140801信息系统安全集成服务资质认证申请指南0729

1、信息系统安全集成服务资质认证信息系统安全集成服务资质认证申请指南申请指南1. 向各地工作站提出申请(见 p1) 各地工作联系方式见封 22. 签订认证服务协议(见单行本) 3. 组织进行服务能力建设与准备认证材料(要求见 p6-p18) 4. 组织申请安排评审(见 p19)5. 接受第一阶段评审(见 p20)6. 接受第二阶段评审(见 p21-p22) 7. 进行第二阶段问题整改(如果有,见 p23)8. 等待认证决定(见 p24)9. 等待发证(见 p25)10. 接受年度监督评审(见 p26-27) 11. q&a（见 p28-p32）中国信息安全认证中心编制2014 年 7 月

2、1 日信息系统安全集成服务资质认证申请书1中国信息安全认证中心信息系统安全集成服务资质认证信息系统安全集成服务资质认证申请书申请书（第（第 2 2 版）版）申请组织（盖章）： 申请日期： 中国信息安全认证中心中国信息安全认证中心 制制信息系统安全集成服务资质认证申请书2中国信息安全认证中心申请申请信息信息1申请组织性质 a 类（不含外资背景企业） b 类（含外资背景企业） c 类（事业单位）2申请类型 初次认证 级别变更 3申请级别 一级 二级 三级isccc-sv-003:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 31.基本基本信息信息申请组织全称（中文）： 申请组

3、织全称（英文）： 注册地址： 邮政编码： 实际办公地址： 邮政编码： 网址： 法定代表人姓名： 职务： 申请组织联系方式：联系人姓名： 职务： 办公电话： 手机： 电子邮箱： 传真： 办公地址： 邮政编码： 2.申请组织简介申请组织简介3.其他附件其他附件1)申请组织营业执照副本或事业单位法人证、组织机构代码证副本；2)固定办公场所证明材料，如房产证明、租赁合同等；3)公司保密管理制度；4)近三年签订并完成验收的安全集成项目（附表 1） 。isccc-sv-003:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 4申请组织声明申请组织声明我组织正式提出信息系统安全集成服务资

4、质认证申请，承诺申请书中所提供的信息属实，遵守中华人民共和国认证认可条例及相关法规，按照中国信息安全认证中心的有关程序和规范要求，接受认证审核及证后监督，遵守认证证书、认证标志使用和公告的规定，并及时缴纳信息系统安全集成服务资质认证相关费用。 法定代表人（签名）： 申请组织（盖章）： 年 月 日isccc-sv-003:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 5附表 1申请组织信息系统安全集成服务项目汇总表申请组织信息系统安全集成服务项目汇总表序号序号项目名项目名称称合同金合同金额额软件购置软件购置费用费用硬件购置费硬件购置费用用开发与服务开发与服务费用费用其他其他

5、合同签订合同签订时间时间项目验收时间项目验收时间isccc-sv-003:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 6文件编码：文件编码：isccc-sv-003:2014信息系统安全集成服务资质认证实施规则信息系统安全集成服务资质认证实施规则2014-07-01 发布发布 2014-08-01 实施实施中国信息安全认证中心中国信息安全认证中心 发发isccc-sv-003:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 7目目 录录1.1.适用范围适用范围.32.2.规范性引用文件规范性引用文件.33.3.术语与定义术语与定义.33.1.3.1.

6、信息系统集成信息系统集成.33.2.3.2.信息系统安全集成服务信息系统安全集成服务.34.4.安全集成资质认证要求安全集成资质认证要求.34.1.4.1.总则总则.34.2.4.2.资信要求资信要求.34.2.1.4.2.1.三级资信要求三级资信要求.34.2.1.1.4.2.1.1.法律地位要求法律地位要求 .34.2.1.2.4.2.1.2.财务资信要求财务资信要求 .44.2.1.3.4.2.1.3.办公场所要求办公场所要求 .44.2.1.4.4.2.1.4.人员素质要求人员素质要求 .44.2.1.5.4.2.1.5.人员资质要求人员资质要求 .44.2.1.6.4.2.1.6.业

