信息安全服務(安全運營類)資質認定是對信息安全運營服務提供者的資格狀況、技術實力和安全運營實施過程質量保證能力等方面的具體衡量和評價。

　　一、認證意義

隨著全球網絡安全形勢的日益嚴峻，針對關鍵行業和新技術、新場景的網絡安全威脅事件頻發。我國網安立法執法持續推進，全方位保障網絡空間安全。在此背景下，CNITSEC推出的信息安全服務資質-安全運營類認證。

CNITSEC安全運營服務資質的認證，無論是對企業還是對市場，再或者是對政府決策都有重要的意義。

1、提升安全服務能力

　　通過對安全運營服務提供者的技術實力、管理水平和安全服務保障能力進行評估，推動其提升安全服務質量和水平。

2、規范市場秩序

為信息安全服務市場提供一種獨立、公正的評判依據，有助于規范市場秩序，促進信息安全服務行業的健康發展。

3、助力政府與企業決策

為政府主管部門的信息安全管理和全社會選擇信息安全服務提供參考，助力其做出更加科學、合理的決策。

　　二、級別劃分

　　信息安全服務資質依照國家標準 GB/T 20261-2020《信息安全技術 系統安全工程能力成熟度模型》的能力等級，設為五個級別，一級到五級能力遞增，五級為最高級別。

　　一級：基本執行級

　　二級：計劃跟蹤級

　　三級：充分定義級

　　四級：量化控制級

　　五級：持續改進級

　　三、認證的優勢

　　獲得CNITSEC信息安全服務資質-安全運營類認證的組織將享受以下價值與優勢：

1、提升市場競爭力

認證證書是組織具備專業安全服務能力的重要證明，有助于提升其在市場中的競爭力。

2、增強客戶信任

認證過程嚴格、公正，獲得認證的組織更容易獲得客戶的信任和認可。

3、規范內部管理

認證要求組織建立完善的質量管理體系和安全運營過程能力，有助于規范其內部管理，提升運營效率。

4、促進持續改進

認證要求組織具備持續改進的能力，有助于推動其不斷提升安全服務水平，適應市場變化。

認證要求

申請信息安全服務資質-安全運營類認證的組織需要滿足以下基本要求：

1、基本資格要求：

具有獨立法人地位的實體。

遵守國家現行法律法規。

已獲信息安全服務（安全運營類）低一級別資質，且資質證書在有效期內（首次申請除外）。

2、基本能力要求：

技術能力：了解信息系統技術的最新動向，有能力掌握信息系統的最新技術；具有不斷的技術更新能力；具有對信息系統面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析和提供防范措施的能力。

資源配置：包括人員構成與素質要求、設備、設施與環境要求。例如，從事信息安全服務行業3年以上；注冊資本在1000萬元以上，資產總額在1000萬元以上；近3年的財務狀況良好；從事信息安全服務的人力資源充足、人員結構合理、技術隊伍相對穩定，擁有專職的注冊信息安全專業人員（CISP）不得少于規定數量。

規模與資產：有足夠的注冊資金和充足的流動資金；具有與所申請安全服務業務范圍、承擔的安全運營規模相適應的服務體系。

業績要求：實踐過完整的安全運營全生命周期過程；近3年完成信息安全服務運營項目總值在規定金額以上。

3、質量管理要求：

建立合理的組織架構來滿足信息安全運營服務的實施和管理，信息安全運營服務技術部門相對獨立。

建立合理的管理架構來滿足信息安全服務的管理，建立有效的技術管理、質量管理和組織管理機制。

建立有效的質量管理體系，至少滿足支持信息安全運營技術能力達到相應級別所需的相關管理能力要求。

4、安全運營過程能力要求：

這是信息安全運營服務資質的核心要求。申請組織應能實施一系列安全運營過程域，如安全意識和安全技能培訓、資產識別和管理、脆弱性識別和管理、應急響應及處置能力等。