申请信息安全服务（风险评估一级）资质的要求？

申请信息安全服务（风险评估一级）资质的组织需要在基本资格和基本能力、安全风险评估过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求（风险评估一级）》的规定。

信息安全服务（风险评估一级）资质认定咨询专线：020-32206063

一、基本资格要求

申请信息安全服务（风险评估一级）资质的组织必须是一个独立的实体，具有工商行政管理部门颁发的营业执照，并遵守国家现行法律法规。

二、基本能力要求

组织与管理要求：

1、必须拥有健全的组织和管理体系，为持续的信息安全风险评估服务提供保障；

2、必须具有专业从事信息安全风险评估服务的队伍和相应的质量保证；

3、与安全风险评估服务相关的所有成员要签订保密合同，并遵守有关法律法规。

技术能力要求：

1、了解信息系统技术的最新动向，有能力掌握信息系统的最新技术；

2、具有不断的技术更新能力；

3、具有对信息系统的状况进行调研、分析和描述的能力；

4、具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析能力；

5、具有对信息系统的资产及其影响进行识别、分析和评估的能力；

6、具有对信息系统的脆弱性进行识别分析和评估的能力；

7、具有根据信息安全风险的结果提出应对安全措施的能力；

8、具有应用国际国内最新信息安全风险评估方法的能力；

9、有跟踪、了解、掌握、应用国际、国家和行业标准的能力。

人员构成与素质要求：

1、具有充足的人力资源和合理的人员结构；

2、所有与信息安全服务有关的管理和销售人员应具有基本的信息安全知识；

3、有相对稳定的从事信息安全风险评估服务的技术队伍；

4、技术骨干人员应系统地掌握信息系统安全基础理论和核心技术，并有足够的专业工作经验；

5、必须有2名以上(含2名)专职的注册信息安全专业人员(CISP)。

设备、设施与环境要求：

1、具有固定的工作场所和良好的工作环境；

2、具有实施信息安全风险评估服务的相关工具和设备。

规模与资产要求：

1、有足够的注册资金和充足的流动资金；

2、具有与所申请安全服务业务范围、承担的安全风险评估规模相适应的服务体系；

3、有足够的人员从事直接与信息安全风险评估服务相关的活动。

业绩要求：

1、应有从事信息安全风险评估服务的经验；

2、近3年内在信息安全风险评估服务方面，没有出现验收未通过的情况。

三、安全风险评估过程能力要求

安全风险评估过程能力是评价信息安全风险评估服务专业水平高低的标志。申请组织应能实施以下6个安全风险评估过程域：

1、风险评估准备

2、评估系统资产的影响；

3、评估系统存在的脆弱性；

4、评估系统面临的安全威胁；

5、评估系统已有的安全措施；

6、评估系统的安全风险。

四、项目和组织过程能力要求

项目和组织过程能力是评价信息安全风险评估服务规范性和质量保证成熟度标志。申请组织应能实施以下6个项目和组织过程域：

质量保证；

管理项目风险；

规划技术活动；

监控技术活动；

提供不断发展的技能和知识；

与供应商协调。

风险评估一级资质认定流程？

五、风险评估一级资质认定流程

申请信息安全服务（风险评估二级）资质认定要求？

信息安全服务资质（风险评估二级）为计划跟踪级，要求满足基本资格的信息安全风险评估服务组织通过建立有效的质量管理体系，使安全风险评估能力方面实施安全风险评估的过程规范被定义、标准化和文档化，实施风险评估过程时能普遍按照规范执行，通过跟踪发现风险评估过程中的重大偏离并采取纠正措施，从而使组织的安全风险评估能力达到部分可重复的水平。

申请信息安全服务（风险评估二级）资质的组织需要在基本资格、基本能力、质量管理和安全风险评估过程能力等几个方面符合《信息安全服务资质具体要求（风险评估二级）》的规定。

申请信息安全服务（风险评估二级）资质认定咨询专线：020-32206063

一、基本资格要求

基本资格要求是评定信息安全服务资质的起评条件。申请信息安全服务（风险评估二级）资质的组织必须：

1、是具有独立法人地位的实体；

2、获得相关主管部门的批准；

3、遵守国家现行法律法规；

4、达到其他补充要求。

二、基本能力要求

基本能力的要求包括：技术能力要求，资源配置要求（包括人员构成与素质要求、设备、设施与环境要求），规模与资产要求和业绩要求。

申请信息安全服务（风险评估二级）资质的组织应该：

1、从事信息安全服务行业3年以上；

2、注册资本应在500万元以上，资产总额在200万元以上；

3、近3年的财务状况良好；

4、从事信息安全服务的人力资源充足、人员结构合理、技术队伍相对稳定，拥有专职的注册信息安全专业人员（CISP）数量不少于从事安全风险评估服务专业技术人员的10%，但不得少于4人；

5、具有安全可靠的信息安全风险评估工具或设备；

6、近3年完成信息安全服务风险评估项目总值应在200万元以上。

三、质量管理要求

申请信息安全服务（风险评估二级）资质的组织，在质量管理方面应该：

1、建立合理的组织架构来满足信息安全风险评估服务的实施和管理，信息安全风险评估服务技术部门相对独立；

2、建立合理的管理架构来满足信息安全服务的管理，建立有效的技术管理、质量管理和组织管理机制；

3、建立有效的质量管理体系，至少满足支持信息安全风险评估技术能力达到计划跟踪级所需的相关管理能力要求。

四、安全风险评估过程能力要求

安全风险评估过程能力方面的要求是信息安全风险评估服务资质的核心要求。申请信息安全服务（风险评估二级）资质的组织应该：

1、根据国内外信息安全风险评估标准，形成完整的可执行的信息安全风险评估规范，用于指导具体的信息安全风险评估项目，包括评估方法、评估流程、评估步骤等等；

2、.验证安全风险评估实施过程与规范的一致性；

3、通过可测量的计划跟踪过程的实施情况，当过程实施与计划产生重大偏离时应采取纠正措施。

风险评估一级资质认定流程？