中国信息安全认证中心-信息安全服务资质认证流程图

信息安全服务资质认证实施规则CCRC-ISV-R01:20182018-05-25发布 2018-06-01实施中国网络安全审查技术与认证中心ISCCC-ISV-R01:2018 信息安全服务资质认证实施规则目录1 适用范围 (2)2 认证依据 (2)3 术语与定义 (2)3.1 信息安全服务 (2)3.2 自评估 (2)3.3 现场审核 (2)3.4 非现场审核 (2)3.5 现场见证 (2)3.6 特殊审核 (2)4 审核人员及审核组要求 (2)5 认证信息公开 (3)6 认证程序 (3)6.1 初次认证 (3)6.1.1 认证申请 (3)6.1.2 申请评审 (3)6.1.3 建立审核方案 (4)6.1.4 确定审核组 (5)6.1.5 非现场审核 (5)6.1.6 现场审核 (6)6.1.7 现场见证（必要时） (7)6.1.8 认证决定 (8)6.1.9 证书颁发 (8)6.2 监督审核 (8)6.2.1 频次和方式 (8)6.2.2 信息收集 (8)6.2.3 信息评审与审核方案维护 (9)6.2.4 制定审核计划 (9)6.2.5 审核实施 (10)6.2.6 监督审核结论 (10)6.2.7 认证决定 (10)6.2.8 审核方案记录与变更 (10)6.3 特殊审核 (10)6.3.1 变更或扩大认证范围 (10)6.3.2 审核方案记录与变更 (11)7 信息通报 (11)8 认证证书管理 (11)8.1 证书内容 (11)认证证书内容应分别以中、英文书写，至少包括以下方面： (11)8.2 证书编号 (11)8.3 证书有效期 (12)8.4 暂停认证证书 (12)8.5 撤销认证证书 (12)8.6 证书变更 (12)1适用范围本规则用于规范中国网络安全审查技术与认证中心（简称中心）开展信息安全服务资质认证活动。

