信息安全服務資質認定流程簡介

    眾所周知，信息安全服務資質認定是對信息安全服務機構提供安全服務的資格，包括法律地位、資源狀況、管理水平、技術能力等方面資質和能力進行評估。資質認定是對信息系統安全服務提供者的技術、資源、法律、管理等方面的資格質和能力，以及其穩定性、可靠性進行評估，并依據公開的標準和程序，對其安全服務保障能力進行認定的過程。認定過程也將有效促進服務提供方完善自身管理體系，提高服務質量和水平，引導行業健康規范發展。

      對于資質的申請過程，為了解除首次申請流程上的疑惑，將其大致概括為從申請到證后監督共5個階段。

      由于資質頒發機構不止一家，下面以其中一家資質頒發機構——中國信息安全測評中心的資質申請流程進行介紹。

一、申請階段

  申請委托人將申請材料，包括：服務資質認證申請書；獨立法人資格證明材料；從事信息安全服務的相關資質證明；與提供服務的公司簽訂的合同復印件，公司負責人簡歷和相關資質公司組織結構證明材料；具備固定辦公場所的證明材料；項目管理制度文檔；信息安全服務質量管理文件；項目案例及業績證明材料；信息安全服務能力證明材料等，提交至認證機構。

  其中最重要也最花費時間的是認證申請書，需要結合企業人員場地，財力物力，基礎技術支撐能力，服務能力，行業地位和影響，未來業務發展以及實際實施過的具體案例（包括流程，方法論，以及中間文檔的實例）來證實在實際項目中，是如何操作執行的，用充足的實踐證明來獲得認證機構的信任和認可

二、資格審查階段

我們在向資質認證機構提交正式的申請書、申請資料之后，認證機構對提交的資料進行形式化審查并與申請單位進行調查溝通，以確認我們是否滿足資質的基本資格要求，提交的申請材料是否完整有效。當發現資料有缺失或者偏差時，申請單位會接到補充和調整資料的通知，根據具體情況進行改進。資料如何能全面展現申請單位的過程能力？根據我們所經歷的經驗教訓，需要著重注意以下幾點，以避免返工，踩雷：

1. 避免過于形式化的文檔流程（比如表單、技術流程和模板）的列舉，更應著重詳盡提供在項目實際執行中的證據材料作為支持依據。資質認證機構雖然也很注重各機構在工程項目實施過程中的規范性、標準化，但畢竟這些技術標準和流程要求只是技術方面的實踐總結，各項目人員是否有相關的能力在工程實施過程中深度結合客戶實際，準確分析和有效落實工程項目實施的模型、方法、流程、工具，進而能進行安全方面的需求分析、安全規劃、安全設計、安全開發、安全集成建設、安全運維、監控和應急，也是認證機構重點關注的內容。因此，具體項目的中間過程文檔資料也是提交的材料的重點。

2. 所提供的合同附件需要針對相應的標準框架。合同的名稱、內容，需要完全切合所申請的資質所要求的能力。例如，申請風險評估項目的資質，所出具的合同必須是包含風險評估條款的服務合同。

3. 關于其他工作的準備。資料審查通過后，將向申請組織發出受理通知，并根據通知時限進行相關認證費用繳納、合同的簽報、排期預約、上傳客戶端、文檔打印刻盤，寄送等事項。該類事項，由于往往需要走公司對應流程，建議預留足夠時間，避免耽誤最終評審，避免延誤最終評審。

三、能力測評階段

該階段分為靜態評估、現場審核、綜合評定、認證審核四個步驟：

1. 靜態評估是對申請組織進行符合性檢查，通過閱讀，分析被審核機構申請前期提交的紙質版、電子版申請材料和相關資質，進行進一步的審閱，以判斷該組織是否滿足最基本的申請資格，粗略了解申請組織的信息安全相應證據是否提交，為之后的現場審核或集中審核做準備。若該階段發現有不符合要求的內容，或缺失的證據和資質材料，會要求申請組織單位補充材料，確保申請資料的內容最大程度反映申請組織的能力和資格情況。

2. 現場審核是當靜態評估通過后，測評中心與申請組織現場溝通審核事宜，發出現場審核計劃與通知，安排審核組在審核現場當面就項目資料、方法論、實施過程等對相關技術人員進行提問，以更真實地了解項目實施過程、實施方法等來確定是否實際具備該能力。審核的方式有現場審核或集中審核，后者需要主管領導和技術人員，相應配合人員前往認證機構進行現場答辯，所以需要更加充分的前期資料準備。評審后一般會當場提供審核結果。

3. 綜合評定階段是匯集資格審查，靜態審核，現場審核的結論，對申請組織的資格、基本能力、以及相應申請資格所要求的各種能力進行綜合評定，出具評定報告。對不符合結果做出限期整改的要求，當申請組織完成整改并提交整改報告后，測評中心將對整改結果做統一驗證，整改后仍然不符合的將不能通過認證。

4. 認證審核是根據綜合評定的結果，由認證決定委員會組織相關委員和專家進行認證審核，并做出認證決定。

四、 證書發放階段

對通過認證決定的申請組織，CNITSEC將發放證書，并在網站、報刊雜志等媒體上公布獲證組織的相關信息。一般來說，證書審批、制作和發放大約的周期為幾周到幾個月不等，不同的認證機構時間略有不同，考慮到證書申請、測評、發放等時間周期因素，為了確保證書不在時間上失效而影響業務和投標，證書申請工作最好在證書到期前至少4-6個月就開始準備。

五、證后監督階段

雖然獲得了證書，但并不代表從此萬事大吉，只是本階段的工作暫時告一段落。獲得資質的組織需通過持續發展自身信息安全災難恢復服務體系以保持其相應的信息安全能力。不同的證書根據不同年份進行維持換證等工作，在認證有效期內實行確認制度，獲證組織提交年度審查表并辦理年檢。如果監督發現組織不符合原認證要求的，將要求其整改，若還不符合，則有權暫?；蛘呷∠C書。

由此可見，對于信息安全測評機構資質的認定也是相當高要求的，不僅要滿足標準要求的文件化信息安全管理體系，還要有運行經驗，大量實施案例等等。申請的過程也是較為復雜，提交的資料必須完整覆蓋到要求的每個方面。