信息安全服务提供方的服务能力主要从以下四个方面体现:基本资格、基本能力、服务管理能力和服务技术能力;服务人员的能力主要从掌握的知识、信息安全服务的经验等综合评定。对服务提供方的背景审查主要指客户投诉、违法违纪行为等,服务人员的背景审查主要指行业主管部门或使用单位对从事信息安全服务的人员进行必要的审查。实施信息安全服务资质管理需要坚持三个原则,即服务分类分级原则、能力评价与背景审查相结合原则、资质评定与证后监督相结合原则。
目前中国信息安全认证中心依据行业标准YD/T 1799-2008《网络与信息安全应急处理服务资质评估方法》开展了信息安全应急处理服务认证。其他信息安全服务类别的评估准则正在制定中。