7、绩要求业绩要求 .44.2.1.7.4.2.1.7.服务管理要求服务管理要求 .44.2.2.4.2.2.二级资信要求二级资信要求.44.2.2.1.4.2.2.1.法律地位要求法律地位要求 .44.2.2.2.4.2.2.2.财务资信要求财务资信要求 .44.2.2.3.4.2.2.3.办公场所要求办公场所要求 .44.2.2.4.4.2.2.4.人员素质要求人员素质要求 .54.2.2.5.4.2.2.5.人员资质要求人员资质要求 .54.2.2.6.4.2.2.6.业绩要求业绩要求 .54.2.2.7.4.2.2.7.服务管理要求服务管理要求 .54.2.3.4.2.3.一级资信要求一级

8、资信要求.54.2.3.1.4.2.3.1.申请条件申请条件 .54.2.3.2.4.2.3.2.法律地位要求法律地位要求 .54.2.3.3.4.2.3.3.财务资信要求财务资信要求 .54.2.3.4.4.2.3.4.办公场所要求办公场所要求 .54.2.3.5.4.2.3.5.人员素质要求人员素质要求 .54.2.3.6.4.2.3.6.人员资质要求人员资质要求 .64.2.3.7.4.2.3.7.业绩要求业绩要求 .64.2.3.8.4.2.3.8.服务管理要求服务管理要求 .64.3.4.3.能力要求能力要求.64.3.1.4.3.1.总则总则.64.3.2.4.3.2.三级能力要求

9、三级能力要求.64.3.2.1.4.3.2.1.集成准备阶段集成准备阶段 .64.3.2.2.4.3.2.2.方案设计阶段方案设计阶段 .74.3.2.3.4.3.2.3.建设实施阶段建设实施阶段 .74.3.2.4.4.3.2.4.安全保障阶段安全保障阶段 .74.3.3.4.3.3.二级能力要求二级能力要求.74.3.3.1.4.3.3.1.集成准备阶段集成准备阶段 .74.3.3.2.4.3.3.2.方案设计阶段方案设计阶段 .74.3.3.3.4.3.3.3.建设实施阶段建设实施阶段 .84.3.3.4.4.3.3.4.安全保障阶段安全保障阶段 .84.3.4.4.3.4.一级能力要求

10、一级能力要求.84.3.4.1.4.3.4.1.集成准备阶段集成准备阶段 .84.3.4.2.4.3.4.2.方案设计阶段方案设计阶段 .84.3.4.3.4.3.4.3.建设实施阶段建设实施阶段 .84.3.4.4.4.3.4.4.安全保障阶段安全保障阶段 .95.5.安全集成资质认证程序安全集成资质认证程序.9isccc-sv-003:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 85.1.5.1.申请申请.95.2.5.2.文档审核文档审核.95.3.5.3.现场审核现场审核.95.4.5.4.认证决定认证决定.105.5.5.5.证后监督证后监督.105.5.1.

11、5.5.1.证后监督频次和方式证后监督频次和方式.105.5.2.5.5.2.证后监督内容证后监督内容.105.5.3.5.5.3.证后监督结论证后监督结论.105.5.4.5.5.4.信息通报信息通报.105.6.5.6.认证周期认证周期.115.7.5.7.认证证书管理认证证书管理.115.7.1.5.7.1.证书有效期证书有效期.115.7.2.5.7.2.暂停认证证书暂停认证证书.115.7.3.5.7.3.撤销认证证书撤销认证证书.115.7.4.5.7.4.注销认证证书注销认证证书.115.7.5.5.7.5.证书变更证书变更.116.6.参考文献参考文献.12isccc-sv-0

12、03:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 91.1.适用范围适用范围信息系统安全集成服务资质认证是依据国家认证认可法律法规、相关技术标准和规范，对信息系统安全集成服务提供者的资质进行评价的合格评定活动。本规则规定了信息系统安全集成服务提供者（以下简称服务提供者）应具备的资信要求、能力要求以及认证机构开展资质认证的程序。本规则可用于第三方机构对服务提供者进行资信和能力评价，可作为服务提供者开展自我评价的依据，并可为政府及有关社会组织选择服务提供者提供依据。2.2.规范性引用规范性引用文件文件下列文件中的条款通过本文件引用而成为本文件的条款。凡是注日期的引用文件，其

13、随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文件，然而，鼓励根据本文件达成协议的各方研究可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本文件。cnca/cts 0052-2007信息安全服务资质认证技术规范rb/t 201-2013信息系统安全集成服务资质认证评价要求gb/t 5271.8-2001信息技术词汇第8部分：安全中的术语和定义适用于本标准。3.3.术语与术语与定义定义3.1.3.1.信息系统集成信息系统集成信息系统集成是指从事网络系统、应用系统、安防系统、建筑智能化系统的总体策划、设计、开发、实施、服务及保障等活动。3.2.3.2.信息系统安全集成服

