一、服務介紹

1、什么是CCRC

CCRC信息安全服務資質級別是衡量服務提供者服務能力的尺度,隨著我國信息化和信息安全保障工作的不斷深入推進,以安全集成、安全運維、應急處理、風險評估、災難恢復、系統測評、安全審計、安全培訓和安全咨詢等為主要內容的信息安全服務在信息安全保障中的作用日益突出。加強和規范信息安全服務資質管理已成為信息安全管理的重要基礎性工作。

2、CCRC認證

信息安全服務資質級別分為一級、二級、三級,其中一級最高,三級最低;同時分別八個類別,包括安全集成、軟件開發、安全運維、災備與恢復、工控安全、安全審計、風險評估、應急處理

一級/二級認證周期一般是12周,三級認證周期4周

證書有效期一年,每年更新一次。 對持牌機構發展進行管理監督內部審計,每年需要進行分析一次(不超過12個月)。 對于中國首次注冊的組織,需要在12個月內進行現場監督審計

信息系統安全集成服務資質

信息系統安全集成服務是指從事計算機應用系統工程和網絡系統工程的安全需求界定、安全設計、建設實施、安全保證的活動。信息系統安全集成包括在新建信息系統的結構化設計中考慮信息安全保證因素,從而使建設完成后的信息系統滿足建設方或使用方的安全需求而開展的活動。也包括在已有信息系統的基礎上額外增加信息安全子系統或信息安全設備等,通常被稱為安全優化或安全加固。

安全運維服務資質

信息系統安全運維服務是指通過技術設施安全評估,技術設施安全加固,安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢,協助組織的信息系統管理人員進行信息系統的安全運維工作,以發現并修復信息系統中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時加以響應。

風險評估服務資質

信息安全風險評估是信息安全保障的基礎性工作和重要環節,貫穿于網絡和信息系統建設運行的全過程。服務提供者通過對信息系統提供風險評估服務,系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和安全整改措施,防范和消除信息安全風險,或將風險控制在可接受的水平,為網絡和信息安全保障提供科學依據。

應急處理服務資質

信息安全應急處理服務是通過制定應急計劃使得影響網絡與信息系統安全的安全事件能夠得到及時響應,并在安全事件一旦發生后進行標識、記錄、分類和處理,直到受影響的業務恢復正常運行的過程。應急處理服務是保障業務連續性的重要手段之一,它涵蓋了在安全事件發生后為了維持和恢復關鍵業務所進行的系列活動。

軟件安全開發服務資質

通過對軟件開發過程的控制,將開發的軟件存在的風險控制在可接受的水平。軟件安全開發資質認證是對軟件開發方的基本資格、管理能力、技術能力和軟件安全過程能力等方面進行評價。安全軟件開發服務資質級別是衡量服務提供方的軟件安全開發服務資格和能力的尺度。

信息系統災難備份與恢復服務資質

信息系統災難備份與恢復服務是將信息系統的數據、數據處理系統、網絡系統、基礎設施、專業技術支持能力和運行管理能力進行備份,并在災難發生時,將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態,將其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態,而設計和提供的活動。

工業控制安全服務資質

工業控制系統安全服務圍繞提升工業控制系統的高可用性和業務連續性,提升功能安全、物理安全和信息安全的保障能力為目標,涉及工業控制系統設計、建設、運維和技改各個階段,主要包括系統集成、系統運維、應急處理、風險評估等工業控制系統安全服務,形成系統的、獨立的、形成文件的過程。

網絡安全審計服務資質

網絡安全審計是指網絡安全審計機構對被審計方所屬的計算機信息系統的安全性、可靠性和經濟性進行檢查、監督,通過獲取審計證據并對其進行客觀評價所開展的系統的、獨立的、形成文件的活動。

3、評估條件

  企業為獨立法人的主體

  三級:1份對應子項合同,2名對應子項的信息安全保障人員;

  二級:6份對應子項合同,6名對應子項的信息安全保障人員;

  一級:10份對應子項的合同,10名對應子項的信息安全保障人員;

二、服務流程

評估流程整體分為四個階段:提交認證申請、文檔審核、現場審核、發布認證結果

三、資料清單

1、企業營業執照復印件

2、企業簡介、組織機構圖、各部門工作職責

3、獨立的工作環境與相應的設備情況介紹

4、最近三年財務狀況

5、近期信息安全服務項目匯總表

6、信息安全服務人員組成表

7、主要信息安全服務人員基本情況介紹表

8、證明具有相應信息安全服務技術能力的材料

9、證明具有相應信息安全服務管理能力的材料

10、典型的信息安全服務項目材料

11、企業同意遵守認證要求,提供審核所需信息的規定或承諾

四、注意事項