信息安全服务规范

2018-05-25 发布 2018-06-01 实施
 
中国网络安全审查技术与认证中心发布
 

目录
1. 适用范围 1
2. 规范性引用文件 1
3. 术语与定义 1
3.1. 信息安全服务 1
3.2. 信息安全风险评估 1
3.3. 信息安全应急处理 1
3.4. 信息系统安全集成 1
3.5. 信息系统灾难备份与恢复 1
3.6. 软件安全开发 2
3.7. 信息系统安全运维 2
3.8. 网络安全审计 2
3.9. 工业控制系统安全 2
4. 通用评价要求 2
4.1. 三级评价要求 2
4.1.1. 法律地位要求 2
4.1.2. 财务资信要求 2
4.1.3. 办公场所要求 2
4.1.4. 人员能力要求 3
4.1.5. 业绩要求 3
4.1.6. 服务管理要求 3
4.1.7. 服务技术要求 3
4.2. 二级评价要求 3
4.2.1. 法律地位要求 4
4.2.2. 财务资信要求 4
4.2.3. 办公场所要求 4
4.2.4. 人员能力要求 4
4.2.5. 业绩要求 4
4.2.6. 服务管理要求 4
4.2.7. 技术工具要求 5
4.2.8. 服务技术要求 5
4.3. 一级评价要求 5
4.3.1. 法律地位要求 5
4.3.2. 财务资信要求 5
 
4.3.3. 办公场所要求 5
4.3.4. 人员素质与资质要求 6
4.3.5. 业绩要求 6
4.3.6. 服务管理要求 6
4.3.7. 技术工具要求 7
4.3.8. 服务技术要求 7
5. 专业评价要求 7
5.1. 风险评估服务资质专业评价要求 7
5.2. 安全集成服务资质专业评价要求 7
5.3. 应急处理服务资质专业评价要求 7
5.4. 灾难备份与恢复服务资质专业评价要求 7
5.5. 软件安全开发服务资质专业评价要求 7
5.6. 安全运维服务资质专业评价要求 7
5.7. 网络安全审计服务资质专业评价要求 7
5.8. 工业控制系统安全服务资质专业评价要求 7
附录 A（规范性附录）： 信息安全风险评估服务资质专业评价要求 8
附录 B（规范性附录）： 信息系统安全集成服务资质专业评价要求 11
附录 C（规范性附录）： 信息安全应急处理服务资质专业评价要求 14
附录 D（规范性附录）： 信息系统灾难备份与恢复服务资质专业评价要求 18
附录 E（规范性附录）：软件安全开发服务资质专业评价要求 22
附录 F（规范性附录）：安全运维服务资质专业评价要求 26
附录 G（规范性附录）： 网络安全审计服务资质专业评价要求 29
附录 H（规范性附录）： 工业控制系统安全服务资质专业评价要求 35
附录 I：信息安全服务人员能力要求 41
附录 J:  参考文献 64
 

1. 适用范围

本规范规定了信息安全服务提供者（以下简称服务提供者）在提供服务时应具备的服务安全通用要求和专业服务能力要求。
本规范可作为第三方认证机构对服务提供者的评价依据，也可作为服务提供者开展自我评价的依据，同时,可为政府及有关社会组织选择服务提供者提供参考。
2. 规范性引用文件

本规范未引用其他标准和文件。

3. 术语与定义

3.1. 信息安全服务

由供应商、组织机构或人员执行的一个安全过程或任务。

（ISO/IEC TR 15443-1:2005《信息技术 安全技术 信息技术安全保障框架 第一部分：总揽和框架》）
3.2. 信息安全风险评估

对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的过程。
3.3. 信息安全应急处理

为应对信息系统运行过程中突发/重大信息安全事件的发生所做的准备，在事件发生时，按照既定的程序对事件进行处理，以及在事件发生后所采取措施的过程。
3.4. 信息系统安全集成

按照信息系统建设的安全需求，采用信息系统安全工程的方法和理论，将安全单元、产品部件进行集成的行为或活动。
3.5. 信息系统灾难备份与恢复

将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份，并在灾难发生时，将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的过程。
注：信息系统灾难备份与恢复分为资源服务类（A 类）、技术服务类（B 类）两个类别。

