CCRC信息安全服务资质超超超详细说明.docx

CCRC信息安全服务资质超超超详细说明中国网络安全审查技术与认证中心（CCRC，原中国信息安 全认证中心）是依据国家《网络安全法》和国家有关强制性产 品认证、网络安全管理法规，负责实施网络安全审查和认证 的专门机构CCRC信息安全服务资质规定了信息安全服务提供者在 提供服务时应具备的服务安全通用要求和专业服务能力要 求通过对信息安全服务分类分级的资质认证，可以对信息 安全服务提供商的基本资格、管理能力、技术能力和服务过 程能力等方面进行权威、客观、公正的评价，证明其服务能 力，满足社会对服务的选择需求同时，认证过程也将有效 促进服务提供方完善自身管理体系，提高服务质量和水平， 引导行业健康规范发展一、CCRC信息安全服务资质认证的基本环节：① 认证申请与受理；② 文档审核;③ 现场审核;④ 认证决定；⑤ 年度监督审核二、CCRC信息安全服务资质认证的申请资料初次申请服务资质认证时，申请单位应填写认证申请 书，并提交资格、能力方面的证明材料申请材料通常包括① 服务资质认证申请书；② 独立法人资格证明材料；③ 从事信息安全服务的相关资质证明；④ 工作保密制度及相应组织监管体系的证明材料；⑤ 与信息安全风险评估服务人员签订的保密协议复印 件；⑥ 人员构成与素质证明材料;⑦ 公司组织结构证明材料；⑧ 具备固定办公场所的证明材料；⑨ 项目管理制度文档；⑩ 信息安全服务质量管理文件；⑪项目案例及业绩证明材料；⑫信息安全服务能力证明材料等。

三、CCRC信息安全服务资质认证依据对特定类别的信息安全服务，有具体的评价标准例如， 信息安全应急处理服务资质认证的依据是《网络与信息安全 应急处理服务资质评估方法》(YD/T 1799-2008)，信息安全风 险评估服务资质认证的依据是《信息安全技术 信息安全风 险评估规范》(GB/T 20984-2007)与《信息安全风险评估服务 资质认证实施规则》(ISCCC-SV-002)四、CCRC信息安全服务资质认证的8大认证分项CCRC信息安全服务资质包含8大认证分项，即信息系统 安全集成服务资质认证、安全运维服务资质认证、风险评估 服务资质认证、应急处理服务资质认证、软件安全开发服务 资质认证、信息系统灾难备份与恢复服务资质认证、工业控 制安全服务资质认证、网络安全审计服务资质认证1、信息系统安全集成服务资质认证信息系统安全集成服务是指从事计算机应用系统工程 和网络系统工程的安全需求界定、安全设计、建设实施、安 全保证的活动信息系统安全集成包括在新建信息系统的结 构化设计中考虑信息安全保证因素，从而使建设完成后的信 息系统满足建设方或使用方的安全需求而开展的活动也包 括在已有信息系统的基础上额外增加信息安全子系统或信 息安全设备等，通常被称为安全优化或安全加固。

信息系统安全集成服务资质级别是衡量服务提供者服 务能力的尺度资质级别分为一级、二级、三级共三个级别， 其中一级最高，三级最低安全集成服务提供方的服务能力 主要从以下四个方面体现:基本资格、服务管理能力、服务技 术能力和服务过程能力;服务人员的能力主要从掌握的知识、 安全集成服务的经验等综合评定2、 安全运维服务资质认证通过技术设施安全评估，技术设施安全加固，安全漏洞 补丁通告、安全事件响应以及信息安全运维咨询，协助组织 的信息系统管理人员进行信息系统的安全运维工作，以发现 并修复信息系统中所存在的安全隐患，降低安全隐患被非法 利用的可能性，并在安全隐患被利用后及时加以响应安全运维资质认证是对安全运维服务方的基本资格、管 理能力、技术能力和安全运维过程能力等方面进行评价安 全运维服务资质级别是衡量服务提供方的安全运维服务资 格和能力的尺度资质级别分为一级、二级、三级共三个级 别，其中一级最高，三级最低3、 风险评估服务资质认证信息安全风险评估是信息安全保障的基础性工作和重 要环节，贯穿于网络和信息系统建设运行的全过程服务提 供者通过对信息系统提供风险评估服务，系统地分析网络与 信息系统所面临的威胁及其存在的脆弱性，评估安全事件一 旦发生可能造成的危害程度，提出有针对性的抵御威胁的防 护对策和安全整改措施，防范和消除信息安全风险，或将风 险控制在可接受的水平，为网络和信息安全保障提供科学依 据。

