计算机信息系统安全服务等级评定实施规则

计算机信息系统安全服务等级

评定实施规则

2013-8-15发布2013-10-15实施

广东省信息网络服务协会

目录

第一章总则 (1)

第二章评定标准 (1)

第三章评定程序 (4)

第一条评定模式 (4)

第二条评定的基本环节 (4)

第三条申请及受理 (4)

第四条文档审核 (4)

第五条现场审核 (4)

第六条颁证决定 (5)

第七条对评定决定的申诉 (5)

第八条获证后监督 (5)

第九条再评定 (7)

第十条证书升级 (7)

第四章证书管理 (7)

第一章总则

第一条实施计算机信息系统服务资质（以下简称服务资质）评定，客观公正地评价信息安全服务机构提供信息安全服务的综合能力，有利于规范市场秩序，提升企业诚信度，促进信息服务行业的健康发展。

第二条《计算机信息系统安全服务等级证》的评定，依据《广东省计算机信息系统安全保护条例》、《广东省计算机信息系统安全保护管理规定》，参照国家工业和信息化部发布的行业标准《网络与信息安全应急处理服务资质评估方法》、《网络与信息安全风险评估服务能力评估方法》等法规和规定，由业内权威专家、资深学者及中高级工程技术人员组成评审委员会，严格按照评审程序进行评定。

第二章评定标准

第一条广东省信息网络服务协会颁布的《计算机信息系统安全服务等级评定标准》，适用于在中华人民共和国境内从事计算机信息系统（包括计算机机房）安全设计、建设、检测、维护、监理等业务的信息服务机构资质评定。申请资质评定的信息服务机构，须经中国工商行政管理部门登记注册、具有独立法人资格；遵守国家现行法律、法规的规定；有一支稳定的信息（安全）服务团队，完成一定数量的信息安全服务项目且通过验收；具有组织管理制度、质量保证体系和客户服务体系；没违法犯罪记录证明材料及工商部门或银行出具的诚信证明。

第二条依据《广东省计算机信息系统安全保护条例》、《广东省计算机信息系统安全服务管理办法》等规定，将安全服务机构的服务能力划分为四个等级，四级为基础级，依次递升，一级为最高等级。

一级：

（一）具有相应经营范围的营业执照。

（二）取得等级证二级满一年以上。

（三）注册资本1200万元以上，近3年的财务状况良好。

（四）近3年完成计算机信息系统安全服务项目总值3000万元以上，并承担过至少1项450万元以上或至少4项150万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30％以上（即不低于900万元）；工程按合同要求质量合格，已通过验收并投入实际应用。

（五）具有计算机安全或相关专业资格证书的专业技术人员不少于50人，其中大学本科以上学历的人员不少于40人。

（六）安全服务工作的管理人员应当具有5年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于5年。

（七）具有较强的综合实力，有先进、完整的软件及系统开发环境和设备，具有较强的技术开发能力。

（八）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制，并能不断改进。

（九）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。

（十）竣工项目均通过验收。

（十一）无触犯计算机信息系统安全保护等有关法律法规的行为。

二级：

（一）具有相应经营范围的营业执照。

（二）注册资本500万元以上，近3年的财务状况良好。

（三）近3年完成计算机信息系统安全服务项目总值1500万元以上，并承担过至少1项225万元以上或至少3项120万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30％以上（即不低于450万元）；工程按合同要求质量合格，已通过验收并投入实际应用。

（四）具有计算机安全或相关专业资格证书的专业技术人员不少于40人，其中大学本科以上学历的人员不少于30人。

（五）安全服务工作的管理人员应当具有4年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于4年。

（六）具有先进、完整的软件及系统开发环境和设备，有较强的技术开发能力。

（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制。

（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。

（九）竣工项目均通过验收。

（十）无触犯计算机信息系统安全保护等有关法律法规的行为。

三级：

（一）具有相应经营范围的营业执照。

（二）注册资本100万元以上，近3年的财务状况良好。

（三）近3年完成计算机信息系统安全服务项目总值600万元以上；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30％以上（即不低于180万元）；工程按合同要求质量合格，已通过验收并投入实际应用。

（四）具有计算机安全或相关专业资格证书的专业技术人员不少于20人，其中大学本科以上学历的人员不少于15人。

（五）安全服务工作的管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于3年。

（六）具有与所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力。

（七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理。

（八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。

（九）竣工项目均通过验收。

（十）无触犯计算机信息系统安全保护等有关法律法规的行为。

四级：

（一）具有相应经营范围的营业执照。

（二）注册资本30万元以上，近3年的财务状况良好。

（三）具有计算机安全或相关专业资格证书的专业技术人员不少于15人，其中大学本科以上学历的人员不少于9人。

（四）安全服务工作的管理人员应当具有2年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于2年。

（五）具有与所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力。

（六）具有较为完善的组织管理制度、质量保证体系和客户服务体系。

（七）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。