发证机构:中国网络安全审查技术与认证中心
中国网络安全审查技术与认证中心(英文缩写为:CCRC,原为中国信息安全认证中心)于2006年由中央机构编制委员会办公室批准成立,为国家市场监督管理总局直属正司局级事业单位。依据《网络安全法》《网络安全审查办法》及国家有关强制性产品认证法律法规,承担网络安全审查技术支撑和认证工作;在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训等工作;同时设有国家信息安全产品质量监督检验中心(北京)。
信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。
信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。安全集成服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。
信息系统安全集成服务资质专业评价要求针对集成准备、方案设计、建设实施、安全保障四个过程;
一、技术服务要求
①、建立信息系统安全集成服务流程
②、制定信息系统安全集成服务规范并按照规范实施
二、集成准备阶段:
1、需求调研与分析
①、调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求;
②、基于系统建设需求,提出产品选型方案和建设预算;
③、结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录;
2、签订服务协议
①、与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等;
②、与客户、供应商等相关方签订保密协议,明确保密职责和违约责任;
二、方案设计阶段
1、根据系统建设安全需求,编制安全集成技术方案;
2、依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面的要求;
3、结合技术方案和实施方案,与客户进行沟通,获得客户认可;
三、建设实施阶段
1、实施集成
①、依据已确认的安全集成项目技术方案和实施方案,按照时间和质量要求进行系统建设;
②、项目实施人员按时提交施工记录和工程日志,及时向项目经理汇报项目进度;
③、建立安全集成项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施 过程中能够有效充分的沟通;
四、安全保障阶段
1、系统测试
①、依据项目技术方案和测试计划,对系统进行联调和系统测试,完整记录测试过程相关信息;
②、对于新建系统重点测试系统的功能、性能和安全性等;对于系统改造或升级项目,还需进 行兼容性测试;
2、系统试运行
①、为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试 运行周期至少一个月;
②、基于系统运行相关记录,及时对系统设备进行调整和维护;
3、验收
①、根据合同约定,向客户提交完整的项目资料及交付物,并提出终验申请;
②、根据合同约定,配合组织项目验收,出具项目验收报告。
1. | 法律地位要求 | 营业执照/事业单位登记证 |
2. | 法律地位要求 | 国家企业信用信息公示系统报告 |
3. | 财务资信要求 | 提供财务管理制度,包括财务风险管控制度,必要时年度审计报告作为支撑文件。 |
4. | 办公场所要求 | 房屋产权证及租房屋赁合同 |
5./6./7. | 人员能力要求 | 组织负责人(理工毕业两年以上)/技术负责人/项目经理简历及资质证书,包括姓名、年龄、职务、职称、学历、工作经历、信息技术领域管理年限、资质证书。 |
社保缴费证明至少(近期3个月) | ||
8. | 业绩要求 | 从事信息安全服务(与申报类别一致)至少4个月/3年;提供首个信息安全服务(与申报类别一致)项目合同原件,核对项目名称、合同签订时间、项目验收时间等。 |
(公开招标项目需提供中标通知书原件或招标网站公示截图,非公开招标项目需提供财务收款凭证)。 | ||
9. | 三级监督审核:近1年内签订并完成至少1个信息安全服务(与申报类别一致)项目。 | |
10. | 服务管理要求 | 提供服务人员管理程序,及安全服务人员的岗位职责、技术能力要求,并提供评价证明其能够胜任其承担的职责。 |
11. | 提供服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。 | |
12. | 文档管理程序建立及实施情况,提供与申报类型一致的安全服务项目过程文档,核实是否存在遗失或信息泄露等问题。 | |
15. | 提供项目管理程序建立及实施情况的证据,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程,提供项目风险管理记录。 | |
16. | 保密管理程序建立及落实情况,包括保密范围、保密方式、保密时效、保密责任主体、罚则。提供组织与管理层、技术负责人及项目实施人员签订的保密协议。关键岗位离职人员签订离职保密协议。提供保密教育培训记录。 | |
19. | 提供合同管理程序、合同统一模板。提供服务项目(与申报类别一致)合同/协议中对敏感信息和知识产权信息保护要求的相关条款。 | |
25. | 服务技术 | 按照相关标准建立申报的服务类别流程(申报多类需要制定相对应的服务流程)。流程图中应包括每个阶段对应的职责、输入输出等。 |
26. | 制定与申报的信息安全服务类别规范并按照规范实施(申报多类需要制定相对应的服务规范)。 | |
27 | 安全集成: | (1) 集成准备阶段:至少包括需求调研报告、技术方案、实施方案(技术方案内容应至少包含项目背景、设计依据、总体设计架构、信息安全设计等方面内容,实施方案应至少包含项目组织架构及人员安排、进度安排、实施内容、项目风险管理、项目沟通管理、项目质量管理等方面内容); |
(2) 建设实施阶段:至少包括日报/周报; | ||
(3) 安全保障阶段:至少包括测试方案、验收申请、验收报告; | ||
29 | 申请三级资质条件 | 成立3年以上/从事信息安全服务(与申报类别一致)至少4个月 |
