計算機信息系統安全服務等級評定是規范行業服務、提升企業誠信度、保證工程質量、市場準入控制的重要保證，是安全服務機構從事信息網絡安全服務能力的等級證明，為我省信息化建設使用單位在選擇網絡安全服務機構時提供參考依據。

證書樣式

等級劃分

安全服務機構等級評定是衡量安全服務機構服務能力的尺度，依據安全服務機構的基本條件、基本資格、管理能力、技術服務能力等分為一級、二級、三級、四級，其中一級最高，四級最低。 （注：安全服務是指從事計算機信息系統安全設計、建設、檢測、維護、監理、咨詢、培訓等業務。）

基本條件

安全服務機構應具備的基本條件包括：

a) 具有中華人民共和國境內注冊的獨立法人資格，并具有相關部門頒發的合法經營資格；

b) 在廣東省內擁有長期固定的辦公場所，具有能滿足業務需求的設備和環境；

c) 有健全的財務制度，財務數據真實可信；

d) 遵守國家現行法律、法規，無違法記錄。

提交材料

申請機構根據評定要求先確定需要申請的等級，提交符合相應等級要求的材料，提交的證明材

料應包含但不限于：

a) 獨立法人資格證明；

b) 固定辦公場所的證明材料；

c) 人員構成與素質證明材料；

d) 財務制度及反映財務狀況的材料；

e) 人員管理制度和培訓制度材料；

f) 文檔管理制度文檔材料；

g) 項目管理制度文檔材料；

h) 保密管理制度文檔材料；

i) 質量保證制度文檔材料；

j) 項目業績證明材料。

技術能力及服務能力過程證明材料。第三方評審機構審查申請機構提交的申請材料，并判斷所提交的證明材料是否滿足相應等級要求。如果滿足則文檔審核為通過，否則為不通過。

基本管理能力要求

安全服務機構應具備的基本管理能力包括：

a) 建立人員管理制度和能力考核指標，制定相關培訓計劃，定期開展培訓；

b) 建立文檔管理制度，確保項目文檔資料妥善保管；

c) 建立項目管理制度，有健全的監督檢查機制；

d) 建立保密管理制度，確?？蛻粜畔踩煽?；

e) 建立質量管理制度，跟蹤服務質量，并能對服務質量進行持續改進。

基本技術能力要求

安全服務機構應具備的基本技術能力包括：

a) 具備評估系統安全威脅的能力，能夠識別系統所面臨的各種安全威脅及其性質和特征，以及對威脅的可能性進行評估；

b) 具備評估系統脆弱性的能力，能夠收集、合成系統的脆弱性數據；

c) 具備評估安全對系統的影響的能力，能夠識別安全對所實施的系統的影響，并對發生影響的 可能性進行評估；

d) 具備評估系統安全風險的能力，識別出給定環境中涉及到對某一系統有依賴關系的安全風險；

e) 具備確定系統安全需求的能力，能夠為客戶提供安全策略、安全目標、安全需求分析報告；

f) 具備確定系統的安全輸入的能力，能為系統的規劃者、設計者、實施者或用戶提供他們所需的安全信息，包括安全體系結構、設計或實施選擇以及安全指南；

g) 具備安全控制管理的能力，能建立安全職責，增強所有用戶和管理員的安全意識，開展安全教育培訓，對所有的安全配置進行管理（如軟件更新記錄、安全配置修改記錄等）；

h) 具備監測系統安全狀況的能力，能對安全風險變化、事件記錄、安全防護措施進行監視，能識別安全突發事件和對安全突發事件進行響應；

i) 具備檢測或證實系統安全性的能力，包括檢測或證實系統安全性的方法和工具；

j) 具備建立系統安全的保證數據的能力，包括對保證的目標進行識別、建立保證證據數據庫并對其進行分析；

k) 具備對整個系統進行管理配置的能力，包括維持已標識的配置單元的數據和狀況，并對系統及其配置單元的變化進行分析和控制。