计算机信息系统安全服务等级评定实施规则.pdf

1、 计算机信息系统 安全 服务等级 评定实施规 则 2013-8-15 发布 2013-10-15 实施 广东省信息网络服务协会 目 录 第一章 总则 1 第二章 评定标准 1 第三章 评定程序 4 第一条 评定模式 . 4 第二条 评定的基本环节 . 4 第三条 申请及受理 . 4 第四条 文档审核 . 4 第五条 现场审核 . 4 第六条 颁 证决定 . 5 第七条 对评定决定的申诉 . 5 第八条 获证后监督 . 5 第九条 再评定 . 7 第十条 证书升级 . 7 第四章 证书管理 7 1 第一章 总则 第一条 实施 计算机信息系统服务 资质（以下简称 服务 资质）评定，客观公正地评价

2、信息 安全 服务机构 提供 信息 安全 服务的综合能力，有利于 规范 市场秩序， 提升企业诚信度， 促进 信息服务 行业 的健康发展。 第二条 计算机信息系统安全服务等级证的评定，依据广东省计算机信息系统安全保护条例 、广东省计算机信息系统安全保护管理规定 ，参照国家工业和信息化部发布的行业标准网络与信息安全应急处理服务资质评估方法、网络与信息安全风险评估服务能力评估方法等法规和规定，由业内权威专家、资深学者及中高级工程技术人员组成评审委员会，严格按照评审程序进行评定。 第二章 评定标准 第一条 广东省信息网络服务协会 颁布的 计算机信息系统安全服务等级评定标准 ，适用于在中华人民共和国境内从

3、事 计算机信息系统（包括 计算机机房）安全设计、建设、检测、维护、监理等业务的 信息 服务机构 资质评定。 申请 资质评定的 信息 服务机构 ，须经中国工商行政管理部门登记注册、具有独立法人资格 ；遵守国家现行法律、法规的规定；有一支稳定的信息 （安全） 服务团队，完成一定数量的信息安全服务项目且通过验收； 具有组织管理制度、质量保证体系和客户服务体系 ； 没违法犯罪记录证明材料及工商部门或银行出具的诚信证明 。 第二条 依据广东省计算机信息系统安全保护条例、广东省计算机信息系统安全服务管理办法等规定，将 安全服务机构 的 服务 能力划分为四个等级，四级为基础级 ，依次递升，一级为最高等级。

4、一级： （一）具有相应经营范围的营业执照。 （二）取得等级证二级满一年以上。 （三 ）注册资本 1200 万元以上，近 3 年的财务状况良好。 （四 ）近 3 年完成计算机信息系统安全服务项目总值 3000 万元以上，并承担过至少 1 项 450 万元以上或至少 4 项 150 万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的 30以上（即不低于 900 万元）；工程按合同要求质量合格，已通过验收并投入实际应用。 2 （五 ）具有计算机安全或相关专业资格证书的专业技术人员不少于 50 人，其中大学本科

5、以上学历的人员不少于 40 人。 （六 ）安全服务工作的管理人员应当具有 5 年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于 5 年。 （七 ）具有较强的综合实力，有先进、完整的软件及系统开发环境和设备，具有较强的技术开发能力。 （八 ）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控 制，并能不断改进。 （九 ）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。 （十 ）竣工项目均通过验收。 （十 一 ）无触犯计算机信息系统安全保护等有关法律法规

6、的行为。 二级： （一）具有相应经营范围的营业执照。 （二）注册资本 500 万元以上，近 3 年的财务状况良好。 （三）近 3 年完成计算机信息系统安全服务项目总值 1500 万元以上，并承担过至少 1 项 225 万元以上或至少 3 项 120 万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的 30以上（即不低于 450 万元）；工程按合同要求质量合格，已通过验收并投入实际应用。 （四）具有计算机安全或相关专业资格证书的专业技术人员不少于 40 人，其中大学本科以上学历的人员不少于 30 人。 （

7、五）安全服务工作的管理人员应当具有 4 年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于 4 年。 （六）具有先进、完整的软件及系统开发环境和设备，有较强的技术开发能力。 （七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制。 （八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。 （九）竣工项目均通过验收。 （十）无触犯计算机信息系统安全保护等有关法律法规的行为。 3 三级： （一）具有相应经营范围的营业执照。 （二）注册资本 100 万元以

