CMMI全称是Capability Maturity Model Integration，即能力成熟度模型集成
         是美国国防部的一个设想，1994年由美国国防部（United States Department of Defense）与卡内基-梅隆大学（Carnegie-Mellon University）下的软件工程研究中心（Software Engineering Institute，SEI）以及美国国防工业协会（National Defense Industrial Association）共同开发和研制的，他们计划把现在所有现存实施的与即将被发展出来的各种能力成熟度模型，集成到一个框架中去，申请此认证的前提条件是该企业具有有效的软件企业认定证书。
          其目的是帮助软件企业对软件工程过程进行管理和改进，增强开发与改进能力，从而能按时地、不超预算地开发出高质量的软件。其所依据的想法是：只要集中精力持续努力去建立有效的软件工程过程的基础结构，不断进行管理的实践和过程的改进，就可以克服软件开发中的困难。CMMI为改进一个组织的各种过程提供了一个单一的集成化框架，新的集成模型框架消除了各个模型的不一致性，减少了模型间的重复，增加透明度和理解，建立了一个自动的、可扩展的框架。因而能够从总体上改进组织的质量和效率。CMMI主要关注点就是成本效益、明确重点、过程集中和灵活性四个方面。
 

1、CMMI的价值
          CMMI为企业带来价值主要体现在以下几个方面：
          　　
          第一、能保证软件开发的质量与进度，能对“杂乱无章、无序管理”的项目开发过程进行规范。
          　　
          第二、有利于成本控制。因为质量有所保证，浪费在修改、解决客户的抱怨方面的成本会降低很多。绝大多数情况是缺少规范制度，只是求快。项目完成后，要花很多时间修修补补，费用很容易失控。
          　　
          第三、有助于提高软件开发者的职业素养。每一个具体参与其中的员工，无论是项目经理，还是工程师，甚至一些高层管理人的做事方法逐渐变得标准化、规范化。
          　　
          第四、能够解决人员流动所带来的问题。公司通过过程改进，建立了财富库以共享经验， 而不是单纯依靠某些人员。
          　　
          第五、有利于提升公司和员工绩效管理水平，以持续改进效益。通过度量和分析开发过程和产品，建立公司的效率指标。
        

2、实施流程
          阶段1：CMMI项目启动会
          明确企业实施CMMI的商业目标，建立CMMI项目实施的沟通机制。
          阶段2：CMMI基础培训和过程改进小组（EPG）组建
          进行CMMI基础概念讲解，指导企业建立核心的过程改进小组。
          阶段3：诊断
          充分了解企业研发过程现状，识别企业现有软件过程与企业现阶段理应达到的CMMI成熟度级别的差距，提交诊断报告，进行过程改进的策划。
          阶段4：过程域培训和文件定义
          结合企业过程现状进行CMMI过程域培训，通过举例、案例分析等方式，让企业的EPG掌握过程文件定义技巧，结合企业实际情况有针对性的定义组织的研发过程，并确定过程产出物（如：需求报告）
          阶段5：项目试点
          选择代表公司核心业务的项目或者典型项目进行试点，通过试点来完善过程文件，从而为企业全面推广过程文件打下基础。
          阶段6：组织推广
          全员参与全面导入与执行CMMI。
          阶段7：预评估
          验证组织推广的结果，识别企业尚存缺陷并制定再次改善方案，准备充分，以便企业能够更好进行正式SCAMPI评估。
          阶段8：SCAMPI A 正式评估
          由美国CMMI研究所授权的主任评估师领导，采用SCAMPI ( Standard CMMI Appraisal Method for Process Improvement)评估方法，对企业的能力成熟度进行正式的评估，颁发证书，通过美国CMMI研究所网站向全球发布企业信息。
       

ITSS（Information Technology Service Standards，信息技术服务标准ITSS）是一套成体系和综合配套的信息技术服务标准库，全面规范了IT服务产品及其组成要素，用于指导实施标准化和可信赖的服务。

ITSS的来源

ITSS是由国家信息技术服务标准工作组（以下简称：ITSS工作组）组织研究制定的，是我国IT服务行业最佳实践的总结和提升，也是我国从事IT服务研发、供应、推广和应用等各类组织自主创新成果的固化。

