ISCCC-SV-003 信息系统安全集成服务资质认证实施规则

文件编码：ISCCC-SV-003:2011 信息系统安全集成服务资质 认证实施规则 2011-06-01 发布 2011-10-01 实施 中国信息安全认证中心发布 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 1页 目 录 1. 适用范围.................................................................................................................................................. 2 2. 引用标准.................................................................................................................................................. 2 3. 术语与定义.............................................................................................................................................. 2 4. 安全集成服务提供者基本的资质要求.................................................................................................... 2 4.1 基本条件........................................................................................................................................... 3 4.2 基本管理能力要求............................................................................................................................ 3 4.3 基本技术能力要求............................................................................................................................ 3 5. 信息系统安全集成服务过程要求 ........................................................................................................... 4 5.1 安全集成服务过程概述..................................................................................................................... 4 5.2 集成准备............................................................................................................................................ 4 5.3 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 设计............................................................................................................................................ 6 5.4 建设实施............................................................................................................................................ 7 5.5 安全保证............................................................................................................................................ 9 6. 信息系统安全集成服务资质分级评价要求 .......................................................................................... 11 6.1 三级信息系统安全集成服务资质要求 ............................................................................................ 11 6.2 二级信息系统安全集成服务资质要求 ............................................................................................ 12 6.3 一级信息系统安全集成服务资质要求 ........................................................................................... 12 7. 信息系统安全集成服务资质认证模式与流程 ...................................................................................... 13 8. 认证证书管理........................................................................................................................................ 16 附录 A 信息安全工程过程能力级别参考................................................................................................... 18 附录 B 各级资质要求对照表 ...................................................................................................................... 20 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 2 页 1. 适用范围 信息系统安全集成服务资质认证是依据国家认证认可法律法规及国际、国内相关技术标准和规 范，对信息系统安全集成服务提供者的资质进行评价的合格评定活动。 本规则提出了信息系统安全集成服务提供者（以下简称服务提供者）应具备的服务能力要求， 及实施信息系统安全集成服务资质认证的程序与管理要求。 本规则适用于对服务提供者服务能力的评价活动；可作为信息系统所有者选择服务提供者的依 据；可为有关管理部门对服务提供者进行管理提供参考；也可为服务提供者自我能力改进提供参考。 2. 引用标准 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所 有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的 各方研究可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 对信息系统安全集成服务提供者所具备的服务资质进行评价所引用的标准包括： GB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型 YD/T 1621-2007 网络与信息安全服务资质评价准则 YD/T 1799-2008 网络与信息安全应急处理服务资质评价 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法 CNCA/CTS 0052-2007 信息安全服务资质认证技术 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 GB/T 5271.8-2001《信息技术词汇第8部分：安全》中的术语和定义适用于本标准。 3. 术语与定义 3.1 GB/T 20261-2006 中的术语均适用于本规则。 3.2 信息系统安全集成服务 信息系统安全集成服务（以下简称：安全集成）是指从事计算机应用系统工程和网络系统工程 的安全需求界定、安全设计、建设实施、安全保证的活动。 信息系统安全集成一般是按照信息系统建设的安全需求，采用信息系统安全工程的方法和理论， 将安全单元、产品部件进行集成的行为或活动。信息系统安全集成包括在新建信息系统的结构化设 计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展 的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为 安全优化或安全加固。 4. 