30 | 9001/20000/27000 | 可有可无;有请提供9001/20000/27000认证全套资料(包括证书/程序内容/过程记录文档等) |
监督年检 | ||
1 | 业绩情况 | 近一年业务发展情况,签订、完成的项目数量及情况,项目经验及教训等 |
2 | 组织变更情况 | 组织变更情况,包括法人、资本注册、股东变更、组织负责人、服务负责人、组织架构等变化情况。 |
3 | 证书及标志使用情况 | 证书及标志使用情况。 |
4 | 客户投诉制度建立及执行情况 | 客户投诉情况,包括客户投诉制度,投诉及处理情况。 |
一、自评估:
组织在中国信息安全认证中心网站下载《信息安全服务自评估表》,并实施自主评估;
二、认证申请:
组织依据信息安全服务资质认证程序、认证实施规则中相关要求,确定申请服务资质类别,并填写《信息安全服务资质认证申请书》。组织向中国信息安全认证中心或其指定机构提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料;
三、申请材料评审:
中心依据认证程序和相关标准要求,对申请组织提交的认证相关材料进行评审,并确定申报级别和资质类别,签订认证合同;
四、现场评审:
认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。特别,对申请一级资质认证的组织,必要时选择申请组织的客户进行项目实施现场见证;
五、认证决定:
认证决定委员会由3名以上(含3名)奇数认证决定人员组成,做出认证决定;
六、证书颁发:
对于符合认证要求的申请组织,颁发认证证书,并予以公示。
预计完成周期
三级预计4-6个月,二级预计5-6个月,一级预计6-10个月
加急,需要说明并另外加收加急费用
收费说明
认证审核费说明
初次申请认证费用清单
项目类别 | 一级 | 二级 | 三级 | |
申请费 | 2000 | 2000 | 2000 | |
管理要求部分 | 5000*7=35000 | 5000*4=20000 | 5000*1.5=7500 | |
服务类别 | 安全集成 | 5000*6=30000 | 5000*3=15000 | 5000*1.5=7500 |
风险评估 | 5000*6=30000 | 5000*3=15000 | 5000*1.5=7500 | |
应急处理 | 5000*6=30000 | 5000*3=15000 | 5000*1.5=7500 | |
灾难备份与恢复 | 5000*6=30000 | 5000*3=15000 | 5000*1.5=7500 | |
安全运维 | 5000*6=30000 | 5000*3=15000 | 5000*1.5=7500 | |
安全软件开发 | 5000*6=30000 | 5000*3=15000 | 5000*1.5=7500 | |
注册费 | 1000 | 1000 | 1000 | |
一类总计 | 68000 | 38000 | 18000 | |
二类总计 | 98000 | 53000 | 25500 | |
三类总计 | 128000 | 68000 | 33000 | |
申请三类以上,从第四类开始收技术部分认证费用的 80%。 | ||||
四类总计 | 152000 | 80000 | 39000 | |
五类总计 | 176000 | 92000 | 45000 | |
六类总计 | 200000 | 104000 | 51000 |
使用说明:
1、 一个企业申请多个服务资质认证时,申请费用、注册费用、管理费用仅收一次。
2、 一个企业申请多个服务资质认证时,按照表中认证费用进行交纳。
2、如果一个单位申请两类以上服务资质认证且申报级别也不相同,收取费用时以高级别申请为基础。如:一个单位同时申请风险评估二级、安全集成三级,这样申请费用收取原则为: 申请费用+(二级的管理费用)+(二级风险评估技术认证费用)+(三级安全集成技术认证费用)+注册费用=2000+10000+15000++7500+2000=45500 元,单位按照 45500 元进行交纳。
(每年度)监督审核费
项目类别 | 一级 | 二级 | 三级 | |||
管理要求部分 | 5000*2=10000 | 5000*1.5=7500 | 5000*1=5000 | |||
服务类别 | 安全集成 | 5000*2=10000 | 5000*1.5=7500 | 5000*1=5000 | ||
风险评估 | 5000*2=10000 | 5000*1.5=7500 | 5000*1=5000 | |||
应急处理 | 5000*2=10000 | 5000*1.5=7500 | 5000*1=5000 | |||
灾难备份与恢复 | 5000*2=10000 | 5000*1.5=7500 | 5000*1=5000 | |||
安全运维 | 5000*2=10000 | 5000*1.5=7500 | 5000*1=5000 | |||
安全软件开发 | 5000*2=10000 | 5000*1.5=7500 | 5000*1=5000 | |||
一类总计(说明:一级较以前少 1000 元,二级多 2000 元, 三级多 1000 元,因为人日费 与初次申请保持一致,同时减 |
20000 |
15000 |
10000 | |||
少年度维持费 | ) | |||||
二类总计 | 30000 | 22500 | 15000 | |||
三类总计 | 40000 | 30000 | 20000 | |||
申请三类以上,从第四类开始收年度监督费用的 80%。 | ||||||
四类总计 | 48000 | 37500 | 24000 | |||
五类总计 | 56000 | 45000 | 28000 | |||
六类总计 | 64000 | 52500 | 32000 |
1.申请企业成立时间?
回复:成立半年以上企业可以申请
2.公司最少人数要求?
回复:至5人以上社保,有足够的完成项目实施能力.
数量 |
数量 |
数量 |
数量 |
数量 |
数量 |
数量 |
扫一扫咨询
知企网微信官方客服
客服热线:400-885-0909
24小时在线咨询
*我们将对您的号码严格保密,请放心使用
扫码下载APP
服务评价
好评度