ITSS的原理

ITSS充分借鉴了质量管理原理和过程改进方法的精髓，规定了IT服务的组成要素和生命周期，并对其进行标准化，如图1.1所示：

图1.1 ITSS原理

组成要素：IT服务由人员（People）、流程（Process）、技术（Technology）和资源（Resource）组成，简称PPTR。其中：

人员：指提供IT服务所需的人员及其知识、经验和技能要求；

过程：指提供IT服务时，合理利用必要的资源，将输入转化为输出的一组相互关联和结构化的活动；

技术：指交付满足质量要求的IT服务应使用的技术或应具备的技术能力；

资源：指提供IT服务所依存和产生的有形及无形资产。

生命周期：IT服务生命周期由规划设计（Planning & Design）、部署实施（Implementing）、服务运营（Operation）、持续改进（Improvement）和监督管理（Supervision）5个阶段组成，简称PIOIS。其中：

规划设计：从客户业务战略出发，以需求为中心，参照ITSS对IT服务进行全面系统的战略规划和设计，为IT服务的部署实施做好准备，以确保提供满足客户需求的IT服务；

部署实施：在规划设计基础上，依据TSS建立管理体系、部署专用工具及服务解决方案；

服务运营：根据服务部署情况，依据ITSS，采用过程方法，全面管理基础设施、服务流程、人员和业务连续性，实现业务运营与IT服务运营融合；

持续改进：根据服务运营的实际情况，定期评审IT服务满足业务运营的情况，以及IT服务本身存在的缺陷，提出改进策略和方案，并对IT服务进行重新规划设计和部署实施，以提高IT服务质量。

监督管理：本阶段主要依据ITSS对IT服务服务质量进行评价，并对服务供方的服务过程、交付结果实施监督和绩效评估。

ITSS的内容

ITSS的内容即为依据上述原理制定的一系列标准，是一套完整的IT服务标准体系，包含了IT服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准，涉及咨询设计、集成实施、运行维护、服务管控、服务运营和服务外包等业务领域。

ITSS供需方

ITSS既是一套成体系和综合配套的标准库，又是一套选择和提供IT服务的方法学。我国境内需要IT服务、提供服务或从事服务相关的理论研究和技术研发的单位或个人都需要，包括：

行业主管部门：用于培育内需市场，鼓励服务外包，规范和引导信息技术服务业的发展。

IT服务需方：用于实施标准化的IT服务，或选择合格的IT服务提供商，包括：

中央及地方各级政府部门信息中心；

金融、电信、电力、石化等全国性或区域性行业企业的IT部门；

全国各省市各类大中型企业的IT部门；

其它有IT服务需求的组织。

IT服务供方：用于提供标准化的IT服务，提升服务质量并确保服务可信。这样的供方主要包括：

以IT咨询为主营业务的企业；

以设计开发为主营业务的企业；

以信息系统集成为主营业务的企业；

以数据处理和运营为主营业务的企业；

其它提IT服务的组织。

高校和科研院所：用于指导IT服务相关的理论研究、技术研发和学科设置。

个人：主要通过研究和学习ITSS，全面理解和掌握IT服务相关的标准化和技术理论知识，以及实施IT服务的方法，从而提升个人技能。

ITSS的好处

使用ITSS，对IT服务供需双方来讲，将带来以下潜在收益：

对IT服务需方：

提升IT服务质量：通过量化和监控最终用户满意度，IT服务需方可以更好地控制和提升用户满意度，从而有助于全面提升服务质量。

优化IT服务成本：不可预测的支出往往导致服务成本频繁变动，同时也意味着难以持续控制并降低IT服务成本，通过使用ITSS，将有助于量化服务成本，从而达到优化成本的目的。

强化IT服务效能：通过ITSS实施标准化的IT服务，有助于更合理地分配和使用IT服务，让所采购的IT服务能够得到最充分、最合理的使用。

降低IT服务风险：通过ITSS实施标准化的IT服务，也就意味着更稳定、更可靠的IT服务，降低业务中断风险，并可以有效避免被单一IT服务厂商绑定。

对IT服务供方：

提升IT服务质量：IT服务供需双方基于同一标准衡量IT服务质量，可使IT服务供方一方面通过ITSS来提升IT服务质量，另一方面可使提升的IT服务质量被IT服务需方认可，直接转换为经济效益。

优化IT服务成本：ITSS使IT服务供方可以将多项IT服务成本从企业内成本转换成社会成本，比如初级IT服务工程师培养、客户IT服务教育等。这种转变一方面直接降低了IT服务供方的成本，另一方面为IT服务供方的业务快速发展提供了可能。

