一、 信息系统业务安全服务资质简介
《信息系统业务安全服务资质》是由中国通信工业协会设立并推出的，此资质分为横、纵两个维度，分别是行业服务方向和专业能力水平；
它是信息化建设企业在信息化项目建设中提供服务的一种能力标定，不涉及技术及产品标准，重点强调信息化建设企业的行业服务方向、安全服务意识和专业服务能力。
为搭建“矩阵式信息化建设企业管理平台”，中国通信工业协会依据国家相关规定和管理平台两个维度的建设要求，设立并推出了《信息系统业务安全服务资质》。
《信息系统业务安全服务资质》的审核是搭建“矩阵式信息化建设企业管理平台”的主要方法和中心环节。通过对资质的审核，确认各信息化建设企业的行业服务方向和专业能力水平，并将其纳入到管理平台中来，从而充分有效地发挥政府对信息化建设企业的管理、指导及支持等职能，同时也有利于不同行业的用户通过管理平台快速、准确地选择到合适的信息化建设企业。
 
二、信息系统业务安全服务资质评定管理办法
第一章 总则
第一条 为适应我国信息系统建设的业务安全保障需要，加强网络和信息系统业务安全服务市场的规范化管理，以利于不同行业的信息化建设单位选择承建单位，保障承建单位信息系统业务安全服务质量，推动行业健康发展，制定本办法。
第二条 本办法所称信息系统业务安全服务是指在业务系统信息化工程全生命周期内提供的包括保障信息系统的合理设计、顺利建立、安全运行、数据及各种指标安全保密、问题及故障及时排除、功能及业务模式正常升级等等在内的所有服务行为的统称。
第三条 本办法所称资质评定是指中国通信工业协会依据本办法和资质等级评定条件对信息化承建企业的综合能力和水平进行的评价和评定，按照不同行业分项颁发资质评定证书。信息化承建单位的综合能力和水平包括综合条件、财务状况、业绩要求、管理能力、技术实力和人才保障等要素。
第二章 工作机构
第四条 中国通信工业协会成立信息安全分会，负责协调、管理资质评定工作，主要包括：
（一）申报单位的评定和审批；
（二）颁发资质证书；
（三）获证单位年审；
（四）获证单位换证的评定和审批；
（五）获证单位资质证书升级、降级、增项、减项、停用、注销；
（六）定期和不定期公布以上资质管理结果。
第五条 中国通信工业协会信息安全分会设立资质认证办公室（以下简称资质认证办公室）作为中国通信工业协会资质工作委员会（以下简称资质工作委员会）的日常办事机构，负责具体组织实施资质评定工作。
第六条 根据资质评定工作的需要，资质认证办公室可在有必要的地区设立地方资质服务中心。地方服务中心依照资质认证办公室的委托在本地区开展资质评定的推广、服务和管理工作。
第七条 信息系统业务安全服务资质评审机构（以下简称评审机构）负责在资质认证办公室评定的范围内开展资质评审工作，包括对资质申报材料的完整性、真实性、有效性及与资质等级评定条件的符合性等方面进行第三方现场审核，并出具评审报告。评审机构分为一类机构和二类机构。一类评审机构可在授权区域内开展一级、二级和三级的资质评审工作。二类评审机构可在授权区域内开展三级资质评审工作。
第八条 信息系统业务安全服务资质咨询机构（以下简称咨询机构）负责在资质认证办公室评定的范围内开展资质咨询工作，包括协助申请资质评定的单位（以下简称申报单位）整理申报资质所需的资料和信息，对资质等级评定条件的符合性进行预审核，并出具推荐报告。
第九条 为确保第三方评审机构和咨询机构的工作公平、公正，并有效提升工作质量，资质认证办公室可委托其他见证机构对评审机构和咨询机构的现场评审或咨询服务过程进行见证，并出具见证报告。
第三章 资质设定
第十条 信息系统业务安全服务资质是对企业行业服务综合能力和水平的客观评价，服务资质分为一级、二级和三级，共三个等级，其中一级为最高等级。
第十一条 资质评定各等级所对应的信息化承建能力：
一级：具有独立承担国家级、省（部）级、行业级、地（市）级（及其以下）、大、中、小型企业及同等级别本行业信息系统建设的业务安全服务能力。
二级：具有独立承担省（部）级、行业级、地（市）级（及其以下）、大、中、小型企业级及同等级别的本行业信息系统建设的业务安全服务能力。
三级：具有独立承担中、小型企业级或合作承担大型企业级及同等级别的本行业信息系统建设的业务安全服务能力。
第十二条 信息系统业务安全服务资质行业分项分为：政府、公共服务、金融、电信、军工、商业、能源、工业企业，共计八个行业分项。各行业服务范围划分：
（一）政府分项服务范围：政府及政府常设机构等。
（二）公共服务行业分项服务范围：电力、热力、燃气及水生产和供应业；交通运输、仓储和邮政业；水利、环境和公共设施管理业；居民服务、修理和其他服务业；教育；卫生和社会工作；公共管理、社会保障和社会组织；国际组织。
（三）金融分项服务范围：金融业。
（四）电信分项服务范围：信息传输、软件和信息技术服务业。
（五）军工分项服务范围：军队、航空、航天、船舶等。
（六）商业分项服务范围：批发和零售业；住宿和餐饮业；房地产业；租赁和商务服务业；科学研究和技术服务业；文化、体育和娱乐业。
（七）能源分项服务范围：农、林、牧、渔业；采矿业。
（八）工业企业分项服务范围：制造业；建筑业。
第十三条 中国通信工业协会对资质评定要求的“信息系统业务安全服务工程师”实施培训、考核和登记管理。
 
