信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程。服務(wù)提供者通過(guò)對(duì)信息系統(tǒng)提供風(fēng)險(xiǎn)評(píng)估服務(wù)，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全整改措施，防范和消除信息安全風(fēng)險(xiǎn)，或?qū)L(fēng)險(xiǎn)控制在可接受的水平，為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)。

　　信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度。風(fēng)險(xiǎn)評(píng)估服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現(xiàn)：基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力；服務(wù)人員的能力主要從掌握的知識(shí)、風(fēng)險(xiǎn)評(píng)估服務(wù)的經(jīng)驗(yàn)等綜合評(píng)定。對(duì)服務(wù)提供方的背景審查主要指客戶(hù)投訴、違法違紀(jì)行為等；服務(wù)人員的背景審查主要指行業(yè)主管部門(mén)或使用單位對(duì)從事風(fēng)險(xiǎn)評(píng)估服務(wù)的人員進(jìn)行必要的審查。

　　資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別，其中一級(jí)最高，三級(jí)最低。

風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證申請(qǐng)條件

　　一、法律地位要求：

　　在中華人民共和國(guó)境內(nèi)注冊(cè)的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確；

　　二、財(cái)務(wù)資信要求：

　　近 3 年經(jīng)營(yíng)狀況良好，財(cái)務(wù)數(shù)據(jù)真實(shí)可信，應(yīng)提供在中華人民共和國(guó)境內(nèi)登記注冊(cè)的會(huì)計(jì)師事務(wù)所出具的近 3 年財(cái)務(wù)審計(jì)報(bào)告；

　　三、辦公場(chǎng)所要求：

　　擁有長(zhǎng)期固定辦公場(chǎng)所和相適應(yīng)的辦公條件，能夠滿(mǎn)足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要；

　　四、人員素質(zhì)與資質(zhì)要求：

　　1、組織負(fù)責(zé)人擁有2年以上信息技術(shù)領(lǐng)域管理經(jīng)歷；

　　2、技術(shù)負(fù)責(zé)人獲得信息安全相關(guān)專(zhuān)業(yè)碩士及以上學(xué)位或電子信息技術(shù)類(lèi)中級(jí)職稱(chēng)，且從事信息安全技術(shù)工作2年以上；

　　3、財(cái)務(wù)負(fù)責(zé)人具有財(cái)務(wù)系列初級(jí)以上職稱(chēng)；

　　4、從事信息安全服務(wù)人員10名以上；

　　5、擁有信息安全專(zhuān)業(yè)認(rèn)證（與申報(bào)類(lèi)別一致）人員2名以上；

　　6、擁有項(xiàng)目管理資格證書(shū)人員1名以上；

　　五、業(yè)績(jī)要求：

　　1、從事信息安全服務(wù)（與申報(bào)類(lèi)別一致）1年以上；

　　2、近3年內(nèi)簽訂并完成至少1個(gè)信息安全服務(wù)（與申報(bào)類(lèi)別一致）項(xiàng)目；

　　六、服務(wù)管理要求：

　　1、遵循國(guó)家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無(wú)違法違規(guī)記錄，資信狀況良好；

　　2、建立人員管理程序和能力考核指標(biāo)；制定業(yè)務(wù)和技能培訓(xùn)計(jì)劃，定期對(duì)相關(guān)人員開(kāi)展培訓(xùn)和考核；

　　3、建立文檔控制程序，明確文檔管理職責(zé)，任命管理人員，確保項(xiàng)目文檔資料妥善保管；

　　4、建立項(xiàng)目管理制度，并按照制度執(zhí)行；

　　5、提供資源，確保信息安全服務(wù)項(xiàng)目的實(shí)施；

　　七、服務(wù)合同要求：

　　1、了解客戶(hù)及所處的行業(yè)對(duì)信息安全服務(wù)的特定要求；

　　2、確定信息安全服務(wù)范圍；

　　3、應(yīng)簽訂信息安全服務(wù)合同或協(xié)議；

　　八、服務(wù)安全要求：

　　1、滿(mǎn)足法律法規(guī)對(duì)服務(wù)安全的要求；

　　1、滿(mǎn)足與客戶(hù)簽訂服務(wù)合同中的安全要求；

　　2、制定保密管理制度，明確崗位保密責(zé)任；

　　3、按照客戶(hù)要求，對(duì)于接觸到的客戶(hù)敏感信息和知識(shí)產(chǎn)權(quán)信息予以保護(hù)，并確保服務(wù)方人員了解客戶(hù)的相關(guān)要求；

　　4、與相關(guān)人員簽訂保密協(xié)議，并進(jìn)行保密教育；

　　5、確保其供應(yīng)商滿(mǎn)足上述服務(wù)安全要求；

　　九、服務(wù)技術(shù)要求：

　　1、建立信息安全服務(wù)（與申報(bào)類(lèi)別一致）流程；

　　2、制定信息安全服務(wù)（與申報(bào)類(lèi)別一致）規(guī)范并按照規(guī)范實(shí)施。

風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證辦理周期

　　6-8個(gè)月，具體時(shí)間還要看企業(yè)自身?xiàng)l件，和企業(yè)配合度來(lái)決定。