簡介：信息安全服務（風險評估類）資質認定是對信息安全工程服務提供者的綜合實力的客觀評價和確認，信息安全服務（風險評估類）資質級別反映了信息安全工程服務提供者從事信息安全工程服務保障能力的成熟程度。資質級別劃分的主要依據包括：基本資格與基本能力要求、安全工程過程能力要求、項目與組織管理能力要求和其他補充要求等。
級別：一級最低，五級最高，目前最高申請二級。

級別	一級	二級	三級
基本要求	申請信息安全服務（風險評估一級）資質的組織必須是一個獨立的實體，具有工商行政管理部門頒發的營業執照，并遵守國家現行法律法規。	申請信息安全服務（風險評估二級）資質的組織必須： 1.是具有獨立法人地位的實體； 2.獲得相關主管部門的批準； 3.遵守國家現行法律法規； 4.達到其他補充要求。	暫無！
類別要求	基本能力要求 1.1 組織與管理要求 1.必須擁有健全的組織和管理體系，為持續的信息安全風險評估服務提供保障； 2.必須具有專業從事信息安全風險評估服務的隊伍和相應的質量保證； 3.與安全風險評估服務相關的所有成員要簽訂保密合同，并遵守有關法律法規。 1.2 技術能力要求 1.了解信息系統技術的最新動向，有能力掌握信息系統的最新技術； 2.具有不斷的技術更新能力； 3.具有對信息系統的狀況進行調研、分析和描述的能力； 4.具有對信息系統面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析能力； 5.具有對信息系統的資產及其影響進行識別、分析和評估的能力； 6.具有對信息系統的脆弱性進行識別分析和評估的能力； 7.具有根據信息安全風險的結果提出應對安全措施的能力； 8.具有應用國際國內最新信息安全風險評估方法的能力； 9.有跟蹤、了解、掌握、應用國際、國家和行業標準的能力。 1.3 人員構成與素質要求 1.具有充足的人力資源和合理的人員結構； 2.所有與信息安全服務有關的管理和銷售人員應具有基本的信息安全知識； 3.有相對穩定的從事信息安全風險評估服務的技術隊伍； 4.技術骨干人員應系統地掌握信息系統安全基礎理論和核心技術，并有足夠的專業工作經驗； 5.必須有2名以上(含2名)專職的注冊信息安全專業人員(CISP)。 1.4 設備、設施與環境要求 1.具有固定的工作場所和良好的工作環境； 2.具有實施信息安全風險評估服務的相關工具和設備。 1.5 規模與資產要求 1.有足夠的注冊資金和充足的流動資金； 2.具有與所申請安全服務業務范圍、承擔的安全風險評估規模相適應的服務體系； 3.有足夠的人員從事直接與信息安全風險評估服務相關的活動。 1.6 業績要求 1.應有從事信息安全風險評估服務的經驗； 2.近3年內在信息安全風險評估服務方面，沒有出現驗收未通過的情況。 3.3 安全風險評估過程能力要求 安全風險評估過程能力是評價信息安全風險評估服務專業水平高低的標志。 申請組織應能實施以下6個安全風險評估過程域： 1.風險評估準備 2.評估系統資產的影響； 3.評估系統存在的脆弱性； 4.評估系統面臨的安全威脅； 5.評估系統已有的安全措施； 6.評估系統的安全風險。 3.4 項目和組織過程能力要求 項目和組織過程能力是評價信息安全風險評估服務規范性和質量保證成熟度標志。 申請組織應能實施以下6個項目和組織過程域： 1.質量保證； 2.管理項目風險； 3.規劃技術活動； 4.監控技術活動； 5.提供不斷發展的技能和知識； 6.與供應商協調。	一、 基本能力要求 基本能力的要求包括：技術能力要求，資源配置要求（包括人員構成與素質要求、設備、設施與環境要求），規模與資產要求和業績要求。 申請信息安全服務（風險評估二級）資質的組織應該： 1.從事信息安全服務行業3年以上； 2.注冊資本應在500萬元以上，資產總額在200萬元以上； 3.近3年的財務狀況良好； 4.從事信息安全服務的人力資源充足、人員結構合理、技術隊伍相對穩定，擁有專職的注冊信息安全專業人員（CISP）數量不少于從事安全風險評估服務專業技術人員的10%，但不得少于4人； 5.具有安全可靠的信息安全風險評估工具或設備； 6.近3年完成信息安全服務風險評估項目總值應在200萬元以上。 二、 質量管理要求 申請信息安全服務（風險評估二級）資質的組織，在質量管理方面應該： 1.建立合理的組織架構來滿足信息安全風險評估服務的實施和管理，信息安全風險評估服務技術部門相對獨立； 2.建立合理的管理架構來滿足信息安全服務的管理，建立有效的技術管理、質量管理和組織管理機制； 3.建立有效的質量管理體系，至少滿足支持信息安全風險評估技術能力達到計劃跟蹤級所需的相關管理能力要求。 三、安全風險評估過程能力要求 安全風險評估過程能力方面的要求是信息安全風險評估服務資質的核心要求。 申請信息安全服務（風險評估二級）資質的組織應該： 1.根據國內外信息安全風險評估標準，形成完整的可執行的信息安全風險評估規范，用于指導具體的信息安全風險評估項目，包括評估方法、評估流程、評估步驟等等； 2.驗證安全風險評估實施過程與規范的一致性； 3.通過可測量的計劃跟蹤過程的實施情況，當過程實施與計劃產生重大偏離時應采取糾正措施。	暫無！
頒證機構	中國信息安全測評中心	中國信息安全測評中心	中國信息安全測評中心