三、信息系统业务安全服务资质审核要求
 
三级资质
一）、基本条件 
1、企业是在中华人民共和国境内注册的企业法人，变革发展历程清晰、产权关系明确；
2、企业不拥有信息系统工程监理单位资质；
3、企业财务状况良好，最近两年度不出现亏损。企业注册时间不足两年的，可申请预备资质，待满两年并符合各项条件之后换发正式资质；
4、企业拥有与申报行业领域信息安全业务相适应的固定资产和无形资产；
5、企业有良好的资信和公众形象，近两年无触犯国家法律法规的行为；
6、企业有良好的履约能力，近两年没有因企业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉。
 
二）、综合条件 
1、注册资金50 万以上； 
2、信息系统业务安全服务相关业绩要求：企业经营状况良好，近两年在申报行业内完成的信息安全服务业务项目总值100 万元以上，工程按合同要求质量合格，已通过验收并投入实际应用；
 
三）、人才实力
1、企业的主要技术负责人应具有2 年以上从事电子信息技术领域企业管理经历，或具备电子信息类专业硕士以上学位或电子信息类中级以上职称、且从事信息安全服务业务技术工作不少于1 年，财务负责人应具有财务中级以上职称；
2、具有国家认可的信息安全类相应证书的技术人员人数不少于5 名；
3、具有系统地对员工进行新知识、新技术以及职业道德培训的计划，并能有效地组织实施与考核；
 
四）、技术实力 
1、已建立企业质量管理体系，并能有效实施； 
2、建立客户服务体系，配置专门的机构和人员； 
3、有专门从事信息安全业务的研发人员及与之相适应的开发场地、设备等；
4、独立办公场地100 平米。
 
五）、管理能力 
1、已建立完备的质量管理体系，通过国家认可的第三方认证机构认证；
2、已建立项目管理体系并能有效实施； 
3、已建立完备的客户服务体系，能及时、有效地为客户提供优质服务。
 
二级资质
一）、基本条件 
1、拥有《信息系统业务安全服务三级资质》满一年；
2、企业是在中华人民共和国境内注册的企业法人，变革发展历程清晰、产权关系明确； 
3、企业不拥有信息系统工程监理单位资质； 
4、企业财务状况良好，最近两年度不出现亏损； 
5、企业拥有与申报行业领域信息安全业务相适应的固定资产和无形资产； 
6、企业有良好的资信和公众形象，近两年无触犯国家法律法规的行为； 
7、企业有良好的履约能力，近两年没有因企业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉。
 