安全集成服务提供者基本的资质要求 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 3 页 4.1 基本条件 服务提供者应： (1) 具有中华人民共和国境内的独立法人资格，具有相关部门颁发的合法经营资格； (2) 近两年内经济状况良好，财务数据真实可信，并应经国家相关部门认定的会计师事务所核 实； (3) 具有固定的工作场所。 (4) 遵守国家现行法律、法规的规定； 4.2 基本管理能力要求 服务提供者应： (1) 采取技术和管理措施确保客户信息的安全、可控，这些信息包括但不限于客户资料、集成 活动中产生的文档、最终安全集成报告等； (2) 制定保密管理要求，明确保密岗位与职责，定期对服务人员进行保密教育与培训，并签订 《保密责任书》，规定应当履行的安全保密义务和承担的法律责任，并负责落实； (3) 建立人员管理程序，使每一位服务人员持续满足岗位职责的需求；制定安全集成技能培训 计划，定期对服务人员进行培训、指导、考核； (4) 制定规范的项目 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 ，并按照项目管理制度实施，具体包括在项目实施过程中如何与 组织内外的交流机制、规划关键技术活动、分配资源、指派责任、设立项目的里程碑及评审要 求、日常的监督检查要求、编制过程文档、提供工具、确保培训、策划过程等，以保证安全服 务的质量； (5) 制定项目风险管理制度，评估项目风险，制定项目风险控制措施并跟踪其有效性； (6) 制定符合标准要求的安全集成方案、报告等文档模板； (7) 制定针对供方的管理要求，包括准确识别供方提供的服务或系统构件及其专业资质和能力； 并与供方的有效沟通机制等。 4.3 基本技术能力要求 服务提供者应： (1) 具备安全集成有关的工作流程及操作规范； (2) 具备制定安全集成方案并能够按照该方案实施的能力；能够提供信息系统安全集成服务报 告、系统使用指南等文档； (3) 具备对安全集成完成的系统进行检测和验证的能力； (4) 熟悉国内外主流的信息技术产品、信息安全产品的功能及特性； ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 4 页 (5) 具有满足项目需要的开发、测试工具或模拟环境； (6) 有专门的技术人员关注并掌握信息安全技术、标准和法规；关注国内外权威机构发布的安 全公告及漏洞公告，对最新的安全相关技术进行研究。 5. 信息系统安全集成服务过程要求 5.1 信息系统安全集成服务过程概述 信息系统安全集成服务过程分为四个阶段：集成准备、方案设计、建设实施、安全保证。 集成准备阶段主要是界定安全需求、签订服务 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 、确定服务人员、签订保密协议等；方案设计阶 段主要是充分考虑各方面的安全需求和安全背景，以设计出适用的项目方案；建设实施阶段主要是 在客户环境中实现项目方案的预期安全目标和效果；安全保证阶段主要是通过在方案设计阶段、建 设实施阶段等过程中，收集客户需求已经得到满足的证据。 信息系统安全集成服务过程的四个阶段包括10个过程要求(见表1)，各过程要求细则共43项(见集 成服务各阶段的过程要求，表2、表3、表4、表5)。过程要求项定义了为满足各阶段过程的内容要点 以及最佳实践。 表1：信息系统安全集成服务过程要求列表 阶段名称 过程要求 界定安全需求 签定服务合同 确定服务人员 集成准备 签订保密协议 方案设计 安全方案设计 协调安全 管理安全控制 建设实施 安全监控 建立保证论据 安全保证 验证和确认安全 5.2 集成准备 5.2.1 安全需求界定 风险评估是安全集成的重要基础。依据信息安全风险评估过程中已识别出的风险，明确客户的 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 5 页 内外部安全需求，并制定安全目标。 本要求的目标：在安全需求方面与客户和其他团体达成共识。 具体要求和说明如下： (1) 理解安全需求 收集和分析所有有助于全面理解客户安全需求的信息。 (2) 识别法律、政策和约束条件 识别影响客户安全需求的法律、法规和行业标准等外部因素，并确定遵从全球性政策和本地 政策的优先权。 (3) 识别安全背景 识别影响信息系统安全的背景因素，如信息系统的用途(如金融、医疗)、运行场景、技术发 展的变化、社会当前热点事件。 (4) 获取安全视图 开发组织的高层次安全分析视图，包括业务需求、角色、职责、信息流、资产、资源、人员 保护以及物理保护等。 (5) 识别安全目标 识别满足信息系统安全需求的安全目标。安全目标应该至少涉及信息系统及其承载信息的可 用性、保密性、完整性、可核查性、真实性和可靠性要求。 (6) 定义安全要求 定义信息系统的安全要求，并确保安全要求与适用的政策、法律、标准、安全需求以及约束 条件保持一致。安全要求应全面体现信息系统的安全需求，并与安全目标建立对应关系。 (7) 达成安全协议 依据安全要求和客户需求，与客户和相关的团体达成共识。 5.2.2 确定服务合同 （1）与客户和供方在服务合同中至少明确服务范围、目标、质量和成本； （2）与客户和供方在服务合同中包括项目保密责任和违约责任。 5.2.3 确定服务人员和组织 与客户和供方确定项目人员构成，并控制由项目人员变更带来的相关风险。 5.2.3 签订保密协议 与客户和供方签订保密协议；注意保密内容与客户要求的一致性。 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 6 页 表2：信息系统安全集成服务准备阶段要求 集成准备阶段的要求 必备 可选 1）理解安全需求 √ 2）识别法律、政策和约束条件 √ 3）识别安全背景 √ 4）获取安全视图 √ 5）获取安全目标 √ 6）定义安全要求 √ 安全需求界定 7）达成安全协议 √ 1）明确服务范围、目标、质量和成本 √ 确定服务合同 2）明确项目保密责任和违约责任； √ 确定服务人员 和组织 确定项目人员构成； √ 签订保密协议 签订保密协议； √ 5.3 方案设计 基于“5.2.1 安全需求界定”中识别的安全需求，为信息系统的规划人员、设计人员、实施人员 和客户提供所需的安全输入信息。这些信息至少包括安全体系结构、设计或实施的项目方案以及安 全指南。 本要求的目标：评审信息系统中所有涉及安全的问题，并按照安全目标在方案设计中解决；安 全集成项目组及各工作组所有成员都应该理解安全问题，以各司其职；项目方案应反映所提供的安 全需求和要求。 具体要求和说明如下： (1) 理解安全需求 与设计人员、开发人员、客户沟通确认，以确保相关团体对安全输入需求达成共识。 (2) 确定安全约束条件和考虑事项 安全集成项目组应分析和确定在需求、设计、实施、配置和文档方面的安全约束条件和考虑 事项，以便于在各工作组的具体工作中做出最佳的安全集成选择。 (3) 识别安全集成项目方案 根据客户安全需求以及其他约束条件，识别和制定项目方案。 (4) 评审项目方案 各工作组和安全集成项目组要利用已识别的安全约束条件和考虑事项评审项目方案。 (5) 提供安全集成指南 安全集成项目组应该开发项目相关的安全集成指南，并把它提供给各工作组。各工作组根据 相关的安全集成指南对信息系统体系结构、设计和实现的选择条件做出决定。 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 7 页 (6) 提供安全运行指南 安全集成项目组应该设计并开发安全运行指南，并提供给系统用户和管理员。本运行指南指 导用户和管理员以安全的方式进行安装、配置、运行和废弃系统。 表3：信息系统安全集成服务方案设计阶段要求 方案设计阶段要求 必备 可选 1）理解安全需求 √ 2）确定安全约束条件和考虑事项 √ 3）识别安全集成项目方案 √ 4）评审项目方案 √ 5) 提供安全集成指南 √ 方案设计 6) 提供安全运行指南 √ 5.4 建设实施 5.4.1协调安全 协调安全的目的是确保所有相关组织和工作组人员都能积极参与安全集成项目。协调安全涉及 到保持所有项目人员与外部组织以及工作组之间沟通。 本要求的目标：项目组的所有成员都能主动地参与到安全集成项目中，最大程度地发挥他们的 作用；沟通和协调有关安全的决策和建议。 具体要求和说明如下： (1) 制定协调目标 需要相关工作组重视并参与安全集成项目。根据项目组的信息需求和项目要求决定共享信息 的目标，并建立与他们之间的合作关系和承诺。 (2) 识别协调机制 识别在项目中协调安全的不同方法，用于与相关组织共享安全集成的决策和建议。 (3) 促进安全协调 确保以合适和有效的方式来解决项目开展期间的意见分歧。 (4) 协调安全决策和建议 运用已识别的协调机制，与项目组人员、各工作组及其他组织沟通安全决策和建议。 5.4.2 管理安全控制 管理和维护安全控制措施。通过正确实施和配置，确保信息系统的安全措施在其运行状态下达 到了预期目标。 本要求的目标：正确配置和使用安全控制措施。 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 8 页 具体要求和说明如下： (1) 建立安全职责 确保相关负责人的行为职责是得到授权且可核查性，并且传达给组织中的所有成员。无论采 用什么安全控制措施，都应该确保管理职责是明确和持续适用的。 (2) 管理安全控制措施的配置 对信息系统安全控制机制进行配置管理，制定相关流程和要求。 (3) 管理安全意识、培训和教育 像管理其他的意识、培训和教育一样，对所有员工的安全意识、培训和教育进行管理。 (4) 定期维护与管理安全控制措施 定期维护和管理安全服务和控制措施，包括保护服务和控制机制免受有意或者无意的损坏， 并依据法律和政策的要求进行备案。 5.4.3 监控安全态势 监控安全态势的目的是确保识别和报告所有的安全违规行为、试图违规行为或能够潜在地导致 安全违规的错误。监控安全态势需要监控内部和外部环境中可能影响信息系统安全的所有因素。 