國(guó)家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)申請(qǐng)指南O2023—中國(guó)信息安全測(cè)評(píng)中心2023年10月1日目錄3.1基本資格要求…………錯(cuò)誤!未定義書(shū)簽。3.2基本能力要求…………錯(cuò)誤!未定義書(shū)簽。3.2.1組織與管理要求…………3.2.3人員構(gòu)成與素質(zhì)要求……3.2.4設(shè)備、設(shè)施與環(huán)境要求…3.2.5規(guī)模與資產(chǎn)要求…………3.3數(shù)據(jù)安全服務(wù)過(guò)程能力要求…………錯(cuò)誤!未定義書(shū)簽。3.4項(xiàng)目和組織過(guò)程能力要求……………錯(cuò)誤!未定義書(shū)簽。4.1認(rèn)定流程圖……………錯(cuò)誤!未定義書(shū)簽。4.3資格審查階段…………錯(cuò)誤!未4.4能力測(cè)評(píng)階段…………錯(cuò)誤!未定義書(shū)簽。4.5證書(shū)發(fā)放階段………………中國(guó)信息安全測(cè)評(píng)中心(以下簡(jiǎn)稱測(cè)評(píng)中心)是中央批準(zhǔn)成立的國(guó)家信息安一、認(rèn)定依據(jù)信息安全服務(wù)(數(shù)據(jù)安全類)資質(zhì)級(jí)別的評(píng)定，是依據(jù)《信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則》和不同級(jí)別的信息安全服務(wù)(數(shù)據(jù)安全類)資質(zhì)具體要求，在對(duì)申請(qǐng)信息安全服務(wù)(數(shù)據(jù)安全類)資質(zhì)認(rèn)定是對(duì)數(shù)據(jù)安全服務(wù)提供者的綜合實(shí)力的客觀評(píng)價(jià)和確認(rèn)，信息安全服務(wù)(數(shù)據(jù)安全類)資質(zhì)級(jí)別反映了數(shù)據(jù)安全服務(wù)申請(qǐng)信息安全服務(wù)(數(shù)據(jù)安全類一級(jí))資質(zhì)的組織需要在基本資格和基本能務(wù)資質(zhì)具體要求(數(shù)據(jù)安全類一級(jí))》的規(guī)定。申請(qǐng)信息安全服務(wù)(數(shù)據(jù)安全類一級(jí))資質(zhì)的組織必須是一個(gè)獨(dú)立的實(shí)體，1.必須擁有健全的組織和管理體系，為持續(xù)的數(shù)據(jù)安全服務(wù)服務(wù)提供保3.與數(shù)據(jù)安全服務(wù)相關(guān)的所有成員要簽訂保密合同，并遵守有關(guān)法律法2.所有與數(shù)據(jù)安全服務(wù)有關(guān)的管理和銷售人員應(yīng)具有基本的信息安全知5.必須有4名以上(含4名)專職的注冊(cè)信息安全專業(yè)人員(CISP)。2.近3年內(nèi)在數(shù)據(jù)安全服務(wù)方面，沒(méi)有出現(xiàn)驗(yàn)收未通過(guò)的情況。申請(qǐng)組織應(yīng)能實(shí)施以下6個(gè)數(shù)據(jù)安全服務(wù)過(guò)程域：項(xiàng)目和組織過(guò)程能力是評(píng)價(jià)數(shù)據(jù)安全服務(wù)服務(wù)規(guī)范性和質(zhì)量保證成熟度標(biāo)申請(qǐng)組織應(yīng)能實(shí)施以下5個(gè)項(xiàng)目和組織過(guò)程域：↓階段受理決定靜態(tài)評(píng)估現(xiàn)場(chǎng)審核綜合匯總能力測(cè)評(píng)綜合匯總業(yè)限期整改不予發(fā)證限期整改不予發(fā)證證書(shū)發(fā)放證書(shū)發(fā)放證書(shū)發(fā)放↓證后監(jiān)督證后監(jiān)督階段證后監(jiān)督申請(qǐng)組織應(yīng)首先到CNITSEC網(wǎng)站()查看并下載《信息安全服務(wù)資質(zhì)評(píng)估質(zhì)申請(qǐng)書(shū)(數(shù)據(jù)安全類一級(jí))》及有關(guān)附件，認(rèn)真閱讀上述文檔，了解資質(zhì)認(rèn)定的流程及相關(guān)情況，確定本組織滿足一級(jí)資質(zhì)的基本資格要求和基本能力要 (數(shù)據(jù)安全類一級(jí))》的要求填寫(xiě)申請(qǐng)書(shū)、加蓋公章并裝求的相關(guān)資料刻光盤(pán)，將紙版、電子版資料一起提交給CNITSEC。