14、务信息系统安全集成服务信息系统安全集成服务（以下简称“安全集成” ）是信息系统集成过程中的安全需求界定、安全设计、安全实施、安全保障等活动。采用信息系统安全工程的方法和理论，将安全单元、安全产品部件进行集成的活动。4.4.安全集成资质认证要求安全集成资质认证要求4.1.4.1.总则总则安全集成资质认证要求包括资信和能力要求两部分。安全集成资质分为：一级、二级和三级，其中一级最高。4.2.4.2.资信要求资信要求4.2.1.4.2.1. 三级资信要求三级资信要求4.2.1.1.4.2.1.1.法律地位要求法律地位要求在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。4.2.1.

15、2.4.2.1.2.财务资信要求财务资信要求近3年经营状况良好，财务数据真实可信，应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。isccc-sv-003:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 104.2.1.3.4.2.1.3.办公场所要求办公场所要求拥有长期固定办公场所和相适应的办公条件，能满足机构设置及其业务需要。4.2.1.4.4.2.1.4.人员素质要求人员素质要求组织负责人拥有2年以上信息技术领域管理经历；技术负责人应获得信息系统安全集成相关专业认证或信息安全专业硕士及以上学位或电子信息技术类中级职称，且从事安全集成技术工作至

16、少2年；财务负责人具有财务系列初级以上职称。信息系统安全集成技术服务人员10名以上。4.2.1.5.4.2.1.5.人员资质要求人员资质要求拥有信息系统安全集成相关专业认证人员至少2名；拥有项目管理资格证书人员至少1名。4.2.1.6.4.2.1.6.业绩要求业绩要求从事信息系统安全集成服务至少1年。近3年内签订并完成的安全集成项目总金额不少于300万元人民币，且至少完成一个100万以上的安全集成项目。4.2.1.7.4.2.1.7.服务管理要求服务管理要求a) 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。b) 制定保密管理制度，明确岗位保密责任，并与相关人员签订保密协议。c

17、) 建立人员管理程序和能力考核指标；制定业务和技能培训计划，定期对相关人员开展培训和考核。d) 建立文档控制程序，明确文档管理职责，任命管理人员，确保项目文档资料妥善保管。e) 提供资源，确保安全集成项目的实施。4.2.2.4.2.2. 二级资信要求二级资信要求4.2.2.1.4.2.2.1.法律地位要求法律地位要求在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。4.2.2.2.4.2.2.2.财务资信要求财务资信要求近3年经营状况良好，财务数据真实可信，应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。4.2.2.3.4.2.2.3.办公场所要求办

18、公场所要求拥有长期固定办公场所和相适应的办公条件，能满足机构设置及其业务需要。4.2.2.4.4.2.2.4.人员素质要求人员素质要求组织负责人拥有3年以上信息技术领域管理经历；技术负责人应获得信息系统安全集成相关专业认证或信息安全专业硕士及以上学位或电子信息技术类高级职称，且从事安全集成技术工作至少5年；财务负责人拥有财务系列中级以上职称。isccc-sv-003:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 11信息系统安全集成技术服务人员30名以上。4.2.2.5.4.2.2.5.人员资质要求人员资质要求拥有信息系统安全集成相关专业认证人员至少6名；具有项目管理的资

19、格证书人员至少2名。4.2.2.6.4.2.2.6.业绩要求业绩要求从事信息系统安全集成服务3年以上，或取得安全集成三级资质1年以上。近3年内签订并完成至少6个安全集成项目，项目总金额至少1000万元人民币，且至少完成一个200万以上的安全集成项目。4.2.2.7.4.2.2.7.服务管理要求服务管理要求a) 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。b) 制定保密管理制度，明确岗位保密责任，与相关人员签订保密协议。c) 参照国际或国内标准，建立业务范围覆盖安全集成服务的质量管理体系，并有效运行。d) 参照国际或国家标准，建立业务范围覆盖安全集成服务的信息安全管理体系或信息

20、技术服务管理体系，并有效运行。e) 提供资源，确保安全集成项目的实施。4.2.3.4.2.3. 一级资信要求一级资信要求4.2.3.1.4.2.3.1.申请条件申请条件取得安全集成二级资质1年以上。4.2.3.2.4.2.3.2.法律地位要求法律地位要求在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。4.2.3.3.4.2.3.3.财务资信要求财务资信要求近3年经营状况良好，财务数据真实可信，应提供在中华人民共和国境内登记的会计师事务所出具的近3年财务审计报告。4.2.3.4.4.2.3.4.办公场所要求办公场所要求拥有长期固定办公场所和相适应办公条件，能满足机构设置及其业