本要求的目标：检测和跟踪内部与外部的安全事件，并根据策略进行安全响应；根据安全目标， 识别并处理安全态势的变化。 具体要求和说明如下： (1) 分析事件记录 检查安全信息相关的事件记录。识别值得关注的事件，以及与其他事件的关联性。 (2) 监控变化 关注可能影响当前安全状态有效性的任何变化。威胁、脆弱性、影响和风险与信息系统的安 全紧密相关。 (3) 识别安全事件 确定是否发生了安全事件，识别其详细情况并且在必要时向上级报告。 (4) 监控安全防护措施 经常检查安全防护措施的运行状态，以便识别出其性能的变化和功能的有效性。 (5) 评审安全态势 定期检查安全措施和相关的安全要求，以识别必要的安全变更。 (6) 管理安全事件响应 制定应急响应计划，和快速恢复策略和恢复计划；并定期测试和维护应急响应计划。 (7) 保存安全监控结果 封存和归档安全监控日志、审计报告和分析结果。 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 9 页 表4：信息系统安全集成服务建设实施阶段要求 建设实施阶段要求 必备 可选 1）建立安全职责 √ 2）识别安全集成协调机制 √ 3）促进安全集成协调 √ 协调安全 4）协调安全决策和建议 √ 1）建立安全职责 √ 2）管理安全控制机制的配置 √ 3）管理安全意识、培训和教育 √ 管理安全控制 4）定期维护和管理安全控制机制 √ 1）分析事件记录 √ 2）监控变化 √ 3）识别安全事件 √ 4）监控安全防护措施 √ 5）评审安全态势 √ 6）管理安全事件响应 √ 安全监控 7）保存安全监控结果 √ 5.5 安全保证 5.5.1 建立保证论据 建立保证论据的目的是通过相关的证据清楚地表明客户的安全需求已经得到满足。保证论据是 由多种保证证据支持的一系列陈述性保证目标，包括识别和定义保证要求、证据的产生和分析活动 以及支持保证要求所需的附加证据活动。另外，收集、整理并展示这些活动生成的证据。 本要求的目标：项目工作结果和工作过程向客户明确地提供了其安全需求已被满足的证据。 具体要求和说明如下： (1) 识别保证目标 由客户确定的安全保证目标指明了信息系统需要的信任等级和安全策略实现的信任等级。保 证目标的充分性应该由开发商、集成商、客户和信息系统运维人员共同确定。 (2) 制定保证策略 制定安全保证策略的目的是策划和确保安全目标被正确地贯彻和落实。本过程所产生的保证 证据将会提供安全措施满足安全风险管理的信任等级。通过制定和颁布安全保证策略，实现 对安全保证相关活动的有效管理。 (3) 制定测量准则 (一级要求) ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 10页 安全测量准则有利于安全决策、绩效提升和职责核查。测量安全绩效的目的是基于已识别的 测量准则监控安全运行的状态，以便于通过实施纠正措施进行过程改进。测量准则有助于监 控保证策略和保证目标的完成。 (4) 控制保证证据 在安全集成项目各阶段活动中识别并收集各种安全证据。安全证据应该进行控制和管理，以 确保与当前工作结果的通用性和与安全保证目标的关联性。 (5) 分析保证证据 分析保证证据，以提供满足安全目标的证据的信任等级，从而满足客户的安全需求。通过分 析保证证据，可以确定安全建设实施过程和安全验证过程是否充分和完善，以便判断安全机 制和安全功能的实现是否令人满意。同时，也确保了安全集成项目结果相对于安全基线而言 也是完整的和正确的。 (6) 提供保证论据 向客户提供用于表明与安全保证目标相符合的整体安全保证论据。保证论据应该被评审，以 确保保证证据的充分性和满足安全保证目标。 5.5.2 验证和确认安全 确保项目方案得到验证和确认。验证表明项目方案被正确地实施，而确认则证明项目方案是有 效的。根据安全要求、体系结构和安全设计方面的信息，通过观察、演示、分析和测试来验证项目 方案。通过客户的安全需求和安全目标确认项目方案。 本要求的目标：用事实证明项目方案满足客户的安全需求和要求。 具体要求和说明如下： (1) 识别项目方案 分别识别验证和确认活动的目标。这涉及在安全集成项目的整个生命周期内与所有工作组的 协调。 (2) 定义验证和确认方法 识别待验证和确认项目方案的方法，涉及如何验证和确认每一项安全需求的方法。严格等级 用于指明验证和确认工作的细致程度，而且这受到“建立保证论据”中“制定面向所有安全 目标的安全保证策略”预期输出结果的影响。 (3) 执行验证 通过确认安全要求(包括“建立保证论据”识别的安全保证要求)来验证项目方案是正确的。 (4) 执行确认 确认项目方案的目的是表明项目方案能够有效地满足客户的安全需求。有多种方式提供确认 证据证明客户安全需求已经得到满足，比如在运行环境或者代表性测试环境中测试项目方 案。 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 11页 (5) 获取验证和确认结果 获取并提供验证和确认的结果。