ISCCC 信息系统安全集成服务资质认证现场审核表

信息安全服务资质认证要求ISCCC XXX XXX-2007信息安全服务资质认证要求Certification Requirementsfor Qualification of Information Security Service Provider(备案送审稿)中国信息安全认证中心 发布××××-××-××实施××××-××-××发布备案号：××××—××××目录前言 (3)1 适用范围 (4)2 定义 (4)2.1信息安全服务 (4)2.2信息安全服务提供者 (4)2.3信息安全服务资质等级 (4)2.4信息安全工程过程能力级别 (4)3 服务类型与资质评定原则 (4)3.1信息安全服务的类型 (4)3.2信息安全服务资质等级的评判原则 (4)4 认证具体要求 (5)4.1基本资格 (5)4.1.1独立法人 (5)4.1.2法律要求 (6)4.2基本能力 (6)4.2.1资产与规模 (6)4.2.2人员素质与构成 (6)4.2.3设备、设施与环境 (7)4.2.4业绩 (7)4.3质量管理能力 (7)4.3.1体系和管理职责 (7)4.3.2资源管理 (8)4.3.3项目过程管理 (10)4.3.4测量、分析和改进 (12)4.3.5客户服务 (13)4.3.6技术能力更新 (14)4.4安全工程过程能力 (14)4.4.1风险过程 (14)4.4.2工程过程 (16)4.4.3保证过程 (19)5引用标准与参考文献 (20)5.1计算机信息系统安全保护等级划分准则 (20)5.2系统安全工程能力成熟模型 (20)5.3系统安全工程能力成熟模型—评定方法 (20)5.4信息系统安全工程手册 (20)5.5软件工程能力成熟模型 (20)6附录——系统安全工程主要术语 (21)6.1组织 (21)6.2项目 (21)6.3系统 (21)6.4安全工程 (21)6.5安全工程生命期 (21)6.6工作产品 (22)6.7顾客 (22)6.8过程 (22)6.9过程能力 (22)6.10制度化 (23)6.11过程管理 (23)前言本技术规范属于信息安全服务资质认证要求。

信息安全服务资质现场监督审核流程流程说明：1、准备阶段项目管理人员在持证组织证书到期前3个月，将《监督审核通知单》发送给持证组织，通知本年度现场监督审核工作启动；持证组织登录中国信息安全认证中心网站，下载《信息安全服务资质认证自评估表-公共管理》、对应的技术自评估表，实施自评估后（具体自评估表的填写方法可参考中心网站上的《信息安全服务资质认证自评估表填写指南》），将上述文档、自评估证明材料、《监督审核通知单》回执提交中心。

2、非现场审核及商务阶段（此阶段工作应在三周内完成，如需要持证组织补充材料，应在五周内完成）项目管理人员指派审查员对持证组织提交的材料进行非现场审核；审查员依据《信息安全服务规范》及相关技术标准，对持证组织所提供的材料是否满足要求进行判定，并填写《审核记录表》。

如满足要求，审查员通知项目管理人员向持证组织出具《受理通知单》（如持证组织有需求，也可签订《服务资质认证合同》），收取认证费用。

如不满足要求，审查员开具《材料问题清单》，通知持证组织补充材料重新提交，并对补充材料进行审核。

3、现场审核阶段（此阶段工作应在四周内完成，如开具不符合项，应在八周内完成）项目管理人员指派审核组长（一般情况下指派对该组织材料进行非现场审核的审查员为组长），协调审查员组建审核组；审核组长编制《审核计划》，准备现场审核的相关表格等材料，通过项目管理人员将《审核计划》发送给持证组织；审核组前往对持证组织开展现场审核工作，判断该组织目前对外提供的信息安全服务管理及技术能力是否符合《信息安全服务规范》的要求，并依据现场审核中的实际情况对非现场审核时已填写的《审核记录表》进行补充、完善和验证。

