信息安全服务资质二级认证指南.pdf

息安全服务资质二级认证指南 （试行） 发布日期：2003 年10 月 中国信息安全产品测评认证中心 中国信息安全产品测评认证中心 信息安全服务资质认证指南 （二级） 录 录 2 引 言 3 1. 认证依据 4 2. 等级划分 4 3. 二级认证要求 5 3.1 基本资格要求 5 3.2 基本能力要求 5 3.3 质量管理要求 6 3.4 安全工程过程能力要求 6 4. 认证流程 7 4.1 流程图 7 4.2 申请 8 4.4 形式化审查和正式受理 8 4.5 评审 8 4.6 限期整改 9 4.7 认证决定 9 4.8 认证证书与公布 9 5. 认证监督和维持 9 6. 双方责任与义务 10 7. 违规处置 10 8. 争议、申诉与投诉 10 9. 收费标准及认证周期 11 布日期：2003 年 10 月 第2 页共 11 页 CNITSEC 中国信息安全产品测评认证中心 信息安全服务资质认证指南 （二级） 引 言 中国信息安全产品测评认证 心 （简称CNITSEC ）是经 央批准成立、代 表国家开展信息安全测评认证的职能机构，依据国家有关产品质量认证和信息安 全管理的政策、法律、法规，管理和运行国家信息安全测评认证体系。 中国信息安全产品测评认证中心的主要职能是： 1. 对国内外信息安全产品和信息技术进行测评和认证 2. 对国内信息系统和工程进行安全性评估和认证 3. 对提供信息安全服务的组织和单位进行评估和认证 4. 对信息安全专业人员的资质进行评估和认证 “中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息 系统安全质量以及信息安全服务资质、人员资质的最高认可。国家信息安全产品 测评认证活动的技术依据是由 国国家信息安全测评认证管理委员会确认的有 关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技 术要求与技术规范。 “信息安全服务资质认证”是对信息安全服务的提供者的技术、资源、法律、 管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序， 对其安全服务保障能力进行认证。为我国信息安全服务行业的发展和政府主管部 门的信息安全管理以及全社 选择信息安全服务提供一种独立、公正的评判依 据。在我国,信息安全服务资质由中国信息安全产品测评认证中心及其授权测评 机构进行评估，由中国信息安全产品测评认证中心进行认证。信息安全服务资质 业务面向所有向CNITSEC提出资质认证申请的境内外组织。 本指南适用于信息安全服务资质二级（安全工程类）的认证申请，申请信息 安全服务资质一级认证的组织请参考《信息安全服务资质认证指南 （一级）》。 布日期：2003 年 10 月 第3 页共 11 页 CNITSEC 中国信息安全产品测评认证中心 信息安全服务资质认证指南 （二级） 1. 认证依据 信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实 施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定，依据 《信息安全服务资质评估准则》，在基本资格和能力水平、安全工程项目的组织 管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上， 针对不同的服务种类、对各方面能力进行综合考虑后确定，由中国信息安全产品 测评认证中心给予相应级别的资质认证。 2. 等级划分 信息安全服务资质等级是对提供信息安全服务组织