信息安全服务资质评定实施办法

第一章 总则

第一条 为做好信息安全服务资质（以下称信安资质）评定工作，制定本实施办法。

第二条 本办法所称信息安全服务是指由供应商、组织机构或人员执行的一个安全过程或任务。主要包括信息安全风险评估、信息安全应急处理、信息系统安全集成、信息系统灾难备份与恢复、软件安全开发、信息安全运维、网络安全审计、工业控制系统安全等服务。

第三条 本办法所称信息安全服务资质评定是指中国计算机信息系统集成行业协会（以下称系统集成协会）依据本管理办法对从事信息安全服务企业的综合能力和水平所进行的评价和评定。

信息安全服务企业的综合能力和水平包括经营业绩、财务状况、信誉、管理能力、技术实力和人才实力等要素。

第四条 本办法所称信息安全项目管理人员是指由企业正式聘用，熟悉信息安全技术和项目管理专业知识，具备一定工程项目管理工作经验和能力，具有较好的信誉，并受所属企业委托对信息安全项目进行全面管理的项目负责人。

信息安全项目管理人员包括信息安全项目经理和信息安全高级项目经理两个等级。系统集成协会对信息安全项目管理人员实施登记管理。

第五条 系统集成协会信息系统集成资质工作委员会（以下称系统集成协会资质工作委员会）负责信息安全服务企业资质评定和信息安全项目管理人员登记的管理工作。系统集成协会信息系统集成资质工作办公室（以下称系统集成协会资质办）作为系统集成协会资质工作委员会的日常办事机构，负责信息安全服务企业资质评定和信息安全项目管理人员登记的具体组织实施工作。

第二章 资质等级评定条件

第六条 信安资质分为一级、二级、三级、四级四个等级，其中一级最高，四级最低。

第七条 一级资质评定条件

（一）具有独立法人资格，在中国市场监督管理部门登记注册，注册资本和实收资本不少于5000万元。

（二）近三年的信息安全服务收入总额不少于3亿元。

（三）拥有固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。办公场地面积不少于1500平米。

（四）应建立完备的质量管理体系、信息安全管理体系、信息技术服务管理体系，将服务项目纳入与管理体系相符合的管理流程或管理工具中，体系须通过国家认可的第三方认证机构认证，且连续有效运行时间不少于一年。

（五）企业主要负责人从事信息安全服务企业管理的经历不少于5年，拥有3年以上信息技术领域管理经历。

（六）企业主要技术负责人具备信息安全服务对应类别管理能力，应具有与服务类别一致的高级工程师资格，且从事信息安全服务类别对应技术工作的经历不少于5年。

（七）企业从事信息安全服务的人员不少于200人。

（八）经过登记的信息安全服务项目管理人员人数不少于17人，其中高级项目经理不少于6人。

（九）企业具有与承接信息安全项目相适应的施工及检测设备。具有完善的质量、安全生产管理体系。具有完善的人事、财务等档案管理制度。具有完善的售后服务管理体系。

第八条 二级资质评定条件

（一）具有独立法人资格，在中国市场监督管理部门登记注册，注册资本和实收资本不少于1000万元。

（二）近三年的信息安全收入总额不少于3000万元。

（三）拥有固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。办公场地面积不少于500平米。

（四）应建立完备的质量管理体系，建立信息安全管理体系或信息技术服务管理体系，将服务项目纳入与管理体系相符合的管理流程或管理工具中，体系须通过国家认可的第三方认证机构认证，且连续有效运行时间不少于一年。

（五）企业主要负责人从事信息安全服务企业管理的经历不少于4年，拥有2年以上信息技术领域管理经历。

（六）企业主要技术负责人具备信息安全服务类别管理能力，应具有与服务类别一致的高级工程师资格，且从事信息安全服务类别对应技术工作的经历不少于4年。

（七）企业从事信息安全服务的人员不少于50人。

（八）经过登记的信息安全服务项目管理人员人数不少于7人，其中高级项目经理不少于2人。

（九）企业具有与承接信息安全项目相适应的软硬件设备。具有完善的保密管理体系。具有完善的人事、财务等档案管理制度。具有完善的售后服务管理体系。

第九条 三级资质评定条件

（一）具有独立法人资格，在中国市场监督管理部门登记注册，注册资本和实收资本不少于100万元。

（二）近三年的信息安全收入总额不少于300万元。

（三）拥有固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。办公场地面积不少于150平米。

（四）应建立质量管理体系，体系须通过国家认可的第三方认证机构认证，且连续有效运行时间不少于一年。

（五）企业主要负责人从事信息安全服务企业管理的经历不少于2年，拥有1年以上信息技术领域管理经历。

（六）企业主要技术负责人具备信息安全服务类别管理能力，应具有与服务类别一致高级工程师资格，且从事信息安全服务类别对应技术工作的经历不少于2年。

（七）企业从事信息安全服务的人员不少于10人。

（八）经过登记的信息安全服务项目管理人员人数不少于4人。

（九）企业具有与承接信息安全项目相适应的软硬件设备。具有完善的保密管理体系。具有完善的人事、财务等档案管理制度。具有完善的售后服务管理体系。

第十条 四级资质评定条件

（一）具有独立法人资格，在中国市场监督管理部门登记注册。

（二）具有与从事信息安全业务相适应的注册资本和实收资本。

（三）拥有固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。

（四）建立完备的质量管理体系，有效运行时间不少于一年。

（五）企业主要负责人从事信息安全服务企业管理的经历不少于1年。

（六）企业主要技术负责人具备信息安全服务类别管理能力，应具有与服务类别一致工程师资格，且从事信息安全服务类别对应技术工作的经历不少于1年。

（七）企业从事信息安全服务的人员不少于5人。

（八）信息安全服务项目管理人员人数不少于2人。

（九）企业具有与承接信息安全项目相适应的软硬件设备。具有完善的保密管理体系。具有完善的人事、财务等档案管理制度。具有完善的售后服务管理体系。

第三章 资质的申请及评定

第十一条 申请企业通过系统集成协会网站（www.xtjcxh.org）进入信息系统集成及服务资质管理系统填写递交申请。

第十二条 网上初审通过后，由系统集成协会资质办组织开展实地评审。

第十三条 实地评审过程中，申请企业应根据所申请的等级，及对应的资质等级评定条件，提交相关证明材料。申请单位在申报材料中弄虚作假的，取消其评定资格。

第十四条 经实地评审，对于符合条件的企业，由系统集成协会资质办将相关资料提交系统集成协会资质工作委员会终审，终审通过后录入系统集成协会资质查询系统进行公示，无异议的企业由系统集成协会资质办核发资质证书。

第十五条 法定代表人、企业名称、营业地址发生变化的企业应在发生变化之日起30日内，向系统集成协会提出变更申请。申请受理后，按照本管理办法相关规定进行审查，对符合条件的，更换资质证书。

第十六条 资质证书有效期三年，证书有效期截止前一个月审核换发，逾期换发的视为自动放弃。

第十七条 持证企业存在下列问题之一的，视情降低资质等级或取消资质证书：

持证企业存在下列问题之一的，视情降低资信等级或取消资信等级证书：

（一）不符合资质等级相应条件的。

（二）信息安全项目缺乏有效的质量管理制度，或虽有制度，但未落实的。

（三）企业在经营中有严重违规行为或重大工程质量问题的。

（四）近三年内累计的信息安全收入总额达不到对应资质等级评定条件的。

第四章 附则

第十八条 本办法由系统集成协会资质工作委员会负责解释和修订。

第十九条 本办法自发布之日起施行。