國家信息安全測評

中國信息安全測評中心(CNITSEC)信息安全服務(wù)資質(zhì)申請指南（數(shù)據(jù)安全類一級）發(fā)布日期：2021年1月第年10月1日目錄TOC\o"1-5"\h\z一、 認(rèn)定依據(jù) 4二、 級別劃分 4三、 一級資質(zhì)要求 53.1基本資格要求 53.2基本能力要求 53.2.1組織與管理要求 53.2.2技術(shù)能力要求 53.2.3人員構(gòu)成與素質(zhì)要求 63.2.4設(shè)備、設(shè)施與環(huán)境要求 63.2.5規(guī)模與資產(chǎn)要求 63.2.6業(yè)績要求 73.3數(shù)據(jù)安全服務(wù)過程能力要求 73.4項目和組織過程能力要求 7四、 資質(zhì)認(rèn)定 84.1認(rèn)定流程圖 84.2申請階段 94.3資格審查階段 94.4能力測評階段 94.4.1靜態(tài)評估 104.4.2現(xiàn)場審核 104.4.3綜合匯總 104.4.4專家評審 114.5證書發(fā)放階段 11五、 監(jiān)督、維持和升級 11六、 處置 12七、 爭議、投訴與申訴 12八、 獲證組織檔案 12九、 費用及周期 12十、 聯(lián)系方式 13

引言中國信息安全測評中心（以下簡稱測評中心）是中央批準(zhǔn)成立的國家信息安全權(quán)威測評機構(gòu)，以“為信息技術(shù)安全性提供測評服務(wù)”為宗旨。依據(jù)中央授權(quán)，中國信息安全測評中心的主要職能是：開展信息安全漏洞分析與風(fēng)險評估；開展信息技術(shù)產(chǎn)品、系統(tǒng)和工程建設(shè)的安全性測試與評估；開展信息安全服務(wù)和信息安全專業(yè)人員的能力評估與資質(zhì)審核；開展信息安全技術(shù)咨詢、工程監(jiān)理與開發(fā)服務(wù)；從事信息安全測試評估的理論研究、技術(shù)研發(fā)、標(biāo)準(zhǔn)研制；出版《中國信息安全》雜志等。“信息安全服務(wù)資質(zhì)認(rèn)定”是對信息安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)、能力和穩(wěn)定性、可靠性進(jìn)行評估，依據(jù)公開的標(biāo)準(zhǔn)和程序，對其安全服務(wù)保障能力進(jìn)行評定和確認(rèn)。為我國信息安全服務(wù)行業(yè)的發(fā)展和政府主管部門的信息安全管理以及全社會選擇信息安全服務(wù)提供一種獨立、公正的評判依據(jù)。本指南適用于所有向CNITSEC提出數(shù)據(jù)安全服務(wù)一級資質(zhì)申請的境內(nèi)外組織。歡迎關(guān)注服務(wù)資質(zhì)官方微信號

認(rèn)定依據(jù)信息安全服務(wù)（數(shù)據(jù)安全類）資質(zhì)認(rèn)定是對數(shù)據(jù)安全服務(wù)提供者的資格狀況、技術(shù)實力和數(shù)據(jù)安全實施過程質(zhì)量保證能力等方面的具體衡量和評價。信息安全服務(wù)（數(shù)據(jù)安全類）資質(zhì)級別的評定，是依據(jù)《信息安全服務(wù)資質(zhì)評估準(zhǔn)則》和不同級別的信息安全服務(wù)（數(shù)據(jù)安全類）資質(zhì)具體要求，在對申請組織的基本資格、技術(shù)實力、數(shù)據(jù)安全服務(wù)能力以及數(shù)據(jù)安全項目的組織管理水平等方面的評估結(jié)果基礎(chǔ)上的綜合評定后，由中國信息安全測評中心給予相應(yīng)的資質(zhì)級別。級別劃分信息安全服務(wù)（數(shù)據(jù)安全類）資質(zhì)認(rèn)定是對數(shù)據(jù)安全服務(wù)提供者的綜合實力的客觀評價和確認(rèn)，信息安全服務(wù)（數(shù)據(jù)安全類）資質(zhì)級別反映了數(shù)據(jù)安全服務(wù)提供者從事數(shù)據(jù)安全服務(wù)保障能力的成熟程度。資質(zhì)級別劃分的主要依據(jù)包括：基本資格與基本能力要求、數(shù)據(jù)安全服務(wù)過程能力要求、項目與組織管理能力要求和其他補充要求等。