2认证依据以CCRC-ISV-C01：2018《信息安全服务规范》为认证依据。

CCRC信息安全服务资质服务流程随着信息技术的不断发展，信息安全已成为各行各业的重要问题。

尤其是在互联网时代，数据的安全性更是备受关注。

越来越多的企业和机构开始重视信息安全服务，以保护自身的核心数据和敏感信息。

CCRC作为信息安全服务的领先者，具备丰富的经验和优秀的服务团队，为客户提供专业的信息安全资质服务。

本文将介绍CCRC的信息安全服务资质服务流程，帮助客户更好地了解和选择相关服务。

1. 服务需求确认客户在有信息安全服务需求时，首先需要与CCRC的业务经理通联，详细描述所需的服务范围、目标和期望的效果。

CCRC的业务经理将仔细了解客户的需求，并结合自身的实践经验，提供专业的建议和解决方案。

2. 服务合同签订在确认服务需求后，客户和CCRC将签订正式的服务合同，明确双方的权利和义务，包括服务范围、服务周期、服务费用、服务标准等内容。

合同签订是保障双方权益的重要保障，也是服务正式开始的准备工作。

3. 资质审核准备CCRC将根据客户的实际情况，进行相关的资质审核准备工作。

这包括整理和准备相关的证明文件、安全保密制度文件、信息安全规程、安全管理制度等资料，以满足资质审核的要求。

4. 资质审核申请在审核准备工作完成后，CCRC将协助客户向相关主管部门提交资质审核申请，并与主管部门进行交流、协商和确认相关审核安排。

这个阶段需要考虑客户实际情况，充分交流，确保审核申请的顺利进行。

5. 资质审核实施主管部门将安排资质审核实施人员对客户进行现场审核，审核内容包括客户的安全管理制度、安全管理责任、基础设施和信息系统的安全防护等方面。

CCRC将协助客户准备审核所需的文件和资料，并在审核过程中提供必要的支持。

6. 审核结论反馈审核结束后，主管部门将对审核情况进行评估，并给出审核结论。

CCRC将协助客户获取审核结论反馈，并根据审核结果进行后续处理。

如果存在不符合要求的地方，CCRC将协助客户进行整改，并重新提交审核。

信息安全服务资质认证
监督审核通知单
：
您好，贵组织已获中国网络安全审查技术与认证中心颁发的：
安全集成服务资质级认证证书（获证日期：年月日）
应急处理服务资质级认证证书（获证日期：年月日）
风险评估服务资质级认证证书（获证日期：年月日）
安全开发服务资质级认证证书（获证日期：年月日）
安全运维服务资质级认证证书（获证日期：年月日）
灾难备份与恢复服务资质A类级认证证书（获证日期：年月日）灾难备份与恢复服务资质B类级认证证书（获证日期：年月日）网络安全审计服务资质级认证证书（获证日期：年月日）
工业控制系统安全服务资质级认证证书（获证日期：年月日）根据《信息安全服务资质认证实施规则》的要求，贵方应于年月日前接受我中心的年度监督审核并交纳监督审核费用。

请在十个工作日内，将本通知的回执回复至本邮箱,我中心将在收到款项后开具发票并安排审核。

另外，请在贵方计划的审核日期两个月之前提交自评估材料（例如：如果计划在9月10日接受审核，自评估材料需在7月10日之前提交至中心，自评估表在“，自评估表及其附件要求的证明材料只接收电子版）。

如贵组织申请的认证类别和级别发生变化，针对有变化的认证类别需重新填写申请书和自评估表。

联系人：彭琳赓；联系电话：/4648
联系地址：北京市朝阳区朝外大街甲10号中国网络安全审查技术与认证中心。

收款账户：户名：中国信息安全认证中心；
开户行：中信银行北京国际大厦支行
账号：7
特此通知。

中国网络安全审查技术与认证中心
年月日
回执。

信息安全服务资质认证要求ISCCC XXX XXX-2007信息安全服务资质认证要求Certification Requirementsfor Qualification of Information Security Service Provider(备案送审稿)中国信息安全认证中心 发布××××-××-××实施××××-××-××发布备案号：××××—××××目录前言 (3)1 适用范围 (4)2 定义 (4)2.1信息安全服务 (4)2.2信息安全服务提供者 (4)2.3信息安全服务资质等级 (4)2.4信息安全工程过程能力级别 (4)3 服务类型与资质评定原则 (4)3.1信息安全服务的类型 (4)3.2信息安全服务资质等级的评判原则 (4)4 认证具体要求 (5)4.1基本资格 (5)4.1.1独立法人 (5)4.1.2法律要求 (6)4.2基本能力 (6)4.2.1资产与规模 (6)4.2.2人员素质与构成 (6)4.2.3设备、设施与环境 (7)4.2.4业绩 (7)4.3质量管理能力 (7)4.3.1体系和管理职责 (7)4.3.2资源管理 (8)4.3.3项目过程管理 (10)4.3.4测量、分析和改进 (12)4.3.5客户服务 (13)4.3.6技术能力更新 (14)4.4安全工程过程能力 (14)4.4.1风险过程 (14)4.4.2工程过程 (16)4.4.3保证过程 (19)5引用标准与参考文献 (20)5.1计算机信息系统安全保护等级划分准则 (20)5.2系统安全工程能力成熟模型 (20)5.3系统安全工程能力成熟模型—评定方法 (20)5.4信息系统安全工程手册 (20)5.5软件工程能力成熟模型 (20)6附录——系统安全工程主要术语 (21)6.1组织 (21)6.2项目 (21)6.3系统 (21)6.4安全工程 (21)6.5安全工程生命期 (21)6.6工作产品 (22)6.7顾客 (22)6.8过程 (22)6.9过程能力 (22)6.10制度化 (23)6.11过程管理 (23)前言本技术规范属于信息安全服务资质认证要求。

