1、信息系统安全集成服务资质认证申请指南试用版0731信息系统安全集成服务资质认证申请指南(试用版) 目 录1. 适用范围 32. 安全集成资质认证申报指南 32.1. 资信要求 32.1.1. 三级资信要求 32.1.1.1. 法律地位要求 32.1.1.2. 财务资信要求 32.1.1.3. 办公场所要求 32.1.1.4. 人员素质要求 32.1.1.5. 人员资质要求 42.1.1.6. 业绩要求 42.1.1.7. 服务管理要求 42.1.2. 二级资信要求 52.1.2.1. 法律地位要求 52.1.2.2. 财务资信要求 52.1.2.3. 办公场所要求 62.1.2.4. 人员素质
2、要求 62.1.2.5. 人员资质要求 62.1.2.6. 业绩要求 62.1.2.7. 服务管理要求 72.1.3. 一级资信要求 72.1.3.1. 申请条件 72.1.3.2. 法律地位要求 82.1.3.3. 财务资信要求 82.1.3.4. 办公场所要求 82.1.3.5. 人员素质要求 82.1.3.6. 人员资质要求 92.1.3.7. 业绩要求 92.1.3.8. 服务管理要求 92.2. 能力要求 102.2.1. 总则 102.2.2. 三级能力要求 102.2.2.1. 集成准备阶段 102.2.2.1.1. 需求调研与分析 102.2.2.1.2. 签订服务协议 112
3、.2.2.2. 方案设计阶段 112.2.2.3. 建设实施阶段 112.2.2.3.1. 实施集成 112.2.2.4. 安全保障阶段 112.2.2.4.1. 系统测试 112.2.2.4.2. 系统试运行 122.2.2.4.3. 验收 122.2.3. 二级能力要求 122.2.3.1. 集成准备阶段 122.2.3.1.1. 需求调研与分析 122.2.3.2. 方案设计阶段 122.2.3.3. 建设实施阶段 132.2.3.3.1. 实施集成 132.2.3.3.2. 监督管理 132.2.3.4. 安全保障阶段 132.2.3.4.1. 系统测试 132.2.3.4.2. 系统
4、试运行 132.2.4. 一级能力要求 142.2.4.1. 集成准备阶段 142.2.4.1.1. 需求调研与分析 142.2.4.1.2. 签订服务协议 142.2.4.2. 方案设计阶段 142.2.4.3. 建设实施阶段 142.2.4.3.1. 实施集成 142.2.4.3.2. 监督管理 152.2.4.4. 安全保障阶段 152.2.4.4.1. 系统测试 152.2.4.4.2. 系统试运行 151. 适用范围本指南中信息系统安全集成是指信息系统集成过程中的安全需求界定、安全设计、安全实施、安全保障等活动。本指南结合ISCCC-SV-003:2014信息系统安全集成服务资质认证
5、实施规则中各个条款进行注释,适用于组织申报信息系统安全集成资质认证。2. 安全集成资质认证申报指南2.1. 资信要求2.1.1. 三级资信要求2.1.1.1. 法律地位要求条款:在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。注释:申请单位需要提供营业执照(事业单位提供事业单位登记证)、机构代码证,股份制公司提供股权分配。2.1.1.2. 财务资信要求条款:近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。注释:申请单位需要提供公司的税务登记证、近三年的财务审计报告。会计师事务所应当是中华人民共和国境内登记注册。
6、2.1.1.3. 办公场所要求条款:拥有长期固定办公场所和相适应的办公条件,能满足机构设置及其业务需要。注释:申请单位如购买固定办公产所,需要提供公司的房产证明;如租赁他人办公场所,需提供(长期)租赁合同。2.1.1.4. 人员素质要求条款:组织负责人拥有2年以上信息技术领域管理经历;技术负责人应获得信息系统安全集成相关专业认证或信息安全专业硕士及以上学位或电子信息技术类中级职称,且从事安全集成技术工作至少2年;财务负责人具有财务系列初级以上职称。注释:申请单位应提供法人履历表,技术负责人履历表、学位/学历证书、职称证明等,财务负责人履历表、职称证明等。条款:信息系统安全集成技术服务人员10名
7、以上。注释:申请单位应提供从事信息系统安全集成的全部技术人员名单及社保记录。2.1.1.5. 人员资质要求条款:拥有信息系统安全集成相关专业认证人员至少2名;拥有项目管理资格证书人员至少1名。注释:申请单位应提供通过本公司CISAW安全集成工程师证书、项目经理证书等,且证书应在有效期内。2.1.1.6. 业绩要求条款:从事信息系统安全集成服务至少1年。注释:申请单位应提供营业执照及从事信息系统安全集成服务的证明材料。条款:近3年内签订并完成的安全集成项目总金额不少于300万元人民币,且至少完成一个100万以上的安全集成项目。注释:申请单位应提供近三年内签订,且已经完成验收的项目合同、验收证明等
8、相关材料。2.1.1.7. 服务管理要求条款:a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。注释:申请单位应提供无违法违规、资信良好且无客户投诉的承诺书。条款:b) 制定保密管理制度,明确岗位保密责任,并与相关人员签订保密协议。注释:申请单位应提供保密管理制度、人员保密协议。条款:c) 建立人员管理程序和能力考核指标;制定业务和技能培训计划,定期对相关人员开展培训和考核。注释:申请单位应提供人员管理和能力考核相关制度,提供近2年培训计划、培训与考核记录等相关证明材料。条款:d) 建立文档控制程序,明确文档管理职责,任命管理人员,确保项目文档资料妥善保管。注释:申请单位应提