21、务需要。4.2.3.5.4.2.3.5.人员素质要求人员素质要求组织负责人拥有4年以上信息技术领域管理经历；技术负责人应获得信息系统安全集成相关专业认证或信息安全专业硕士及以上学位或电子信息技术类高级职称，且从事安全集成技术工作至少8年；财务负责人拥有财务系列高级职称或取得中级职称8年以上。信息系统安全集成技术服务人员50名以上。4.2.3.6.4.2.3.6.人员资质要求人员资质要求拥有信息系统安全集成相关专业认证人员至少10名；具有项目管理的资格证书人员至少5名。isccc-sv-003:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 124.2.3.7.4.2.3.7

22、.业绩要求业绩要求从事信息系统安全集成服务5年以上。近3年内签订并完成至少10个安全集成项目，通过验收并投入实际应用。项目合同总金额至少2000万元人民币，且至少完成一个500万以上的安全集成项目。4.2.3.8.4.2.3.8.服务管理要求服务管理要求a) 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。b) 制定保密管理制度，明确岗位保密责任，与相关人员签订保密协议。c) 参照国际、国内标准，建立业务范围覆盖安全集成服务的质量管理体系，并提供有效运行的相关证明。d) 参照国际、国家标准，建立业务范围覆盖安全集成服务的信息安全管理体系或信息技术服务管理体系，并提供有效运行的相关

23、证明。e) 提供足够资源，确保安全集成项目的实施。4.3.4.3.能力要求能力要求4.3.1.4.3.1. 总则总则安全集成项目划分为集成准备、方案设计、建设实施、安全保障四个阶段。4.3.2.4.3.2. 三级能力要求三级能力要求4.3.2.1.4.3.2.1.集成准备阶段集成准备阶段4.3.2.1.1.4.3.2.1.1.需求调研与分析需求调研与分析a)调研客户背景信息，采集系统建设需求和建设目标，明确系统功能、性能及安全性要求。b)基于系统建设需求，提出产品选型方案和建设预算。c)结合系统建设和安全需求，与客户、设计、开发等人员充分沟通，达成共识并形成记录。4.3.2.1.2.4.3.2

24、.1.2.签订服务协议签订服务协议a)与客户、供应商签订服务协议，明确范围、目标、时间、内容、金额、质量和输出等。b)与客户、供应商等相关方签订保密协议，明确保密职责和违约责任。4.3.2.2.4.3.2.2.方案设计阶段方案设计阶段a)根据系统建设安全需求，编制安全集成技术方案。b)依据技术方案，编制安全集成实施方案，明确项目人员、进度、质量、沟通、风险等方面的要求。c)结合技术方案和实施方案，与客户进行沟通，获得客户认可。4.3.2.3.4.3.2.3.建设实施阶段建设实施阶段4.3.2.3.1.4.3.2.3.1.实施集成实施集成isccc-sv-003:2014 信息系统安全集成服务资

25、质认证实施规则中国信息安全认证中心 13a)依据已确认的安全集成项目技术方案和实施方案，按照时间和质量要求进行系统建设。b)项目实施人员按时提交施工记录和工程日志，及时向项目经理汇报项目进度。c)建立安全集成项目协调机制，明确责任人，畅通信息沟通渠道，保障各相关方在项目实施过程中能够有效充分的沟通。4.3.2.4.4.3.2.4.安全保障阶段安全保障阶段4.3.2.4.1.4.3.2.4.1.系统测试系统测试a)依据项目技术方案和测试计划，对系统进行联调和系统测试，完整记录测试过程相关信息。b)对于新建系统重点测试系统的功能、性能和安全性等；对于系统改造或升级项目，还需进行兼容性测试。4.3.

