CCRC資訊安全服務資質介紹及流程大全

CCRC資訊安全服務資質8大認證分項介紹

一、CCRC認證之資訊系統安全內建服務資質認證簡介

資訊系統安全內建服務是指從事計算機應用系統工程和網絡系統工程的安全需求界定、安全設計、建設實施、安全保證的活動。資訊系統安全內建包括在建立資訊系統的結構化設計中考慮資訊安全保證因素，進而使建設完成後的資訊系統滿足建設方或使用方的安全需求而開展的活動。也包括在已有資訊系統的基礎上額外增加資訊本機安全性授權或資訊安全裝置等，通常被稱為安全優化或安全加強。

資訊系統安全內建服務資質級别是衡量服務提供者服務能力的尺度。資質級别分為一級、二級、三級共三個級别，其中一級最高，三級最低。安全內建服務提供方的服務能力主要從以下四個方面展現：基本資格、服務管理能力、服務技術能力和服務過程能力；服務人員的能力主要從掌握的知識、安全內建服務的經驗等綜合評定。

二、CCRC認證之安全運維服務資質認證簡介

通過技術設施安全評估，技術設施安全加強，安全漏洞更新檔通告、安全事件響應以及資訊安全運維咨詢，協助組織的資訊系統管理人員進行資訊系統的安全運維工作，以發現并修複資訊系統中所存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用後及時加以響應。

安全運維資質認證是對安全運維服務方的基本資格、管理能力、技術能力和安全運維過程能力等方面進行評價。安全運維服務資質級别是衡量服務提供方的安全運維服務資格和能力的尺度。資質級别分為一級、二級、三級共三個級别，其中一級最高，三級最低。

三、CCRC認證之風險評估服務資質認證簡介

資訊安全風險評估是資訊安全保障的基礎性工作和重要環節，貫穿于網絡和資訊系統建設運作的全過程。服務提供者通過對資訊系統提供風險評估服務，系統地分析網絡與資訊系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵禦威脅的防護對策和安全整改措施，防範和消除資訊安全風險，或将風險控制在可接受的水準，為網絡和資訊安全保障提供科學依據。

資訊安全風險評估服務資質級别是衡量服務提供者服務能力的尺度。風險評估服務提供方的服務能力主要從以下四個方面展現：基本資格、服務管理能力、服務技術能力和服務過程能力；服務人員的能力主要從掌握的知識、風險評估服務的經驗等綜合評定。對服務提供方的背景審查主要指客戶投訴、違法違紀行為等；服務人員的背景審查主要指行業主管部門或使用機關對從事風險評估服務的人員進行必要的審查。

資質級别分為一級、二級、三級共三個級别，其中一級最高，三級最低。

四、CCRC認證之應急處理服務資質認證簡介

資訊安全應急處理服務是通過制定應急計劃使得影響網絡與資訊系統安全的安全事件能夠得到及時響應，并在安全事件一旦發生後進行辨別、記錄、分類和處理，直到受影響的業務恢複正常運作的過程。應急處理服務是保障業務連續性的重要手段之一，它涵蓋了在安全事件發生後為了維持和恢複關鍵業務所進行的系列活動。

資訊安全應急處理服務資質認證是對應急處理服務提供方的基本資格、管理能力、技術能力和應急處理服務過程能力等方面進行評價。資訊安全應急處理服務資質級别是衡量服務提供方應急處理服務資格和能力的尺度，應急處理服務資質分為三級，其中一級最高，三級最低。

五、CCRC認證之軟體安全開發服務資質認證簡介

通過對軟體開發過程的控制，将開發的軟體存在的風險控制在可接受的水準。

軟體安全開發資質認證是對軟體開發方的基本資格、管理能力、技術能力和軟體安全過程能力等方面進行評價。安全軟體開發服務資質級别是衡量服務提供方的軟體安全開發服務資格和能力的尺度。

資質級别分為一級、二級、三級共三個級别，其中一級最高，三級最低。

六、CCRC認證之資訊系統災難備份與恢複服務資質認證簡介

資訊系統災難備份與恢複服務是将資訊系統的資料、資料處理系統、網絡系統、基礎設施、專業技術支援能力和運作管理能力進行備份，并在災難發生時，将資訊系統從災難造成的故障或癱瘓狀态恢複到可正常運作狀态，将其支援的業務功能從災難造成的不正常狀态恢複到可接受狀态，而設計和提供的活動。