8、上，近 3 年的财务状况良好。 （三）近 3 年完成计算机信息系统安全服务项目总值 600 万元以上；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的 30以上（即不低于 180 万元）；工程按合同要求质量合格，已通过验收并投入实际应用。 （四）具有计算机安全或相关专业资格证书的专业技术人员不少于 20 人，其中大学本科以上学历的人员不少于 15 人。 （五）安全服务工作的管理人员应当具有 3 年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于 3 年。 （六）具有与

9、所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力。 （七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理。 （八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。 （九）竣工项目均通过验收。 （十）无触犯计算机信息系统安全保护等有关法律法规的行为。 四级： （一）具有相应经营范围的营业执照。 （二）注册资本 30 万元以上，近 3 年的财务状况良好。 （三）具有计算机安全或相关专业资格证书的专业技术人员不少于 15 人，其中大学本科以上学历的人员不少于 9 人。 （四）安全服务工作的管理人员应当具有 2 年以上从事计算机信息系统安全技

10、术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不 少于 2 年。 （五）具有与所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力。 （六）具有较为完善的组织管理制度、质量保证体系和客户服务体系。 （七）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。 4 （八）竣工项目均通过验收。 （九）无触犯计算机信息系统安全保护等有关法律法规的行为。 第三章 评定程序 第一条 评定模式 文档审核 +现场 审核 + 获证后监督 。 第二条 评定的基本环节 (1) 申请及受理 (2) 文档审核 (3) 现场审核

11、 (4) 颁证决定 (5) 获证后监督 (6) 再评定 第三条 申请及受理 申请方按照要求自愿向协会资质认证部 提交 下列资料： （ 1）计算机信息系统安全服务等级申请书； （ 2）营业执照复印件； （ 3）管理人员和专业技术人员的身份证明、 学历 和技术资质 证明 、 计算机安全培训合格证书； （ 4）技术装备情况及组织管理制度报告。 第四条 文档审核 一、协会认证部应 自接到申请材料之日起 5 个工作 日内对申请材料进行 检查 。 材料合规的 ， 出具受理通知书， 同时，申请单位需向协会 缴纳相关的费用 ； 材料不合规的，按 要求补交相关资料。 二、对已 受理的 申请单位 ， 协会认证部应

12、在 5 个工作日内组织评审员对文档进行审核， 评审员应根据评定依据、程序等要求，及时对申请方提交的申请文件和资料进行审核并保存审核记录。 文档审核合格的，在 10 个工作日安排现场审核并出具现场审核通知单。 文档审核不合格的，退回申请并说明理由。 第五条 现场审核 5 一、协会 认证部组成审核组 , 并与 申请相关单位进行事前 沟通，确定现场调查相关事项 及时间 安排，包括企业资料准备的具体要求。 二、审核组 实施现场 审核 ， 通过检查、观察、访谈 等方式 ，对申请方的信息安全服务管理能力 、技术能力、 工作环境、财务状况、管理制度、各类资格证书 等进行验证，并 编制企业资质评定报告 。 第

13、六条 颁证决定 一 、 等级评价及评价决定是由资质评审委员会执行。资质评审委员会至少由 3 名以上（含 3 名）奇数资质评审人员组成。 二、资质评审人员依据评定标准、评定程序与实施规则的要求及相关标准，结合审核过程中收集的信息（对于存在不符合项的情况，必须通过整改并由审核组验证通过），对审核结果进行综合评价，做出“符合”或“不符合”的决定。对于符合评定要求的申请方，协会应颁发对应的等级证书并在相关媒体上予以公告。 对于不符合 评定要求的申请方，协会应以书面的形式明示其不能获得证书的原因。 第七条 对评定决定的申诉 申请单位如对评定决定结果有异议，可在 10 个工作日内向 评审委员会 申诉， 评