如满足要求，审核组长编制《审核报告》，并汇总《审核记录表》、《首末次会议记录》、《公正性、保密性承诺》等审核材料提交中心进行认证决定（如开具不符合项，审核组长则通知持证组织在一个月内提交整改材料）；如不满足要求（例如在现场审核时发现持证组织存在材料造假等严重不符合时），审核组长现场通知持证组织不推荐其继续持有证书，同时编制《审核报告》，在报告中注明不满足资质要求的具体情况，并提交中心进行认证决定。

．对年检单位，系指本次年审的前两年；如年检单位参200年年审，则“本年审年度”系200年200年二、年审表封．“现资质级别”：按照资质证书的级别填写．“年审类别”：自查或年检，详见《计算机信息系统集成质年审换证及变更实施细则（试行．“填表单位”：以持证书的单位名称为准，并须加盖公章．“填表日期”：填报年审材料的日期三、单位基本情况表（ns-t．“单位类型”、“成立时间”等：请严格按照营业执照写“项目合同额”：请填写本年审年度内已经完成项目的额，应与ns-t 的“其中完成的项目总金额”相符．“最具优势的行业”：按用户所属行业分类统计已完成合额，填写前五位．“软件开发与系统集成相关人员构成”：主要包括研究发、工程实施、技术支持、技术服务等与系统集成直接相关的员，不包括销售、市场、人事、行政等人员．请提供营业执照副本复印件四、本年审年度新开发的软件产品情况表（ns-t．逐一填报本年审年度新开发的自主软件产品及其在项目中应用情况．请提供已评测／登记软件产品的有关证明的复印件五、本年审年度资产运营情况表（ns-t．须由财务人员填制，自查单位填报一年数据，年检单位填两年数据．“集成业务收入”：本年审年度已到帐的系统集成业务方的收入．“软件费用”：包括方案设计、软件开发、系统集成、技服务、培训费等费用，不包括软件购置等费用．“软件费用所占比例”＝软件费用／合同金额10％．“财务状况”各项比率计算公式如下流动资产／流动负流动比率速动比率＝（流动资产－存货）／流动负产权比率＝负债总额／所有者权资产负债率＝负债总额／资产总额10存货周转率（次数）＝销售成本／平均存＝销售成本／（期初存货＋期末存货）应收帐款周转率（次数）＝收入总额／应收帐款平均余＝收入总额／（期初帐款余额＋期末帐款余额）净利润率＝净利润／收入总额10权益净利净利所有者权*10资产净利净利平均资产总*10资本收益净利实收资*10．请提供本年审年度审计报告与信用等级证明材料。

编号：涉密信息系统集成资质书面审查表申请单位：申请等级：□甲级□乙级申请类别：申请日期：年月日国家保密局印制填写须知1.填写《审查表》前，应当阅读了解《中华人民共和国保守国家秘密法》、《涉密信息系统集成资质管理办法》等有关保密法律法规，知悉从事涉密信息系统集成业务应当承担的保密责任和义务。