26、2.4.2.4.3.2.4.2.系统试运行系统试运行a)为测试系统运行的可靠性和稳定性，系统初验后需进行试运行，并记录系统运行状况，试运行周期至少一个月。b)基于系统运行相关记录，及时对系统设备进行调整和维护。4.3.2.4.3.4.3.2.4.3.验收验收a)根据合同约定，向客户提交完整的项目资料及交付物，并提出终验申请。b)根据合同约定，配合组织项目验收，出具项目验收报告。4.3.3.4.3.3. 二级能力要求二级能力要求组织申报二级资质，除满足三级能力要求外，还应满足以下要求：4.3.3.1.4.3.3.1.集成准备阶段集成准备阶段4.3.3.1.1.4.3.3.1.1.需求调研与分析需

27、求调研与分析a)准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求，提出系统安全保障策略和建议。b)基于客户需求和投入能力，开展需求分析，编制需求分析报告。4.3.3.2.4.3.3.2.方案设计阶段方案设计阶段a)结合需求分析和客户在保障系统安全方面的投入能力，提出系统建设安全设计说明书，明确系统架构、产品选型、产品功能、性能及配置等参数。b)组织客户及相关技术专家对技术方案和实施方案进行论证，确认是否满足系统功能、性能和安全性要求。c)结合技术方案，对项目组及第三方配合人员进行业务和技能培训。d)依据技术方案具体指标要求，制定系统测试计划。4.3.3.3.4.3.3.3

28、.建设实施阶段建设实施阶段4.3.3.3.1.4.3.3.3.1.实施集成实施集成isccc-sv-003:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 14a)产品、设备安装调试过程中，应完整妥善记录相关信息。b)项目建设施工完成后，需向客户提交完工报告。c)项目实施完成后，相关过程记录及时归档，并统一保管。4.3.3.3.2.4.3.3.3.2.监督管理监督管理建立客户满意度调查机制，并对调查结果进行分析。4.3.3.4.4.3.3.4.安全保障阶段安全保障阶段4.3.3.4.1.4.3.3.4.1.系统测试系统测试a)系统测试完成后，制定系统测试报告，并提交客户。b

29、)结合项目需要提出初验申请，组织客户及相关方对项目进行初验，并提交初验报告。4.3.3.4.2.4.3.3.4.2.系统试运行系统试运行试运行结束后，项目组制定系统试运行报告，并提交客户。4.3.4.4.3.4. 一级能力要求一级能力要求组织申报一级资质，除满足二级能力要求外，还应满足以下要求：集成准备集成准备阶段阶段4.3.4.1.1.4.3.4.1.1.需求调研与分析需求调研与分析协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。4.3.4.1.2.4.3.4.1.2.签订服务协议签订服务协议建立安全集成服务级别管理程序，签订服务级别协议。4.3.4.2.4

30、.3.4.2.方案设计方案设计阶段阶段a)结合项目需要，编制安全集成项目施工手册和作业指导书。b)对于新建系统，建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求。对于系统改造，还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统的兼容问题，包括网络兼容、系统兼容、应用兼容等。c)基于安全集成项目需求和进度计划，编制信息安全产品和工具定制开发计划。4.3.4.3.4.3.4.3.建设实施建设实施阶段阶段4.3.4.3.1.4.3.4.3.1.实施集成实施集成a)建立项目变更管理程序，对项目实施过程中方案、资源变更进行有效控制，完整记录变更过程。b)制定项目

31、应急处置方案和恢复策略，对项目过程中的应急事件及时进行响应。4.3.4.3.2.4.3.4.3.2.监督管理监督管理定期对项目实施情况进行评审，采取适当措施，控制项目风险。isccc-sv-003:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 154.3.4.4.4.3.4.4.安全安全保障阶段保障阶段4.3.4.4.1.4.3.4.4.1.系统测试系统测试基于建设系统的安全要求，制定系统安全性测试方案，模拟攻击场景，对系统安全性进行测试。4.3.4.4.2.4.3.4.4.2.系统试运行系统试运行a)制定系统试运行计划，建立应急响应服务保障团队，及时应对突发事件。b)综

32、合分析系统运行状态，建立系统运行策略和安全指南，并对相关产品和设备设施进行配置管理。c)提供三个月以上的试运行记录和报告。5.5.安全集成资质认证安全集成资质认证程序程序5.1.5.1.申请申请申请组织可自愿向认证机构提出申请，并提交信息系统安全集成服务资质认证申请书及以下材料：a)独立法人资格相关证明材料；b)固定办公场所证明材料；c)保密管理制度；d)安全集成业绩证明材料等。5.2.5.2.文件审核文件审核依据认证程序和相关标准要求，对申请组织提交的申请书及附件进行评审，确保：a)认证机构和申请组织之间无理解差异；b)申请组织充分理解认证实施规则相关要求；c)对于申请的认证范围、工作场所等