在向4.3資格審查階段CNITSEC接到正式申請(qǐng)書(shū)及相關(guān)資料后，根據(jù)所提交的資料進(jìn)行資格審資格審查包括對(duì)申請(qǐng)單位所提交資料進(jìn)行的形式化審查以及對(duì)申請(qǐng)單位的4.4能力測(cè)評(píng)階段當(dāng)申請(qǐng)組織通過(guò)資格審查并繳納了相關(guān)費(fèi)用后，資質(zhì)申請(qǐng)進(jìn)入能力測(cè)評(píng)階靜態(tài)評(píng)估是對(duì)申請(qǐng)組織資料進(jìn)行符合性審查，是對(duì)申請(qǐng)組織的信息安全服務(wù)能力做出基本判斷，初步確定申請(qǐng)組織的信息安全服務(wù)能力水平狀況，為現(xiàn)現(xiàn)場(chǎng)審核是對(duì)申請(qǐng)組織從事信息安全服務(wù)的綜能力、質(zhì)量保證、設(shè)施設(shè)備、工作環(huán)境、人員構(gòu)成及素質(zhì)、經(jīng)營(yíng)業(yè)績(jī)、資產(chǎn)狀況等方面)進(jìn)行核實(shí)和確認(rèn)，并采集證據(jù)。對(duì)發(fā)生較大變化的申請(qǐng)維持證書(shū)的組織，北京申請(qǐng)組織應(yīng)當(dāng)要求派人至中依據(jù)靜態(tài)評(píng)估和現(xiàn)場(chǎng)審核結(jié)果，現(xiàn)場(chǎng)審核組應(yīng)對(duì)申請(qǐng)組織的基本資格、基本能力、信息安全服務(wù)能力以及資質(zhì)所要求的其他內(nèi)容進(jìn)行匯總后，出具審核情況匯總報(bào)告，作為專家評(píng)審的依據(jù)?，F(xiàn)場(chǎng)審核組若發(fā)現(xiàn)需整改的不符合項(xiàng)，完成前期審核綜合匯總后，中心原則上按每月一次的頻率組織專家評(píng)審會(huì)，對(duì)申請(qǐng)組織的信息安全服務(wù)資質(zhì)是否通過(guò)進(jìn)行最終評(píng)審。專家評(píng)審組由服務(wù)資質(zhì)評(píng)審專家?guī)熘须S機(jī)抽取的至少5名專家組成。由現(xiàn)場(chǎng)審核組相關(guān)人員向?qū)＜医M介紹相關(guān)情況，由評(píng)審專家根據(jù)審核情況匯總報(bào)告、審核過(guò)程證據(jù)及記錄情況，分別作出評(píng)審意見(jiàn)，并按照少數(shù)服從多數(shù)的原則得出是否通過(guò)的最終4.5證書(shū)發(fā)放階段資質(zhì)通過(guò)專家評(píng)審，準(zhǔn)予發(fā)證后，制證人員將進(jìn)行資質(zhì)證書(shū)的制作、審批和發(fā)放，并在網(wǎng)站()、報(bào)刊雜志(中國(guó)信息安全)、公眾號(hào)(國(guó)家信息安全服務(wù)資質(zhì))等媒體上予以公告。獲得資質(zhì)的組織需通過(guò)持續(xù)發(fā)展自身信息安全服務(wù)體系以保持基本能力及書(shū)有效期屆滿前6個(gè)月，由獲證組織提出維()下載并填寫(xiě)信息安全服務(wù)資質(zhì)變更申請(qǐng)書(shū)，并提出資質(zhì)轉(zhuǎn)移申請(qǐng)。CNITSEC將對(duì)每個(gè)獲證組織建立專項(xiàng)檔案，所有資料將保存6年以上。43000(審核費(fèi)用)+15000(三年年金)=58000元。29000(審核費(fèi)用)+15000(三年年金)=44000元。對(duì)于審核地點(diǎn)不在北京的申請(qǐng)組織，將根據(jù)路程、時(shí)間等具體情況統(tǒng)一收取差旅費(fèi)用(包含審核組的交通、住宿等相關(guān)費(fèi)用),具體以《信息安4.從受理到頒發(fā)證書(shū)的周期為三個(gè)月，但