信息系统安全开发服务资质安全开发三级申请计划

项目目标

从需求调研、准备资料到申请、现场审核、获得信息安全服务资质（安全开发类三级）预计需要3个月。

项目成员

确定项目组成员，包括甲方配合人员、我方项目成员，明确分工、职责。

任务分解

1.需求调研

了解甲方公司体系、资质情况、项目情况、技术规范情况。需充分解读甲方体系资料，为后续将安全开发类三级的准则条款要求，形成规范融合到现有体系中，工作量较大

2.差距分析

根据需求调研结果，与安全开发类三级评估准则核对，进行差距分析，确定需要增加、修订补充的技术规范、体系资料。

在熟悉甲方体系资料的前提下，依据准则条款，规划出融合思路，并确定人员分工，谁负责融合、编写哪部分技术规范

3.申请书与技术规范

各小组成员按照分工计划，编写技术规范、融合体系资料，工作量是最大的部分。

编写申请书。

4. 确定项目

根据建立的技术体系，至少选择项目1个，要覆盖整个安全开发类三级评估准则条款，并且覆盖整个项目生命周期。

此处选定项目后，要与项目经理沟通、规避不能拿出审核的项目风险，所以存在沟通协调的环节。

5. 递交申请书

递交申请书，签认证合同、走流程，等待安排现场审核时间。

6.补充项目资料

依据建立的技术体系、技术规范，结合现有的项目资料，补充完善项目资料。

依据以往ISO 9000体系项目资料，补充增加部分在70%，故有大量的技术资料需要补充，部分需要项目经理配合。

7.模拟现场审核

确定甲方参加现场审核人员，并进行模拟现场审核，学习答辩技巧。

8.文审/整改

初次申请此资质，先进行一阶段审核（俗称文审），先审核体系、技术规范、申请书、项目资料等，针对文审提出的整改项，进行整改。（肯定会提出整改项）关键看提出的整改项是在技术规范、还是项目资料，通常整改项会贯穿前后，也就是技术规范需要修改、对应的项目资料也要修改。

整改通过后，进入现场审核阶段。

9.现场审核

配合现场审核，一个认证单元现场审核按2人日，每增加一个认证单元增加0.5人日,以此类推，原则上最多不超过5人日。

10.审核整改