9、供文档管理制度。条款:e) 提供资源,确保安全集成项目的实施。注释:申请单位应提供保障安全集成项目顺利实施的资源配置,包括人、财、物等。2.1.2. 二级资信要求2.1.2.1. 法律地位要求条款:在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。注释:申请单位需要提供营业执照(事业单位提供事业单位登记证)、机构代码证,股份制公司提供股权分配。2.1.2.2. 财务资信要求条款:近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。注释:申请单位需要提供公司的税务登记证、近三年的财务审计报告。会计师事务所应当是中华人民
10、共和国境内登记注册。2.1.2.3. 办公场所要求条款:拥有长期固定办公场所和相适应的办公条件,能满足机构设置及其业务需要。注释:申请单位如购买固定办公产所,需要提供公司的房产证明;如租赁他人办公场所,需提供(长期)租赁合同。2.1.2.4. 人员素质要求条款:组织负责人拥有3年以上信息技术领域管理经历;技术负责人应获得信息系统安全集成相关专业认证或信息安全专业硕士及以上学位或电子信息技术类高级职称,且从事安全集成技术工作至少5年;财务负责人拥有财务系列中级以上职称。注释:申请单位应提供法人履历表,技术负责人履历表、学位/学历证书、职称证明等,财务负责人履历表、职称证明等。信息系统安全集成技术
11、服务人员30名以上。注释:申请单位应提供从事信息系统安全集成的全部技术人员名单及社保记录。2.1.2.5. 人员资质要求条款:拥有信息系统安全集成相关专业认证人员至少6名;具有项目管理的资格证书人员至少2名。注释:申请单位应提供通过本公司CISAW安全集成工程师证书、项目经理证书等,且证书应在有效期内。2.1.2.6. 业绩要求条款:从事信息系统安全集成服务3年以上,或取得安全集成三级资质1年以上。注释:申请单位应提供营业执照及从事信息系统安全集成服务的证明材料,或提供信息系统安全集成资质认证证书。条款:近3年内签订并完成至少6个安全集成项目,项目总金额至少1000万元人民币,且至少完成一个2
12、00万以上的安全集成项目。注释:申请单位应提供近三年内签订,且已经完成验收的项目合同、验收证明等相关材料。2.1.2.7. 服务管理要求条款:a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。注释:申请单位应提供无违法违规、资信良好且无客户投诉的承诺书。条款:b) 制定保密管理制度,明确岗位保密责任,与相关人员签订保密协议。注释:申请单位应提供保密管理制度、人员保密协议。条款:c) 参照国际或国内标准,建立业务范围覆盖安全集成服务的质量管理体系,并有效运行。注释:申请单位应提供质量管理体系文件、运行记录及ISO9001证书。条款:d) 参照国际或国家标准,建立业务范围覆盖安全
13、集成服务的信息安全管理体系或信息技术服务管理体系,并有效运行。注释:申请单位应提供质量信息安全管理体系文件、运行记录或信息技术服务管理体系文件、运行记录。条款:e) 提供资源,确保安全集成项目的实施。注释:申请单位应提供保障安全集成项目顺利实施的资源配置,包括人、财、物等。2.1.3. 一级资信要求2.1.3.1. 申请条件条款:取得安全集成二级资质1年以上。注释:申请单位应提供信息系统安全集成服务资质认证二级证书。2.1.3.2. 法律地位要求条款:在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。注释:申请单位需要提供营业执照(事业单位提供事业单位登记证)、机构代码证,股
14、份制公司提供股权分配。2.1.3.3. 财务资信要求条款:近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记的会计师事务所出具的近3年财务审计报告。注释:申请单位需要提供公司的税务登记证、近三年的财务审计报告。会计师事务所应当是中华人民共和国境内登记注册。2.1.3.4. 办公场所要求条款:拥有长期固定办公场所和相适应办公条件,能满足机构设置及其业务需要。注释:申请单位如购买固定办公产所,需要提供公司的房产证明;如租赁他人办公场所,需提供(长期)租赁合同。2.1.3.5. 人员素质要求条款:组织负责人拥有4年以上信息技术领域管理经历;技术负责人应获得信息系统安全集成相关专业认
15、证或信息安全专业硕士及以上学位或电子信息技术类高级职称,且从事安全集成技术工作至少8年;财务负责人拥有财务系列高级职称或取得中级职称8年以上。注释:申请单位应提供法人履历表,技术负责人履历表、学位/学历证书、职称证明等,财务负责人履历表、职称证明等。条款:信息系统安全集成技术服务人员50名以上。注释:申请单位应提供从事信息系统安全集成的全部技术人员名单及社保记录。2.1.3.6. 人员资质要求条款:拥有信息系统安全集成相关专业认证人员至少10名;具有项目管理的资格证书人员至少5名。注释:申请单位应提供通过本公司CISAW安全集成工程师证书、项目经理证书等,且证书应在有效期内。2.1.3.7.