信息系统安全服务资质评估准则Evaluation Criteria for Competence of Information SystemSecurity Service Provider1适用范围本标准适用于评估机构对提供信息安全服务的组织进行信息安全服务资质的评估；信息安全服务的需方对服务提供方的选择依据；作为国家主管部门对评估对象进行管理和检查的技术规范。

另外，也可为信息安全服务提供组织改进自身能力提供指导。

2定义2.1 信息安全服务信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。

2.2 信息安全服务提供者信息安全服务提供者是指信息安全工程方案设计组织、承建信息安全工程的组织以及提供有关信息安全咨询和培训的组织。

2.3 信息安全服务资质等级信息安全服务资质等级是指一个组织提供信息安全服务的综合能力。

包括技术能力、组织结构与管理、资源配置、安全工程过程能力、业绩和质量保证等多个方面。

2.4 信息安全工程过程能力级别信息安全工程过程能力级别是指提供信息安全服务的组织在完成工程、项目时，执行组织已定义过程的能力成熟程度。

2.5 信息安全服务评估组织信息安全服务评估组织，是指对提供信息安全服务的组织的资质等级进行评估认证的第三方机构。

在我国是指中国国家信息安全测评认证中心及其授权分支机构。

3服务类型与资质评定原则3.1 信息安全服务的类型信息安全服务的类型主要指一个组织按照一定的合同或协议，为另一个组织所履行的安全服务的具体形式，包括：1)安全工程：为信息系统进行安全方案设计（开发）、施工（安全集成)、验证（测试）、运行（监控）和维护；2)安全咨询和培训：从事信息系统安全咨询、培训、宣传和其它安全工程之外服务的业务。

包括书面提出并制订信息系统安全方案，提供安全管理与操作规定的服务，提供安全性测试和监控，方案（安全方案、信息系统和安全产品等）试验，在公开场合或媒体宣讲传播安全知识的活动，信息系统安全的专家活动和政策制订工作，从事信息系统安全教育工作，其它可能影响信息系统安全性能的有偿或无偿服务或技术活动。

CCRC-QOT-0428-B/4信息安全风险评估服务资质认证自评估表信息安全风险评估服务资质认证自评估表组织名称评估时间序要点号条款申报级别评估部门 /人员自评估结论需提供证明材料不证明材料清单符符合合按照相关标准建立的信息安全风险1.2.3.4. 服务技术要求基本资格建立信息安全风险评估服务流程。

制定信息安全风险评估服务规范并按照规范实施。

仅三级要求：至少有一个完成的风险评估项目，该系统的用户数在 1,000以上；具备从管理或（和）技术层面对脆弱性进行识别的能力。

仅二级要求：针对多种类型组织，多行业组织，至少完成一个风险评估项目，该系统的用户数在 10,000 以上；具备从管理和技术层面对脆弱性进行识别的能力。

评估服务流程，流程图中应包括每个阶段对应的职责、输入输出等。

已制定的信息安全风险评估服务规范。

一个已完成项目的合同、用户数、验收的证明材料，包括管理或（和）技术层面脆弱性识别的材料。

一个已完成项目的合同、用户数、验收的证明材料，包括管理和技术层面脆弱性识别的材料。

序要点号5.6.7.8.9.10.准备阶段- 11.服务方案制定12.13.条款仅一级要求：能够在全国范围内，针对5个（含）以上行业开展风险评估服务；至少完成两个风险评估项目，该系统的用户数在 100,000 以上；具备从业务、管理和技术层面对脆弱性进行识别的能力。

