01、基本介绍

   对提供信息安全服务的组织和单位资质进行审核、评估和认定。信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力，以及其稳定性、可靠性进行评估，并依据公开的标准和程序，对其安全服务保障能力进行认定的过程。目前分为：信息安全工程、信息安全灾难恢复、安全开发、风险评估、信息系统审计、云计算安全、数据安全、安全运营等八大类。信息安全工程过程的能力级别是用于评价组织完成已定义的安全工程过程的能力，直接反映组织的成熟程度。能力级别按成熟性排序，表示依次增加的组织能力。

本标准将信息安全服务组织的工程能力分为五个级别，即：

1级：基本执行级；

2级：计划跟踪级；

3级：充分定义级；

4级：量化控制级；

5级：连续改进级。

02、提供信息安全服务的基本资格要求

  提供信息安全服务的组织必须是一个独立的实体，具有工商行政管理部门发给的合法的营业执照。

必须获得国家有关信息安全主管部门发给的从事信息安全服务的资格证书。

从事涉密（国家秘密）网络信息系统安全服务的组织必须获得国家安全主管部门的批准。

采用商密信息产品进行安全系统集成的组织必须获得国家安全主管部门的批准。

必须遵守国家现行法律、法规的规定。

03、服务类型与资质评定原则

3.1 信息安全服务的类型

信息安全服务的类型主要指一个组织按照一定的合同或协议，为另一个组织所履行的安全服务的具体形式，包括：

1) 安全工程：为信息系统进行安全方案设计（开发）、施工（安全集成)、验证（测试）、运行（监控）和维护；

2) 安全咨询和培训：从事信息系统安全咨询、培训、宣传和其它安全工程之外服务的业务。包括书面提出并制订信息系统安全方案，提供安全管理与操作规定的服务，提供安全性测试和监控，方案（安全方案、信息系统和安全产品等）试验，在公开场合或媒体宣讲传播安全知识的活动，信息系统安全的专家活动和政策制订工作，从事信息系统安全教育工作，其它可能影响信息系统安全性能的有偿或无偿服务或技术活动。

3.2 信息安全服务资质等级的评判原则

信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定，是在其基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上，针对不同的服务种类，采用一定的权值综合考虑后确定，并由国家认证机构授予相应的资质级别。信息安全服务的资质等级的划分遵循以下原则：

1．
综合考虑原则：

信息安全服务资质等级的划分必须对组织的综合能力进行考察，它主要与组织的资格状况、技术实力、信息安全工程过程能力等级以及其他要求有关。

2． 与现行国家有关主管部门颁布的法律、法规、规章、制度相一致的原则：

安全策略要保持与现行的法律、法规、规章、制度相一致，不能相抵触。

3． 与我国已发布或即将发布的有关信息安全的标准相一致的原则：

我国已发布许多与安全服务有关的的标准，本评估准则的资质等级划分必须与这些标准相一致。

4． 与组织的基本能力水平紧密结合的原则：

一个组织的基本能力是评估其资质等级的基本要求，有些基本能力要求可能决定一个组织是否具备参与资质评定的资格。

5． 与信息安全服务工程过程能力等级紧密结合的原则：

工程过程能力等级是反映组织实施工程的成熟程度，是评定资质的重要依据。

6． 可裁剪原则：

安全服务有多种类型，对不同类型的安全服务可进行适当的裁剪。

7． 可操作性原则

具有实际操作的可行性。

04、证书取证周期和监督

通常办理周期为6-9自然月。

注：

1.从受理到颁发证书的周期为6个月，但由于申请方原因（如资料补充需要的时间等）造成的时间延误不计算在内。

2.证书在三年有效期内实行年确认制度，每三年进行一次维持换证。

3.认证时间主要取决于审核时间及整改时间，上述办理周期供参考。