资源服务类（A 类），指灾难备份资源服务提供方需具备灾备中心场地资源、基础设施、运维管理等能力。
技术服务类（B 类），指灾难备份技术服务提供方实施灾备技术服务时具备灾备方案设计、系统建设与管理、预案制定与演练等能力。
 

3.6. 软件安全开发

为解决软件产品的漏洞问题，而将安全活动集成到系统开发和软件质量保证活动中，在软件开发的每个关键点嵌入安全要素，通过安全需求分析、安全设计、安全编码、安全测试等专业手段，解决各阶段可能出现的安全问题，有效减少软件产品潜在的漏洞数量提高软件产品安全质量的活动。
3.7. 信息系统安全运维

从面向业务的运维服务出发，依据安全需求对信息系统进行安全运维准备、安全运维实施，并对实施安全运维服务的有效性进行评审，从而进行持续性改进，全过程、全生命周期地为信息系统运行提供安全保障的过程。
3.8. 网络安全审计

网络安全审计是指网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经济性进行检查、监督，通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件的活动。
3.9. 工业控制系统安全

工业控制系统安全服务围绕提升工业控制系统的高可用性和业务连续性，提升功能安全、物理安全和信息安全的保障能力为目标，涉及工业控制系统设计、建设、运维和技改各个阶段，主要包括系统集成、系统运维、应急处理、风险评估等工业控制系统安全服务，形成系统的、独立的、形成文件的过程。
4. 通用评价要求

通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维、网络安全审计、工业控制系统安全服务等类别的信息安全服务认证评价，均分为三个级别，其中一级最高。
4.1. 三级评价要求

4.1.1. 法律地位要求

a) 在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。
b) 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。
4.1.2. 财务资信要求

组织经营状况正常，建立财务管理制度，可为安全服务提供必要的财务支持。

4.1.3. 办公场所要求

拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。
 

4.1.4. 人员能力要求

a) 组织负责人拥有2年以上信息技术领域管理经历。
b) 技术负责人具备信息安全服务（与申报类别一致）管理能力，经评价合格（与申报类别一致），评价要求见附录I。
c) 项目负责人、项目工程师具备信息安全服务（与申报类别一致）技术能力，经评价合格，评价要求见附录I。
4.1.5. 业绩要求

a) 从事信息安全服务（与申报类别一致）4个月以上。
b) （监督审核时）近1年内签订并完成至少1个信息安全服务（与申报类别一致）项目。
4.1.6. 服务管理要求

a) 建立并运行人员管理程序，识别安全服务人员的服务能力要求，明确安全服务人员的岗位职责、技术能力要求，并通过评价证明其能够胜任其承担的职责。
b) 制定服务人员能力培养计划，包括网络与信息安全相关的技术、技能、管理、意识等内容，并执行计划，确保服务人员持续胜任其承担的职责。
c) 建立并运行文档管理程序，包括组织管理、服务过程管理、质量管理等内容，明确项目产生、发布、保存、传输、使用（包括交付和内部使用）、废弃等环节的文档控制。
d) 建立并运行项目管理程序，明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程，提供项目风险管理记录。
e) 建立并运行保密管理程序，明确岗位保密责任，签订保密协议，并能够适时对相关人员进行保密教育。
f) 建立与运行供应商管理程序，确保其供应商满足服务安全要求（仅适用于安全集成、安全运维、灾难备份与恢复方向）。
g) 建立合同管理程序，制定统一合同模板，按照合同约定实施信息安全服务项目。按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求。
4.1.7. 服务技术要求

a) 建立信息安全服务（与申报类别一致）要求的流程，并按照流程实施。
b) 制定信息安全服务（与申报类别一致）要求的规范标准，并按照规范实施。
4.2. 二级评价要求
 

申请方可根据条件直接申请，或获得三级资质一年以上可提出二级申请，服务管理程序文件需建立、发布并运行半年以上。
4.2.1. 法律地位要求

a) 在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。
b) 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。
4.2.2. 财务资信要求

