信息安全服务资质ISCCC/CCRC认证资质介绍

  ISCCC/CCRC信息安全服务资质

一、 CCRC认证简介

CCRC认证信息安全服务资质是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、技术能力等方面的要求。目前，该资质共划分为：安全集成服务资质、安全运维服务资质、风险评估服务资质、应急处理服务资质、软件安全开发服务资质、灾难备份与恢复服务资质、工业控制安全服务资质、网络安全审计服务资质8个分项资质证书。每个分项划分为三级、二级、一级三个等级，其中三级最低、一级最高。

二、 基本条件

1.  CCRC认证三级评价要求

       1.1. 法律地位要求

a) 在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。

b) 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。

1.2. 财务资信要求

近 3 年经营状况良好，财务数据真实可信，能够提供本单位出具的近3年财务报表（加盖单位公章）。

1.3. 办公场所要求

拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。

1.4. 人员能力要求

a) 组织负责人拥有2年以上信息技术领域管理经历。

b) 技术负责人具备信息安全服务（与申报类别一致）管理能力，经考核合格（与申报类别一致）或通过专业认证，考核要求见附录G。

c) 项目负责人、项目工程师具备信息安全服务（与申报类别一致）技术能力，经考核合格或通过专业认证，考核要求见附录G。

1.5. 业绩要求

a) 从事信息安全服务（与申报类别一致）4个月以上。

b) 近3年内签订并完成至少1个信息安全服务（与申报类别一致）项目。

1.6. 服务管理要求

a) 建立并运行人员管理程序，明确能力考核指标并制定业务和技能培训计划，定期对相关人员开展培训和考核。

b) 建立文档控制程序，明确文档管理职责，任命管理人员，并按照制度执行。

c) 建立项目管理制度，明确项目管理职责，任命管理人员，并按照制度执行风险管理。制度执行风险管理。

d) 建立并运行保密管理制度，明确岗位保密责任。能够定期对相关人员进行保密教育，并签订保密协议。

e) 建立供应商管理制度，确保其供应商满足服务安全要求（仅适用于安全集成、安全运维、灾难备份与恢复方向）。

f) 建立合同管理制度，制定统一合同模板，按照合同约定实施信息安全服务项目。按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求。

1.7. 服务技术要求

a) 建立信息安全服务（与申报类别一致）流程，并按照流程实施。

b) 制定信息安全服务（与申报类别一致）规范，并按照规范实施。

2.CCRC 二级评价要求

申请方可根据条件直接申请，或获得三级资质一年以上可提出二级申请，服务管理程序文件需建立并运行半年以上。

2.1. 法律地位要求

a) 在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。

b) 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。

2.2. 财务资信要求

近 3 年经营状况良好，财务数据真实可信，应提供在中华人民共和国境内登记注册的会计师事务所出具的近3 年财务审计报告。

2.3. 办公场所要求

拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。

2.4. 人员能力要求

a) 组织负责人拥有3年以上信息技术领域管理经历。

b) 技术负责人具备信息安全服务（与申报类别一致）管理能力，经考核合格或通过（与申报类别一致）专业认证，考核要求见附录G。

c) 项目负责人、项目工程师具备信息安全服务（与申报类别一致）技术能力，经考核合格或通过（与申报类别一致）专业认证，考核要求见附录G。

2.5. 业绩要求

a) 从事信息安全服务（与申报类别一致）3年以上，或取得信息安全服务（与申报类别一致）三级资质1年以上，可提出相同类别的二级申请。

b) 近三年内签订并完成至少6个信息安全服务（与申报类别一致）项目。

2.6. 服务管理要求

a) 建立并运行人员管理程序，明确能力考核指标并制定业务和技能培训计划，定期对相关人员开展培训和考核。

b) 建立文档控制制度，明确文档管理职责，任命管理人员，并按照制度执行。

c) 建立项目管理制度，明确项目管理职责，任命管理人员，并按照制度执行风险管理。

d) 建立并运行保密管理制度，明确岗位保密责任。能够定期对相关人员进行保密教育，并签订保密协议。

e) 建立供应商管理制度，确保其供应商满足服务安全要求（仅适用于安全集成、安全运维、灾难备份与恢复方向）。

f) 建立合同管理制度，制定统一合同模板，按照合同约定实施信息安全服务项目。按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求。

g) 了解客户及所处的行业对信息安全服务的特定要求，确定信息安全服务范围。

h) 参照国际或国内标准，建立业务范围覆盖信息安全服务（与申报类别一致）的质量管理体系，并有效运行半年以上。

i) 参照国际或国内标准，建立业务范围覆盖信息安全服务（与申报类别一致）的信息安全管理体系或信息技术服务管理体系，并有效运行半年以上。

2.7. 技术工具要求

a) 具备独立的测试环境及必要的软、硬件设备，用于技术培训和模拟测试。

b) 具备承担信息安全服务（与申报类别一致）项目所需的安全工具，并对工具进行管理和版本控制。

2.8. 服务技术要求

a) 建立信息安全服务（与申报类别一致）流程，并按照流程实施。

b) 制定信息安全服务（与申报类别一致）规范，并按照规范实施。

   CCRC认证（信息安全服务资质）级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。共分8个不同的方向，分别是:安全集成、安全运维、应急处理、风险评估、灾难备份与恢复、安全软件开发、网络安全审计、工业控制系统安全。申请方可根据自身业务需求来申请对应方向的。

注：

1. 每个CCRC分项都需要培训对应分项的信息安全保障人员，三级需要2个人，二级需要6个人，每名人员培训费用为7880元；

2. CCRC认证资质一共分为8个分项，若同时申报多个分项，咨询服务费和官方评审费都会有相应的折扣，具体视情况而定。

CCRC认证机构认证流程图