验证和确认的结果应该以一种容易理解和使用的方式提供。 结果应该能被跟踪，以保持从安全需求到安全要求、项目方案、测试结果的可跟踪性。 表5：信息系统安全集成服务安全保证阶段要求 安全保证阶段要求 必备 可选 1）识别保证目标 √ 2）制定保证策略 √ 3）制定测量准则 一级要求 √ 4）控制保证证据 √ 5）分析保证证据 √ 建立保证论据 6）提供保证论据 √ 1）识别待验证和确认的目标 √ 2）制定验证和确认的方法 √ 3）执行验证 √ 4）执行确认 √ 验证和确认安全 5）获取验证和确认结果 √ 6. 信息系统安全集成服务资质分级评价要求 信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、 三级共三个级别，其中一级最高，三级最低。 根据服务提供者的机构注册资金、从业经验、人员素质要求、项目经验、管理能力和技术能力 等要素，可将服务提供者的资质划分为三个级别。 6.1 三级信息系统安全集成服务资质要求 6.1.1 基本资格 (1) 基本条件（参见第 4.1 节）； (2) 注册资本：产权关系明晰，注册资本不少于 200 万元人民币； (3) 人员素质要求：机构人员总数 30 人以上；信息系统安全集成服务人员 10 名以上；本科以 上学历人员占机构总人数比例在 60%以上； (4) 具有信息系统安全服务相关的资质人员至少 2 人（如，CISAW，信息安全管理体系审核员、 CISSP，CISA 等）；至少有 1 人具有项目管理的资格证书。 (5) 主要负责人应具有 2 年以上从事信息技术领域企业管理经历，主要技术负责人应获得电子 信息技术类高级职称且从事安全集成技术工作不少于 2 年，财务负责人应具有初级以上职 称； ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 12页 (6) 从业时间：从事信息系统安全集成服务一年以上； (7) 从业经验：独立完成中小型企业的信息系统集成项目；近三年内至少完成 4 个以上完整的 信息安全集成项目，按合同要求质量合格，已通过验收并投入实际应用，项目合同总金额 不少于 300 万元人民币。至少完成一个 100 万以上的安全集成项目。 6.1.2 管理能力（参见第4.2节）； 6.1.3 技术能力（参见第4.3节）； 6.1.4 服务过程要求（参见第5章）。 6.2 二级信息系统安全集成服务资质要求 6.2.1 基本资格 (1) 基本条件（参见第 4.1 节）； (2) 注册资本：产权关系明晰，注册资本不少于 1000 万元人民币； (3) 人员素质要求：人员总数 100人以上；信息系统安全集成服务人员 20名以上；本科以上学 历人员占机构总人数比例在 70%以上； (4) 具有信息系统安全集成服务相关的资质人员至少 6 人（如，CISAW，信息安全管理体系审 核员、CISSP，CISA 等）；至少有 2 人具有项目管理的资格证书。 (5) 主要负责人应具有3年以上从事电子信息技术领域企业管理经历，主要技术负责人应获得 电子信息技术类高级职称且从事安全集成技术工作不少于3年，财务负责人应具有中级以上职 称。 (6) 从业时间：从事信息系统安全集成服务三年以上； (7) 从业经验：独立完成省级范围的信息安全集成项目或大型企业的信息安全集成项目；近三 年内至少完成 6个以上完整的信息安全集成项目且无客户投诉，项目合同总金额不少于 1000万 元人民币；至少完成一个 200 万以上的集成项目。 6.2.2 管理能力 (1) 基本管理能力（参见第 4.2 节）； (2) 制定项目质量管理计划，跟踪项目过程和结果的质量。 6.2.3 技术能力 (1) 基本技术能力（参见第 4.3 节）； (2) 应具有足够的技术力量根据服务业务的需求，开发信息安全产品或支持性工具的能力。 6.2.4 服务过程要求（参见第5章） 6.3 一级信息系统安全集成服务资质要求 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 13页 6.3.1 基本资格 (1) 基本条件（参见第 4.1 节）； (2) 注册资本：产权关系明晰，注册资本不少于 2000 万元人民币； (3) 人员素质要求：人员总数 200人以上；信息系统安全集成服务人员 30名以上；本科以上学 历人员占机构总人数比例在 80%以上； (4) 具有信息系统安全服务相关的资质人员至少 10 人（如，CISAW，信息安全管理体系审核 员、CISSP，CISA 等）；至少有 5 人具有项目管理的资格证书。 (5) 主要负责人应具有 5 年以上从事电子信息技术领域企业管理经历，主要技术负责人应获得 电子信息类高级职称且从事系统集成技术工作不少于 5 年，财务负责人应具有中级以上职称。 (6) 从业时间：从事信息系统安全集成服务五年以上； (7) 从业经验：独立完成全国范围的信息安全集成项目；近三年内至少完成并通过验收的 10 个以上完整的信息系统安全集成服务项目且无客户投诉，项目合同总金额不少于 2000 万元人民 币；至少完成一个 500 万以上的安全集成项目。 