信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。

　　信息安全风险评估服务资质级别是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。对服务提供方的背景审查主要指客户投诉、违法违纪行为等；服务人员的背景审查主要指行业主管部门或使用单位对从事风险评估服务的人员进行必要的审查。

　　资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

风险评估服务资质认证申请条件

　　一、法律地位要求：

　　在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确；

　　二、财务资信要求：

　　近 3 年经营状况良好，财务数据真实可信，应提供在中华人民共和国境内登记注册的会计师事务所出具的近 3 年财务审计报告；

　　三、办公场所要求：

　　拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要；

　　四、人员素质与资质要求：

　　1、组织负责人拥有2年以上信息技术领域管理经历；

　　2、技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称，且从事信息安全技术工作2年以上；

　　3、财务负责人具有财务系列初级以上职称；

　　4、从事信息安全服务人员10名以上；

　　5、拥有信息安全专业认证（与申报类别一致）人员2名以上；

　　6、拥有项目管理资格证书人员1名以上；

　　五、业绩要求：

　　1、从事信息安全服务（与申报类别一致）1年以上；

　　2、近3年内签订并完成至少1个信息安全服务（与申报类别一致）项目；

　　六、服务管理要求：

　　1、遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好；

　　2、建立人员管理程序和能力考核指标；制定业务和技能培训计划，定期对相关人员开展培训和考核；

　　3、建立文档控制程序，明确文档管理职责，任命管理人员，确保项目文档资料妥善保管；

　　4、建立项目管理制度，并按照制度执行；

　　5、提供资源，确保信息安全服务项目的实施；

　　七、服务合同要求：

　　1、了解客户及所处的行业对信息安全服务的特定要求；

　　2、确定信息安全服务范围；

　　3、应签订信息安全服务合同或协议；

　　八、服务安全要求：

　　1、满足法律法规对服务安全的要求；

　　1、满足与客户签订服务合同中的安全要求；

　　2、制定保密管理制度，明确岗位保密责任；

　　3、按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求；

　　4、与相关人员签订保密协议，并进行保密教育；

　　5、确保其供应商满足上述服务安全要求；

　　九、服务技术要求：

　　1、建立信息安全服务（与申报类别一致）流程；

　　2、制定信息安全服务（与申报类别一致）规范并按照规范实施。

风险评估服务资质认证办理周期

　　6-8个月，具体时间还要看企业自身条件，和企业配合度来决定。