组织经营状况正常，制定并执行财务管理制度，可为服务提供必要的财务支持。

4.2.3. 办公场所要求

拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。

4.2.4. 人员能力要求

a) 组织负责人拥有3年以上信息技术领域管理经历。
b) 技术负责人具备信息安全服务（与申报类别一致）管理能力，经评价合格（与申报类别一致），评价要求见附录I。
c) 项目负责人、项目工程师具备信息安全服务（与申报类别一致）技术能力，经评价合格（与申报类别一致），评价要求见附录I。
4.2.5. 业绩要求

a) 从事信息安全服务（与申报类别一致）3年以上，或取得信息安全服务（与申报类别一致）三级资质1年以上。
b) 近三年内签订并完成至少6个信息安全服务（与申报类别一致）项目。
4.2.6. 服务管理要求

a) 建立并运行人员管理程序，识别安全服务人员的服务能力要求，明确安全服务人员的岗位职责、技术能力要求，并通过评价证明其能够胜任其承担的职责。
b) 制定服务人员能力培养计划，包括网络与信息安全相关的技术、管理、意识等内容，并执行计划，确保服务人员持续胜任其承担的职责。
c) 建立并运行文档管理程序，包括组织管理、服务过程管理、质量管理等内容，明确产生、发布、保存、传输、使用（包括交付和内部使用）、废弃等环节的文档控制。配备档案室及高安全性的文件服务器。
d) 建立并运行项目管理程序，明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程。
 

e) 建立并运行保密管理程序，明确岗位保密责任，签订保密协议，并能够适时对相关人员进行保密教育。
f) 建立与运行供应商管理程序，明确供应和（或）外包过程中的风险，对供应商和（或）承包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别，确保其供应商或承包方满足服务安全要求（仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全方向）。
g) 建立合同管理程序，制定统一合同模板，按照合同约定实施信息安全服务项目。按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求。
h) 参照国际或国内标准，建立业务范围覆盖信息安全服务（与申报类别一致）的质量管理体系，并有效运行半年以上。
i) 参照国际或国内标准，建立业务范围覆盖信息安全服务（与申报类别一致）的信息安全管理体系或信息技术服务管理体系，并有效运行半年以上。
4.2.7. 技术工具要求

a) 具备独立的测试环境及必要的软、硬件设备，用于技术培训和模拟测试。
b) 具备承担信息安全服务（与申报类别一致）项目所需的安全工具，并对工具进行管理和版本控制。
4.2.8. 服务技术要求

a) 建立信息安全服务（与申报类别一致）要求的流程，并按照流程实施。
b) 制定信息安全服务（与申报类别一致）要求的规范标准，并按照规范实施。
4.3. 一级评价要求

申请方须获得二级资质一年以上可提出相同类别的一级申请，且服务管理程序文件需建立、发布并运行一年以上。
4.3.1. 法律地位要求

a) 在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。
b) 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。
4.3.2. 财务资信要求

组织经营状况正常，具有财务管理制度，可为服务提供必要的财务支持。

4.3.3. 办公场所要求

拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。
 

4.3.4. 人员素质与资质要求

a) 组织负责人拥有4年以上信息技术领域管理经历。
b) 技术负责人具备信息安全服务（与申报类别一致）管理能力，经评价合格（与申报类别一致），评价要求见附录I。
c) 项目负责人、项目工程师具备信息安全服务（与申报类别一致）技术能力，经评价合格（与申报类别一致），评价要求见附录I。
4.3.5. 业绩要求

a) 从事信息安全服务（与申报类别一致）5年以上。
b) 近三年内签订并完成至少10个信息安全服务（与申报类别一致）项目。
4.3.6. 服务管理要求

a) 建立并运行人员管理程序，识别安全服务人员的服务能力要求，明确安全服务人员的岗位职责、技术能力要求，并通过评价证明其能够胜任其承担的职责。
b) 制定服务人员能力培养计划，包括网络与信息安全相关的技术、管理、意识等内容，并执行计划，确保服务人员持续胜任其承担的职责。
c) 建立并运行文档管理程序，包括组织管理、服务过程管理、质量管理等内容，明确产生、发布、保存、传输、使用（包括交付和内部使用）、废弃等环节的控制。配备档案室及高安全性的文件服务器，至少近两年的项目在文件管理系统中进行管理。
d) 建立并运行项目管理程序，明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程。
e) 建立并运行保密管理程序，明确岗位保密责任，签订保密协议，并能够适时对相关人员进行保密教育。
f) 建立与运行供应商管理程序，明确供应商和（或）外包过程中的风险，对供应商和（或）承包方的服务基本资格、人员、服务过程控制、服务质量、服务交付、服务安全性等进行识别，确保其供应商或承包方满足服务安全要求（仅适用于安全集成、安全运维、灾难备份与恢复、工业控制系统安全方向）。
g) 建立合同管理程序，制定统一合同模板，按照合同约定实施信息安全服务项目。按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求。
h) 参照国际或国内标准，建立业务范围覆盖信息安全服务（与申报类别一致）的质量管理体系，并有效运行一年以上。
 