14、审委员会 自收到申诉之日起，应在 15 个工作日 内进行处理，并将处理结果书面通知申请方。 第八条 获证后监督 第 一 条 、 证书实行年审制度 ，年度期满 前 后一个月内进行监督审核（以证书颁发日期为准） ， 审核工作 由 协会 项目管理人员提前 半个 月通知获证方。 第二条、 年度检查 一般情况下 采用文档审核 和现场审核 的方式， 当信息服务提供方的信息服务发生重大事故、客户投诉 ，或组织结构、人员等方面发生重大变更等时，协会资质认证部视情况可 增加年度监督次数 ，并对有关年审及资质进行重新认定 。 参加年审的获证单位应提交如下资料 : （ 1）计算机信息系统安全服务等级评定年审申请书；

15、 （ 2）计算机信息系统安全服务等级证副本（原件）； （ 3）工商营业执照（副本）复印件； （ 4）本年度审核时段所有承接的安全服务项目合同复印件； （ 5）本单位安全服务人员参加信息网络安全专业技术人员继续教育培训证书复印件； （ 6）本年度获奖、标准和其他资质认证情况的相应证书复印件； 6 （ 7） 2013 年度财务审计报告 ； （ 8）其他材料如：遵守国家有关法律法规和本省有关规定，用户投诉及处理情况，符合等级证颁发条件的有关情况。 二、 监督审核的结果评价 协会资质认证部 自接到申请材料之日起 15 日内 组织资质评审员 进行 审核 ，材料齐全，情况属实的，作出年审结论 。审核 不合

16、格的，退回申请并说明理由。 年审结论分为合格、降级、取消三种。 具备下列情形的，年审结论为合格： （ 1）遵守国家有关法律法规和本省有关规定； （ 2）上年度安全服务项目总值不低于本级资质条件规定的年均安全服务项目总值的四分之三（四级资质不低于 50 万元）； （ 3）用户 投诉基本能合理解决； （ 4）符合原等级证书颁发条件。 有下列情形之一的，年审结论为降级： （ 1）违反国家有关法律法规和本省有关规定，情节轻微； （ 2）上年度安全服务项目总值低于本级资质条件规定的年均安全服务项目总值的四分之三； （ 3） 10%以上的安全服务项目有用户投诉且未能合理解决； （ 4）不符合原等级证书颁发

17、条件。 有下列情形之一的，年审结论为取消： （ 1）违反国家有关法律法规和本省有关规定，情节严重； （ 2）年度安全服务项目总值低于 50 万元； （ 3） 20%以上的安全服务项目有用户投诉且未能合理解决； （ 4）情况发生变更，达不到 等级 证书颁发条件。 年审合格的，在 等级 证书副本和 计算机信息系统安全服务等级 评定 年审申请书上注明，加盖 协会 专用章。 年审结论为降级的，原 等级 证书作废，换发 等级 证书。 年审结论为取消的， 等级 证书作废，安全服务机构应当自接到年审结论之日起 10日内交回 等级 证书。 未按时参加年审的，年审结论视为取消。 从证书有效期结束一年内不得申请本

18、服务资质。 7 因特殊原因未年审的，应当书面说明理由，经批准，方可补办相关手续。 第九条 再评定 在证书有效期满的前二个月内，服务提供方可申请再评定。再评定程序与初 次评定程序相同。 第十条 证书 升 级 获证单位获得证书 满 一年 且年审合格 后，可申请 更高一级 资质 。 凡申请资质升级的单位，应向 协会 资质认证 部 提出申请，按照本 细则 第 三 章办理。 第四章 证书管理 第一条 证书分为正本和副本，正本和副本具有同等法律效力。 第二条 证书有效期 计算机信息系统安全服务等级证证书有效期为 3 年。 第三条 证书变更 (1)如果变更只涉及到注册地址、资金或法定代表人的变更，申请方须递交变更申请，经书面审核批准后，协会资质认证部仅对证书更新并收回原证书； (2)信息服务提供方 的组织机构发生重大调整、人员变动较大、拟变更业务范围时，应向协会资质认证部提出变更申请，并提交相关材料。协会资质认证部策划并实施适宜的审核活动，并按照要求做出评价决定。 第四条 注销证书 信息服务提供方因为自身原因申请注销证书，协会资质认证部应当给予注销。 证书注销和撤销后，协会资质认证部应收回证书，并在相关媒体上予以公告。