信息安全服務(wù)資質(zhì)分為五個級別，由一級到五級依次遞增，一級是最基本級別，五級為最高級別。一級：基本執(zhí)行級三級：計劃跟蹤級三級：充分定義級四級：量化控制級五級：持續(xù)改進(jìn)級一級資質(zhì)要求申請信息安全服務(wù)（數(shù)據(jù)安全類一級）資質(zhì)的組織需要在基本資格和基本能力、數(shù)據(jù)安全服務(wù)過程能力和項目與組織過程能力等幾個方面符合《信息安全服務(wù)資質(zhì)具體要求（數(shù)據(jù)安全類一級）》的規(guī)定。3.1基本資格要求申請信息安全服務(wù)（數(shù)據(jù)安全類一級）資質(zhì)的組織必須是一個獨立的實體，具有工商行政管理部門頒發(fā)的營業(yè)執(zhí)照，并遵守國家現(xiàn)行法律法規(guī)。3.2基本能力要求3.2.1組織與管理要求必須擁有健全的組織和管理體系，為持續(xù)的數(shù)據(jù)安全服務(wù)服務(wù)提供保障；必須具有專業(yè)從事數(shù)據(jù)安全服務(wù)的隊伍和相應(yīng)的質(zhì)量保證；與數(shù)據(jù)安全服務(wù)相關(guān)的所有成員要簽訂保密合同，并遵守有關(guān)法律法規(guī)。3.2.2技術(shù)能力要求了解信息系統(tǒng)技術(shù)的最新動向，有能力掌握信息系統(tǒng)/平臺的最新技術(shù)；具有不斷的技術(shù)更新能力；具有對信息系統(tǒng)/平臺面臨的安全威脅、存在的安全隱患進(jìn)行信息收集、識別、分析和提供防范措施的能力；能根據(jù)對用戶信息系統(tǒng)/平臺風(fēng)險的分析，向用戶建議有效的安全保護(hù)策略及建立完善的安全管理制度；具有對發(fā)生的突發(fā)性數(shù)據(jù)安全事件進(jìn)行分析和解決的能力；具有對市場上的信息系統(tǒng)/平臺產(chǎn)品進(jìn)行功能分析，提出安全策略和安全解決方案及安全產(chǎn)品的系統(tǒng)集成能力；具有根據(jù)服務(wù)業(yè)務(wù)的需求開發(fā)信息系統(tǒng)/平臺應(yīng)用、產(chǎn)品或支持性工具的能力；具有對集成的信息系統(tǒng)/平臺進(jìn)行檢測和驗證的能力；有能力對信息系統(tǒng)系統(tǒng)進(jìn)行有效的維護(hù)；有跟蹤、了解、掌握、應(yīng)用國際、國家和行業(yè)標(biāo)準(zhǔn)的能力。3.2.3人員構(gòu)成與素質(zhì)要求具有充足的人力資源和合理的人員結(jié)構(gòu)；所有與數(shù)據(jù)安全服務(wù)有關(guān)的管理和銷售人員應(yīng)具有基本的信息安全知識；有相對穩(wěn)定的從事數(shù)據(jù)安全服務(wù)的技術(shù)隊伍；技術(shù)骨干人員應(yīng)系統(tǒng)地掌握數(shù)據(jù)安全基礎(chǔ)理論和核心技術(shù)，并有足夠的專業(yè)工作經(jīng)驗；必須有4名以上(含4名)專職的注冊信息安全專業(yè)人員(CISP)。3.2.4設(shè)備、設(shè)施與環(huán)境要求具有固定的工作場所和良好的工作環(huán)境；具有先進(jìn)的開發(fā)、測試或模擬環(huán)境；具有先進(jìn)的開發(fā)、生產(chǎn)和測試設(shè)備；具有實施相關(guān)服務(wù)必需的開發(fā)、生產(chǎn)和測試工具。3.2.5規(guī)模與資產(chǎn)要求有足夠的注冊資金和充足的流動資金；具有與所申請安全服務(wù)業(yè)務(wù)范圍、承擔(dān)的數(shù)據(jù)安全服務(wù)規(guī)模相適應(yīng)的服務(wù)體系；有足夠的人員從事直接與數(shù)據(jù)安全服務(wù)相關(guān)的活動。3.2.6業(yè)績要求應(yīng)有從事數(shù)據(jù)安全服務(wù)的經(jīng)驗；近3年內(nèi)在數(shù)據(jù)安全服務(wù)方面，沒有出現(xiàn)驗收未通過的情況。3.3數(shù)據(jù)安全服務(wù)過程能力要求數(shù)據(jù)安全服務(wù)過程能力是評價數(shù)據(jù)安全服務(wù)服務(wù)專業(yè)水平高低的標(biāo)志。