資訊系統災難備份與恢複服務資質級别是衡量服務提供者服務能力的尺度。資質級别分為一級、二級、三級共三個級别，其中一級最高，三級最低。

七、CCRC認證之工業控制安全服務資質認證簡介

工業控制系統安全服務圍繞提升工業控制系統的高可用性和業務連續性，提升功能安全、實體安全和資訊安全的保障能力為目标，涉及工業控制系統設計、建設、運維和技改各個階段，主要包括系統內建、系統運維、應急處理、風險評估等工業控制系統安全服務，形成系統的、獨立的、形成檔案的過程。

工業控制系統安全服務資質認證是對工業控制系統安全服務方的基本資格、管理能力、技術能力和工業控制系統安全服務過程能力等方面進行評價。工業控制系統安全服務資質級别是衡量服務提供方的工業控制系統安全服務資格和能力的尺度。工業控制系統安全資質級别分為一級、二級、三級共三個級别，其中一級最高，三級最低。

八、CCRC認證之網絡安全審計服務資質認證簡介

網絡安全審計是指網絡安全審計機構對被審計方所屬的計算機資訊系統的安全性、可靠性和經濟性進行檢查、監督，通過擷取審計證據并對其進行客觀評價所開展的系統的、獨立的、形成檔案的活動。

網絡安全審計服務資質認證是對網絡安全審計服務方的基本資格、管理能力、技術能力和網絡安全審計過程能力等方面進行評價。網絡安全審計服務資質級别是衡量服務提供方的網絡安全審計服務資格和能力的尺度。網絡安全審計資質級别分為一級、二級、三級共三個級别，其中一級最高，三級最低。

CCRC認證流程 資訊安全服務資質初次認證流程介紹

CCRC資訊安全服務資質是對資訊系統安全服務的提供者的技術、資源、法律、管理等方面的資質和能力，以及其穩定性、可靠性進行評估，并依據公開的标準和程式，對其安全服務保障能力進行認證的過程。資訊安全服務資質級别分為一級、二級、三級，其中一級最高，三級最低。資質級别是衡量服務提供者服務能力的尺度。

一般CCRC資訊安全服務資質申請該分為以下4個階段：

1、準備階段

申請組織根據自身實際情況與認證協同确定需要申請的服務資質類型，登入中國資訊安全認證中心網站，下載下傳《資訊安全服務資質認證自評估表-公共管理》、《資訊安全服務資質認證申請書》，實施自評估後（具體自評估表的填寫方法可參考中心網站上的《資訊安全服務資質認證自評估表填寫指南》），将上述文檔及自評估證明材料送出中心。

（注：申請三級資訊安全服務資質的組織，需要在《資訊安全服務資質認證自評估表-公共管理》的24-服務技術、25-服務過程文檔模闆這兩個條目中，提供相應的證明材料。申請三級資訊安全服務資質的組織，原則上無需填寫技術部分的自評估表，但如申請組織已經具備了實施完成并通過驗收的資訊安全服務項目案例，也可下載下傳并填寫相應的技術方向的自評估表，準備技術部分的自評估證明材料，送出中心作為參考。）

2、非現場稽核及商務階段

（此階段工作應在三周内完成，如需要申請組織補充材料，應在五周内完成）項目管理人員指派稽核組長，協調審查員組建稽核組；稽核組長編制《非現場稽核計劃》，通過項目管理人員發送給稽核組全體成員；稽核組對申請組織送出的材料進行非現場稽核工作，判斷該組織目前對外提供的資訊安全服務管理及技術能力是否符合《資訊安全服務規範》的要求。

如滿足要求，稽核組長在通知項目管理人員向申請組織出具《受理通知單》（如申請組織有需求，也可簽訂《服務資質認證合同》）、收取認證費用後，編寫《非現場稽核報告》，并彙總《資訊安全服務資質認證公共管理稽核記錄表》等稽核材料送出中心進行認證決定；如不滿足要求，稽核組長通知申請組織補充材料重新送出，并對補充材料進行稽核（如申請組織所補充的材料仍無法滿足要求，稽核組長應将此情況告知項目管理人員，項目管理人員通知申請組織目前尚不能滿足申請資質的條件）。

3、認證決定階段

（此階段工作應在兩周内完成）中心認證決定人員對稽核組長送出的稽核材料進行認證決定；如認證決定通過，則通知項目管理人員進行制證；如認證決定不通過，則通知申請組織不通過原因。

4、制證階段

（此階段工作應在一周内完成）項目管理人員制作證書，并郵寄給申請組織。（注：申請三級資訊安全服務資質的組織，無論是否送出已實施完成并通過驗收的資訊安全服務項目案例，隻要通過認證決定，所頒發的證書有效期均為一年。在第一次現場監督稽核時，必須提供在該年度實施完成并通過驗收的資訊安全服務項目案例。）