2.单位法定代表人对填报内容和所提交的文件、证件的真实性、完整性、有效性、合法性负责，内容不得涉及国家秘密。

3.《审查表》按照表格样式自行印制，内容填写不下的，可增页填写。

4.《审查表》中所有表格内容须填写完整、清楚。

5.《审查表》及申请材料使用A4纸打印，编码装订，加盖骑缝章。

6.申请所提交的文件、证件复印件须加盖单位公章。

7.《审查表》一式三份。

另需提供与《审查表》及申请材料内容相同的光盘资料三份。

8.以上材料均填写电子版，打印要求：标题黑体二号字，正文宋体三号字，行间距32磅，上下左右页边距27mm。

申请单位法定代表人声明本单位自愿申请涉密信息系统集成资质，知悉涉密信息系统集成资质管理有关规定，保证积极配合保密行政管理部门资质审查工作。

本单位在近3年内无违纪违法行为，对申请涉密信息系统集成资质所有申报材料的真实性负责。

申报材料如有虚假，愿承担相应法律责任。

法定代表人签字：年月日申请单位（公章）：单位基本情况数据表申请单位提交材料清单1.企业营业执照或者事业单位法人证书复印件；2.企业分支机构营业执照或者事业单位分支机构登记证书复印件；3.组织机构代码证书复印件；4.单位章程复印件（须加盖工商行政管理部门印章）；5.法人股东的单位章程（须加盖工商行政管理部门印章）及营业执照复印件、自然人股东身份证复印件；6.办公场所产权证书或者租赁合同复印件；7.涉密业务研发及办公场所平面图；8.法定代表人及主要管理人员身份证复印件；9.资质相关人员名单（含姓名、性别、身份证号、岗位、职称或执业资格、涉密等级）；10.近3年相关业务合同清单（含合同编号、合同名称、委托方、收入金额、签订时间、项目所涉地区、项目所涉行业、是否安全集成或党政军项目、涉密等级和服务年限）；11.近3年完成的项目投资总值证明材料（系统咨询和工程监理类提供）；12.验资报告及上2个年度财务审计报告（含资产负债表、利润表和现金流量表）；13.企业上2个年度完税证明；14.近5年企业牵头完成的科研项目材料复印件；15.近5年获得的科技奖励或者知识产权材料复印件；16.近5年企业保密工作获国家级、省部级嘉奖材料复印件；17.近3年在中文核心期刊或者省部级主办的公开出版刊物发表的保密管理或技术有关论文复印件；18.保密设施设备清单（含涉密信息系统、信息设备）；19.单位基本管理制度（含人事、财务、生产、资产、保密管理制度）；20.保密管理情况报告（含保密组织机构设置、保密制度建设、涉密人员审查及教育管理、保密要害部位管理、保密设备配备及设施建设、涉密载体使用管理、涉密信息系统集成业务流程管理情况）；21.保密风险评估报告；22.取得的行业主管部门颁发的有关资质认证证书复印件。

信息系统安全集成服务资质认证现场审核表
审查员签名：日期：
审查员签名：日期：
审查员签名：日期：
审查员签名：日期：
审查员签名：日期：
审查员签名：日期：
审查员签名：日期：
验证审核结论：
该组织提供的申请材料，
■满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》安全集成类（一级）要求，验证审核通过。

□存在不符合项（详见不符合项报告），需进行整改，验证符合后通过。

□不满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》类（级）要求，验证审核不通过。

审核组长签名：
审核日期：。

现场审核主要核查情况现场审核主要核查以下方面的情况：（一）软件开发及系统集成环境和设备情况内容：考察、验证软件开发及系统集成环境和设备情况，主要涉及公司的研究开发和工程实施部门。

目的：主要验证设备、环境情况。

内容：自主开发的软件和典型项目演示及企业MIS或办公自动化建设情况。

目的：考察公司技术开发实力。

（二）软件开发与工程实施情况重点了解：项目管理情况，软件开发能力，本部门内涉及质量保证与过程控制的实施与执行情况；了解软件开发工程化程度；重点查阅：两个典型开发项目整套开发文档（三）质量保证组织管理情况重点了解：质量保证与质量管理的建设与组织实施情况；重点查询：质量管理文档、质量过程控制记录等文档（四）客户服务情况重点了解：客户服务体系和相应机构的建设情况；客户服务的执行情况；重点查询：客户服务规程、服务过程记录、用户反馈意见等文档（五）人力资源管理与培训情况重点了解：公司系统集成相关人员的构成情况、各类人员比例；开发人员数目；培训计划制定和实施情况查阅文档：查阅工程技术人员名单及证明材料；查阅年度培训计划、培训记录或培训档案等（六）合同情况内容：查阅公司上报所有项目的合同目的：验证合同是否为近三年完成并投入使用；合同所列的合同额、软硬件购置费、软件开发费、技术服务费的构成是否与登记表填报相一致。