i) 参照国际或国内标准，建立业务范围覆盖信息安全服务（与申报类别一致）的信息安全管理体系或信息技术服务管理体系，并有效运行一年以上。
j) 建立信息安全服务目录，签订服务级别协议。
4.3.7. 技术工具要求

a) 具备独立的测试环境及必要的软、硬件设备，用于技术培训和模拟测试。
b) 具备承担信息安全服务（与申报类别一致）项目所需的安全工具，并对工具进行管理和版本控制。
4.3.8. 服务技术要求

a) 建立信息安全服务（与申报类别一致）要求的流程，并按照流程实施。
b) 制定信息安全服务（与申报类别一致）要求的规范标准，并按照规范实施。
5. 专业评价要求

5.1. 风险评估服务资质专业评价要求

风险评估服务资质专业评价要求参见附录A。
5.2. 安全集成服务资质专业评价要求

安全集成服务资质专业评价要求参见附录B。
5.3. 应急处理服务资质专业评价要求

应急处理服务资质专业评价要求参见附录C。
5.4. 灾难备份与恢复服务资质专业评价要求

灾难备份与恢复服务资质专业评价要求参见附录D。
5.5. 软件安全开发服务资质专业评价要求

软件安全开发服务资质专业评价要求参见附录E。
5.6. 安全运维服务资质专业评价要求

安全运维服务资质专业评价要求参见附录F。
5.7. 网络安全审计服务资质专业评价要求

网络安全审计服务资质专业评价要求参见附录G。
5.8. 工业控制系统安全服务资质专业评价要求

工业控制系统安全服务资质专业评价要求参见附录H。
 

附录 A（规范性附录）： 信息安全风险评估服务资质专业评价要求
信息安全风险评估服务资质专业评价要求针对评估准备、风险识别、风险分析、风险处置四个过程进行，项目实施过程应形成文件，具体分级要求如下：
A1 三级要求
申请三级资质认证的单位，至少有1个完成的风险评估项目，该系统的用户数在1,000以上；具备从管理或（和）技术层面对脆弱性进行识别的能力；具备跟踪信息安全漏洞的能力。
A1.1准备阶段 A1.1.1服务方案制定
a) 编制风险评估方案、风险评估模板，并在项目实施过程中按照模板实施。
b) 应为风险评估实施活动提供总体计划或方案，方案应包含风险评价准则。 A1.1.2人员和工具准备
a) 应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
b) 应根据评估的需求准备必要的工具。
c) 应对评估团队实施风险评估前进行安全教育和技术培训。
A1.2风险识别阶段
A1.2.1资产识别
a) 参考国家或国际标准，对资产进行分类。
b) 识别重要信息资产，形成资产清单。
c) 对已识别的重要资产，分析资产的保密性、完整性和可用性等安全属性的等级要求。
d) 对资产根据其在保密性、完整性和可用性上的等级分析结果，经过综合评定进行赋值。
A1.2.2脆弱性识别
a) 应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查，并形成安全管理或技术脆弱性列表。
b) 应对脆弱性进行赋值。
A1.2.3威胁识别
a) 应参考国家或国际标准，对威胁进行分类；
b) 应识别所评估信息资产存在的潜在威胁；
c) 应识别威胁利用脆弱性的可能性；
d) 应分析威胁利用脆弱性对组织可能造成的影响。 A1.2.4已有安全措施确认
a) 应识别组织已采取的安全措施；
b) 应评价已采取的安全措施的有效性。
A1.3风险分析阶段
 

