信息安全服务资质认证证书(CCRC)简介

一、项目名称：信息安全服务资质认证证书(简称：CCRC)

二、发证单位：中国网络安全审查技术与认证中心

三、证书模板

四、项目简介

CCRC在IT行业中，一般办理较多的为六大方向，安全集成服务、安全运维服务、风险评估服务、应急处理服务、软件安全开发服务、灾难备份与恢复服务。

（一）安全集成服务

信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。

信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。

（二）安全运维服务

信息系统安全集成服务是指通过技术设施安全评估，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理人员进行信息系统的安全运维工作，以发现并修复信息系统中所存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用后及时加以响应。

（三）软件安全开发服务

通过对软件开发过程的控制，将开发的软件存在的风险控制在可接受的水平。软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。

（四）应急处理服务

信息安全应急处理服务是通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应，并在安全事件一旦发生后进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。应急处理服务是保障业务连续性的重要手段之一，它涵盖了在安全事件发生后为了维持和恢复关键业务所进行的系列活动。

（五）风险评估服务

信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。

（六）灾难备份与恢复服务

信息系统灾难备份与恢复服务是将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份，并在灾难发生时，将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计和提供的活动。

目前，云南省市场内的IT企业做安全集成服务、安全运维服务和软件安全开发服务三项业务的较多。

五、证书级别的划分

该证书划分为三个级别，等级从低到高分别为三级、二级、一级。

六、三级证书的申请条件

（一）法律地位要求

在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。遵循国家相关法律法规、标准要求，无违法违规记录。

（二）财务资信要求

提供本单位出具的近3年财务报表。

办公场所要求：拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。

（三）人员要求

组织负责人信息技术管理领域经历2年以上；

技术负责人：技术负责人具备信息安全服务（与申报类别一致）技术能力，经考核合格或通过专业认证；

项目负责人：项目负责人、项目工程师具备信息安全服务（与申报类别一致）管理能力，经考核合格或通过专业认证；

信息安全保障人员：2名以上（与申报类别一致）。（需参加中国网络安全审查技术与认证中心的培训并通过考试）

（三）业绩要求（与申报类别一致）

需提供公司签订的首个信息安全服务项目合同，时间要求在4个月以上。

（四）服务管理要求

1、建立并运行人员管理程序，识别安全服务人员的服务能力要求，明确安全服务人员的岗位职责、技术能力要求，并通过评价证明其能够胜任其承担的职责；

2、制定服务人员能力培养计划，包括网络与信息安全相关的技术、技能、管理、意识等内容，并执行计划，确保服务人员持续胜任其承担的职责；

3、建立文档管理程序，包括组织管理、服务过程管理、质量管理等内容，明确项目产生、发布、保存、传输、使用（包括交付和内部使用）、废弃等环节的文档控制；

4、建立并运行项目管理程序，明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程；

5、建立并运行保密管理程序，明确岗位保密责任，签订保密协议，并能够适时对相关人员进行保密教育；

6、建立与运行供应商管理程序，确保其供应商满足服务安全要求；

7、建立合同管理程序，制定统一合同模板，按照合同约定实施信息安全服务项目。按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求；

（五）技术服务要求

制定信息安全服务（与申报类别一致）流程，流程图中应包括每个阶段对应的职责、输入输出等；

制定信息安全服务（与申报类别一致）要求的规范标准，并按照规范实施。

七、证书申请的其它条件

    安全集成服务：提供安全集成类项目全套过程资料；

安全运维服务：提供安全运维类项目全套过程资料；有运维场地可供评审老师现场参观。

软件安全开发服务：提供软件开发类项目全套过程资料；有软件开发团队，具备一定软件开发实力。

风险评估服务：提供风险评估类项目全套过程资料；能提供相关业务系统或网络系统的漏洞扫描报告。

应急处理服务：提供应急处理类（或运维类）项目全套过程资料。

八、证书有效期

有效期为三年，三年到期重新申请。

每年进行监督审核。

九、申报流程和周期

1、申报周期：3-6个月，具体时间以管理部门为准。

2、申报流程如下：

签订合同——资料收集审核及编制——提交评审机构——现场审核——不符合项整改——资料复审——领取证书。

十、涉及的人员证书

CISAW信息安全人员（安全集成方向）

CISAW信息安全人员（安全运维方向）

CISAW信息安全人员（风险管理方向）

CISAW信息安全人员（应急处理方向）

CISAW信息安全人员（安全软件方向）