33、相关要求，认证机构均有能力开展认证服务。5.3.5.3.现场审核现场审核认证机构组成评审组，依据相关标准和审核要求，到申请组织现场进行评审，主要内容包括：a)验证申请组织相关资质证明、规章制度和程序文件；b)通过检查、观察、访谈，验证申请组织的安全集成服务技术、管理能力；c)现场案例抽查。5.4.5.4.认证决定认证决定认证机构认证决定委员会执行认证决定。认证决定委员会由3名以上（含3名）奇数认证决定人员组成。认证决定人员依据认证标准、认证程序及实施规则要求，结合评审过程中采集的信息（对于存在不符合项的情况，需进行整改并由评审组验证通过），对审核结果进行综合评isccc-sv-003:2014

34、 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 16价，做出“通过认证”或 “不通过认证”的决定。必要时，认证决定委员会应对申请组织是否满足认证标准进行风险评估后，再做出是否通过认证的决定。对于符合认证要求的申请组织，认证机构应颁发认证证书，并在官方媒体上予以公告。对于不符合认证要求的申请组织，认证机构应以书面的形式，明示其不能获得认证的原因。申请组织如对认证决定结果有异议，可向认证机构提出申诉。认证机构自收到申诉之日起，在一个月内进行处理，并将处理结果书面通知申请组织。5.5.5.5.证后监督证后监督5.5.1.5.5.1. 证后监督频次和方式证后监督频次和方式认证机构需对获证组

35、织实施监督。监督审核需到获证组织现场实施，且每年度（不超过12个月）进行一次监督审核。当获证组织发生重大变更、事故或客户投诉时，认证机构可增加现场监督审核的频次。5.5.2.5.5.2. 证后监督内容证后监督内容监督审核除包括初次评审的内容外，还应对上一次审核中提出的不符合项和观察项所采取纠正/预防措施进行验证。5.5.3.5.5.3. 证后监督结论证后监督结论对于通过监督审核的获证组织，认证机构应做出维持认证证书有效的决定；否则，暂停或撤销其认证证书。5.5.4.5.5.4. 信息通报信息通报为确保获证组织的安全服务能力持续有效，获证组织应建立信息通报渠道，及时向认证机构报告以下信息：a)组

36、织机构变更信息；b)安全事故、客户投诉信息；c)其他重要信息。认证机构应及时对上述信息进行处理并采取相应措施，包括增加监督审核频次、暂停或撤销认证证书。5.6.5.6.认证周期认证周期认证周期是指申请被正式受理之日起，至认证证书颁发，实际发生的时间，包括认证受理、文档审核、现场审核、认证决定以及证书审批等环节，一般为三个月。5.7.5.7.认证证书认证证书管理管理5.7.1.5.7.1. 证书有效期证书有效期获证组织如持续满足标准要求，且通过认证机构年度监督评审，可保持证书有效。isccc-sv-003:2014 信息系统安全集成服务资质认证实施规则中国信息安全认证中心 175.7.2.5.7

37、.2. 暂停认证证书暂停认证证书获证组织有下列情形之一，认证机构应暂停其认证证书：a)未按规定接受监督审核；b)违规使用认证证书，且未造成不良影响；c)监督审核有严重不符合项; d)不接受认证机构实施监督;e)其他需要暂停证书的情况。证书暂停时间一般为三个月。在证书暂停期间，组织可提出恢复证书的申请，并经认证机构审核、批准后方可使用证书。5.7.3.5.7.3. 撤销认证证书撤销认证证书获证组织有下列情形之一，认证机构应撤销其认证证书：a)证书暂停期间，未在规定时间内完成整改并通过验证；b)违规使用认证证书，造成不良影响；c)获证组织出现严重责任事故、被投诉且经核实，影响其继续有效提供服务；d

38、)被客户投诉，经调查事实存在e)其他需要撤销证书的情况。5.7.4.5.7.4. 注销认证证书注销认证证书获证组织因自身原因不再维持证书，可向认证机构提出注销认证证书的申请，认证机构应及时给予注销。认证证书撤销或注销后，认证机构应及时收回认证证书，并在官方媒体予以公告。5.7.5.5.7.5. 证书变更证书变更证书变更如只涉及地址、资金或法定代表人的变更，获证组织需递交变更申请，经书面审核批准后，认证机构可更换其证书并收回原证书。如获证组织发生除以上外的重大调整，应向认证机构提出变更申请，并提供相关材料。认证机构需进行现场验证，并做出认证决定。isccc-sv-003:2014 信息系统安全集