16、业绩要求条款:从事信息系统安全集成服务5年以上。注释:申请单位应提供营业执照及从事信息系统安全集成服务的证明材料。条款:近3年内签订并完成至少10个安全集成项目,通过验收并投入实际应用。项目合同总金额至少2000万元人民币,且至少完成一个500万以上的安全集成项目。注释:申请单位应提供近三年内签订,且已经完成验收的项目合同、验收证明等相关材料。2.1.3.8. 服务管理要求条款:a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。注释:申请单位应提供无违法违规、资信良好且无客户投诉的承诺书。条款:b) 制定保密管理制度,明确岗位保密责任,与相关人员签订保密协议。注释:申请单位应
17、提供保密管理制度、人员保密协议。条款:c) 参照国际、国内标准,建立业务范围覆盖安全集成服务的质量管理体系,并提供有效运行的相关证明。注释:申请单位应提供质量管理体系文件、运行记录及ISO9001证书。条款:d) 参照国际、国家标准,建立业务范围覆盖安全集成服务的信息安全管理体系或信息技术服务管理体系,并提供有效运行的相关证明。注释:申请单位应提供质量信息安全管理体系文件、运行记录、ISO27001证书或信息技术服务管理体系文件、运行记录、ISO20000证书。条款:e) 提供足够资源,确保安全集成项目的实施。注释:申请单位应提供保障安全集成项目顺利实施的资源配置,包括人、财、物等。2.2.
18、能力要求2.2.1. 总则条款:安全集成项目划分为集成准备、方案设计、建设实施、安全保障四个阶段。注释:申请单位应按照本节对应级别要求,提供案例过程文档,证明项目满足集成准备、方案设计、建设实施、安全保障四个阶段的全部要求。2.2.2. 三级能力要求2.2.2.1. 集成准备阶段2.2.2.1.1. 需求调研与分析条款:a) 调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求。b) 基于系统建设需求,提出产品选型方案和建设预算。c) 结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录。注释:申请单位应提供安全集成项目招标书或需求说明书,至少包
19、括项目背景、安全目标、需求分析、产品设备清单、项目预算等证明材料。2.2.2.1.2. 签订服务协议条款:a) 与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。b) 与客户、供应商等相关方签订保密协议,明确保密职责和违约责任。注释:申请单位应提供针对某具体项目分别与客户和供应商签订的项目合同和保密协议。2.2.2.2. 方案设计阶段条款:a) 根据系统建设安全需求,编制安全集成技术方案。b) 依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面的要求。c) 结合技术方案和实施方案,与客户进行沟通,获得客户认可。注释:申请单位应提供安全集成项
20、目技术方案、项目实施方案及沟通确认过程记录。2.2.2.3. 建设实施阶段2.2.2.3.1. 实施集成条款:a) 依据已确认的安全集成项目技术方案和实施方案,按照时间和质量要求进行系统建设。b) 项目实施人员按时提交施工记录和工程日志,及时向项目经理汇报项目进度。c) 建立安全集成项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施过程中能够有效充分的沟通。注释:申请单位应提供安全集成项目施工记录和工程日志、周报、月报,项目协调制度等。2.2.2.4. 安全保障阶段2.2.2.4.1. 系统测试条款:a) 依据项目技术方案和测试计划,对系统进行联调和系统测试,完整记录测试过程相
21、关信息。b) 对于新建系统重点测试系统的功能、性能和安全性等;对于系统改造或升级项目,还需进行兼容性测试。注释:申请单位应提供系统测试计划、测试方案、测试记录等材料。2.2.2.4.2. 系统试运行条款:a) 为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试运行周期至少一个月。b) 基于系统运行相关记录,及时对系统设备进行调整和维护。注释:申请单位应提供建设系统的试运行记录、运行维护记录,包括系统运行状况、问题处理过程记录。2.2.2.4.3. 验收条款:a) 根据合同约定,向客户提交完整的项目资料及交付物,并提出终验申请。b) 根据合同约定,配合组织项目验收,出
