江浙沪 :CCRC信息安全服务资质

一、企业可以申请哪些信息安全资质?

以下列有现在市场上认证比较多的信息安全类的资质认证，目前发证量Zui多、应用Zui广、业内认可度较高的ISO27001和中国网络安全审查技术与认证中心CCRC的安全集成.中国信息安全测评中心的安全服务资质的安全工程类,中国通信企业协会通信网络安全专业委员会的通信网络安全服务能力评定证书安全设计与集成。

　　
二、CCRC信息安全服务资质讲解1.CCRC信息安全服务资质的机构介绍

中国网络安全审查技术与认证中心(英文缩写为：CCRC,(China Cybersecurity Review Technology and Certific),原为中国信息安全认证中心英文缩写ISCCC)于2006年由中央机构编制委员会办公室批准成立，为国家市场监督管理zongju直属正司局级事业单位。依据《网络安全法》《网络安全审查办法》及国家有关强制性产品认证法律法规，承担网络安全审查技术支撑和认证工作;在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训等工作;同时设有国家信息安全产品质量监督检验中心(北京)。该机构是是依据《国家网络安全法》和国家有关强制性产品认证、网络安全管理法规，负责实施网络安全审查和认证的正司局级事业单位，在业务上接受中央网信办指导。

2.信息安全服务资质的基本概念

随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

中国网络安全审查技术与认证中心是经国家认证认可监督管理委员会批准，可以从事信息安全服务资质认证的机构(《认证机构批准书》CNCA-R-2007-138)，并获得了中国合格评定国家认可委员会的认可(证书编号：No. CNAS CO66-V)。服务资质认证工作是中国网络安全审查技术与认证中心的核心业务之一。

按照分类分级的工作思路，目前中国网络安全审查技术与认证中心已经开展了安全集成,安全运维,风险评估,应急处理,软件安全开发,灾难备份,网络安全审计,工业控制安全-八类服务资质工作。

信息安全服务资质是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质进行评价。

应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。(用1799概述里面一段一句的内容)

风险评估服务是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以求防范和化解信息安全风险，或将风险控制在可接受的水平。

通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行quanwei、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

3.CCRC信息安全服务资质公示查询平台

CCRC的guanfangwangzhan为:中国网络安全审查技术与认证中心

证书出证后查询平台为:“认e云 全国认证认可信息公共服务平台”

4.CCRC信息安全服务资质的级别有效期等

级别分为一级、二级、三级共三个级别，其中一级Zui高，三级Zui低。

有效期:三年，获证之日起12-18月内完成一次监督审核。(旧版2021年10月15日之前证书有效期为一年)

所有按照旧版认证实施规则要求颁发的信息安全服务资质认证证书将在2022年9月30日前全部完成转换，超期未完成转换的证书将做暂停处理。

5.为什么要申请CCRC信息安全服务资质?

企业在投标过程中遇到资质要求越来越多,市场中申请企业越来越多,要接此类项目就必须有资质.取得资质的企业有助于信息安全服务提供商完善自身管理体系,提高服务质量和水平;有助于提高需方对信息安全服务提供商的信任度。

6.CCRC安全服务资质认证标准

根据信息安全服务资质认证业务现状及发展需要，中国网络安全审查技术与认证中心对服务资质认证规范及实施规则进行了修订，新版CCRC-ISV-C01:2021《信息安全服务规范》、CCRC-ISV-R01:2021《信息安全服务资质认证实施规则》从发布之日起正式实施。

自即日起，中心启动按照新版认证实施规则的认证申请受理工作，不再受理依据旧版认证实施规则的认证申请。

7.CCRC信息安全服务资质八个类别介绍1）信息系统安全集成服务资质认证简介

信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。

信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。安全集成服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。

2）安全运维服务资质认证简介

通过技术设施安全评估，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理人员进行信息系统的安全运维工作，以发现并修复信息系统中所存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用后及时加以响应。

安全运维资质认证是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。安全运维服务资质级别是衡量服务提供方的安全运维服务资格和能力的尺度。

3）风险评估服务资质认证简介

信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。

信息安全风险评估服务资质级别是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。对服务提供方的背景审查主要指客户投诉、违法违纪行为等;服务人员的背景审查主要指行业主管部门或使用单位对从事风险评估服务的人员进行必要的审查

4）应急处理服务资质认证简介

信息安全应急处理服务是通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应，并在安全事件一旦发生后进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。应急处理服务是保障业务连续性的重要手段之一，它涵盖了在安全事件发生后为了维持和恢复关键业务所进行的系列活动。

信息安全应急处理服务资质认证是对应急处理服务提供方的基本资格、管理能力、技术能力和应急处理服务过程能力等方面进行评价。信息安全应急处理服务资质级别是衡量服务提供方应急处理服务资格和能力的尺度.

