140801信息系统安全集成服务资质认证申请指南0729

1、信息系统安全集成服务资质认证信息系统安全集成服务资质认证 申请指南申请指南 1. 向各地工作站提出申请(见 p1) 各地工作联系方式见封 2 2. 签订认证服务协议(见单行本) 3. 组织进行服务能力建设与准备认 证材料(要求见 p6-p18) 4. 组织申请安排评审(见 p19) 5. 接受第一阶段评审(见 p20) 6. 接受第二阶段评审(见 p21-p22) 7. 进行第二阶段问题整改(如果有, 见 p23) 8. 等待认证决定(见 p24) 9. 等待发证(见 p25) 10. 接受年度监督评审(见 p26-27) 11. q d)不接受认证机构实施监督; e)其他需要暂停证书的情况。

2、 证书暂停时间一般为三个月。在证书暂停期间，组织可提出恢复证书的申请，并经认 证机构审核、批准后方可使用证书。 .7.3. 撤销认证证书撤销认证证书 获证组织有下列情形之一，认证机构应撤销其认证证书： a)证书暂停期间，未在规定时间内完成整改并通过验证； b)违规使用认证证书，造成不良影响； c)获证组织出现严重责任事故、被投诉且经核实，影响其继续有效提供服务； d)被客户投诉，经调查事实存在 e)其他需要撤销证书的情况。 .7.4. 注销认证证书注销认证证书 获证组织因自身原因不再维持证书，可向认证机构提出注销认证证书的申请，认证机 构应及时给予注销。 认证证书撤

3、销或注销后，认证机构应及时收回认证证书，并在官方媒体予以公告。 .7.5. 证书变更证书变更 证书变更如只涉及地址、资金或法定代表人的变更，获证组织需递交变更申请，经书 面审核批准后，认证机构可更换其证书并收回原证书。 如获证组织发生除以上外的重大调整，应向认证机构提出变更申请，并提供相关材料。 认证机构需进行现场验证，并做出认证决定。 6.6.参考文献参考文献 gb/t 20261-2006 信息技术 系统安全工程 能力成熟度模型 yd/t 1621-2007 网络与信息安全服务资质评价准则 yd/t 1799-2008 网络与信息安全应急处理服务资质评价方法 yd/t 225

4、2-2011 网络与信息安全风险评估服务能力评价方法 cnca/cts 0052-2007 信息安全服务资质认证技术规范 计算机信息系统集成企业资质等级评定条件 （2012年修定版） 通信信息网络系统集成企业资质认定 安防工程企业资质评定标准中安协资2007 2号 建筑智能化工程专业承包企业资质等级标准 组织申请安排评审组织申请安排评审 组织在完成安全集成能力建设,并按信息系统安全集成服务 资质认证实施规则完成相关证据准备后，可以向当地工作站申请 评审，申请时请填写申请单并通过邮件方式通知工作站，与工作站 协商评审时间（由于要尽量集中安排评审，以降低组织负担和提高 效率，通常组织提出申请后 1

5、 个月之内安排） 。 安排评审申请单安排评审申请单 1.基本信息基本信息 申请组织全称（中文）： 申请组织全称（英文）： 注册地址： 邮政编码： 实际办公地址： 邮政编码： 网址： 法定代表人姓名： 职务： 申请组织联系方式： 联系人姓名： 职务： 办公电话： 手机： 电子邮箱： 传真： 办公地址： 邮政编码： 2.申请评审时间申请评审时间 计划第一阶段评审时间： 至 实际安排第一阶段评审时间： 至 计划第二阶段评审时间： 至 实际安排第二阶段评审时间： 至 接受第一阶段评审接受第一阶段评审 各地工作站将依据与组织协商的时间安排第一阶段评审，一阶 段评审主要是对组织资信水平进行验证和组织能力建

6、设情况进行考 察，目的是评价组织满足要求的充分性和适宜性。 评审主要通过文 档评审和环境巡视进行。 在评审过程中发现的问题，评审员将与组织进行现场沟通，组 织应依据评审员的要求进行整改，以便顺利实施第二阶段评审。 第一阶段结束时，组织应与评审员商定第二阶段评审时间。 接受第二阶段评审接受第二阶段评审 依据第一阶段评审结束时组织与评审员商定的时间组织评审， 对三级认证由各地工作站直接组织，对一、二级认证由中国信息安 全认证中心组织。 在评审过程中发现的问题，评审员将据实开具不符合报告或观 察项报告，格式如下： 信息安全服务资质认证审核观察项报告信息安全服务资质认证审核观察项报告 申请编号服务类别