6.3.2 管理能力 (1) 基本管理能力（参见第 4.2 节）； (2) 制定服务质量持续改进的制度，跟踪其落实情况； (3) 参考 GB/T 22080-2008/ISO/IEC 27001:2005《信息技术 安全技术 信息安全管理体系要求》 标准建立信息安全管理体系并运行三个月以上。 6.3.3 技术能力 (1) 基本技术能力（参见第 4.3 节要求）； (2) 应具有足够的技术力量根据服务业务的需求，开发信息安全产品或支持性工具的能力； (3) 应具有足够的技术力量，对市场上普通使用的信息安全产品进行功能分析、提出安全策略 及对安全产品进行集成的能力； (4) 至少提供一个已完成的信息系统，经国家(或行业)权威机构或专家组验证其安全性符合要 求。 6.3.4 服务过程要求（参见第5章要求） 7. 信息系统安全集成服务资质认证模式与流程 7.1 信息系统安全集成服务资质认证模式 现场检查 + 特定服务检查 + 获证后监督 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 14页 现场检查是在文档审核通过后，审核组到申请方的注册地址或业务量较集中的办公地址进行的 标准符合性验证活动。特定服务检查是审核组对申请方的服务团队进行的特定服务过程演示或到客 户现场见证服务过程的检查活动，从而判定该申请方的服务能力。获证后监督是确保获证方在获证 后能够持续满足标准的要求，在证书的三年有效期内认证机构对获证方进行一或两次现场监督审核。 如有特殊情况发生，认证机构可增加监督审核频次。 7.2 信息系统安全集成服务资质认证流程 7.2.1 提交申请 申请方自愿向认证机构提交信息系统安全集成服务资质认证申请。申请方应提交的文件 （1） 信息系统安全集成服务资质认证申请书； （2） 独立法人资格证明材料； （3） 从事信息系统安全集成服务的相关资质证明； （4） 工作保密制度及相应组织监管体系已建立的证明材料； （5） 与信息系统安全集成服务人员签订的保密协议复印件； （6） 人员构成与素质证明材料； （7） 公司组织结构证明材料； （8） 具备固定办公场所的证明材料； （9） 项目管理制度文档； （10） 安全集成服务流程； （11） 安全集成服务规范性文件； （12） 安全集成服务质量管理文件（一、二级）； （13） 信息安全管理体系文件及设施情况的材料（一级）； （14） 项目案例及业绩证明材料等。 7.2.2 文档审核 认证机构应根据认证依据、程序等要求，及时对申请方提交的申请文件和资料进行审核并保存 审核记录，以确保： （1） 认证要求规定明确并得到理解； （2） 认证机构和申请方之间在理解上的差异得到解决； （3） 对于申请的认证范围、工作场所和任何特殊要求，认证机构均有能力开展认证服务。 7.2.3 现场审核 认证机构应组成审核组，依据相关标准和审核要求，对申请方进行现场审核。现场审核的内容 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 15页 主要包括： （1） 通过检查、观察、访谈，对申请方的信息系统安全集成服务技术能力进行验证； （2） 通过检查、观察、访谈，对申请方的信息系统安全集成服务管理能力进行验证； （3） 观察服务模拟演示或见证现场服务。 7.2.4 认证决定 认证评价及认证决定是由认证决定委员会执行。认证决定委员会至少由 3 名以上（含 3 名）奇 数认证决定人员组成。 7.2.4.1 认证决定 认证决定人员依据认证标准、信息系统安全集成服务资质认证程序与实施规则的要求及相关标 准，结合审核过程中收集的信息（对于存在不符合项的情况，必须通过整改并由审核组验证通过）， 对审核结果进行综合评价，做出“通过认证”或 “不通过认证”的决定。必要时，认证决定委员会 应对申请方满足认证依据的情况进行风险评估，以做出是否授予认证的决定。 对于符合认证要求的申请方，认证机构应颁发认证证书并在相关媒体上予以公告。 对于不符合认证要求的申请方，认证机构应以书面的形式明示其不能获得认证的原因。 7.2.4.2 对认证决定的申诉 申请方如对认证决定结果有异议，可在 10 个工作日内向认证机构申诉，认证机构自收到申诉之 日起，应在一个月内进行处理，并将处理结果书面通知申请方。 7.2.5 证后监督 7.2.5.1 证后监督频次和方式 认证机构应根据信息系统安全集成服务的特点以及所承担的认证风险，合理确定监督审核的时 间间隔和方式。监督审核的方式可采用文档审核或与现场审核相结合的方式。一般情况下，每年度 （不超过 12 个月）进行一次监督审核，由项目管理人员提前两个月通知获证方。监督审核的方式可 采用文档审核与现场审核相结合的方式。 当信息系统安全集成服务提供者的信息系统安全集成服务发生重大事故、客户投诉，或组织结 构、人员等方面发生重大变更等时，认证机构视情况可增加现场监督审核的频次。 