信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。

 1、申请方基本情况，具体内容参见《信息系统安全集成服务资质认证申请书》。

    1.1、申请单位简介；    

    1.2、独立法人及组织机构职能介绍；

    1.3、服务人员简介及人员汇总表；

    1.4、近三年的服务项目汇总表；

    1.5、独立的工作环境与相应的设备情况介绍；

    1.6、最近两年的财务状况；

    1.7、相关资质证明材料（复印件）；

    1.8、申请方声明。

  2、服务管理与技术能力介绍（符合相关等级要求）

    2.1、项目管理制度及落实情况的证明材料；

    2.2、质量管理制度及落实情况的证明材料；

    2.3、信息安全管理制度及落实情况的证明材料；

    2.4、服务流程及操作规范；

    2.5、相关的服务技术能力证明材料；

  3、服务过程能力：

    3.1、一个已完成的服务案例。

  4、文件资料：

    4.1、信息系统安全集成服务资质认证申请书；

    4.2、独立法人资格证明材料；

    4.3、从事信息系统安全集成服务的相关资质证明；

    4.4、工作保密制度及相应组织监管体系已建立的证明材料；

    4.5、与信息系统安全集成服务人员签订的保密协议复印件；

    4.6、人员构成与素质证明材料；

    4.7、公司组织结构证明材料；

    4.8、具备固定办公场所的证明材料；

    4.9、项目管理制度文档；

    4.10、安全集成服务流程；

    4.11、安全集成服务规范性文件；

4.12、项目案例及业绩证明材料等。

  1、基本资格：

    1.1、具有中华人民共和国境内的独立法人资格，具有相关部门颁发的合法经营资格；

    1.2、近两年内经济状况良好，财务数据真实可信，并应经国家相关部门认定的会计师事务所核实；

    1.3、具有固定的工作场所。

    1.4、遵守国家现行法律、法规的规定；

    1.5、注册资本：产权关系明晰，注册资本不少于500 万元人民币；

    1.6、人员素质要求：人员总数30人以上；信息系统安全集成服务人员10名以上；本科以上学历人员占机构总人数比例在60%以上；

    1.7、具有信息系统安全集成服务相关的资质人员至少2人（如，CISAW，信息安全管理体系审核员、CISSP，CISA 等）；至少有1人具有项目管理的资格证书。

    1.8、主要负责人应具有2年以上从事电子信息技术领域企业管理经历，主要技术负责人应获得电子信息技术类高级职称且从事安全集成技术工作不少于2年，财务负责人应具有中级以上职称。

    1.9、从业时间：从事信息系统安全集成服务一年以上；

    1.10、从业经验：独立完成省级范围的信息安全集成项目或大型企业的信息安全集成项目；近三年内至少完成6 个以上完整的信息安全集成项目且无客户投诉，项目合同总金额不少于300 万元人民币；至少完成一个100 万以上的集成项目。

  2、管理能力：

     2.1、采取技术和管理措施确保客户信息的安全、可控，这些信息包括但不限于客户资料、集成活动中产生的文档、最终安全集成报告等；

     2.2、制定保密管理要求，明确保密岗位与职责，定期对服务人员进行保密教育与培训，并签订《保密责任书》，规定应当履行的安全保密义务和承担的法律责任，并负责落实；

    2.3、建立人员管理程序，使每一位服务人员持续满足岗位职责的需求；制定安全集成技能培训计划，定期对服务人员进行培训、指导、考核；

    2.4、制定规范的项目管理制度，并按照项目管理制度实施，具体包括在项目实施过程中如何与组织内外的交流机制、规划关键技术活动、分配资源、指派责任、设立项目的里程碑及评审要求、日常的监督检查要求、编制过程文档、提供工具、确保培训、策划过程等，以保证安全服务的质量；

    2.5、制定项目风险管理制度，评估项目风险，制定项目风险控制措施并跟踪其有效性；

    2.6、制定符合标准要求的安全集成方案、报告等文档模板；

    2.7、制定针对供方的管理要求，包括准确识别供方提供的服务或系统构件及其专业资质和能力；并与供方的有效沟通机制等。

  3、技术能力：

    3.1、具备安全集成有关的工作流程及操作规范；

    3.2、具备制定安全集成方案并能够按照该方案实施的能力；能够提供信息系统安全集成服务报告、系统使用指南等文档；

    3.3、具备对安全集成完成的系统进行检测和验证的能力；

    3.4、熟悉国内外主流的信息技术产品、信息安全产品的功能及特性；

    3.5、具有满足项目需要的开发、测试工具或模拟环境；

    3.6、有专门的技术人员关注并掌握信息安全技术、标准和法规；关注国内外权威机构发布的安全公告及漏洞公告，对最新的安全相关技术进行研究。

  1、集成准备阶段主要是界定安全需求、签订服务合同、确定服务人员、签订保密协议等；

  2、方案设计阶段主要是充分考虑各方面的安全需求和安全背景，以设计出适用的项目方案；

  3、建设实施阶段主要是在客户环境中实现项目方案的预期安全目标和效果；

  4、安全保证阶段主要是通过在方案设计阶段、建设实施阶段等过程中，收集客户需求已经得到满足的证据。

  信息系统安全集成服务资质的认证过程分为五个阶段：提交申请、文档审核、现场审核、认证决定、证后监督。

信息系统安全集成服务资质三级的认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的时间，其中包括认证受理、文档审核、现场审核、认证决定以及证书颁发环节。 申请信息系统安全集成服务资质一级的大概完成时间是4-6个月。

  1、现场检查是在文档审核通过后，审核组到申请方的注册地址或业务量较集中的办公地址进行的标准符合性验证活动。

  2、特定服务检查是审核组对申请方的服务团队进行的特定服务过程演示或到客户现场见证服务过程的检查活动，从而判定该申请方的服务能力。

  3、获证后监督是确保获证方在获证后能够持续满足标准的要求，在证书的三年有效期内认证机构对获证方进行一或两次现场监督审核。

  注意：如有特殊情况发生，认证机构可增加监督审核频次。