7、/级别 受审核组织名称 审核类型初次审核 年监督审核 其他 审核组长 受审核部门/陪同人 审核员 审核时间 情况描述： 依据： 受审核部门确认日期 受审核组织代表确认日期 备注： 信息安全服务资质认证现场审核信息安全服务资质认证现场审核 不符合项报告不符合项报告 申请编号服务类别/级别 受审核组织名称 审核类型初次认证 年监督 其他 审核时间审核部门/陪同人员 审核组长审核员 不符合项描述： 不符合标准条款： 受审核部门代表确认： 日期： 受审核组织代表确认： 日期： 不符合类型： 严重 一般 纠正措施（附含原因分析的纠正措施材料） 受审核组织代表确认： 日期： 纠正措施跟踪验证情况： 审核员

8、： 日期： 备注 注：现场审核不符合项应在 3 个月内完成纠正措施并经验证合格。 进行第二阶段问题整改（如果有）进行第二阶段问题整改（如果有） 如果在第二阶段评审过程中，评审员发现了不符合项，组织在 确定不符合报告之后应按要求进行整改。 整改的关键是要找出问题的原因，对已存在的问题进行纠正， 且采取有效措施确保原因得到消除，从而确保发现的不符合得到整 改。 整改应在 3 个月内完成。 整改结果要得到评审员的确认，且被评审员认为所采取的纠正 措施是恰当合有效的。 等待认证决定等待认证决定 评审员在完成第二阶段评审之后，5 个工作日内出具认证评审 报告（提交认证决定委员会和申请认证组织） 。 认证

9、决定委员会在接到认证决定请求后，3 个工作日内完成认 证决定。 不通过时，通过工作与组织及时进行沟通。 通过时，将转制证环节。 等待发证等待发证 通过认证决定的组织，中国信息安全认证中心本部（或工作站） 将在 5 个工作日内完成制证，且寄出。 证书格式如下： 接受年度监督评审接受年度监督评审 组织在获得认证之后，应采取有效措施，以保证证书持续有效， 中国信息安全认证中心将采取年度监督评审方式来验证组织证书保 持状态。 证后监督评审，每年进行一次。 组织应自发证之日或监督评审通过之日起，12 月内申请年度监 督评审（申请表如下，通过邮件方式发送给工作站） 。 安排年度监督申请单安排年度监督申请单

10、 1.基本信息基本信息 申请组织全称（中文）： 申请组织全称（英文）： 注册地址： 邮政编码： 实际办公地址： 邮政编码： 网址： 法定代表人姓名： 职务： 申请组织联系方式： 联系人姓名： 职务： 办公电话： 手机： 电子邮箱： 传真： 办公地址： 邮政编码： 1.申请监督评审时间申请监督评审时间 计划评审时间： 至 实际安排评审时间： 至 通过年度监督评审的组织将获得通过年度监督评审标志（此标 志应贴在证书标志位中） ，同时，中国信息安全认证中心本部（或工 作站）每三年将换发一次新证书。 没有通过年度监督评审的组织将被暂停证书，直到证书恢复或 撤销。 q&a 1中国信息安全认证中心是一个什

11、么机构？ 答：中国信息安全认证中心（英文简称：isccc）是经中央机构编 制委员会办公室批准成立，由公安部、安全部、信息产业部、 国家保密局、国家密码管理局、国务院信息化工作办公室、国 家质检总局、国家认监委等八部委授权，依据国家有关强制性 产品认证，信息安全管理法律法规，负责实施信息安全认证的 专门机构，系第三方公正机构和法人实体。其职能为：在批准 的工作范围内按照认证基本规范和认证规则开展认证工作：依 据国家法律、法规及授权参加相关国际组织开展信息安全领域 的国际合作。 2什么组织可以申请信息系统安全集成服务资质认证？ 答：从事信息系统集成、智能楼宇集成、安防集成的组织均可以申 请。 3向

12、谁申请信息系统安全集成服务资质认证？ 答：各地企业直接向当地工作站申请（北京企业直接向中心总部申 请）注：为保证服务到位，各地每两个月有一次集中评审时间， 建议注意每期申报截至时间。 4能否直接申请一级？ 答：新规则正式实施后（新规则 2014 年 8 月 1 日正式实施）不能直 接申请一级，但可以直接申请二级。 5认证如何收费？ 答：初次认证组织在签订合同后（年度监督费用在实施年度监督 前） ，向中国信息安全认证中心指定帐户支付认证费用。 信息系统安全集成服务资质认证（新）收费信息系统安全集成服务资质认证（新）收费标准标准 2014 年 8 月 1 日起执行新收费标准如下：初次认证费和（每年

