信息系统安全服务资质认证指南[一级资质].doc

国家信息安全测评认证 信息系统安全服务资质认证指南 （试行） 发布日期：2007年5月 福建省网络与信息安全测评中心 目录 引言 3 1 认证依据 4 2 等级划分 4 3 认证要求 4 3.1 基本资格要求 4 3.2 基本能力要求 5 3.2.1 组织与管理要求 5 3.2.2 技术能力要求 5 3.2.3 人员构成与素质要求 5 3.2.4 设备、设施与环境要求 6 3.2.5 规模与资产要求 6 3.2.6 业绩要求 6 3.3 安全工程过程及能力级别 6 4 认证流程 9 5 受理过程 10 6 申请书 10 7 评审 10 8 认证与公布 11 9 保持认证 12 10 认证发展 12 11 处置 12 12 争议、投诉与申诉 12 13 认证企业档案 13 14 费用及认证周期 13 15 相关文件与表格 13 引言 福建省网络与信息安全测评中心FJTEC)是经中央批准成立、代表国家开展信息安全测评认证的职能机构，依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评认证体系。 福建省网络与信息安全测评中心福建省网络与信息安全测评中心 5 受理过程 从事信息系统安全服务的组织要申请信息系统安全服务资质认证，首先到测评认证中心服务网站上下载认证申请书，按要求填写好申请书并送交测评认证中心。 FJTEC接到申请组织的申请书，首先由初审人员对申请书进行形式化审查，形式化审查是对申请书的完整性进行初审，如果材料不完整或有填写错误，FJTEC将通知申请组织补充材料或者退回。 申请组织的申请被受理后，FJTEC根据评审流程组织力量进行资质评估。 6 申请书 申请信息系统安全服务资质等级认证的组织需要向认证受理部门FJTEC递交认证申请书，申请书包括： 认证申请表（纸版一式三份、电子版一份） 营业执照复印件 税务登记证 注册信息系统安全专业人员认证证书复印件 FJTEC要求提供的其他资料 7 评审 对信息系统安全服务组织的资质等级进行评估认证的工作由福建省网络与信息安全测评中心及其授权测评机构负责。认证申请组织在向FJTEC递交认证申请书前，须逐项检查所填报的材料的完整性和正确性。 认证评审将按照下面几个步骤进行： 静态评估 静态评估的目的是对申请认证组织申请书提供材料的内容进行真实性审查。 现场审核 现场审核的目的是对申报组织从事信息系统安全服务的综合能力（包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等要素）进行确认。 静态评估和现场审核不符合要求的组织，FJTEC会提出限期整改的要求，并书面通知申请组织。评审小组依据静态评估和现场审核的结果，出具评审报告。 专家组评审 专家组在静态评估和现场审核生成的评审报告的基础上、对申请认证组织的能力进行近一步评审，决定申请组织的资质等级。 8 认证与公布 对准予认证的组织，FJTEC将公布名录并发放认证证书。认证证书根据申请组织的资产背景分两种类型。 FJTEC公布的《信息安全服务资质等级认证组织名录》，包括以下内容： 获得认证组织的名称 获得认证的资质级别 获得认证的服务范围 获得认证的日期和有效期限 认证证书编号 FJTEC定期出版《信息系统安全服务资质认证组织名录》，内容包括： 获得认证组织名称 获得认证的资质级别 认证证书编号 获得认证的服务范围 联系电话，传真，电子邮件地址等 通讯地址、邮政编码等 获得认证日期 若获得资质认证的组织相关资料变动时，须及时通知FJTEC 9 保持认证 获得资质认证的组织需通过持续发展自身信息系统服务体系以保持基本能力及安全工程过程能力。FJTEC将通过申诉系统、现场见证以及对信息系统安全服务工程进行抽样检查来验证每个获得资质认证的组织的资质能力。 认证证书每三年进行一次复查换证，在三年有效期内实行年确认制度。在证书有效期届满前90天内，由获证组织提出复查换证申请。 10 认证发展 获得资质等级证书的，，，应当按照认证程序重新申请 信息安全服务资质认证指南 共13页第8页