仅三级要求：具备跟踪信息安全漏洞的能力仅二级要求：具备跟踪、验证信息安全漏洞的能力。

仅一级要求：具备跟踪、验证、挖掘信息安全漏洞的能力。

编制风险评估方案、风险评估模板，并在项目实施过程中按照模板实施。

应为风险评估实施活动提供总体计划或方案，方案应包含风险评价原则。

仅二级 / 一级要求：应进行充分的系统调研，形成调研报告。

仅二级 / 一级要求：宜根据风险评估目标以及调研结果，确定评估依据和评估方法。

仅二级 /一级要求：应形成较为完整的需提供证明材料5个已完成项目的合同、用户数、验收的证明材料，从业务、管理和技术层面对脆弱性进行识别的材料。

信息安全服务资质现场监督审核流程流程说明：1、准备阶段项目管理人员在持证组织证书到期前3个月，将《监督审核通知单》发送给持证组织，通知本年度现场监督审核工作启动；持证组织登录中国信息安全认证中心网站，下载《信息安全服务资质认证自评估表-公共管理》、对应的技术自评估表，实施自评估后（具体自评估表的填写方法可参考中心网站上的《信息安全服务资质认证自评估表填写指南》），将上述文档、自评估证明材料、《监督审核通知单》回执提交中心。

2、非现场审核及商务阶段（此阶段工作应在三周内完成，如需要持证组织补充材料，应在五周内完成）项目管理人员指派审查员对持证组织提交的材料进行非现场审核；审查员依据《信息安全服务规范》及相关技术标准，对持证组织所提供的材料是否满足要求进行判定，并填写《审核记录表》。

如满足要求，审查员通知项目管理人员向持证组织出具《受理通知单》（如持证组织有需求，也可签订《服务资质认证合同》），收取认证费用。

如不满足要求，审查员开具《材料问题清单》，通知持证组织补充材料重新提交，并对补充材料进行审核。

3、现场审核阶段（此阶段工作应在四周内完成，如开具不符合项，应在八周内完成）项目管理人员指派审核组长（一般情况下指派对该组织材料进行非现场审核的审查员为组长），协调审查员组建审核组；审核组长编制《审核计划》，准备现场审核的相关表格等材料，通过项目管理人员将《审核计划》发送给持证组织；审核组前往对持证组织开展现场审核工作，判断该组织目前对外提供的信息安全服务管理及技术能力是否符合《信息安全服务规范》的要求，并依据现场审核中的实际情况对非现场审核时已填写的《审核记录表》进行补充、完善和验证。

如满足要求，审核组长编制《审核报告》，并汇总《审核记录表》、《首末次会议记录》、《公正性、保密性承诺》等审核材料提交中心进行认证决定（如开具不符合项，审核组长则通知持证组织在一个月内提交整改材料）；如不满足要求（例如在现场审核时发现持证组织存在材料造假等严重不符合时），审核组长现场通知持证组织不推荐其继续持有证书，同时编制《审核报告》，在报告中注明不满足资质要求的具体情况，并提交中心进行认证决定。