13、）证后监督费，无再认证费 用，不需交纳年金。 1、初次认证费用 单位：人民币元 级 别一 级二 级三 级 申请费200020002000 批准与注册费200020002000 评审费5000*13 人日=650005000*7 人日=350005000*3 人日=15000 总 计690003900019000 2、证后监督费用 获证组织每年需按照相应级别，交纳证后监督费用。 单位：人民币元 级 别一 级二 级三 级 评审费5000*5 人日 *0.8=20000 5000*3 人日 *0.8=12000 5000*2 人日 *0.8=8000 证书维持费100010001000 总计（每年）

14、21000130009000 信息系统安全集成服务资质认证（旧）收费标准信息系统安全集成服务资质认证（旧）收费标准 2014 年 8 月 1 日之前执行如下收费标准：初次认证费、证后监督费、年金、再认证费等。 1、初次认证费用 单位：人民币元 级 别一 级二 级三 级 申请费100010001000 批准与注册费100010001000 评审费3000*6 人日=180003000*5 人日=150003000*4 人日=12000 第一年年金500050005000 总 计250002200019000 2、证后监督费用 获证组织需接受监督，第一年不到现场，第二年到现场，需缴纳费用如下： 单

15、位：人民币元 级 别一 级二 级三 级 第二年监督费100010001000 第二年年金500050005000 第三年监督费3000*2 人日=60003000*2 人日=60003000*2 人日=6000 第三年年金500050005000 总计（两年）170001700017000 3、再认证费用 证书有效期为三年。有效期满后，需重新提交申请、接受审核并交纳与初次认证相同的费 用。 6如何证明人员满足资质要求？ 答：信息技术领域的管理人员通过提供相关技术职称证书、相关 管理人员相关证书证明；财务人员可以通过提供国内相关部 门颁发的财务人员技术资格证书证明；信息系统安全集成专 业人员通过

16、提供相关专业方向的认证证书证明。 通过获取信息安全保障人员认证（cisaw）证书是证明信 息系统安全集成专业人员能力的一种有效途径。 7什么是信息安全保障人员认证（cisaw）？ 答：信息安全保障人员认证（certified information security assurance worker, 英文缩写：cisaw） ，是中国信息安全认 证中心依据 rb203-2013信息安全保障人员认证准则 （在 http:/ 中下载）开 展的认证。通过认证考试和综合评价方式证明获证人员具备 了在一定的专业方向上从事信息安全保障工作的个人素质和 相应的技术知识与应用能力。 目前开展的认证方向有： 认

17、证考试依据信息安全保障人员认证考试大纲 （可以从 isccc 网站 http:/ 中下载）进行。 考试机构为中国信息安全认证中心。 综合评价将对认证申请者的学习、工作等经历，专业知识应 用能力等通过证明材料审查、背景调查、面试（必要时）等 方式进行。 8如何申请信息安全保障人员认证（cisaw）？ 答：通过向中国信息安全认证中心提出考试与认证申请（申请书 请从 http:/ 中下载） （申请书暂时请提交给当地培训机构，联系方式见封 2，2015 年将直接通过网络在线申请） 。 提出申请后参加由当地培训机构组织的信息安全保障人员认 证考试培训班，并随堂参加认证考试。 考试通过，且通过综合评审的中

18、国信息安全认证中心将向申 请者颁发认证证书。 9信息安全保障人员认证（cisaw）考试培训时间多长？ 答：培训（含半天考试）时间为 5 天，培训不得缺课。 10申请信息安全保障人员认证（cisaw）费用是多少？ 答：培训费 6800 元/人，认证考试费 1200 元/人。 11获得信息安全保障人员认证（cisaw）需要多长时间？ 答：通过考试认证后 10 个工作日。 12满足服务资质认证人员资格要求一定要获得信息安全保障人员 认证（cisaw）安全集成工程师的认证吗？ 答：不一定，也可以是岗位保障级和专业或专业高级地任何方 向认证，但不能使预备级认证。 认证、培训工作站联系方式认证、培训工作站联系方式 序号工作站联系人电话邮件 1 安徽（认证、培训）冯玲莉 0551- 2 福建（认证、培训）辜 华 0591- 3 广西（认证、培训）韦瀛寰 0771- 4 广东（仅认证仅认证）成珍苑 020-831