22、具项目验收报告。注释:申请单位应提供项目验收申请单、验收报告等能够证明项目通过验收的证明材料。2.2.3. 二级能力要求组织申报二级资质,除满足三级能力要求外,还应满足以下要求:2.2.3.1. 集成准备阶段2.2.3.1.1. 需求调研与分析条款:a) 准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系统安全保障策略和建议。b) 基于客户需求和投入能力,开展需求分析,编制需求分析报告。注释:申请单位应分析系统建设安全需求,提供基于项目预算提出产品选型方案,系统安全需求分析报告。2.2.3.2. 方案设计阶段条款:a) 结合需求分析和客户在保障系统安全方面的投入能力
23、,提出系统建设安全设计说明书,明确系统架构、产品选型、产品功能、性能及配置等参数。b) 组织客户及相关技术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能和安全性要求。c) 结合技术方案,对项目组及第三方配合人员进行业务和技能培训。d) 依据技术方案具体指标要求,制定系统测试计划。注释:申请单位应提供系统设计说明书、方案论证记录、人员培训记录、系统测试计划等材料。2.2.3.3. 建设实施阶段2.2.3.3.1. 实施集成条款:a) 产品、设备安装调试过程中,应完整妥善记录相关信息。b) 项目建设施工完成后,需向客户提交完工报告。c) 项目实施完成后,相关过程记录及时归档,并统一保
24、管。注释:申请单位应提供信息系统安装调试记录、完工报告等材料。2.2.3.3.2. 监督管理条款:建立客户满意度调查机制,并对调查结果进行分析。注释:申请单位应提供针对安全集成项目的客户满意度调查制度、满意度调查材料、数据分析材料。2.2.3.4. 安全保障阶段2.2.3.4.1. 系统测试条款:a) 系统测试完成后,制定系统测试报告,并提交客户。b) 结合项目需要提出初验申请,组织客户及相关方对项目进行初验,并提交初验报告。注释:申请单位应提供信息系统测试报告、项目初验申请书、项目初验报告等材料。2.2.3.4.2. 系统试运行条款:试运行结束后,项目组制定系统试运行报告,并提交客户。注释:
25、申请单位应提供一个月以上系统试运行记录和试运行报告。2.2.4. 一级能力要求组织申报一级资质,除满足二级能力要求外,还应满足以下要求:2.2.4.1. 集成准备阶段2.2.4.1.1. 需求调研与分析条款:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。注释:申请单位应充分分析系统建设与相关政策、行业情况的关联,提供系统运行风险规避建议和具体措施。2.2.4.1.2. 签订服务协议条款:建立安全集成服务级别管理程序,签订服务级别协议。注释:申请单位应提供安全集成项目服务级别协议。2.2.4.2. 方案设计阶段条款:a) 结合项目需要,编制安全集成项目施工手册
26、和作业指导书。b) 对于新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求。对于系统改造,还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等。c) 基于安全集成项目需求和进度计划,编制信息安全产品和工具定制开发计划。注释:申请单位应提供信息系统安全集成项目作业指导书,提供系统测试方案和测试记录,提供定制开发产品和工具清单和相关记录。2.2.4.3. 建设实施阶段2.2.4.3.1. 实施集成条款:a) 建立项目变更管理程序,对项目实施过程中方案、资源变更进行有效控制,完整记录变更过程。b) 制定项目
27、应急处置方案和恢复策略,对项目过程中的应急事件及时进行响应。注释:申请单位应提供针对具体项目的方案、资源变更申请,项目变更记录;提供应急处置预案和恢复策略;提供问题事件处理记录。2.2.4.3.2. 监督管理条款:定期对项目实施情况进行评审,采取适当措施,控制项目风险。注释:申请单位应提供安全集成项目评审记录和处理措施。2.2.4.4. 安全保障阶段2.2.4.4.1. 系统测试条款:基于建设系统的安全要求,制定系统安全性测试方案,模拟攻击场景,对系统安全性进行测试。注释:申请单位应提供针对多个场景的系统安全测试方案和测试纪录,提供系统渗透测试记录和报告。2.2.4.4.2. 系统试运行条款:a) 制定系统试运行计划,建立应急响应服务保障团队,及时应对突发事件。b) 综合分析系统运行状态,建立系统运行策略和安全指南,并对相关产品和设备设施进行配置管理。c) 提供三个月以上的试运行记录和报告。注释:申请单位应提供系统试运行记录、系统运行策略和安全指南,提供三个月以上系统试运行报告。
