信息系統(tǒng)安全集成服務(wù)資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度。資質(zhì)級別分為一級、二級、三級共三個級別，其中一級最高，三級最低。安全集成服務(wù)提供方的服務(wù)能力主要從以下四個方面體現(xiàn)：基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過程能力；服務(wù)人員的能力主要從掌握的知識、安全集成服務(wù)的經(jīng)驗等綜合評定。

　　信息系統(tǒng)安全集成（以下簡稱：安全集成）服務(wù)資質(zhì)認證是依據(jù)ISCCC-SV-003:2011《信息系統(tǒng)安全集成服務(wù)資質(zhì)認證規(guī)則》開展。

　　ISCCC-SV-003:2011《信息系統(tǒng)安全集成服務(wù)資質(zhì)認證規(guī)則》是根據(jù)我國信息系統(tǒng)安全集成服務(wù)管理的要求，基于目前國內(nèi)安全集成服務(wù)商的實際情況，參考GB/T 20261-2006《信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型》、YD/T 1621-2007《網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評估準則》、ISO/IEC 21827-2008《信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型》等標準制定而成。該標準的評估對象是為信息系統(tǒng)所有者提供安全集成服務(wù)的組織。

　　該規(guī)則提出了安全集成服務(wù)提供者應(yīng)具備的服務(wù)能力要求，及實施安全集成服務(wù)資質(zhì)認證的程序與管理要求。在該規(guī)則中，安全集成服務(wù)能力要求包含基本資格、管理能力、技術(shù)能力與過程能力要求等內(nèi)容。

　　基本資格部分包括了服務(wù)提供者的注冊資本、從業(yè)經(jīng)驗、人員素質(zhì)要求、項目經(jīng)驗、固定工作場所等方面的要求。

　　管理能力部分包括應(yīng)制定技術(shù)和管理措施確?？蛻粜畔⒌陌踩?、可控；制定保密管理要求，明確保密崗位與職責，定期對服務(wù)人員進行保密教育與培訓；建立人員管理程序，使每一位服務(wù)人員持續(xù)滿足崗位職責的需求；按照持續(xù)改進的要求制定安全集成項目的管理制度；使用符合標準要求的檢查列表、文檔模板、測試工具；建立項目管理、質(zhì)量管理、信息安全管理體系文件。

　　技術(shù)能力部分包括與安全集成服務(wù)有關(guān)的服務(wù)方案、服務(wù)報告的制定能力；對安全集成系統(tǒng)進行檢驗和檢測的能力；具備安全集成服務(wù)所需工具的研發(fā)能力等。

　　過程能力部分是指安全集成服務(wù)過程的集成準備、方案設(shè)計、建設(shè)實施、安全保證四個關(guān)鍵階段。集成準備階段主要是界定安全需求、簽訂服務(wù)合同、確定服務(wù)人員、簽訂保密協(xié)議等；方案設(shè)計階段主要是充分考慮各方面的安全需求和安全背景，以設(shè)計出適用的項目方案；建設(shè)實施階段主要是在客戶環(huán)境中實現(xiàn)項目方案的預(yù)期安全目標和效果；安全保證階段主要是通過在安全方案設(shè)計階段、建設(shè)實施階段等過程中，收集客戶的安全需求已經(jīng)得到滿足的證據(jù)。

