1、什么是CCRC？

CCRC信息安全服务资质认证是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、 技术能力等方面的要求。目的是为了加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质进行评价。

CCRC证书级别分为一级、二级、三级，其中一级Zui高，三级Zui低。共分8个不同的方向，分别是：安全集成、安全运维、风险评估、应急处理、软件安全开发、灾难备份与恢复、工业控制安全、网络安全审计。企业可根据自身业务需求来申请对应方向的。

证书有效期为3年，证书到期需要提前3个月提出在线申请。

CCRC认证需要提供数据：

首次申请服务资格认证时，申请人应填写认证申请书，并提交资格、能力证明材料。申请材料通常包括：

1.服务资质认证申请书；

2.独立法人资格证明材料；

3.从事信息安全服务的相关资质证书；

4.工作保密制度及相应组织监督制度的证明材料；

5.与信息安全风险评估服务人员签订的保密协议复印件；

6.人员构成及素质证明材料；

7.公司组织结构证明材料；

8.有固定办公场所的证明材料；

9.项目管理制度文件；

10.信息安全服务质量管理文件；

11.项目案例及业绩证明材料；

12.信息安全服务能力证明材料等。

CCRC资质认证申请流程

CCRC认证周期和流程

一级/二级认证周期一般为12周，三级认证周期为4周（认证周期包括自正式受理之日起至认证证书颁发之日起的实际时间，不包括申请人准备或补充材料的时间）。申请过程主要分为准备阶段、审计阶段、认证决策阶段和认证制定阶段四个阶段。

1、准备阶段：申请组织根据自身实际情况确定服务资格类型，登录中国信息安全认证中心网站，提交准备好的材料、文件和自评证明材料。

2.审核阶段：审计形式存在较大差异，需要注意：

（1）初步认证：一、二、三级资格审查形式均为文件审查+现场审查。

（2）监督审核：一、二、三级资质为文件审核+现场审核+服务点审核。服务点审核抽样要求：在申请组织提交正在进行的项目中，现场审核时随机抽查一个项目；

审核流程：

（1）项目管理人员指派审核组长，协调审核员成立审核组；

（2）审核组长编制审核计划，通过项目管理人员发送给审核组全体成员；

（3）审计组对申请组织提交的材料进行审计，判断组织提供的信息安全服务管理和技术能力是否符合《信息安全服务规范》的要求。符合要求的，审计组长应当通知项目管理人员向申请组织出具受理通知书（申请组织有需要的，也可以签订《服务资格认证合同》）、收取认证费后，编制《非现场审计报告》，汇总《信息安全服务资质认证公共管理审计记录表》等审计材料，提交中心作出认证决定；不符合要求的，审计组长通知申请组织重新提交补充材料，审核补充材料（申请组织补充材料仍不符合要求的，审计组长应通知项目经理，项目经理通知申请组织不符合申请资格条件）。

3、认证决定阶段（本阶段工作应在两周内完成）

中心认证决定人员对审计组长提交的审计材料作出认证决定；

认证决定通过的，通知项目管理人员制证；认证决定不通过的，通知申请组织不通过的原因。

4、认证阶段（本阶段工作应在一周内完成）

项目经理制作证书并邮寄给申请人。电子证书可在中国网络安全审查认证技术中心网站查询。