审查材料清单：1. 公司情况介绍PPT2. 有关的获奖、荣誉等证书和材料3. 营业执照副本4. 公司增资、更名等企业变更工商证明材料的原件5. 验资报告6. 企业负责人、技术负责人、财务负责人的毕业证书、职称证书、有关获奖证书7. 本科以上人员的学历证书8. 软件产品的登记证书、版权证书、评测报告9. 自主开发产品的演示稿10. 有关开发环境的软硬件设备的台帐（或固定资产清单）11. 质量管理体系认证证书12. 员工培训、质量保证、客户服务执行情况的记录或相关文档13. 近三年的财务审计报告14. 近三年的完税证明或纳税凭证15. 近三年完成的项目的合同（含设备清单）、验收报告及与项目有关的证明材料。

文件编码：ISCCC-SV-003:2011信息系统安全集成服务资质认证实施规则2011-06-01发布2011-10-01实施中国信息安全认证中心发布目录1.适用范围 (2)2.引用标准 (2)3.术语与定义 (2)4.安全集成服务提供者基本的资质要求 (2)4.1 基本条件 (3)4.2 基本管理能力要求 (3)4.3 基本技术能力要求 (3)5.信息系统安全集成服务过程要求 (4)5.1安全集成服务过程概述 (4)5.2集成准备 (4)5.3方案设计 (6)5.4建设实施 (7)5.5安全保证 (9)6.信息系统安全集成服务资质分级评价要求 (11)6.1三级信息系统安全集成服务资质要求 (11)6.2二级信息系统安全集成服务资质要求 (12)6.3 一级信息系统安全集成服务资质要求 (12)7.信息系统安全集成服务资质认证模式与流程 (13)8.认证证书管理 (16)附录A 信息安全工程过程能力级别参考 (18)附录B 各级资质要求对照表 (20)1.适用范围信息系统安全集成服务资质认证是依据国家认证认可法律法规及国际、国内相关技术标准和规范，对信息系统安全集成服务提供者的资质进行评价的合格评定活动。

本规则提出了信息系统安全集成服务提供者（以下简称服务提供者）应具备的服务能力要求，及实施信息系统安全集成服务资质认证的程序与管理要求。

本规则适用于对服务提供者服务能力的评价活动；可作为信息系统所有者选择服务提供者的依据；可为有关管理部门对服务提供者进行管理提供参考；也可为服务提供者自我能力改进提供参考。

2.引用标准下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

对信息系统安全集成服务提供者所具备的服务资质进行评价所引用的标准包括：GB/T 20261-2006 信息技术系统安全工程能力成熟度模型YD/T 1621-2007 网络与信息安全服务资质评价准则YD/T 1799-2008 网络与信息安全应急处理服务资质评价方法YD/T 2252-2011 网络与信息安全风险评估服务能力评价方法CNCA/CTS 0052-2007 信息安全服务资质认证技术规范GB/T 5271.8-2001《信息技术词汇第8部分：安全》中的术语和定义适用于本标准。

《信息系统安全集成服务资质认证评价要求》编制说明一、工作简况《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。

该项目由中国信息安全认证中心承担。

截止到2011年底，国内外尚未形成安全集成服务相关标准。

ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的，其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容，以及安全工程的能力成熟度模型，未涉及认证评价的内容，所以该标准不能完全满足信息安全服务资质认证工作的需要。

鉴于现状，我们征集了信息安全业界专家的意见，专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。

结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准，将安全集成服务资质分为三级，其中一级最高，三级最低，最终制定一套符合我国信息安全服务现状的认证实施规则，依据该规则指导安全集成服务资质认证工作。

为了规范信息系统安全集成（以下简称安全集成）服务市场，提升安全集成服务质量，我中心于2012年初，依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。

该实施规则得到了申请方的一致认可。

该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上，经编写小组多次讨论和征求意见后制定，形成了目前的标准草案稿。

信息安全应急处理服务资质认证自评估表
度提出的观察项跟踪验证情况（如有）度提出的不符合项跟踪验证情况（如有）
ISCCC-QOT-0430-B/2 信息安全应急处理服务资质认证自评估表自评估结论：
经自主评估，本单位的信息安全应急处理服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求，申请第三方审核。

