信息系統安全集成服務是按照信息系統建設的(de)安全需求，采用信息系統安全工程的(de)方法和(hé)理(lǐ)論，将安全單元、産品部件進行集成的(de)行為(wèi)或活動。可(kě)從多個層面來理(lǐ)解安全集成的(de)定義：第一(yī)個層面信息系統; 第二個層面安全，即信息系統安全，包括了信息系統安全體系、 信息系統安全管理(lǐ)目标、信息系統安全需求、信息系統安全設計、信息系統安全技術、信息安全标準與法律法規等 ; 第三個層面集成，是指一(yī)些孤立的(de)事物或元素(這裏具體指安全單元 、産品部件)通過某種方式集中在一(yī)起 ，産生聯系 ，從而構成一(yī)個有機整體的(de)過程;第四個層面技術和(hé)方法，包括需求調研 、方案設計、建設實施、安全測試和(hé)運行維護過程的(de)技術和(hé)方法;第五個層面工程項目，主要內(nèi)涵在于項目管理(lǐ)，涉及質量管理(lǐ)和(hé)信息安全管理(lǐ)方面。

對于安全集成的(de)理(lǐ)解已在前面進行詳述，安全集成服務其內(nèi)涵體現于服務，即對于一(yī)個項目，必然存在着信息系統的(de)建設方和(hé)信息系統的(de)承建方，承建方憑借其自(zì)身的(de)專業技術能力向建設方提供專業的(de)服務，雙方通過簽訂合同或協議，約定各自(zì)權利、義務、責任，明确在給定的(de)費用和(hé)時間約束規範內(nèi)，完成一(yī)項獨立的(de)、一(yī)次性的(de)工作任務。承建方(安全集成企業)通過完成這個工作任務，實現建設方信息系統安全建設目标。

從審核的(de)角度來看，如(rú)何确認企業所提供的(de)業績(案例)屬于安全集成類項目，第一(yī)，從合同( 包括合同的(de)有效組成部分，例如(rú)投标文件、技術協議等)約定來看，這個項目屬于服務類的(de)項目，包括了安全服務在內(nèi)的(de)系統集成類項目( 單一(yī)設備采購、獨立軟件開發、獨立産品研發項目不宜作為(wèi)安全集成項目) ;第二這個項目一(yī)定是有其建設過程的(de)，即可(kě)以從信息系統生命周期角度理(lǐ)解，應該至少能夠區分集成準備、方案設計、建設實施和(hé)安全保障四個過程;第三在這個項目的(de)建設過程中，企業應用了其自(zì)身所具有的(de)集成服務能力，能夠體現于項目建設形成的(de)過程文檔和(hé)項目建設的(de)成果。

(1)多體系融合

安全集成服務涉及ISO9001質量管理(lǐ)體系、ISO27001 ：2013信息安全管理(lǐ)體系、ISO20000 - 1 ：2011 信息技術服務管理(lǐ)體系等多體系，因此，安全集成服務首先應是在某管理(lǐ)體系覆蓋範圍中，其次能夠按照管理(lǐ)體系的(de)要求良好運行，第三，多體系作為(wèi)上層結構，安全集成服務在執行層與體系要保持一(yī)緻。安全集成服務是一(yī)種組織行為(wèi)，因此，在企業中安全集成服務需要各職能部門按職責分工，共同協作，才能得以保證。

(2)與國家網絡安全法規、标準結合

安全集成服務技術能力建設，必須重視(shì)國家網絡安全法規、國家和(hé)行業相關技術标準。如(rú)等級保護制度。等級保護2 . 0 是 網 絡 安 全 的(de) 一(yī) 次 重 大 升級，等級保護對象範圍在傳統系統的(de)基礎上擴展到雲計算、移動互聯、物聯網、大數據等。企業更加需要組織技術人員加強關鍵基礎設施防護、等級保護等相關法規，尤其是國家、行業現行技術标準的(de)培訓和(hé)學(xué)習。在安全集成服務全過程中準确應用相關規範、技術标準。例如(rú)需求分析需要關注系統安全保護等級，安全設計引用等級保護基本要求，安全功能方面的(de)設計至少滿足相應等級要求，産品和(hé)技術的(de)選擇滿足網絡安全審查要求等。 

（3）提升系統測試能力

系統測試能力是安全集成服務能力中的(de)一(yī)項重要要求。但這個方面往往是企業比較容易忽視(shì)或不夠重視(shì)的(de)。測試能力是一(yī)個企業對安全集成結果進行自(zì)測的(de)一(yī)項技術。加強系統測試能力提升主要可(kě)以從三個方面入手，第一(yī)人員方面，配置專職的(de)測試人員;第二工具方面，配置專用的(de)測試工具(商用、開源)，并加強對工具的(de)安全管理(lǐ);第三指導書方面，建立系統測試方面的(de)指導書、測試方案模闆、測試計劃模闆、測試記錄模闆、測試報告模闆等，并能夠持續地(dì)改進完善。