CESSCN通信网络安全服务能力评定

法律要求

1) 在中华人民共和国境内注册成立（港澳台地区除外）；
2) 由中国公民投资、中国法人投资或者国家投资的，具有独立法人资格及相关部门颁发的合法经营资格的企事业单位
（港澳台地区除外）；
3) 从事涉密的通信网络安全服务单位必须满足国家保密机关的相关要求；
4) 从事通信网络安全服务工作一年以上且无违法记录；
5) 法人及主要业务、技术人员无犯罪记录。

组织与管理要求

1）拥有健全的组织与管理体系，拥有清晰的组织结构图， 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度，并能有效组织实施与考核；
2) 落实保密规章制度，对通信网络安全服务保密，制度中 至少规定了：保守安全服务过程中知悉的国家秘密、商业秘密、技术秘密和公民隐私信息，具备严格的控制方法来防范服务过 程中产生的泄密风险，不得出售或者非法向其他组织和个人提 供在安全检测过程所获信息，具备相应的控制办法；
3) 建立人员管理程序，明确保密岗位与职责，定期对安全服务人员进行安全保密教育与培训，并签订保密责任书，规定应当履行的安全保密义务和承担的法律责任。

设备、设施与环境要求

1) 具有固定的办公场所；
2) 具有专门从事通信网络安全服务的相关工具或软件；
3) 具有进行安全服务所必须的实验环境。

项目管理要求

1) 具有成文的项目管理制度，并提供项目管理制度有效运行的证据，例如管理制度流程中具有核心流程、支持流程、管理流程等制度体系；
2) 具有对员工进行安全技术、项目管理的培训机制和计划， 并有效组织实施与考核的相关记录。

质量保证要求

1. 建立并落实质量管理体系，并提供质量保证有效实现的证据；2) 能够自行评估服务质量的状况，并能对服务质量进行持续改进。

风险评估能力评定（一级）

安全设计与集成服务能力评定（一级）

资格要求

1) 从事电信网和互联网第三方安全风险评估服务的组织应符合本标准第3章通用性要求的所有条款；
2) 进行涉密集成的组织必须获得国家保密部门的能力证书。

规模与资产

1) 单位正式编制员工应不少于15人；
2) 注册资金应不少于100万元人民币。

1) 单位正式编制员工应不少于20人；
2) 注册资金不少于500万元人民币。

人员构成和素质要求

1) 直接从事风险评估服务的人员不低于8人，大学本科以上学历不少于80%；
2) 从事风险评估的组织内至少应有2名具备2年以上电信网和互联网领域风险评估项目经验的安全工程师。

1) 直接从事安全设计与集成服务的人员不低于10人，大学 本科以上学历不少于80%；

2) 至少有5人具有3年以上的安全设计与集成服务行业从业经验，并具有深度参与的安全设计与集成服务成功案例。

业绩要求

1) 单位应具备1年以上的安全行业从业时间；
2) 至少有2个项目中涉及风险评估服务的金额超过10万元人民币；
3) 近3年内至少成功完成2个风险评估项目，且终验通过；
4) 近1年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目

1）单位应具备1年以上的安全行业从业时间；

2) 至少有2个项目中涉及安全设计与集成服务的金额超过100万元人民币；

3) 近3年内至少成功完成2个安全设计与集成项目，且终验 通过；

4) 近1年没有出现因各阶段验收未通过或企业自身原因而废止的安全设计与集成服务项目。

服务队伍要求

1) 从事风险评估的队伍中的相关人员应是中国公民；
2) 从事风险评估的队伍内至少应有1名经过电信网和互联网安全防护技术和标准的系统培训的安全工程师；

3) 从事风险评估的队伍内应至少有2名经过国家和相关机构认可、针对安全风险评估服务能力的安全工程师（有相关的能力证书如：CIW、CISP、CISSP、CISA等）。

3) 从事安全设计与集成服务的队伍内至少应有2名经过国际、国家和相关机构认可的，与安全设计与集成能力相关的安全工程师（有相关的能力证书如：CIW、CISP、CISSP、CISA、CCNA、CCIE等）

设备、设施与环境要求

1) 应具有固定的办公场所；
2) 应具有专门从事电信网和互联网安全风险评估服务的相关工具或软件，如漏洞扫描工具、安全基线核查、网站安全检测工具等。

1) 应具有固定的办公场所；
2) 应具有自主研发的安全产品，具有比较完善的研发和实验环境。