CCRC信息安全服务资质

随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

信息安全服务是信息安全服务提供方提供安全服务的一种能力，包括法律地位、资源状况、管理水平、技术能力等方面的要求。

信息安全服务认证是依据国家法律法规、国家标准、行业标准和技术规范， 按照认证基本规范及认证规则，对提供信息安全服务提供方的信息安全服务能力进行评价。

1、CCRC认证的作用

   信息安全服务认证是国际贸易的通行证（建立生态）；市场经济的信用证（证明自己）；服务能力的体检证（认识自身）。

2、CCRC认证对企业的益处

信息安全服务认证可以为企业提高市场竞争力；规范企业的技术能力、管理能力；降低企业的运营风险；减少企业的经营成本。

3、CCRC认证的业务类别

信息安全服务资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

认证分为 8 个方向，即安全集成、安全运维、风险评估、应急处理、灾难备份与恢复、软件安全开发、网络安全审计、工控安全。

公共管理部分

目的：

建立并运行信息安全服务管理体系，保障信息安全服务质量的一致性。

优势：

1、提升申请方服务人员的管理能力；

2、加强服务工具管理，尤其是工具的自主可控、安全行等；

3、提升项目流程管理及执行过程中的安全控制意识；

4、加大项目规范管理能力，重点是安全技术操作方面；

5、提升项目文档管理能力，尤其数据安全管控能力；

6、加大服务供应商、服务外包管理能力；

7、提升项目管理意识，尤其是风险管理意识；

8、加大保密管理、合同管理能力；

9、加强服务质量、信息安全管理体系的内部评审、管理评审。

安全集成服务

目的：

按照信息系统安全集成服务流程与规范实施服务，保障服务质量。

优势：

1、信息系统的安全性贯穿整个服务过程，包括安全需求的分析、针对安全需求的设计、安全功能的测试验证；

2、模拟攻击场景进行安全性测试，既促使获证方提高自身的安全测试能力，也使企业交付的项目质量更高，避免出现较多的安全问题；

3、提升企业在安全集成项目中的质量管控，包括应急意识、施工质量的检查、项目的沟通与协调、关键点评审方面的能力。

安全运维服务

目的：

按照信息系统安全运维服务流程与操作规范，规范服务过程、提升安全运维服务质量。

优势：

1、提高相关方对安全运维服务的统一认识，安全运维内容丰富，安全性要求高；

2、发现甲方信息系统的潜在安全隐患，并能够进行针对性的预防工作，将风险降到最低；

3、对安全运维结果统计、分析，不断优化运维过程；

4、通过不断积累数据，逐步实现运维工具化、可视化，提升运维服务价值，促进行业发展。

应急处理服务

目的：

按照应急处理服务流程，规范服务技术与管理过程、保障服务质量。

优势：

1、引导申请方在开展信息安全应急处理服务过程中，充分考虑应急处置过程中的风险并规避风险、尽可能保留过程和证据，与客户充分沟通并获得客户的授权，确保整个过程能够追溯；

2、提升企业在应急处理过程中的风险管控意识；

3、提升企业应急处理过程的完备性；

4、提升申请方在处理过程中对工具的严格要求；

5、有效应对影响范围大且影响严重的网络安全事件的处置能力，提供处置效率，降低不良影响。

软件安全开发服务

目的：

按照软件安全开发服务流程，规范服务技术与管理过程、保障服务质量。

优势：

1、将软件开发与软件本身的安全性思维贯穿整个主线，包括安全需求分析、方案设计、安全编码、安全测试等，保障最后交付给客户的系统具有高健壮性、低风险的特性；

2、提升企业对安全开发的认识，尤其是基于软件威胁的建模，从而提升企业在安全需求分析、安全设计、安全编码上的一致性；

3、提升企业对代码安全性检查的认识；

4、提升企业对软件漏洞缺陷管理的认识；

5、提升企业对开发系统的安全测试的认识。

风险评估服务

目的：

按照风险评估服务流程，规范服务技术实现与管理过程、保障服务质量。

优势：

1、有助于帮助企业梳理服务流程和操作规范，同时检验与标准于要求的差距，促进企业持续改进；

2、具备跟踪、验证、挖掘信息安全漏洞的能力，在一定程度上对企业进行筛选，拉开能力层次凸显出企业的技术实力；

3、提升企业对风险评估的认识，尤其是风险评估与被评估对象的业务深度关联，识别关键业务功能、关键业务流程、关键数据、关键服务、关键单元和关键组件，能够提升最终客户对风险评估价值的认可。

灾难备份与恢复服务

目的：

资源服务类（A类）、技术服务类（B类）

按照灾难备案与恢复服务要求，规范服务技术与管理要素、保障服务质量。

内容：

1、对于资源服务类（A类）在于引导客户须从基础建设、基础环境运维层面做好储备；

2、对于技术服务类（B类）需通过各种模拟验证（包括桌面推演、实际演练）检验灾备系统是否能够达到最初设定的恢复目标。

安全审计服务

目的：

按照安全审计服务流程，规范服务技术与管理过程、保障服务质量。

优势：

安全审计的方法论，如何正确的采集和分析审计证据，如何编制完整的审计报告等。

工控安全服务

目的：

 工业控制系统安全服务围绕提升工业生产过程安全、信息安全、可靠运行，提升功能安全、物理安全和信息安全的保障能力为目标，涉及工业控制系统设计、建设、运维和技改各个阶段，主要包括工控安全集成、工控安全运维、工控风险评估等工业控制系统安全服务，形成系统的、独立的的服务能力。

4、服务认证流程

资料提供  

申请认证的企业需提供符合要求的完工项目合同、验收报告、发票及项目文档等

材料编写  

根据企业提供的相关文档，编写认证申请材料

认证申请  

材料编写完成并确认后，提交认证申请

中心受理  

认证中心对提交的文件进行初次审核并受理

流程审核  

认证中心安排现场审核

不符合整改

专员协助企业整改不符合项

通过与制证

审核完成后证书出证并在认监委官网公示

5、CCRC认证周期及证书有效期

1、一级/二级认证周期一般是12周，三级认证周期4周。认证周期包括自申请被正式受理之日起至颁发认证证书时止实际发生的时间，不包括申请单位准备或补充材料的时间。

2、证书有效期为三年，获证后的12个月内至少进行一次监督审核，证书有效性通过获证后监督维持。当获证企业持有多张证书时，应以最早的获证日期发起监督审核，其他证书合并审核。 

3、在证书有效期届满前至少 3个月提交换证申请。认证证书有效期内且最后一次监督审核结果合格的，换发新证书；获证组织在证书有效期届满时未提出换证申请的，其证书到期后失效。