CCRC信息系统安全服务资质认证介绍

一、资质背景

       随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

       开展信息安全服务分类分级的资质认证可以对信息安全服务提供商的基本资格，管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

       中国网络安全审查技术与认证中心（CCRC，原中国信息安全认证中心）是国家质检总局直属事业单位，经中央编制委员会批准成立，由国家认证认可监督管理委员会批准，可依据相关标准开展对信息安全服务资质分类分级的认证工作。2011年启动了信息系统安全服务资质认证工作。在业务上接受中共中央网络安全和信息化委员会办公室指导。

目前信息系统安全服务资质证书是所有IT资质证书（而不是体系证书）里唯一一个带CNAS标识的证书。

二、认证简介

       信息系统安全服务资质下设安全集成、安全运维、应急处理、风险评估、灾害备份与恢复、软件安全开发、网络安全审计和工业控制系统安全八大分类分级认证。资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。我们重点关注信息系统安全集成和安全运维两个类别的认证。

      信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。
        信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。安全集成服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。

信息系统安全运维服务是通过技术设施安全评估，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理人员进行信息系统的安全运维工作，以发现并修复信息系统中所存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用后及时加以响应。

        安全运维资质认证是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。安全运维服务资质级别是衡量服务提供方的安全运维服务资格和能力的尺度。

三、申报要求

1、通用要求

2、专业要求（详询事密成）

四、CCRC信息系统安全服务资质认证的好处

1、对信息安全服务提供商的基本资格，管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求；

2、认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

3、可用于政府、金额等行业招投标项目，提高企业竞争力；

五、证书样板