强化IT服务效能：服务标准化是服务产品化的前提，服务产品化是服务产业化的前提。ITSS让IT服务供方实现IT服务的规模化成为可能。

降低IT服务风险：通过依据ITSS引入监理、服务质量评价等第三方服务，可降低IT服务项目实施风险；部分IT服务成本从企业内转换到企业外，可降低IT服务企业运营风险。

ISO 9001质量保证
ISO 20000信息技术服务管理
ISO 27001信息安全管理
ISO 15505（SPICE）软件过程改进与能力度评定(汽车行业)
ISO 26262  道路车辆功能安全
ISO 22301 业务连续性管理体系
ISO 16949国际汽车行业 质量管理体系
ISO 13485医疗器械 质量管理体系
ISO 27032网络安全指南国际标准
ISO 27018个人可识别信息安全管理体系
ISO 29151个人身份信息保护
ISO 27017云服务信息安全管理体系
ISO 27701隐私信息管理体系

敏捷开发
   敏捷开发以用户的需求进化为核心，采用迭代、循序渐进的方法进行软件开发。在敏捷开发中，软件项目在构建初期被切分成多个子项目，各个子项目的成果都经过测试，具备可视、可集成和可运行使用的特征。换言之，就是把一个大项目分为多个相互联系，但也可独立运行的小项目，并分别完成，在此过程中软件一直处于可使用状态。

开发宣言
个体和交互 胜过 过程和工具
可以工作的软件 胜过 面面俱到的文档
客户合作 胜过 合同谈判
响应变化 胜过 遵循计划
虽然右项也有价值，但是我们认为左项具有更大的价值。

宣言原则
最重要的是通过尽早和不断交付有价值的软件满足客户需要。
我们欢迎需求的变化，即使在开发后期。敏捷过程能够驾驭变化，保持客户的竞争优势。
经常交付可以工作的软件，从几星期到几个月，时间尺度越短越好。
业务人员和开发者应该在整个项目过程中始终朝夕在一起工作。
围绕斗志高昂的人进行软件开发，给开发者提供适宜的环境，满足他们的需要，并相信他们能够完成任务。
在开发小组中最有效率也最有效果的信息传达方式是面对面的交谈。
可以工作的软件是进度的主要度量标准。
敏捷过程提倡可持续开发。出资人、开发人员和用户应该总是维持不变的节奏。
对卓越技术与良好设计的不断追求将有助于提高敏捷性。
简单——尽可能减少工作量的艺术至关重要。
最好的架构、需求和设计都源自自我组织的团队。
每隔一定时间，团队都要总结如何更有效率，然后相应地调整自己的行为。


DevOps（Development和Operations的组合词）是一组过程、方法与系统的统称，用于促进开发（应用程序/软件工程）、技术运营和质量保障（QA）部门之间的沟通、协作与整合。

它是一种重视“软件开发人员（Dev）”和“IT运维技术人员（Ops）”之间沟通合作的文化、运动或惯例。透过自动化“软件交付”和“架构变更”的流程，来使得构建、测试、发布软件能够更加地快捷、频繁和可靠。

它的出现是由于软件行业日益清晰地认识到：为了按时交付软件产品和服务，开发和运维工作必须紧密合作。

作用
DevOps是Develop与Operations的缩写，它是企业内开发、技术运营和质量保障这三方面工作的融合，用于促进开发、技术运营和质保部门之间的沟通、协作与整合。有研究显示，在那些引入了DevOps概念的企业中，开发与运营人员在设计、构建、测试工作中共同在内部应用上进行协作之后，可以将产品开发的效率提升20%。

然而最为重要的如何成为一名真正的消费者用户并像消费者用户那样来考虑这整件事情的意义所在，无论是成为企业内部用户的还是外部用户。事实上，如何提升最终用户体验一直是DevOps战略发展的第一驱动力，有68%的企业是这样认为的，第二个需求是为了提升开发与运营团队之间的协作水平与效率，有61%的受访者选择了这一项。企业的移动与云计算转型趋势的兴起，同样也是企业引入DevOps的重要原因，有52%与43%的人分别选择了这两项。

国军标质量管理体系认证（国军标认证）
武器装备科研生产单位保密资质认证（保密认证）
武器装备科研生产许可证认证（许可证认证）
装备承制单位资格名录认证（名录认证））

信息安全等级保护
   包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

等级划分
《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

实施原则
根据《信息系统安全等级保护实施指南》精神，明确了以下基本原则：
自主保护原则：信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。
重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。
同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。
动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。