39、成服务资质认证实施规则中国信息安全认证中心 186.6.参考文献参考文献gb/t 20261-2006 信息技术 系统安全工程 能力成熟度模型yd/t 1621-2007 网络与信息安全服务资质评价准则yd/t 1799-2008 网络与信息安全应急处理服务资质评价方法yd/t 2252-2011 网络与信息安全风险评估服务能力评价方法cnca/cts 0052-2007 信息安全服务资质认证技术规范计算机信息系统集成企业资质等级评定条件 （2012年修定版）通信信息网络系统集成企业资质认定安防工程企业资质评定标准中安协资2007 2号建筑智能化工程专业承包企业资质等级标准组织申请安排评审中国

40、信息安全认证中心 19组织申请安排评审组织申请安排评审组织在完成安全集成能力建设,并按信息系统安全集成服务资质认证实施规则完成相关证据准备后，可以向当地工作站申请评审，申请时请填写申请单并通过邮件方式通知工作站，与工作站协商评审时间（由于要尽量集中安排评审，以降低组织负担和提高效率，通常组织提出申请后 1 个月之内安排） 。 安排评审申请单安排评审申请单1.基本信息基本信息申请组织全称（中文）： 申请组织全称（英文）： 注册地址： 邮政编码： 实际办公地址： 邮政编码： 网址： 法定代表人姓名： 职务： 申请组织联系方式：联系人姓名： 职务： 办公电话： 手机： 电子邮箱： 传真： 办公地址：

41、 邮政编码： 2.申请评审时间申请评审时间计划第一阶段评审时间： 至 实际安排第一阶段评审时间： 至 计划第二阶段评审时间： 至 实际安排第二阶段评审时间： 至 接受第一阶段评审中国信息安全认证中心 20接受第一阶段评审接受第一阶段评审各地工作站将依据与组织协商的时间安排第一阶段评审，一阶段评审主要是对组织资信水平进行验证和组织能力建设情况进行考察，目的是评价组织满足要求的充分性和适宜性。 评审主要通过文档评审和环境巡视进行。在评审过程中发现的问题，评审员将与组织进行现场沟通，组织应依据评审员的要求进行整改，以便顺利实施第二阶段评审。第一阶段结束时，组织应与评审员商定第二阶段评审时间。接受第二

42、阶段评审中国信息安全认证中心 21接受第二阶段评审接受第二阶段评审依据第一阶段评审结束时组织与评审员商定的时间组织评审，对三级认证由各地工作站直接组织，对一、二级认证由中国信息安全认证中心组织。在评审过程中发现的问题，评审员将据实开具不符合报告或观察项报告，格式如下：信息安全服务资质认证审核观察项报告信息安全服务资质认证审核观察项报告申请编号服务类别/级别受审核组织名称审核类型初次审核 年监督审核 其他审核组长受审核部门/陪同人审核员审核时间情况描述：依据：受审核部门确认日期受审核组织代表确认日期备注：接受第二阶段评审中国信息安全认证中心 22信息安全服务资质认证现场审核信息安全服务资质认证现

43、场审核不符合项报告不符合项报告 申请编号服务类别/级别受审核组织名称审核类型初次认证 年监督 其他审核时间审核部门/陪同人员审核组长审核员不符合项描述：不符合标准条款：受审核部门代表确认： 日期：受审核组织代表确认： 日期：不符合类型： 严重 一般纠正措施（附含原因分析的纠正措施材料）受审核组织代表确认： 日期：纠正措施跟踪验证情况：审核员： 日期：备注注：现场审核不符合项应在 3 个月内完成纠正措施并经验证合格。进行第二阶段问题整改中国信息安全认证中心 23进行第二阶段问题整改（如果有）进行第二阶段问题整改（如果有）如果在第二阶段评审过程中，评审员发现了不符合项，组织在确定不符合报告之后应按

44、要求进行整改。整改的关键是要找出问题的原因，对已存在的问题进行纠正，且采取有效措施确保原因得到消除，从而确保发现的不符合得到整改。整改应在 3 个月内完成。整改结果要得到评审员的确认，且被评审员认为所采取的纠正措施是恰当合有效的。等待认证决定中国信息安全认证中心 24等待认证决定等待认证决定评审员在完成第二阶段评审之后，5 个工作日内出具认证评审报告（提交认证决定委员会和申请认证组织） 。认证决定委员会在接到认证决定请求后，3 个工作日内完成认证决定。不通过时，通过工作与组织及时进行沟通。通过时，将转制证环节。等待发证中国信息安全认证中心 25等待发证等待发证通过认证决定的组织，中国信息安全认