申請組織應(yīng)能實施以下6個數(shù)據(jù)安全服務(wù)過程域：數(shù)據(jù)安全需求分析的能力；建立數(shù)據(jù)安全戰(zhàn)略規(guī)劃體系能力數(shù)據(jù)安全策略制定的能力；數(shù)據(jù)安全組織和人員管理的能力；基于數(shù)據(jù)生命周期安全的設(shè)計和技術(shù)實現(xiàn)的能力；數(shù)據(jù)服務(wù)基礎(chǔ)設(shè)施安全能力；3.4項目和組織過程能力要求項目和組織過程能力是評價數(shù)據(jù)安全服務(wù)服務(wù)規(guī)范性和質(zhì)量保證成熟度標(biāo)志。申請組織應(yīng)能實施以下5個項目和組織過程域：質(zhì)量保證和改進(jìn)能力；管理項目風(fēng)險的能力；資源管理能力；項目過程管理能力；提供不斷發(fā)展的技能和知識能力。

資質(zhì)認(rèn)定4.1認(rèn)定流程圖通過不通過通過不通過不通過專家評審不予發(fā)證證書發(fā)放公告證后監(jiān)督限期整改發(fā)證決定不受理申請委托人申請形式化、資格審查現(xiàn)場審核受理決定靜態(tài)評估綜合匯總證后監(jiān)督階段資格審查階段能力測評階段證書發(fā)放階段4.2申請階段申請組織應(yīng)首先到CNITSEC網(wǎng)站（）查看并下載《信息安全服務(wù)資質(zhì)評估準(zhǔn)則》、《信息安全服務(wù)資質(zhì)申請指南(數(shù)據(jù)安全類一級)》和《信息安全服務(wù)資質(zhì)申請書（數(shù)據(jù)安全類一級）》及有關(guān)附件，認(rèn)真閱讀上述文檔，了解資質(zhì)認(rèn)定的流程及相關(guān)情況，確定本組織滿足一級資質(zhì)的基本資格要求和基本能力要求。申請組織當(dāng)決定申請信息安全服務(wù)資質(zhì)后，根據(jù)《信息安全服務(wù)資質(zhì)申請書（數(shù)據(jù)安全類一級）》的要求填寫申請書、加蓋公章并裝訂后，將申請書及所要求的相關(guān)資料刻光盤，將紙版、電子版資料一起提交給CNITSEC。在向CNITSEC遞交申請書前，須逐項檢查所填報的材料的完整性和正確性。4.3資格審查階段CNITSEC接到正式申請書及相關(guān)資料后，根據(jù)所提交的資料進(jìn)行資格審查，以確認(rèn)申請單位是否滿足資質(zhì)的基本資格要求，提交資料是否完整。資格審查包括對申請單位所提交資料進(jìn)行的形式化審查以及對申請單位的進(jìn)一步調(diào)查和溝通。如果資格審查階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC將要求申請組織補充資料等。當(dāng)通過資格審查階段后，CNITSEC將與申請組織簽訂合同，正式受理該申請，并通知相關(guān)費用的繳納事宜等。4.4能力測評階段當(dāng)申請組織通過資格審查并繳納了相關(guān)費用后，資質(zhì)申請進(jìn)入能力測評階段。能力測評階段包括靜態(tài)評估、現(xiàn)場審核、綜合匯總和專家評審四個步驟。4.4.1靜態(tài)評估靜態(tài)評估是對申請組織資料進(jìn)行符合性審查，是對申請組織的信息安全服務(wù)能力做出基本判斷，初步確定申請組織的信息安全服務(wù)能力水平狀況，為現(xiàn)場審核做準(zhǔn)備。如果靜態(tài)評估階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC將要求申請組織進(jìn)一步補充資料，以便反映申請組織的客觀情況。4.4.2現(xiàn)場審核通過靜態(tài)評估后，CNITSEC將與申請組織溝通現(xiàn)場審核事宜，安排審核組進(jìn)行現(xiàn)場審核?，F(xiàn)場審核是對申請組織從事信息安全服務(wù)的綜合能力（包括技術(shù)能力、管理能力、質(zhì)量保證、設(shè)施設(shè)備、工作環(huán)境、人員構(gòu)成及素質(zhì)、經(jīng)營業(yè)績、資產(chǎn)狀況等方面）進(jìn)行核實和確認(rèn)，并采集證據(jù)。