信息系统安全集成服务是按照信息系统建设的安全需求，采用信息系统安全工程的方法和理论，将安全单元、产品部件进行集成的行为或活动。可从多个层面来理解安全集成的定义：第一个层面信息系统; 第二个层面安全，即信息系统安全，包括了信息系统安全体系、 信息系统安全管理目标、信息系统安全需求、信息系统安全设计、信息系统安全技术、信息安全标准与法律法规等 ; 第三个层面集成，是指一些孤立的事物或元素(这里具体指安全单元 、产品部件)通过某种方式集中在一起 ，产生联系 ，从而构成一个有机整体的过程;第四个层面技术和方法，包括需求调研 、方案设计、建设实施、安全测试和运行维护过程的技术和方法;第五个层面工程项目，主要内涵在于项目管理，涉及质量管理和信息安全管理方面。

对于安全集成的理解已在前面进行详述，安全集成服务其内涵体现于服务，即对于一个项目，必然存在着信息系统的建设方和信息系统的承建方，承建方凭借其自身的专业技术能力向建设方提供专业的服务，双方通过签订合同或协议，约定各自权利、义务、责任，明确在给定的费用和时间约束规范内，完成一项独立的、一次性的工作任务。承建方(安全集成企业)通过完成这个工作任务，实现建设方信息系统安全建设目标。

从审核的角度来看，如何确认企业所提供的业绩(案例)属于安全集成类项目，第一，从合同( 包括合同的有效组成部分，例如投标文件、技术协议等)约定来看，这个项目属于服务类的项目，包括了安全服务在内的系统集成类项目( 单一设备采购、独立软件开发、独立产品研发项目不宜作为安全集成项目) ;第二这个项目一定是有其建设过程的，即可以从信息系统生命周期角度理解，应该至少能够区分集成准备、方案设计、建设实施和安全保障四个过程;第三在这个项目的建设过程中，企业应用了其自身所具有的集成服务能力，能够体现于项目建设形成的过程文档和项目建设的成果。

(1)多体系融合

安全集成服务涉及ISO9001质量管理体系、ISO27001 ：2013信息安全管理体系、ISO20000 - 1 ：2011 信息技术服务管理体系等多体系，因此，安全集成服务首先应是在某管理体系覆盖范围中，其次能够按照管理体系的要求良好运行，第三，多体系作为上层结构，安全集成服务在执行层与体系要保持一致。安全集成服务是一种组织行为，因此，在企业中安全集成服务需要各职能部门按职责分工，共同协作，才能得以保证。

(2)与国家网络安全法规、标准结合

安全集成服务技术能力建设，必须重视国家网络安全法规、国家和行业相关技术标准。如等级保护制度。等级保护2 . 0 是 网 络 安 全 的 一 次 重 大 升级，等级保护对象范围在传统系统的基础上扩展到云计算、移动互联、物联网、大数据等。企业更加需要组织技术人员加强关键基础设施防护、等级保护等相关法规，尤其是国家、行业现行技术标准的培训和学习。在安全集成服务全过程中准确应用相关规范、技术标准。例如需求分析需要关注系统安全保护等级，安全设计引用等级保护基本要求，安全功能方面的设计至少满足相应等级要求，产品和技术的选择满足网络安全审查要求等。 

（3）提升系统测试能力

系统测试能力是安全集成服务能力中的一项重要要求。但这个方面往往是企业比较容易忽视或不够重视的。测试能力是一个企业对安全集成结果进行自测的一项技术。加强系统测试能力提升主要可以从三个方面入手，第一人员方面，配置专职的测试人员;第二工具方面，配置专用的测试工具(商用、开源)，并加强对工具的安全管理;第三指导书方面，建立系统测试方面的指导书、测试方案模板、测试计划模板、测试记录模板、测试报告模板等，并能够持续地改进完善。