45、证中心本部（或工作站）将在 5 个工作日内完成制证，且寄出。证书格式如下：接受年度监督评审中国信息安全认证中心 26接受年度监督评审接受年度监督评审组织在获得认证之后，应采取有效措施，以保证证书持续有效，中国信息安全认证中心将采取年度监督评审方式来验证组织证书保持状态。证后监督评审，每年进行一次。组织应自发证之日或监督评审通过之日起，12 月内申请年度监督评审（申请表如下，通过邮件方式发送给工作站） 。安排年度监督申请单安排年度监督申请单1.基本信息基本信息申请组织全称（中文）： 申请组织全称（英文）： 注册地址： 邮政编码： 实际办公地址： 邮政编码： 网址： 法定代表人姓名： 职务： 申请

46、组织联系方式：联系人姓名： 职务： 办公电话： 手机： 电子邮箱： 传真： 办公地址： 邮政编码： 1.申请监督评审时间申请监督评审时间计划评审时间： 至 实际安排评审时间： 至 通过年度监督评审的组织将获得通过年度监督评审标志（此标接受年度监督评审中国信息安全认证中心 27志应贴在证书标志位中） ，同时，中国信息安全认证中心本部（或工作站）每三年将换发一次新证书。没有通过年度监督评审的组织将被暂停证书，直到证书恢复或撤销。q&a中国信息安全认证中心 28q&a1中国信息安全认证中心是一个什么机构？ 答：中国信息安全认证中心（英文简称：isccc）是经中央机构编制委员会办公室批

47、准成立，由公安部、安全部、信息产业部、国家保密局、国家密码管理局、国务院信息化工作办公室、国家质检总局、国家认监委等八部委授权，依据国家有关强制性产品认证，信息安全管理法律法规，负责实施信息安全认证的专门机构，系第三方公正机构和法人实体。其职能为：在批准的工作范围内按照认证基本规范和认证规则开展认证工作：依据国家法律、法规及授权参加相关国际组织开展信息安全领域的国际合作。2什么组织可以申请信息系统安全集成服务资质认证？答：从事信息系统集成、智能楼宇集成、安防集成的组织均可以申请。3向谁申请信息系统安全集成服务资质认证？答：各地企业直接向当地工作站申请（北京企业直接向中心总部申请）注：为保证服务

48、到位，各地每两个月有一次集中评审时间，建议注意每期申报截至时间。4能否直接申请一级？ 答：新规则正式实施后（新规则 2014 年 8 月 1 日正式实施）不能直接申请一级，但可以直接申请二级。5认证如何收费？ 答：初次认证组织在签订合同后（年度监督费用在实施年度监督q&a中国信息安全认证中心 29前） ，向中国信息安全认证中心指定帐户支付认证费用。信息系统安全集成服务资质认证（新）收费信息系统安全集成服务资质认证（新）收费标准标准2014 年 8 月 1 日起执行新收费标准如下：初次认证费和（每年）证后监督费，无再认证费用，不需交纳年金。1、初次认证费用 单位：人民币元级 别一 级二

49、级三 级申请费200020002000批准与注册费200020002000评审费5000*13 人日=650005000*7 人日=350005000*3 人日=15000总 计6900039000190002、证后监督费用获证组织每年需按照相应级别，交纳证后监督费用。单位：人民币元级 别一 级二 级三 级评审费5000*5 人日*0.8=200005000*3 人日*0.8=120005000*2 人日*0.8=8000证书维持费100010001000总计（每年）21000130009000信息系统安全集成服务资质认证（旧）收费标准信息系统安全集成服务资质认证（旧）收费标准2014 年 8

50、 月 1 日之前执行如下收费标准：初次认证费、证后监督费、年金、再认证费等。1、初次认证费用 单位：人民币元级 别一 级二 级三 级申请费100010001000批准与注册费100010001000评审费3000*6 人日=180003000*5 人日=150003000*4 人日=12000第一年年金500050005000总 计2500022000190002、证后监督费用获证组织需接受监督，第一年不到现场，第二年到现场，需缴纳费用如下：单位：人民币元级 别一 级二 级三 级第二年监督费100010001000第二年年金500050005000第三年监督费3000*2 人日=60003000*2 人日=60003000*2 人日=6000