對第一次申請的組織，應(yīng)當(dāng)進(jìn)行現(xiàn)場審核工作，申請升級或維持二級以上資質(zhì)的組織，視同第一次申請；對第二次及以上申請維持證書的組織，如近三年來整體情況穩(wěn)定，人員和業(yè)務(wù)未發(fā)生重大變化，財務(wù)狀況良好且業(yè)務(wù)正常開展的，不再進(jìn)行現(xiàn)場審核工作，直接由專家評審會評審；對發(fā)生較大變化的申請維持證書的組織，北京申請組織應(yīng)當(dāng)要求派人至中心進(jìn)行審核，外地的申請企業(yè)參照第一次申請辦理。4.4.3綜合匯總依據(jù)靜態(tài)評估和現(xiàn)場審核結(jié)果，現(xiàn)場審核組應(yīng)對申請組織的基本資格、基本能力、信息安全服務(wù)能力以及資質(zhì)所要求的其他內(nèi)容進(jìn)行匯總后，出具審核情況匯總報告，作為專家評審的依據(jù)。現(xiàn)場審核組若發(fā)現(xiàn)需整改的不符合項，應(yīng)在報告中標(biāo)記后交專家評審組評議。4.4.4專家評審?fù)瓿汕捌趯徍司C合匯總后，中心原則上按每月一次的頻率組織專家評審會，對申請組織的信息安全服務(wù)資質(zhì)是否通過進(jìn)行最終評審。專家評審組由服務(wù)資質(zhì)評審專家?guī)熘须S機抽取的至少5名專家組成。由現(xiàn)場審核組相關(guān)人員向?qū)＜医M介紹相關(guān)情況，由評審專家根據(jù)審核情況匯總報告、審核過程證據(jù)及記錄情況，分別作出評審意見，并按照少數(shù)服從多數(shù)的原則得出是否通過的最終決定。4.5證書發(fā)放階段資質(zhì)通過專家評審，準(zhǔn)予發(fā)證后，制證人員將進(jìn)行資質(zhì)證書的制作、審批和發(fā)放，并在網(wǎng)站（）、報刊雜志（中國信息安全）、公眾號（國家信息安全服務(wù)資質(zhì)）等媒體上予以公告。監(jiān)督、維持和升級獲得資質(zhì)的組織需通過持續(xù)發(fā)展自身信息安全服務(wù)體系以保持基本能力及安全服務(wù)能力。CNITSEC將通過申訴系統(tǒng)、現(xiàn)場見證以及對信息安全服務(wù)項目進(jìn)行抽樣檢查來驗證每個獲得資質(zhì)組織的能力。特別是未進(jìn)行現(xiàn)場審核的維持企業(yè)，在有效期內(nèi)要保證至少一次的監(jiān)督頻次。證書在三年有效期內(nèi)實行年確認(rèn)制度，每三年進(jìn)行一次維持換證。建議在證書有效期屆滿前6個月，由獲證組織提出維持換證申請。審核人員將依據(jù)信息安全服務(wù)資質(zhì)維持有關(guān)政策進(jìn)行評審，以確定獲證組織符合信息安全服務(wù)能力要求的持續(xù)性。獲證組織獲證后，可根據(jù)自身能力的提升情況，向中心申請更高級別資質(zhì)。若獲證組織相關(guān)資料變動時，須及時通知中心，并申請更改。審核人員會及時進(jìn)行資料確認(rèn)，并進(jìn)行數(shù)據(jù)更新。若獲證組織實體發(fā)生變化，需要進(jìn)行資質(zhì)證書的轉(zhuǎn)移，可到CNITSEC網(wǎng)站（）下載并填寫信息安全服務(wù)資質(zhì)變更申請書，并提出資質(zhì)轉(zhuǎn)移申請。處置獲證組織存在違規(guī)行為時，CNITSEC有權(quán)視組織違規(guī)情節(jié)輕重予以以下處置：警告、限期整改、暫停證書、取消證書。爭議、投訴與申訴對CNITSEC所作的評審、復(fù)查、處置等決定有異議時，可向CNITSEC提出書面申訴。CNITSEC將會責(zé)成與所申訴、投訴事項無利益相關(guān)的人員進(jìn)行調(diào)查，CNITSEC在調(diào)查基礎(chǔ)上做出結(jié)論。獲證組織應(yīng)妥善處理因自身行為而發(fā)生的投訴，保留記錄并采取措施防止問題的再發(fā)生。CNITSEC將在必要時查閱獲證組織的申訴/投訴記錄。獲證組織檔案CNITSEC將對每個獲證組織建立專項檔案，所有資料將保存6年以上。費用及周期首次申請一級資質(zhì)證書費用：43000（審核費用）+15000（三年年金）＝58000元。維持一級資質(zhì)證書費用：29000（審核費用）+