本单位郑重承诺，《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信，且均可提供相应证明材料。

中国信息安全认证中心制第6 页共6 页。

信息安全服务资质认证自评估表-公共管理
填表说明：
1、该自评估表与申报具体的服务类别自评估一并使用，单个文档不作为自评估支撑材料。

申报多个服务类别且级别不同时，按照申请的最高级别服务资质认证的管理要求填写。

2、仅申请三级服务资质认证时，如有项目则不需填该评估表中的第24、25项，直接填写对应的服务类别自评估表；
3、仅申请三级服务资质认证时，如无项目则仅需填写该自评估表，且申请方须承诺（提供加盖组织公章并由法人签字确认的承诺书）在获证后6个月内完成该方向的服务项目并填写对应方向的自评估表提交ISCCC及审核组长。

信息系统安全集成服务资质认证介绍一、工作背景随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。

加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

开展信息安全服务分类分级的资质认证可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。

同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

中国信息安全认证中心是国家质检总局直属事业单位，经中央编制委员会批准成立，由国家认证认可监督管理委员会批准，可依据相关标准开展对信息安全服务资质分类分级的认证工作。

2011年启动了信息系统安全集成服务资质认证工作，2013年4月，中国信息安全认证中心与辽宁省信息安全与软件测评认证中心签订了信息系统安全集成服务资质认证合作协议，授权测评认证中心为辽宁工作站，在辽宁省（含大连）内推广并实施信息系统安全集成服务资质认证工作。

二、认证简介信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。

信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。

也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。

信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。

资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

安全集成服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。

信息系统安全集成服务资质认证自评估表
提出的观察项整改情况（如有）提出的不符合项整改情况（如有）
CCRC-QOT-0429-B/4 信息系统安全集成服务资质认证自评估表自评估结论：
经自主评估，本单位的信息系统安全集成服务满足《信息安全服务规范》级要求，申请第三方审核。

本单位郑重承诺，《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信，且均可提供相应证明材料。

中国网络安全审查技术与认证中心制第 5 页共5 页。

CCRC信息安全服务资质认证流程知识点汇总在我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。

加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

一、CCRC（原名ISCCC）概况CCRC（原名ISCCC）信息安全服务资质认证是中国网络安全审查技术与认证中心依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质包括法律地位、资源状况、管理水平、技术能力等方面的要求进行评价。

通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。

同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

该资质共8个单项，每个单项分为一、二、三级（最低）。

1. 信息系统安全集成服务资质2. 安全运维服务资质3. 风险评估服务资质4. 应急处理服务资质5. 软件安全开发服务资质6. 信息系统灾难备份与恢复服务资质7. 工业控制安全服务资质8. 网络安全审计服务资质二、信息安全服务资质认证服务流程那么申请CCRC信息安全服务资质认证服务，究竟是怎样的一个流程呢？下面就来给各位详细地讲解一下。

认证流程可分为：自评估-认证申请-申请材料评审-现场审核-认证决定-证书颁发-监督审核1、CCRC信息安全服务资质申请条件：2、CCRC认证时所需的11项资料清单：3、CCRC信息安全服务资质认证周期：一级/二级认证周期一般是12周，三级认证周期4周。

认证周期包括自申请被正式受理之日起至颁发认证证书时止实际发生的时间，不包括申请单位准备或补充材料的时间。

4、CCRC信息安全服务资质证书管理：证书状态：有效、暂停、撤销造成证书暂停的情况（最长3个月）：1）获证组织的服务管理持续地或严重地不满足认证要求；2）逾期未按规定接受监督审核；3）违规使用认证证书，且未造成不良影响；4）监督审核有严重不符合项；5）获证组织主动请求暂停；6）其他需要暂停证书的情况。

信息系统安全集成服务资质认证标准下载提示：该文档是本店铺精心编制而成的，希望大家下载后，能够帮助大家解决实际问题。

文档下载后可定制修改，请根据实际需要进行调整和使用，谢谢！本店铺为大家提供各种类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，想了解不同资料格式和写法，敬请关注！Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!导言随着信息技术的飞速发展，信息系统安全已成为企业发展中的重要环节。