二）、综合条件 
1、注册资金要求：200 万元以上； 
2、信息系统业务安全服务相关业绩要求：企业经营状况良好，近两年在申报行业内完成的信息安全服务业务项目总值400 万元以上，工程按合同要求质量合格，已通过验收并投入实际应用；
 
三）、人才实力 
1、相关工作人员比例要求：从事行业相关信息安全服务业务的工作人员不少于10 人，且其中大学本科以上学历人员所占比例不低于80%； 
2、企业的主要技术负责人应具有3 年以上从事电子信息技术领域企业管理经历，或具备电子信息类专业硕士以上学位或电子信息类中级以上职称、且从事信息安全服务业务技术工作不少于3 年，财务负责人应具有财务高级以上职称； 
3、具有国家认可的信息安全类相应证书的技术人员人数不少于10 名； 
4、已建立人力资源管理体系并能有效实施。
 
四）、技术实力
1、已建立企业质量管理体系，并能有效实施； 
2、具有完备的客户服务体系，配置专门的机构和人员；
3、有专门从事信息安全业务的研发人员及与之相适应的开发场地、设备等。 
4、经典案例分析展示 
5、独立办公场地300 平米。
 
五）、管理能力 
1、已建立完备的质量管理体系，通过国家认可的第三方认证机构认证； 
2、已建立项目管理体系并能有效实施； 
3、已建立完备的客户服务体系，能及时、有效地为客户提供优质服务。
 
一级资质
一）、基本条件
1、拥有《信息系统业务安全服务二级资质》满两年；
2、企业是在中华人民共和国境内注册的企业法人，变革发展历程清晰、产权关系明确； 
3、企业不拥有信息系统工程监理单位资质；
4、企业财务状况良好，最近两年度没有出现亏损； 
5、企业拥有与申报行业领域信息安全业务相适应的固定资产和无形资产；
6、企业有良好的资信和公众形象，近两年无触犯国家法律法规的行为；
7、企业有良好的履约能力，近两年没有因企业原因造成验收未通过的项目或应由企业承担责任的用户重大投诉。
 
二）、综合条件 
1、注册资金要求：1000 万元以上
2、信息系统业务安全服务相关业绩要求：企业经营状况良好，近三年在申报行业内完成的信息安全服务业务项目总值2000 万元以上，工程按合同要求质量合格，已通过验收并投入实际应用；
 
三）、人才实力
1、相关工作人员比例要求：从事信息安全业务的相关技术人员不于20人，且其中大学本科以上学历人员所占比例不低于80%；
2、企业的主要技术负责人应具有5 年以上从事电子信息技术领域企业管理经历，或具备电子信息类专业硕士以上学位或电子信息类中级以上职称、且从事信息安全服务业务技术工作不少于5 年，财务负责人应具有财务高级以上职称； 
3、具有国家认可的信息安全类相应证书的技术人员人数不少于20 名。 
4、已建立人力资源管理体系并能有效实施。
 
四）、技术实力
1、已建立企业质量管理体系，并能有效实施；
2、具有完备的客户服务体系，配置专门的机构和人员；
3、熟悉本业务领域的业务流程及业务术语，对业务流程有一定研究，有自主知识产权的基础业务软件平台，且在已完成的项目中加以应用；
4、本业务领域中典型项目具有较高技术水平，有专门从事信息安全设计方案的高级研发人员及与之相适应的开发场地、设备等，并建立完善的实验测试体系。
5、经典案例分析展示。
6、独立办公场地800 平米。
 
五）、管理能力
1、已建立完备的质量管理体系，通过国家认可的第三方认证机构认证；
2、已建立项目管理体系并能有效实施；
3、已建立完备的客户服务体系，能及时、有效地为客户提供优质服务。



四、申请流程：
1.企业申请：提交《信息系统业务安全服务资质申请书》；《信息系统业务安全服务评审合同》；《保密协议》。
2.合同评审：等待评审机构评审结果
3.文件审核：注册中国通信工业协会企业用户；选择评审机构；上传企业基本资质；上传电子版评审文档。
4.现场审核：根据申请等级准备现场评审资料及文审资料原件。
5.提交终评：整理现场评审文件资料提交到中国通信工业协会。
6.整改：完成协会提出的整改问题。
7.颁发证书