国家信息安全产品认证流程详解-回复以国家信息安全产品认证流程为主题，写一篇1500-2000字的文章。

国家信息安全产品认证是指为了保障国家信息安全，对相关产品进行测试和评估，并根据一定的标准对通过认证的产品进行认定的过程。

该认证流程旨在确保产品的安全性和可靠性，从而有效防范信息泄露和网络攻击等安全风险。

一、认证申请阶段1.确定申请产品范围：认证申请前，需明确申请产品的范围，包括产品的种类、版本等信息。

2.填写申请表格：申请者需要填写认证申请表格，包括产品的基本信息、功能描述、技术规范等内容。

3.提交材料：申请者需要将填写完整的申请表格及相关材料提交给认证机构，以备审核。

二、初审阶段1.初步审核：认证机构将对申请材料进行初步审核，确认是否符合认证要求。

2.现场测试准备：初审通过后，认证机构将与申请者联系，确定测试时间和地点，并要求申请者提供测试所需的环境和设备。

3.现场测试准备：初审通过后，认证机构将与申请者联系，确定测试时间和地点，并要求申请者提供测试所需的环境和设备。

三、测试评估阶段1.现场测试：认证机构将对申请产品进行测试，其中包括功能测试、性能测试、安全测试等。

2.测试结果评估：认证机构将根据测试结果对申请产品进行评估，并与申请者进行沟通，了解产品的安全性和可靠性。

3.问题解决：如果在测试过程中发现问题，认证机构将与申请者协商解决措施，并要求申请者对问题进行修复和改进。

四、认证审查阶段1.技术评审：认证机构将对申请产品的技术规范、安全机制等进行评审，确保产品符合认证要求。

2.文件审查：认证机构将对申请产品的相关文件进行审查，包括产品的设计文档、用户手册等。

3.评估报告编写：认证机构将根据测试结果和审查意见编写评估报告，并提交给申请者。

五、认证颁发阶段1.管理层审查：认证机构的管理层将对评估报告进行审查，确定是否符合认证标准。

2.证书颁发：认证机构将于通过认证的产品颁发认证证书，并公布于认证机构的网站上。

国家信息安全产品认证流程详解国家信息安全产品认证是指为了确保信息技术产品在设计、生产、使用和维护过程中能够满足国家信息安全标准要求，经过一系列评估测试和审查程序，对符合要求的产品进行认证的过程。