A1.3.1风险分析模型建立
a) 应构建风险分析模型。
b) 应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。
c) 应根据分析模型确定的方法计算出风险值。
A1.3.2风险评价
应根据风险评价准则确定风险等级。 A1.3.3风险评估报告
a) 应向客户提供风险评估报告。
b) 报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。
A2 二级要求
组织申报二级资质，除满足三级能力要求外，还应满足以下要求：
申请二级资质认证的单位，针对多种类型组织，多行业组织，至少完成一个风险评估项目，该系统的用户数在10,000以上；具备从管理和技术层面对脆弱性进行识别的能力；具备跟踪、验证信息安全漏洞的能力。
A2.1准备阶段 A2.1.1服务方案制定
a) 应进行充分的系统调研，形成调研报告。
b) 宜根据风险评估目标以及调研结果，确定评估依据和评估方法。
c) 应形成较为完整的风险评估实施方案。
A2.1.2 人员和工具管理
需采取相关措施，保障工具自身的安全性、适用性。
A2.2风险识别阶段
A2.2.1威胁识别
应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。
A2.3风险分析阶段 A2.3.1风险分析模型建立
构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。 A2.3.2风险计算方法确定
在风险计算时应根据实际情况选择定性计算方法或定量计算方法。
A2.3.3风险评价
应对不同等级的安全风险进行统计、评价，形成最终的总体安全评价。 A2.3.4风险评估报告
a) 风险评估报告中应对本次评估建立的风险分析模型进行说明，并应阐明本次评估采用的风险计算方法及风险评价方法。
 

b) 风险评估报告中应对计算分析出的风险给予比较详细的说明。
A2.4风险处置阶段 A2.4.1风险处置原则确定
应协助被评估组织确定风险处置原则，以及风险处置原则适用的范围和例外情况。 A2.4.2安全整改建议
对组织不可接受的风险提出风险处置措施。
A3一级要求
组织申报一级资质，除满足二级要求外，还应满足以下要求：
申请一级资质认证的单位，能够在全国范围内，针对5个（含）以上行业开展风险评估服务；至少完成两个风险评估项目，该系统的用户数在100,000以上；具备从业务、管理和技术层面对脆弱性进行识别的能力；具备跟踪、验证、挖掘信息安全漏洞的能力。
A3.1 准备阶段 A3.1.1人员和工具管理
需采取相关措施， 保障工具管理的规范性。
A3.2风险识别阶段
A3.2.1资产识别
a) 识别信息系统处理的业务功能，重点识别出关键业务功能和关键业务流程。
b) 根据业务特点和业务流程识别出关键数据和关键服务。
c) 识别处理数据和提供服务所需的关键系统单元和关键系统组件。
A3.2.2威胁识别
采用多种方法进行威胁调查。
A3.3风险处置阶段
A3.3.1组织评审会
a) 协助被评估组织召开评审会。
b) 依据最终的评审意见进行相应的整改，形成最终的整改材料。 A3.3.2残余风险处置
a) 对组织提出完整的风险处置方案。
b) 必要时，对残余风险进行再评估。
 

附录 B（规范性附录）： 信息系统安全集成服务资质专业评价要求

信息系统安全集成服务资质专业评价要求针对集成准备、方案设计、建设实施、安全保障四个过程进行，具体分级要求如下：
B1 三级要求

B1.1 集成准备阶段

B1.1.1 需求调研与分析
a) 调研客户背景信息，采集系统建设需求和建设目标，明确系统功能、性能及安全性要求。
b) 基于系统建设需求，提出产品选型方案和建设预算。
c) 结合系统建设和安全需求，与客户、设计、开发等人员充分沟通，达成共识并形成记录。

B1.2 方案设计阶段
a) 根据系统建设安全需求，编制安全集成技术方案。
b) 依据技术方案，编制安全集成实施方案，明确项目人员、进度、质量、沟通、风险等方面的要求。
c) 结合技术方案和实施方案，与客户进行沟通，获得客户认可。

B1.3 建设实施阶段

B1.3.1 实施集成
a) 依据已确认的安全集成项目技术方案和实施方案，按照时间和质量要求进行系统建设。
b) 项目实施人员按时提交施工记录和工程日志，及时向项目经理汇报项目进度。
c) 建立安全集成项目协调机制，明确责任人，畅通信息沟通渠道，保障各相关方在项目实施过程中能够有效充分的沟通。
B1.4 安全保障阶段