信息安全风险评估服务资质级别是衡量服务提供者服 务能力的尺度风险评估服务提供方的服务能力主要从以下 四个方面体现:基本资格、服务管理能力、服务技术能力和服 务过程能力;服务人员的能力主要从掌握的知识、风险评估服 务的经验等综合评定对服务提供方的背景审查主要指客户 投诉、违法违纪行为等;服务人员的背景审查主要指行业主管 部门或使用单位对从事风险评估服务的人员进行必要的审 查资质级别分为一级、二级、三级共三个级别，其中一级 最高，三级最低4、应急处理服务资质认证信息安全应急处理服务是通过制定应急计划使得影响 网络与信息系统安全的安全事件能够得到及时响应，并在安 全事件一旦发生后进行标识、记录、分类和处理，直到受影 响的业务恢复正常运行的过程应急处理服务是保障业务连 续性的重要手段之一，它涵盖了在安全事件发生后为了维持 和恢复关键业务所进行的系列活动信息安全应急处理服务资质认证是对应急处理服务提 供方的基本资格、管理能力、技术能力和应急处理服务过程 能力等方面进行评价信息安全应急处理服务资质级别是衡 量服务提供方应急处理服务资格和能力的尺度，应急处理服 务资质分为三级，其中一级最高，三级最低。

5、软件安全开发服务资质认证通过对软件开发过程的控制，将开发的软件存在的风险 控制在可接受的水平软件安全开发资质认证是对软件开发方的基本资格、管 理能力、技术能力和软件安全过程能力等方面进行评价安 全软件开发服务资质级别是衡量服务提供方的软件安全开 发服务资格和能力的尺度资质级别分为一级、二级、三级共三个级别，其中一级 最高，三级最低6、 信息系统灾难备份与恢复服务资质认证信息系统灾难备份与恢复服务是将信息系统的数据、数 据处理系统、网络系统、基础设施、专业技术支持能力和运 行管理能力进行备份，并在灾难发生时，将信息系统从灾难 造成的故障或瘫痪状态恢复到可正常运行状态，将其支持的 业务功能从灾难造成的不正常状态恢复到可接受状态，而设 计和提供的活动信息系统灾难备份与恢复服务资质级别是衡量服务提 供者服务能力的尺度资质级别分为一级、二级、三级共三 个级别，其中一级最高，三级最低7、 工业控制安全服务资质认证工业控制系统安全服务围绕提升工业控制系统的高可 用性和业务连续性，提升功能安全、物理安全和信息安全的 保障能力为目标，涉及工业控制系统设计、建设、运维和技 改各个阶段，主要包括系统集成、系统运维、应急处理、风 险评估等工业控制系统安全服务，形成系统的、独立的、形 成文件的过程。

工业控制系统安全服务资质认证是对工业控制系统安 全服务方的基本资格、管理能力、技术能力和工业控制系统 安全服务过程能力等方面进行评价工业控制系统安全服务 资质级别是衡量服务提供方的工业控制系统安全服务资格 和能力的尺度工业控制系统安全资质级别分为一级、二级、 三级共三个级别，其中一级最高，三级最低8、网络安全审计服务资质认证网络安全审计是指网络安全审计机构对被审计方所属 的计算机信息系统的安全性、可靠性和经济性进行检查、监 督，通过获取审计证据并对其进行客观评价所开展的系统 的、独立的、形成文件的活动网络安全审计服务资质认证是对网络安全审计服务方 的基本资格、管理能力、技术能力和网络安全审计过程能力 等方面进行评价网络安全审计服务资质级别是衡量服务提 供方的网络安全审计服务资格和能力的尺度网络安全审计 资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。