下面将详细介绍国家信息安全产品认证的流程。

一、申请阶段1.申请材料准备：申请人应准备相关材料，包括申请表、产品标准、检查测试报告、技术文档等，并按照国家相关规定进行格式和要求的整理。

2.提交申请材料：申请人将准备好的材料提交给国家信息安全产品认证机构，并缴纳相应的申请费用。

3.材料审核：认证机构将对提交的申请材料进行审核，包括检查材料是否齐全、格式是否符合要求等。

若材料不齐全或格式不符合要求，认证机构将通知申请人进行补正。

4.签订合同：材料审核通过后，认证机构将与申请人签订认证合同，约定双方的权利和义务、认证费用等事项。

二、评估测试阶段1.评估测试计划编制：认证机构根据申请材料和产品的特点，制定评估测试计划，包括评估测试的方法、内容、流程等。

2.评估测试准备：认证机构将准备评估测试所需的设备、环境等条件，并通知申请人将产品送至认证机构或指定的实验室。

3.评估测试执行：认证机构根据评估测试计划对申请产品进行评估测试，包括对产品进行功能、安全性、性能等方面的测试，以验证其是否符合国家信息安全标准的要求。

4.评估测试报告编写：认证机构将对评估测试结果进行分析和整理，撰写评估测试报告，详细描述产品的安全性能、存在的问题和改进措施等。

5.评估测试报告审核：评估测试报告完成后，认证机构将对其进行审核，确保其真实、准确、完整，并符合国家信息安全产品认证的要求。

三、认证决策阶段1.审查申请资料：认证机构将对申请的产品信息和评估测试报告进行全面、细致的审查，并与评估测试报告的内容进行比对。

2.召开决策会议：认证机构将组织召开决策会议，由评估测试组和其他相关方参与，对申请产品进行评审，并做出认证决策。

3.发布认证决定书：认证机构将根据决策会议的结果，制作认证决定书，对通过认证测试的产品发放认证证书，并在国家信息安全产品认证数据库中公示。

信息安全服务资质认证流程图流程说明：1、自评估组织在中国信息安全认证中心网站下载《信息安全服务资质认证自评估表-管理》+对应的技术自评估表，并实施自评估。

2、认证申请组织依据信息安全服务资质认证程序、认证实施规则中相关要求，确定申请服务资质类别，并填写《信息安全服务资质认证申请书》。

组织向中国信息安全认证中心提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。

3、申请材料评审中心依据认证程序和相关标准要求，对申请组织提交的认证相关材料进行评审，并确定申报资质类别和级别，签订认证合同。

4、现场评审认证机构组成评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。

特别，对申请一级资质认证的组织，必要时选择申请组织的客户进行项目实施现场见证。

现场验证符合要求后，认证机构组成评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。

5、认证决定认证决定委员会由3名以上（含3名）奇数认证决定人员组成，作出认证决定。

6、证书颁发对于符合认证要求的申请组织，颁发认证证书，并予以公示。

7、证后监督（1）证后监督频次和方式对获证组织实施监督，每年度（不超过12个月）进行一次监督评审。

当获证组织发生重大变更、事故或客户投诉时，可增加现场监督评审的频次。

（2）证后监督内容监督评审除包括初次评审的内容外，还应对上一次审核中提出的观察项所采取纠正/预防措施进行验证。

（3）证后监督结论对于通过监督评审的获证组织，做出维持认证证书有效的决定；否则，暂停或撤销其认证证书。

（4）信息通报为确保获证组织的安全服务能力持续有效，获证组织应建立信息通报渠道，及时报告以下信息：a)组织机构变更信息；b)安全事故、客户投诉信息；c)其他重要信息。

信息安全服务资质认证自评估表-公共管理
填表说明：
1、申请三级信息安全服务资质认证时，仅需填写该自评估表。

2、申请一、二级服务资质认证时，该自评估表与申报具体的服务类别自评估一并使用，单个文档不作为自评估支撑材料。

申报多个服务类别且级别不同时，按照申请的最高级别服务资质认证的管理要求填写。

3、表中要求的所有程序文件均已发布实施。

自评估结论：
本单位郑重承诺，《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信，且均可提供相应证明材料。

经自主评估，本单位的信息安全服务资质满足《信息安全服务规范》要求，申请第三方审核。

信息系统安全集成服务资质认证介绍一、工作背景随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。

加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

开展信息安全服务分类分级的资质认证可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。

同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

中国信息安全认证中心是国家质检总局直属事业单位，经中央编制委员会批准成立，由国家认证认可监督管理委员会批准，可依据相关标准开展对信息安全服务资质分类分级的认证工作。

2011年启动了信息系统安全集成服务资质认证工作，2013年4月，中国信息安全认证中心与辽宁省信息安全与软件测评认证中心签订了信息系统安全集成服务资质认证合作协议，授权测评认证中心为辽宁工作站，在辽宁省（含大连）内推广并实施信息系统安全集成服务资质认证工作。

二、认证简介信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。

信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。

也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。

信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。

资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

安全集成服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。

ccrc国家级计量认证证书
CCRC（信息安全服务资质）是一种国家级计量认证证书，由国家认监委批准的权威认证机构——中国信息安全认证中心颁发。

该证书是对信息安全服务机构的信息安全服务资质进行认证，包括法律地位、资源状况、管理水平、技术能力等方面的要求。

获得CCRC认证的企业或组织，可以证明其具备在信息安全领域提供相应服务的能力，包括但不限于安全咨询、安全风险评估、数据安全保护、软件开发安全等。

此外，取得CCRC认证还是企业能力获得第三方权威机构认证认可的依据，可以提高需方对服务商的信任度，并规范管理与技术，提高客户满意度。

申请CCRC认证的企业或组织需要满足一定的条件，例如在法律、资源、管理、技术等方面达到规定的标准。

认证的流程包括提交申请、现场审核、审核评估等环节，认证周期一般为12周。

获得CCRC认证的企业或组织需要在每年进行一次监督审核，以保证其持续符合认证要求。

总之，CCRC国家级计量认证证书是对信息安全服务机构资质的权威认证，对于提高企业或组织在信息安全领域的服务能力和信誉具有重要意义。

信息安全服务资质认证证书是指由相关资格认证机构对企业的信息安全服务能力进行评估并颁发证书，以证明企业在信息安全服务领域具有一定的专业能力和水平。

在当今信息化大背景下，信息安全问题日益受到重视，而获得信息安全服务资质认证证书则成为企业在市场竞争中的重要竞争力。

申请信息安全服务资质认证证书需要经历一系列的流程，下面将详细介绍该流程：一、初审申请1. 提交申请材料申请企业需要向资格认证机构提交相关的申请材料，包括企业的基本信息、信息安全服务的相关资质证明、服务流程和技术方案等。

