信息安全服务资质申报指引 ccrc

      随着我国信息化和信息安全保障工作的不断深入推进，加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

      目前信息安全服务资质认证由以下机构主导，分别是：中国网络安全审查技术与认证中心（CCRC，原中国信息安全认证中心）和中国信息安全测评中心（CNISTEC）及其授权的测评机构。

      中国网络安全审查技术与认证中心为国家市场监督管理总局直属事业单位，系第三方公正机构和法人实体，在业务上接受中共中央网络安全和信息化委员会办公室指导。中心经国家认证认可监督管理委员会批准，从事信息安全服务资质认证，目前有八种类型：安全集成服务资质认证、安全运维服务资质认证、风险评估服务资质认证、应急处理服务资质认证、软件安全开发服务资质认证、灾难备份与恢复服务资质认证、工业控制安全服务资质认证、网络安全审计服务资质认证。资质级别分为一级、二级、三级共三个级别，其中一级Zui高，三级Zui低。

      中国信息安全测评中心是中央批准成立的国家信息安全quanwei测评机构（经国务院信息化工作领导小组批准，由国务院信息办立项筹建），其授权的测评机构均通过中国实验室国家认可委员会（CNAL）的认可，从事信息安全服务资质认证，目前有七种类型：安全工程类、灾难恢复类、安全开发类、云计算安全类、大数据安全类、风险评估、信息系统审计类。资质分五个级别，由一级到五级依次递增，一级是Zui基本级别，五级为Zuigaoji别。

信息安全服务资质问&答

Q1

申请该资质的单位应具备的条件

1. 独立法人；

2. 信息安全服务管理相关文件、保密管理文件等；

3. 有专职的信息安全服务相关人员，并取证；

4. 有健全的信息安全服务管理机构。

Q2

取得资质的时间周期

5～6个月。

信息安全服务资质问&答

Q3

认证取证工作内容

1. 相关政策解读及培训

2. 总体策划；

3. 指导编写体系文件；

4. 信息安全服务体系试运行；

5. 组织内部审核、专家评审；

6. 选择认证机构，进行现场/非现场审核

7. 审核通过后，整改工作。

Q4

认证取证工作准备材料

1. 工商营业执照或者事业单位法人证书正本（复印件）；

2.  服务资质认证申请书；

3.  独立法人资格证明材料；

4.  事信息安全服务的相关资质证明；

5.  工作保密制度及相应组织监管体系的证明材料；

6.  与信息安全风险评估服务人员签订的保密协议复印件；

7.  人员构成与素质证明材料；

8.  公司组织结构证明材料；

9.  具备固定办公场所的证明材料；

10. 项目管理制度文档；

11. 信息安全服务质量管理文件；

12. 项目案例及业绩证明材料；

13. 信息安全服务能力证明材料等。

Q5

受理依据

《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全管理要求》以及特定类别的信息安全服务评价标准，例如：评价信息安全应急处理服务资质认证的依据：《网络与信息安全应急处理服务资质评估方法》（YD/T 1799-2008）、评价信息安全风险评估服务资质认证的依据：《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)等。

Q6

其他说明

中国网络安全审查技术与认证中心：获证组织应通过年度监督审核，保持证书有效，证书每年更新一次；

中国信息安全测评中心：证书在三年有效期内实行年确认制度，每三年进行一次维持换证。