一、简介

 信息安全服务资质是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质进行评价。

通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

二、适用范围

涉及信息安全服务行业，信息系统安全运营服务的提供者；

三、评定方向

信息安全风险评估

对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的过程。

 信息安全应急处理

为应对信息系统运行过程中突发/重大信息安全事件的发生所做的准备，在事件发生时，按照既定的程序对事件进行处理，以及在事件发生后所采取措施的过程。 

信息系统安全集成

按照信息系统建设的安全需求，采用信息系统安全工程的方法和理论，将安全单元、产品部件进行集成的行为或活动。 

信息系统灾难备份与恢复

将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份，并在灾难发生时，将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的过程。

软件安全开发

为解决软件产品的漏洞问题，而将安全活动集成到系统开发和软件质量保证活动中，在软件开发的每个关键点嵌入安全要素，通过安全需求分析、安全设计、安全编码、安全测试等专业手段，解决各阶段可能出现的安全问题，有效减少软件产品潜在的漏洞数量，提高软件产品安全质量的活动。 

信息系统安全运维

从面向业务的运维服务出发，依据安全需求对信息系统进行安全运维准备、安全运维实施，并对实施安全运维服务的有效性进行评审，从而进行持续性改进，全过程、全生命周期地为信息系统运行提供安全保障的过程。 

网络安全审计

是指网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经济性进行检查、监督，通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件的活动。

四、证书级别

信息安全服务资质认证级别分为一级、二级、三级共 3 个级别，其中一级最高。

证书有效期为 3 年。在有效期内，证书的有效性依赖网安中心的监督审核获得保持。证书有效期届满前 30 天内，认证委托人未提出终止使用认证证书，且监督审核结果合格的，网安中心应换发新证书。

监督审核：网安中心委派审核组对信息安全服务提供者进行现场审核，原则上采取事先 不通知的方式。监督审核周期不大于12个月。

五、申报条件

（1）拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要；

（2）技术负责人应具备与申报类别一致的信息安全服务管理能力；

（3）从事信息安全服务6个月以上；

（4）建立并运行文档、项目、保密、供应商管理程序；

（5）应配备承担信息安全服务所需的安全、可信的软硬件工具和设备；

（6）建立和制定信息安全服务所需的流程和规范，并遵照实施；

六、发证机关

由中国网络安全审查认证和市场监管大数据中心颁发

七、申报流程

八、证书模板