信息安全风险评估资质申请流程和办理

代理费

1、自评估

组织在中国信息安全认证中心网站下载《信息安全服务资质认证自评估表-管理》=对应的技术自评估表，并实施自评估。

2、认定申请

组织依据信息安全服务资质认证程序、认证实施规则中相关要求，确定申请服务资质类别，并填写《信息安全服务资质认证申请书》。

组织向中国信息安全认证中心提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。

3、申请材料评审

信息安全风险评估资质申请流程和办理

中心依据认证程序和相关标准要求，对申请组织提交的认证相关材料进行评审，并确定申报资质类别和级别，签订认证合同。

4、现场评审

认证机构组织评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。特别，对申请一级资质认证的组织，必要时选择申请组织的客户进行项目实施现场见证。

现场验证符合要求后，认证机构组成评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。

5、认证决定

认证决定委员会由3名以上（含3名）奇数认证决定人员组成，作出认证决定。

6、证书颁发

对于符合认证要求的申请组织，颁发认证证书，并予以公示。

7、证后监督

（1）证后监督频次和方式

对获证组织实施监督，每年度（不超过12个月）进行一次监督评审。

当获得组织发生重大变更、事故或客户投诉时，可增加现场监督评审的频次。

（2）证后监督内容

     监督评审除包括初次评审的内容外，还应对上一次评审中提出的观察项所采取纠正/预防措施进行验证。

（3）证后监督结论

     对于通过监督评审的获证组织，做出维持认证证书有效的决定；否则，暂停或撤销其认证证书。

（4）信息通报

     为确保获证组织的安全服务能力持续有效，获证组织应建立信息通报渠道，及时报告以下信息：

a、组织机构变更信息

b、安全事故、客户投诉信息

c、其他重要信息

信息安全风险评估资质申请流程和办理

  信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。

信息安全风险评估服务资质级别是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。对服务提供方的背景审查主要指客户投诉、违法违纪行为等；服务人员的背景审查主要指行业主管部门或使用单位对从事风险评估服务的人员进行必要的审查。

资质级别分为一级、二级、三级共三个级别，其中一级*，三级*

请与我们联系：

港沣国际咨询（北京）有限公司

免费服务热线：400-688-5261