信息系统安全集成服务资质认证介绍

信息系统安全集成服务资质认证介绍

一、工作背景

随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

开展信息安全服务分类分级的资质认证可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

中国信息安全认证中心是国家质检总局直属事业单位，经中央编制委员会批准成立，由国家认证认可监督管理委员会批准，可依据相关标准开展对信息安全服务资质分类分级的认证工作。2011年启动了信息系统安全集成服务资质认证工作，2013年4月，中国信息安全认证中心与辽宁省信息安全与软件测评认证中心签订了信息系统安全集成服务资质认证合作协议，授权测评认证中心为辽宁工作站，在辽宁省（含大连）内推广并实施信息系统安全集成服务资质认证工作。

二、认证简介

信息系统安全集成服务是指从事计算机应用系统工程和网络系

统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。

信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。安全集成服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。

信息系统安全集成服务资质认证是依据ISCCC-SV-003:2011《信息系统安全集成服务资质认证规则》开展。评估对象是为信息系统所有者提供安全集成服务的组织。

三、评价要求

四、工作流程

五、信息安全保障从业人员认证

申请信息系统安全集成服务资质的单位，必须配备相应级别要求的安全集成服务资质人数，即通过信息安全保障从业人员认证（CISAW）的人数。中国信息安全认证中心（ISCCC）面向IT从业人员，特别是与信息安全工作密切相关的高级管理人员、专业技术人员推出的人员资格认证和专业水平认证。目前设置的专业方向如下图：

1.申请人应具有的基本条件

➢具有独立的民事行为能力，具备承担法律责任的能力

➢未受过刑事处罚

➢不存在法律法规禁止从业的情形

➢符合《信息安全保障从业人员认证准则》要求

➢自愿遵守ISCCC颁布的信息安全保障从业人员认证相关文件的有关规定，履行相关义务

➢符合有关法律法规的规定

2.申请人应提交的材料

➢《信息安全保障从业人员认证申请表》

➢学历、从业经历证明材料

➢CISAW考试通过证明3.认证流程