十三大重要标准
计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）
信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）
信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准）
信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准）
信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准）
信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准）
信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准）
信息系统安全等级保护测评过程指南 （GB/T 28449-2012）（应用类测评标准）
信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准）
信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准）
信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）（基础类标准）
信息安全技术网络安全等级保护安全设计技术要求（GB/T 25070-2019）（应用类建设标准）
信息安全技术网络安全等级保护测评要求（GB/T 28448-2019）（应用类测评标准）
其它相关标准
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 20985-2007 信息安全技术 信息安全事件管理指南
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范

中国信息安全认证中心:信息安全服务资质认证
    随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

　　我中心是经国家认证认可监督管理委员会批准，可以从事信息安全服务资质认证的机构（《认证机构批准书》CNCA-R-2007-138），并获得了中国合格评定国家认可委员会的认可（证书编号：No. CNAS CO66-V）。服务资质认证工作是我中心的核心业务之一。

　　按照分类分级的工作思路，目前我中心已经开展了信息安全应急处理和风险评估两类服务资质工作。

对服务资质认证工作具体介绍如下：

　　一、基本概念

　　信息安全服务资质是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质进行评价。

　　应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。（用1799概述里面一段一句的内容）

　　风险评估服务是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以求防范和化解信息安全风险，或将风险控制在可接受的水平。

　　通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

　　二、关于认证申请：

　　认证的基本环节：

　　认证申请与受理；

　　文档审核；

　　现场审核；

　　认证决定；

　　年度监督审核。

　　初次申请服务资质认证时，申请单位应填写认证申请书，并提交资格、能力方面的证明材料。申请材料通常包括：

　　服务资质认证申请书；

　　独立法人资格证明材料；

　　从事信息安全服务的相关资质证明；

　　工作保密制度及相应组织监管体系的证明材料；

　　与信息安全风险评估服务人员签订的保密协议复印件；

　　人员构成与素质证明材料；

　　公司组织结构证明材料；

　　具备固定办公场所的证明材料；

　　项目管理制度文档；

　　信息安全服务质量管理文件；

　　项目案例及业绩证明材料；

　　信息安全服务能力证明材料等。

　　三、关于认证依据：

　　对特定类别的信息安全服务，有具体的评价标准。例如，信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》（YD/T 1799-2008），信息安全风险评估服务资质认证的依据是《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。

　　四、关于认证流程：

　　参见我中心网站上的《信息安全服务资质认证实施规则》(ISCCC-SV-001)及认证流程图。认证周期一般是10周，包括自申请被正式受理之日起至颁发认证证书时止所实际发生的时间，不包括由于申请单位准备或补充材料的时间。



 中国信息安全测评中心:信息安全服务资质认证
    对提供信息安全服务的组织和单位资质进行审核、评估和认定。

信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力，以及其稳定性、可靠性进行评估，并依据公开的标准和程序，对其安全服务保障能力进行认定的过程。

目前分为：信息安全工程、信息安全灾难恢复、安全开发、风险评估、信息系统审计、云计算安全、大数据安全等七大类。

   是指从事涉密系统业务的单位所需要具备的从事涉及国家秘密活动的资格和保守国家秘密的能力。这里的“涉密系统集成”，包括涉密系统工程的规划、设计、开发、实施、服务及保障等工作。
根据国家保密局《涉及国家秘密的计算机信息系统集成资质管理办法》的规定，涉密系统集成资质实行行政审批制度。申请从事涉密系统集成资质业务的单位（以下简称申请单位），须经有关国家保密工作部门审批，授予《资质证书》。涉密系统集成资质依据其资本构成、人员构成、技术水平、服务水平和安全保密设施等要素进行综合评定。

基本条件
涉密系统集成单位应当是中华人民共和国境内具有独立法人地位的企业或事业单位。并具备下列条件：
1、遵守国家保密法律和法规，具有健全的保密制度。
2、具有信息产业部颁发的《计算机信息系统集成资质证书》（一级或二级），并有网络安全集成的成功范例。
无《计算机信息系统集成资质证书》（一级或二级）的企、事业单位，应为专门从事信息安全技术研究开发，有自主研发的国家有关部门认可的安全保密技术或产品，并独立开展网络安全集成业务两年以上（含两年），有3个以上独立完成的成功范例。
对仅从事网络布线、咨询、安全保密产品研发和销售而不从事计算机信息系统集成业务的企、事业单位，不受理涉密系统集成资质申请。
3、具有系统集成能力的计算机硬件、软件和网络工程专业高中级技术职称的专业队伍和组织管理人员，员工总数不得少于30人，其中与单位正式签定一年期以上劳动合同或聘用合同的专业技术人员不得少于20人。
4、具有先进的信息系统设计、开发设备，具有良好的安全保密环境。
5、注册资金不少于100万，具有良好的经营业绩和资产状况。
6、接受保密工作部门的指导、监督和检查。