B1.4.1 系统测试
a) 依据项目技术方案和测试计划，对系统进行联调和系统测试，完整记录测试过程相关信息。
b) 对于新建系统重点测试系统的功能、性能和安全性等；对于系统改造或升级项目，还需进行兼容性测试。
B1.4.2 系统试运行
a) 为测试系统运行的可靠性和稳定性，系统初验后需进行试运行，并记录系统运行状况。
b) 基于系统运行相关记录，及时对系统设备进行调整和维护。

B1.4.3 验收
a) 根据合同约定，向客户提交完整的项目资料及交付物，并提出终验申请。
b) 根据合同约定，配合组织项目验收，出具项目验收报告。
 

B1.4.4 运行维护
根据合同约定，向客户提供维保服务，并形成维保记录。

B2 二级要求

组织申报二级资质，除满足三级能力要求外，还应满足以下要求：

B2.1 集成准备阶段

B2.1.1 需求调研与分析
a) 准确识别和综合分析系统在信息安全特性方面相适应的安全需求。
b) 基于客户需求和投入能力，开展需求分析，编制需求分析报告。

B2.2 方案设计阶段
a) 结合需求分析和客户在保障系统安全方面的投入能力，提出系统建设安全设计说明书，明确系统架构、产品选型、产品功能、性能及配置等参数。
b) 组织客户及相关技术专家对技术方案和实施方案进行论证，确认是否满足系统功能、性能和安全性要求。
c) 结合技术方案，对项目组及第三方配合人员进行业务和技能培训。

B2.3 建设实施阶段

B2.3.1 实施集成
a) 产品、设备安装调试过程中，应完整妥善记录相关信息。
b) 项目建设施工完成后，需向客户提交完工报告。
c) 项目实施完成后，相关过程记录及时归档，并统一保管。

B2.4 安全保障阶段

B2.4.1 系统测试
a) 系统测试完成后，制定系统测试报告，并提交客户。
b) 结合项目需要提出初验申请，组织客户及相关方对项目进行初验，并提交初验报告。

B2.4.2 系统试运行
a) 系统试运行周期至少一个月。
b) 试运行结束后，项目组制定系统试运行报告，并提交客户。

B2.4.3 运行维护
建立客户满意度调查机制，并对调查结果进行分析。

B3 一级要求

组织申报一级资质，除满足二级要求外，还应满足以下要求：

B3.1 集成准备阶段

B3.1.1 需求调研与分析
 

协助客户有效识别系统建设过程中的政策、法律和约束条件，有效规避商业风险和泄密事件。

B3.2 方案设计阶段
a) 结合项目需要，编制安全集成项目施工手册和作业指导书。
b) 对于新建系统，建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求。对于系统改造，还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统的兼容问题，包括网络兼容、系统兼容、应用兼容等。
c) 基于安全集成项目需求和进度计划，编制信息安全产品和工具定制开发计划。

B3.3 建设实施阶段

B3.3.1 实施集成
a) 建立项目变更管理程序，对项目实施过程中方案、资源变更进行有效控制，完整记录变更过程。
b) 制定项目应急处置方案和恢复策略，对项目过程中的应急事件及时进行响应。

B3.3.2 监督管理
定期对项目实施情况进行评审，采取适当措施，控制项目风险。

B3.4 安全保障阶段

B3.4.1 系统测试
基于建设系统的安全要求，制定系统安全性测试方案，模拟攻击场景，对系统安全性进行测试。

B3.4.2 系统试运行
a) 制定系统试运行计划，建立应急响应服务保障团队，及时应对突发事件。
b) 综合分析系统运行状态，建立系统运行策略和安全指南，并对相关产品和设备设施进行配置管理。
c) 提供三个月以上的试运行记录和报告。

B3.4.3 运行维护
建立维保流程，制定维保方案，并按方案实施维保。
 

附录 C（规范性附录）： 信息安全应急处理服务资质专业评价要求

信息安全应急处理服务资质专业评价要求针对准备、检测、抑制、根除、恢复、总结六个过程进行，具体分级要求如下：
C1 三级要求

C1.1 准备阶段

组织申报三级资质，应具有处理一般信息安全事件的能力（注：参考国家标准 GB/Z 20985-2007

《信息安全事件分类分级指南》，或参考组织所提供应急处理服务的对象所处的行业对信息安全事件的等级划分标准，主要考察有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件几类），具体见以下要求：
a) 明确客户的应急需求。

b) 了解客户应急预案的内容