信息系統(tǒng)安全集成服務(wù)資質(zhì)認證流程

　　信息系統(tǒng)安全集成服務(wù)資質(zhì)的服務(wù)過程分為四個階段：集成準備、方案設(shè)計、建設(shè)實施、安全保證。

　　1、集成準備階段主要是界定安全需求、簽訂服務(wù)合同、確定服務(wù)人員、簽訂保密協(xié)議等；

　　2、方案設(shè)計階段主要是充分考慮各方面的安全需求和安全背景，以設(shè)計出適用的項目方案；

　　3、建設(shè)實施階段主要是在客戶環(huán)境中實現(xiàn)項目方案的預(yù)期安全目標和效果；

　　4、安全保證階段主要是通過在方案設(shè)計階段、建設(shè)實施階段等過程中，收集客戶需求已經(jīng)得到滿足的證據(jù)。

　　信息系統(tǒng)安全集成服務(wù)資質(zhì)的認證過程分為五個階段：提交申請、文檔審核、現(xiàn)場審核、認證決定、證后監(jiān)督。

信息系統(tǒng)安全集成服務(wù)資質(zhì)認證周期

　　信息系統(tǒng)安全集成服務(wù)資質(zhì)一級的認證時限是指自申請被正式受理之日起至頒發(fā)認證證書時止所實際發(fā)生的時間，其中包括認證受理、文檔審核、現(xiàn)場審核、認證決定以及證書頒發(fā)環(huán)節(jié)。 申請信息系統(tǒng)安全集成服務(wù)資質(zhì)一級的大概完成時間是4-6個月。

信息系統(tǒng)安全集成服務(wù)資質(zhì)認證注意事項

　　信息系統(tǒng)安全集成服務(wù)資質(zhì)認證模式，需要提醒申請的企業(yè)注意：

　　認證模式：現(xiàn)場檢查 + 特定服務(wù)檢查 + 獲證后監(jiān)督

　　1、現(xiàn)場檢查是在文檔審核通過后，審核組到申請方的注冊地址或業(yè)務(wù)量較集中的辦公地址進行的標準符合性驗證活動。

　　2、特定服務(wù)檢查是審核組對申請方的服務(wù)團隊進行的特定服務(wù)過程演示或到客戶現(xiàn)場見證服務(wù)過程的檢查活動，從而判定該申請方的服務(wù)能力。

　　3、獲證后監(jiān)督是確保獲證方在獲證后能夠持續(xù)滿足標準的要求，在證書的三年有效期內(nèi)認證機構(gòu)對獲證方進行一或兩次現(xiàn)場監(jiān)督審核。

　　注意：如有特殊情況發(fā)生，認證機構(gòu)可增加監(jiān)督審核頻次。

信息系統(tǒng)安全集成服務(wù)資質(zhì)認證常見問題

　　1、信息系統(tǒng)安全集成服務(wù)資質(zhì)一級認證證書的有效期是多久？

　　答：信息系統(tǒng)安全集成服務(wù)資質(zhì)一級認證證書有效期為3年。

　　2、證書到期前多久，可以申請再次認證？

　　答：在認證證書有效期滿的前三個月內(nèi)，服務(wù)提供者可申請再認證。再認證程序與初次認證程序相同。

　　3、信息系統(tǒng)安全集成服務(wù)提供者出現(xiàn)何種情形之一的，認證機構(gòu)應(yīng)當暫停認證證書？

　　答：（1） 未按規(guī)定及時接受監(jiān)督審核或再認證；（2） 未按規(guī)定使用認證證書；（3） 監(jiān)督結(jié)果證明信息系統(tǒng)安全集成服務(wù)提供者的信息安全服務(wù)能力不符合認證要求，但不需要立即撤銷認證證書。暫停期限一般為三個月。在三個月內(nèi)，申請方可提出恢復(fù)證書的申請，認證機構(gòu)經(jīng)審核、批準后方可使用該證書。在認證證書暫停期間，申請方不得繼續(xù)使用證書。

　　4、信息系統(tǒng)安全集成服務(wù)提供者出現(xiàn)何種情形之一的，認證機構(gòu)應(yīng)當撤銷其認證證書？

　　答：（1） 監(jiān)督結(jié)果證明信息系統(tǒng)安全集成服務(wù)提供者的信息安全服務(wù)能力不符合認證要求，應(yīng)立即撤銷證書的；（2） 認證證書暫停使用期間，信息系統(tǒng)安全集成服務(wù)提供者未采取有效糾正措施；（3） 信息系統(tǒng)安全集成服務(wù)提供者出現(xiàn)嚴重責任事故，影響其繼續(xù)有效提供集成服務(wù)（4） 信息系統(tǒng)安全集成服務(wù)提供者不接受認證機構(gòu)對其實施的監(jiān)督或未申請再認證。