运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以求防范和化解信息安全风险，或将风险控制在可接受的水平。

  1、申请方基本情况，具体内容参见《信息安全服务资质认证申请书》。

    1.1、申请单位简介；    

    1.2、独立法人及组织机构职能介绍；

    1.3、服务人员简介及人员汇总表；

    1.4、近三年的服务项目汇总表；

    1.5、独立的工作环境与相应的设备情况介绍；

    1.6、最近两年的财务状况；

    1.7、相关资质证明材料（复印件）；

    1.8、申请方声明。

  2、服务管理与技术能力介绍（符合相关等级要求）

    2.1、项目管理制度及落实情况的证明材料；

    2.2、质量管理制度及落实情况的证明材料；

    2.3、信息安全管理制度及落实情况的证明材料；

    2.4、服务流程及操作规范；

    2.5、相关的服务技术能力证明材料；

  3、服务过程能力：

    3.1、一个已完成的服务案例。

  4、文件资料：

    4.1、信息安全服务资质认证申请书；

    4.2、独立法人资格证明材料；

    4.3、从事信息安全服务的相关资质证明；

    4.4、工作保密制度及相应组织监管体系已建立的证明材料；

    4.5、与信息安全服务人员签订的保密协议复印件；

    4.6、人员构成与素质证明材料；

    4.7、公司组织结构证明材料；

    4.8、具备固定办公场所的证明材料；

    4.9、项目管理制度文档；

    4.10、信息安全服务流程；

    4.11、信息安全服务规范性文件；

    4.12、信息安全服务质量管理文件（一、二级）；

4.13、项目案例及业绩证明材料等。

一、准备阶段

1、需求调研与分析：

①、采集客户对信息系统运维服务时间的需求；

②、进行信息系统运维预算，定义运维服务；

③、与客户进行沟通，达成共识并形成记录；

2、运维服务设计：

①、制定安全运维服务目录，包括但不限于：初始服务、安全设备运维、日常巡检服务、健康 检查、安全事件审计；

②、对信息系统相关的IT资产进行识别；

③、对安全设备进行日常维护及监控，并记录硬件故障；

④、提供安全设备、业务系统的健康检查服务，并约定服务方式、检查频次和检查内容；

⑤、采集系统配置、流量信息、系统状态等安全信息。收集与分析网络及安全设备、服务器、操作系统、网络应用的日志；

3、运维服务导入：

①、收集与建立配置管理数据库，确保配置项目的机密性、完整性、可用性；

②、专业人员负责安全管理的接口；

③、建立服务目录；

④、建立事件响应和解决的机制，有基本的安全运维报告模式；

4、明确服务协议特殊要求：

①、明确安全事件处理与应急响应流程，包括但不限于：安全事件的分类、安全事件上报流程、 安全事件处理流程、安全事件的事后处理；

②、明确安全运维方式，包括但不限于：驻场值守方式，定期巡检方式，远程值守方式；

二、运维服务实施阶段：

1、实施初始服务：完成资产识别，定期配置项的更新和维护，实施相关运维流程；

2、实施安全设备运维服务：完成日常维护，状态检查，定期查杀，故障处理、保养、更新、升级、故障检测及排除，并对安全设备出现的硬件故障进行统计记录；

3、实施日常巡检服务：完成安全设备监控；病毒监测、查杀及网络防病毒维护，并有相关记录；

4、实施健康检查服务：完成安全设备、业务系统的健康检查服务；

5、实施安全事件审计服务：完成网络及安全设备日志、服务器、操作系统、网络应用的日志、并且进行记录；

6、组建运维服务台职能，培养服务台人员的专业能力；

7、建立事件管理程序和信息安全服务请求管理程序；

三、运维监视评审阶段：

1、应定期收集与分析安全运维报告的数据，包括但不限于：异常报告及时率、异常漏报率、 维护作业计划的及时完成率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描 覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数；

2、对运维实现情况进行监视测量，未能实现的目标应采取纠正预防措施；

3、建立与分析客户满意度调查；

四、运维持续改进阶段：

1、应在运维过程和监视过程中识别改进项目，制定持续改进计划，包括但不限于对改进机会的评估标准；

2、应有文件化的程序，用以识别、记录、批准、评估、测量和报告改进措施；

3、应采取预防措施，以消除潜在的不符合项的原因，以防止其发生。

一、自评估：

组织在中国信息安全认证中心网站下载《信息安全服务自评估表》，并实施自主评估；

二、认证申请：

组织依据信息安全服务资质认证程序、认证实施规则中相关要求，确定申请服务资质类别，并填写《信息安全服务资质认证申请书》。组织向中国信息安全认证中心或其指定机构提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料；

三、申请材料评审：

中心依据认证程序和相关标准要求，对申请组织提交的认证相关材料进行评审，并确定申报级别和资质类别，签订认证合同；

四、现场评审：

认证机构组成评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。特别，对申请一级资质认证的组织，必要时选择申请组织的客户进行项目实施现场见证；

五、认证决定：

认证决定委员会由3名以上（含3名）奇数认证决定人员组成，做出认证决定；

六、证书颁发：

对于符合认证要求的申请组织，颁发认证证书，并予以公示。

6-8个月。