信息系统审计类一级-中国信息安全测评中心

国家信息安全测评

信息安全服务资质申请指南

（信息系统审计类一级）

（试行）

?版权2017—中国信息安全测评中心

2017年8月

中国信息安全测评中心(CNITSEC)

信息安全服务资质申请指南（信息系统审计类一级）

目录

目录 ................................................................................................................................................ 2 引言 ................................................................................................................................................ 3 一、 认定依据 ................................................................................................................................ 4 二、 级别划分 ................................................................................................................................ 4 三、 一级资质要求 ........................................................................................................................ 4

3.1 基本资格要求 ................................................................................................................... 5

3.1.1法律和合同事宜 ...................................................................................................... 5 3.1.2公正性管理 .............................................................................................................. 5 3.1.3责任和财力 .............................................................................................................. 6 3.1.4保密要求 .................................................................................................................. 6 3.2 基本能力要求 ................................................................................................................... 7

3.2.1 组织与管理要求 ..................................................................................................... 7 3.2.2保持公正性委员会 .................................................................................................. 7 3.2.3人员构成与能力要求 .............................................................................................. 8 3.2.4 技术能力要求 ......................................................................................................... 8 3.2.5设备、设施与环境要求 .......................................................................................... 9 3.2.5业绩要求 .................................................................................................................. 9 3.3 信息系统审计服务过程能力要求 ................................................................................... 9 3.4 项目和组织过程能力要求 ............................................................................................. 10 四、 资质认定 .............................................................................................................................. 11

4.1认定流程图 ....................................................................................................................... 11 4.2申请阶段 ........................................................................................................................... 12 4.3资格审查阶段 ................................................................................................................... 12 4.4能力测评阶段 ................................................................................................................... 12

4.4.1静态评估 ................................................................................................................ 12 4.4.2现场审核 ................................................................................................................ 13 4.4.3综合评定 ................................................................................................................ 13 4.4.4资质审定 ................................................................................................................ 13 4.5证书发放阶段 ................................................................................................................... 13 五、 监督、维持和升级 .............................................................................................................. 14 六、 处置 ...................................................................................................................................... 14 七、 争议、投诉与申诉 .............................................................................................................. 14 八、 获证组织档案 ...................................................................................................................... 15 九、 费用及周期 .......................................................................................................................... 15 十、 联系方式 .............................................................................................................................. 16

发布日期：2017年8月 第2页 共16页

中国信息安全测评中心(CNITSEC)

信息安全服务资质申请指南（信息系统审计类一级）

引言

中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作，对信息技术产品、信息系统和工程的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。 中国信息安全测评中心的主要职能是：

1. 为信息技术安全性提供测评服务； 2. 信息安全漏洞分析； 3. 信息安全风险评估；

4. 信息技术产品、信息系统和工程安全测试与评估； 5. 信息安全服务和信息安全人员资质测评； 6. 信息安全技术咨询、工程监理与开发服务。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

本指南适用于所有向CNITSEC申请信息安全服务资质（信息系统审计类一级）的境内外组织。

发布日期：2017年8月 第3页 共16页

中国信息安全测评中心(CNITSEC)

信息安全服务资质申请指南（信息系统审计类一级）

一、 认定依据

信息安全服务（信息系统审计类）资质认定是对信息系统审计服务提供者的资格状况、技术实力和信息系统审计服务实施过程质量保证能力等方面的具体衡量和评价。

信息安全服务（信息系统审计类）资质级别的评定，是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质（信息系统审计类）具体要求，在对申请组织的基本资格、技术实力、信息系统审计服务能力以及审计项目的组织管理水平等方面的评估结果基础上的综合评定后，由中国信息安全测评中心给予相应的资质级别。

二、 级别划分

信息安全服务（信息系统审计类）资质认定是对信息系统审计服务提供者的综合实力的客观评价和确认，信息安全服务（信息系统审计类）资质级别反映了信息系统审计服务提供者从事信息系统审计服务保障能力的成熟程度。资质级别划分的主要依据包括：基本资格与基本能力要求，信息系统审计服务过程能力要求、项目与组织管理能力要求和其他补充要求等。

信息安全服务资质分为五个级别，由一级到五级依次递增，一级是最基本级别，五级为最高级别。

一级：基本执行级 二级：计划跟踪级 三级：充分定义级 四级：量化控制级 五级：持续改进级

三、 一级资质要求

申请信息安全服务（信息系统审计类一级）资质的组织需要在基本资格和基

发布日期：2017年8月 第4页 共16页