2. 初审评估资格认证机构对申请材料进行初步审核，主要是验证申请材料的真实性、完整性和合法性，并初步评估申请企业的信息安全服务能力。

二、现场审查1. 现场审查准备经过初审合格的申请企业需进行现场审查准备工作，包括准备相关的文件资料、提供相关的信息安全服务场所以及配备必要的技术人员。

2. 现场审查资格认证机构组织专业人员对申请企业的信息安全服务能力进行现场审查，主要包括对企业的信息安全服务流程、技术设施、人员配备和安全管理制度等进行全面的评估。

三、技术评审1. 技术评审申请通过初审和现场审查合格的申请企业需提交技术评审申请，包括信息安全服务相关的技术资料、解决方案、技术创新等。

2. 技术评审资格认证机构组织专业的技术评审人员对申请企业的技术方案和技术能力进行评审，主要是验证企业在信息安全技术方面的创新能力和专业水平。

四、决定认证资格认证机构根据初审、现场审查和技术评审的结果，对申请企业的信息安全服务能力进行综合评定，并做出认证决定。

五、颁发证书通过认证的企业将获得信息安全服务资质认证证书，并可在证书有效期内进行信息安全服务相关业务。

总结：信息安全服务资质认证证书是企业在信息安全服务领域的重要凭证，通过该认证可有效提升企业的市场竞争力和信誉度。

但是申请认证也需要企业投入大量的精力和资源，需要严格遵守认证机构的各项流程和要求，做好认证准备工作，提升自身的信息安全服务能力，才能顺利通过认证并获得认证证书。

信息系统安全集成服务资质认证自评估表组织名称 申报级别评估时间 评估部门/人员序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合1.技术服务要求 建立信息系统安全集成服务流程。

信息系统安全集成服务流程，流程图中应包括每个阶段对应的职责、输入输出等。

2.制定信息系统安全集成服务规范并按照规范实施。

信息系统安全集成服务规范。

3.集成准备-需求调研与分析调研客户背景信息，采集系统建设需求和建设目标，明确系统功能、性能及安全性要求。

准备阶段控制程序文件，包括明确工作内容、流程、方法、文档模板，内容至少包括需求调研、分析、评审，产品选型，财务预算。

提供投标文件、项目文档等证明。

4.基于系统建设需求，提出产品选型方案和建设预算。

5.结合系统建设和安全需求，与客户、设计、开发等人员充分沟通，达成共识并形成记录。

6.仅二级/一级要求：准确识别和综合分系统安全需求分析报告，内容应覆盖序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合析系统在信息安全特性方面相适应的安全需求。

审核条款要求。

7.仅二级/一级要求：基于客户需求和投入能力，开展需求分析，编制需求分析报告。

8.仅一级要求：协助客户有效识别系统建设过程中的政策、法律和约束条件，有效规避商业风险和泄密事件。

安全集成项目风险评估程序及风险评估报告。

9.方案设计 根据系统建设安全需求，编制安全集成技术方案。

项目方案设计阶段控制程序文件，包括明确工作内容、流程、文档模板，内容应覆盖审核条款的要求。

项目技术方案、实施方案、沟通记录。

10.依据技术方案，编制安全集成实施方案，明确项目人员、进度、质量、沟通、风险等方面要求。

11.结合技术方案和实施方案，与客户进行沟通，获得客户认可。

12.仅二级/一级要求：结合需求分析和客户在保障系统安全方面的投入能力，提出系统建设安全设计说明书，明确系统架构、产品选型、产品功能、性能及配置等参数。

项目方案设计阶段控制程序文件，内容应覆盖审核条款要求。