產品介紹
    中國信息安全測評中心是經中央批準成立的國家信息安全權威測評機構，職能是開展信息安全漏洞分析和風險評估工作，對信息技術產品、信息系統和工程的安全性進行測試與評估。對信息安全服務和人員的資質進行審核與評價。
    信息安全服務資質認定”是對信息安全服務的提供者的技術、資源、法律、管理等方面的資質、能力和穩定性、可靠性進行評估，依據公開的標準和程序，對其安全服務保障能力進行評定和確認。為我國信息安全服務行業的發展和政府主管部門的信息安全管理以及全社會選擇信息安全服務提供一種獨立、公正的評判依據。
    信息安全服務（風險評估類）資質認定是對信息安全工程服務提供者的綜合實力的客觀評價和確認，信息安全服務（風險評估類）資質級別反映了信息安全工程服務提供者從事信息安全工程服務保障能力的成熟程度。資質級別劃分的主要依據包括：基本資格與基本能力要求、安全工程過程能力要求、項目與組織管理能力要求和其他補充要求等。
    信息安全服務資質分為五個級別，由一級到五級依次遞增，一級是最基本級別，五級為最高級別。
   一級：基本執行級
   二級：計劃跟蹤級
   三級：充分定義級
   四級：量化控制級
   五級：持續改進級

常見問題：
1.申請信息安全服務資質的周期？
從簽訂《信息安全服務資質測評委托協議》至信息安全服務資質證書頒發，周期為三個月。周期時間不包含由于申請單位原因（如，資料補充、商務流程延誤或申請方無法按照約定時間進行現場評審等）造成的延期。

2.信息安全服務資質證書的有效期？
信息安全服務資質證書的有效期為三年。

3.申請單位未獲取CISP資格證書，能否進行信息安全服務資質申請？
申請單位擁有注冊信息安全專業人員是申請信息安全服務資質的基本條件，必須滿足。但申請單位可以在進行CISP培訓的同時申請服務資質。

4.申請信息安全服務資質的企業應具備哪些基本資格？
具備獨立法人資格，能夠對外獨立承擔民事責任（分公司不能夠獨立申請）。
經營范圍涵蓋信息安全。

5.申請書如何準備？
明確資質申請是企業整體行為，不是某一個部門或某一個崗位能夠獨立完成。對應不同的填寫內容，盡量落實到不同的職責部門填寫。

資質申請評估要求	企業配合填寫的職能部門
基本資格能力	行政、人事、財務、商務等
項目和組織管理能力	質量管理、項目管理、采購等
服務資質技術過程能力	技術、項目管理等

6.怎樣辦理維持換證申請？
證書到期前三個月提交申請。
維持申請流程與首次申請流程一致。

7.資質的維持申請能否延用首次申請資料？
不能。應提供公司的最新狀況信息，并以近三年的項目資料作為申請書的過程證據。