行新收費(fèi)標(biāo)準(zhǔn)如下：初次認(rèn)證費(fèi)和（每年）證后監(jiān)督費(fèi)，無再認(rèn)證費(fèi)用，不需交納年金。1、初次認(rèn)證費(fèi)用 單位：人民幣元級(jí) 別一 級(jí)二

49、級(jí)三 級(jí)申請費(fèi)200020002000批準(zhǔn)與注冊費(fèi)200020002000評(píng)審費(fèi)5000*13 人日=650005000*7 人日=350005000*3 人日=15000總 計(jì)6900039000190002、證后監(jiān)督費(fèi)用獲證組織每年需按照相應(yīng)級(jí)別，交納證后監(jiān)督費(fèi)用。單位：人民幣元級(jí) 別一 級(jí)二 級(jí)三 級(jí)評(píng)審費(fèi)5000*5 人日*0.8=200005000*3 人日*0.8=120005000*2 人日*0.8=8000證書維持費(fèi)100010001000總計(jì)（每年）21000130009000信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證（舊）收費(fèi)標(biāo)準(zhǔn)信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證（舊）收費(fèi)標(biāo)準(zhǔn)2014 年 8

50、 月 1 日之前執(zhí)行如下收費(fèi)標(biāo)準(zhǔn)：初次認(rèn)證費(fèi)、證后監(jiān)督費(fèi)、年金、再認(rèn)證費(fèi)等。1、初次認(rèn)證費(fèi)用 單位：人民幣元級(jí) 別一 級(jí)二 級(jí)三 級(jí)申請費(fèi)100010001000批準(zhǔn)與注冊費(fèi)100010001000評(píng)審費(fèi)3000*6 人日=180003000*5 人日=150003000*4 人日=12000第一年年金500050005000總 計(jì)2500022000190002、證后監(jiān)督費(fèi)用獲證組織需接受監(jiān)督，第一年不到現(xiàn)場，第二年到現(xiàn)場，需繳納費(fèi)用如下：單位：人民幣元級(jí) 別一 級(jí)二 級(jí)三 級(jí)第二年監(jiān)督費(fèi)100010001000第二年年金500050005000第三年監(jiān)督費(fèi)3000*2 人日=60003000*2 人日=60003000*2 人日=6000