申请条件
涉密信息系统集成资质分为甲级和乙级两个等级。
甲级资质单位可以在全国范围内从事绝密级、机密级和秘密级信息系统集成业务。乙级资质单位可以在注册地省、自治区、直辖市行政区域内从事机密级、秘密级信息系统集成业务。
甲级资质单位可在全国范围内从事涉密系统集成业务。申请前，须先通过由国家保密局指定的资质评估机构的评估。
申请涉密信息系统集成资质的单位应具备以下基本条件：
（一）在中华人民共和国境内注册的法人；
（二）依法成立3年以上，有良好的诚信记录；
（三）从事涉密信息系统集成业务人员具有中华人民共和国国籍；
（四）无境外（含香港、澳门、台湾）投资，国家另有规定的从其规定；
（五）取得行业主管部门颁发的有关资质，具有承担涉密信息系统集成业务的专业能力。
除了满足上述基本条件之外，申请甲级资质还需具备以下条件：
1、综合条件：
（1）历史清楚，从事信息系统集成业务3年以上；
（2）主业是信息系统集成、安全保密集成及相关业务，主业收入是单位收入的主要来源；
（3）产权关系明晰，资本结构符合要求，注册资金达到一定规模；
（4）经济运行状况良好，财务数据通过国家认可的审计单位的审计；
（5）员工和上级单位可靠、可信，近3年无违规和违法问题。
2、业绩：
（1）近3年内完成一定金额的信息系统集成项目1个以上，工程质量合格，已通过验收并投入使用；
（2）近3年内每年至少完成1个安全系统集成项目，所完成项目有较高的技术含量且采用的安全技术和产品符合要求，配置合理，切实有效；
（3）主要业务领域的典型项目在技术水平、工程质量等方面居国内同行业领先水平；
（4）近3年内完成的主业业绩达到一定金额；
（5）近3年内承建的信息系统集成项目或安全系统集成项目均未出现过未通过验收，未出现过由承建单位承担责任的重大系统故障；
（6）单位人员和上级单位同意并支持接受保密管理，并愿承担相应的保密责任。
3、管理能力：
（1）具备完善的单位内部管理制度和安全保密措施；
（2）具有完善的技术管理体系和执行机制；
（3）具有完备的技术服务体系，配置专门的机构和人员，能够提供必要的技术服务；
（4）具有系统地对员工进行系统集成技术知识、保密技术知识和保密规章制度的培训机制和计划，并能有效组织实施与考核；
（5）具有合理的人才资源管理制度和人员保密控制制度，并能有效实施。
4、技术能力：
（1）主要负责人应具有4年以上从事信息技术领域管理工作经历，主要技术负责人应获得信息技术类高级职称且从事系统集成技术工作不少于3年，能够从事涉密计算机信息系统集成项目管理工作的经理人数不少于5人；
（2）能够承担信息系统安全保密集成工作的专业技术人员不少于30人，且其中大学本科（含）以上学历所占比例不低于90%；
（3）计算机信息系统集成技术实力和安全系统集成技术水平居国内前列；
（4）有专门从事系统集成技术开发的高级研发人员及相应的科研场地、设备等，并已建立完善的系统开发与测试体系。
资质管理
1、涉密系统建设单位和承接涉密系统集成的单位应签订保密协议规定集成单位应履行的保密义务。
2、涉密系统集成单位在承接系统集成过程中需要与其他单位合作完成的其合作单位应有《资质证书》。
3、涉密系统建成后集成单位应将涉密系统资料全部移交给涉密系统建设单位不得私自留存或擅自处理。
4、已取得《资质证书》的集成单位名称、经营范围、企业性质、隶属关系变更的应当依照本办法第七条、第八条的规定重新办理审批手续。
5、省、自治区、直辖市、计划单列市、副省级城市保密局对本行政区域的涉密系统集成单位实施保密监督管理。
6、涉密系统集成单位违反本办法规定的由省、自治区、直辖市、计划单列市、副省级城市保密局责令其限期改正逾期不改或整改后仍不符合要求的报国家保密局收回其《资质证书》 。