申请信息安全服务（风险评估二级）资质认定要求？

信息安全服务资质（风险评估二级）为计划跟踪级，要求满足基本资格的信息安全风险评估服务组织通过建立有效的质量管理体系，使安全风险评估能力方面实施安全风险评估的过程规范被定义、标准化和文档化，实施风险评估过程时能普遍按照规范执行，通过跟踪发现风险评估过程中的重大偏离并采取纠正措施，从而使组织的安全风险评估能力达到部分可重复的水平。

申请信息安全服务（风险评估二级）资质的组织需要在基本资格、基本能力、质量管理和安全风险评估过程能力等几个方面符合《信息安全服务资质具体要求（风险评估二级）》的规定。

申请信息安全服务（风险评估二级）资质认定咨询专线：020-32206063

一、基本资格要求

基本资格要求是评定信息安全服务资质的起评条件。申请信息安全服务（风险评估二级）资质的组织必须：

1、是具有独立法人地位的实体；

2、获得相关主管部门的批准；

3、遵守国家现行法律法规；

4、达到其他补充要求。

二、基本能力要求

基本能力的要求包括：技术能力要求，资源配置要求（包括人员构成与素质要求、设备、设施与环境要求），规模与资产要求和业绩要求。

申请信息安全服务（风险评估二级）资质的组织应该：

1、从事信息安全服务行业3年以上；

2、注册资本应在500万元以上，资产总额在200万元以上；

3、近3年的财务状况良好；

4、从事信息安全服务的人力资源充足、人员结构合理、技术队伍相对稳定，拥有专职的注册信息安全专业人员（CISP）数量不少于从事安全风险评估服务专业技术人员的10%，但不得少于4人；

5、具有安全可靠的信息安全风险评估工具或设备；

6、近3年完成信息安全服务风险评估项目总值应在200万元以上。

三、质量管理要求

申请信息安全服务（风险评估二级）资质的组织，在质量管理方面应该：

1、建立合理的组织架构来满足信息安全风险评估服务的实施和管理，信息安全风险评估服务技术部门相对独立；

2、建立合理的管理架构来满足信息安全服务的管理，建立有效的技术管理、质量管理和组织管理机制；

3、建立有效的质量管理体系，至少满足支持信息安全风险评估技术能力达到计划跟踪级所需的相关管理能力要求。

四、安全风险评估过程能力要求

安全风险评估过程能力方面的要求是信息安全风险评估服务资质的核心要求。申请信息安全服务（风险评估二级）资质的组织应该：

1、根据国内外信息安全风险评估标准，形成完整的可执行的信息安全风险评估规范，用于指导具体的信息安全风险评估项目，包括评估方法、评估流程、评估步骤等等；

2、.验证安全风险评估实施过程与规范的一致性；

3、通过可测量的计划跟踪过程的实施情况，当过程实施与计划产生重大偏离时应采取纠正措施。

风险评估一级资质认定流程？