7.2.5.2 监督审核应包括，但不限于以下内容： （1） 新实施的服务案例； （2） 客户投诉情况； （3） 涉及变化的范围（例如：人员变化、实验环境变化、项目管理、质量管理体系变化）； （4） 上次审核提出的不符合项所采取纠正/预防措施、观察项的实施情况。 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 16页 7.2.5.3 监督结果评价 对于监督审核合格的信息系统安全集成服务提供者，认证机构应作出保持其认证证书的决定； 否则，应暂停、撤销其认证证书。 7.2.5.4 信息通报制度 为确保服务提供者的信息安全服务能力持续有效，服务提供者应建立信息通报制度，及时向认 证机构通报以下信息： (1) 有关组织机构变化信息； (2) 消费者投诉等信息； (3) 其他重要信息。 7.2.5.5 信息分析 认证机构应对上述信息进行分析，视情况采取相应措施，包括增加监督审核频次、暂停或撤销 认证证书。 7.2.6 再认证 在认证证书有效期满的前三个月内，服务提供者可申请再认证。再认证程序与初次认证程序相 同。 7.2.7 证书变更 (1) 如果证书变更只涉及到注册地址、资金或法定代表人的变更，申请方须递交变更申请，经 书面审核批准后，认证机构仅对证书更新并收回原证书； (2) 信息系统安全集成服务提供者的组织机构发生重大调整、人员变动较大、拟变更业务范围 时，应向认证机构提出变更申请，并提交相关材料。认证机构策划并实施适宜的审核活动， 并按照要求做出认证决定。审核活动可单独进行，也可与信息系统安全集成服务监督或再 认证同时进行。 7.2.8 认证时限 认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的时间，其中包括认证 受理、文档审核、现场审核、认证决定以及证书颁发环节。 申请一类服务资质认证的时间一般为 两个月。 服务提供者如果已获得我中心某一或几类的信息安全服务资质认证，再申请安全集成服务资质 认证，认证周期可适当缩短两周左右。 8. 认证证书管理 8.1 认证证书有效期 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 17页 信息系统安全集成服务资质认证证书有效期为 3 年。 8.2 认证证书的管理 8.2.1 暂停认证证书 信息系统安全集成服务提供者有下列情形之一的，认证机构应当暂停认证证书。 （1） 未按规定及时接受监督审核或再认证； （2） 未按规定使用认证证书； （3） 监督结果证明信息系统安全集成服务提供者的信息安全服务能力不符合认证要求，但不 需要立即撤销认证证书。 暂停期限一般为三个月。在三个月内，申请方可提出恢复证书的申请，认证机构经审核、批准 后方可使用该证书。在认证证书暂停期间，申请方不得继续使用证书。 8.2.2 撤销认证证书 信息系统安全集成服务提供者有下列情形之一的，认证机构应当撤销其认证证书。 （1） 监督结果证明信息系统安全集成服务提供者的信息安全服务能力不符合认证要求，应立 即撤销证书的； （2） 认证证书暂停使用期间，信息系统安全集成服务提供者未采取有效纠正措施； （3） 信息系统安全集成服务提供者出现严重责任事故，影响其继续有效提供集成服务； （4） 信息系统安全集成服务提供者不接受认证机构对其实施的监督或未申请再认证。 8.2.3 注销认证证书 信息系统安全集成服务提供者因为自身原因申请注销认证证书，认证机构应当给予注销。 认证证书注销和撤销后，认证机构应收回认证证书，并在相关媒体上予以公告。 ISCCC-SV-003：2011 信息安全集成服务资质认证实施规则 中国信息安全认证中心 第 18页 附录 A 信息安全工程过程能力级别参考（ISO/IEC 21827:2008） A.1 基本执行级 本能力级别的组织是基于个人的知识和努力去执行一些基本过程，而未经严格的计划和跟踪。 能提供的证据是该过程的工作结果。由于缺乏适当控制，工作结果的一致性、性能和质量会存在极 大的差异。 A.2 计划跟踪级 本能力级别的组织计划并跟踪执行组织已定义的过程，验证是否执行了特定的步骤，工作结果 是否符合指定的标准和需求，测量用于跟踪过程的执行情况。组织能够基于实际执行活动进行管理。 1) 制定过程执行计划 过程执行的计划涉及到过程文档的编制，执行过程的相应工具的提供、过程实施的计划、过程 执行中的培训、过程资源的分配以及过程执行的责任分配。 2) 规范化执行 此要求注重于控制覆盖过程的总数。需要列出过程执行计划的使用、基于标准和程序的过程执 行、配置管理下依过程产生的工作结果。 3) 验证执行 确认过程按预定的方式执行。涉及到验证执行过程与可应用的标准和程序是一致的以及对工作 结果的审计。 4) 跟踪执行 此要求注重于组织控制项目进展的能力。组织通过可测量的计划跟踪过程的执行情况，当过程 实施与计划产生重大偏离时应采取纠正措施。 A.3 充分定义级 本能力级别的组织执行已经充分定义的标准过程。组织依据对已批准发布的、文档化的标准过 程进行适当