5）软件安全开发服务资质认证简介

通过对软件开发过程的控制，将开发的软件存在的风险控制在可接受的水平。软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。

6）信息系统灾难备份与恢复服务资质认证简介

信息系统灾难备份与恢复服务是将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份，并在灾难发生时，将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计和提供的活动。信息系统灾难备份与恢复服务资质级别是衡量服务提供者服务能力的尺度。

7）网络安全审计服务资质认证

网络安全审计是指网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经济性进行检查、监督，通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件的活动。网络安全审计服务资质认证是对网络安全审计服务方的基本资格、管理能力、技术能力和网络安全审计过程能力等方面进行评价。网络安全审计服务资质级别是衡量服务提供方的网络安全审计服务资格和能力的尺度。

8）工业控制安全服务资质认证

工业控制系统安全服务围绕提升工业控制系统的高可用性和业务连续性，提升功能安全、物理安全和信息安全的保障能力为目标，涉及工业控制系统设计、建设、运维和技改各个阶段，主要包括系统集成、系统运维、应急处理、风险评估等工业控制系统安全服务，形成系统的、独立的、形成文件的过程。

工业控制系统安全服务资质认证是对工业控制系统安全服务方的基本资格、管理能力、技术能力和工业控制系统安全服务过程能力等方面进行评价。工业控制系统安全服务资质级别是衡量服务提供方的工业控制系统安全服务资格和能力的尺度。

8. 信息安全服务资质的基本条件

9.关于安全保障人员CISAW说明

1）人员培训考试(认证CCRC时,第一年需要有CISAW人员培训计划，监督年检时会要求人员取得CISAW证书)证书有效期3年；

2）信息安全人员培训考试，是信息安全保障人员(Certified Information Security Assurance Worker,简称：CISAW)培训费7880/人。培训费6800元,1080考试费；

3）一般线上培训三天，线下培训1天半,半天考试,考试满分120元，达到84分及格，其中100选择，1题案例分析。只要认真听讲好好背题都可以通过,还有免费补考一次；

      4）换证流程：

注册账号(个人)-收到邮件，激活账号-登录帐号-我的资料-基本信息-教育背景-工作履历-培训经历(如有)

获得证书(填写原CISAW证书信息，上传原证书扫描件〉

我的认证-申请认证-申请类型"再认证"-已获证书编号(原证书)-注册方向-申请级别"专业级"

10.CISAW安全保障人员学历要求> 基础级认证工作经历要求获证人员应通过信息安全保障人员认证(CISAW)安全集成方向考试，同时至少满足下面一项要求：a) 本科(含)以上学历， 1 年以上从事信息安全有关工作经历;b) 专科毕业，3 年以上从事信息安全有关的工作经历;c) 5 年以上从事信息安全有关的工作经历;d) 具有信息技术相关专业的初级技术职称，并且至少 1 年以上从事信息安全保障相关工作经历。> 专业级认证工作经历要求获证人员应通过信息安全保障人员认证(CISAW)安全集成方向考试，同时至少满足下面一项要求：a) 硕士研究生(含)以上学历，2 年以上从事信息安全有关工作经历，并且至少 1 年从事与安全集成专业方向相关的工作经历;b) 本科毕业，4 年以上从事信息安全有关工作经历，并且至少 2 年以上从事安全集成专业方向相关的工作经历;c) 专科毕业，6 年以上从事信息安全有关工作经历，并且至少 2 年以上从事安全集成专业方向相关的工作经历;d) 7 年以上从事信息安全有关工作经历，并且至少 2 年以上从事与安全集成专业方向相关的工作经历;e) 具有信息技术相关专业的中级技术职称，并且从事至少 2 年以上安全集成专业方向相关的工作经历。

11.信息安全服务资质咨询服务流程

从需求调研、准备资料到申请、现场审核、获得信息安全服务资质预计需要3个月。项目成员确定项目组成员，包括甲方配合人员、我方项目成员，明确分工、职责。

1）需求调研:了解甲方公司体系、资质情况、项目情况、技术规范情况。需充分解读甲方体系资料，为后续将该申请类别的准则条款要求，形成规范融合到现有体系中，工作量较大，预计1周。2）差距分析:根据需求调研结果，与信息安全相关申请类别评估准则核对，进行差距分析，确定需要增加、修订补充的技术规范、体系资料。在熟悉甲方体系资料的前提下，依据准则条款，规划出融合思路，并确定人员分工，谁负责融合、编写哪部分技术规范 。预计1周。3）申请书编写技术规范编写:各小组成员按照分工计划，编写技术规范、融合体系资料，工作量是Zui大的部分。预计1个月。4）确定项目:根据建立的技术体系，至少选择项目1个，要覆盖整个申请类别相关级别评估准则条款，并且覆盖整个项目生命周期。此处选定项目后，要与项目经理沟通、规避不能拿出审核的项目风险，所以存在沟通协调的环节。预计2周。5）递交申请书:递交申请书，官方系统线上受理,并签约认证发受理单、走流程，等待安排现场审核时间。预计2个月。6）补充项目资料:依据建立的技术体系、技术规范，结合现有的项目资料，补充完善项目资料。依据以往ISO 9000体系项目资料，补充增加部分在70%，故有大量的技术资料需要补充，部分需要项目经理配合。预计1个月。7）培训模拟现场审核:确定甲方参加现场审核人员，并进行模拟现场审核，学习答辩技巧。预计2天。8）文审/整改:初次申请此资质，先进行一阶段审核(俗称文审)，先审核体系、技术规范、申请书、项目资料等，针对文审提出的整改项，进行整改。(肯定会提出整改项)关键看提出的整改项是在技术规范、还是项目资料，通常整改项会贯穿前后，也就是技术规范需要修改、对应的项目资料也要修改。整改通过后，进入现场审核阶段。预计2周。9） 现场审核:配合现场审核。预计1周。10）审核整改:根据现场审核提出的整改项，进行整改，准备整改资料、纠正措施资料，并提交审核通过后，取得证书。预计2周。