一、标准定义
信息安全服务资质,是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质证书(俗称CCRC)是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。
二、方向及等级
信息安全服务资质认证共分为8个认证方向,分别是信息系统安全集成、信息系统安全运维、信息系统风险评估、信息系统应急处理、软件安全开发、灾难备份与恢复、工业控制安全、网络安全审计,每个认证方向的资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。
三、信息系统安全运维服务资质
信息系统安全运维服务资质认证是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。
通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。
四、认证收益
扩大企业在信息安全服务领域的影响力,增强可信度
获得政府、金融、学校等行业投标加分,提高竞争力
加强实施项目中的各项管理及服务能力,提升效率
帮助企业巩固市场占有率,提升品牌正向形象
获取当地政府补贴奖励,冲击官方评奖评优
五、申请要求
信息系统安全运维服务资质证书的各等级的要求有较大差别,仅总结对于各级别通用的部分要求:
(1)企业独立法人地位,公司成立不少于6个月;
(2)营业执照范围须与申请方向相对应的范围相符,如申请【软件安全开发】须有“软件开发”等字眼,【安全集成】须有“集成”等字眼,【安全运维】须有“运维服务或计算机技术服务”等字眼;
(3)企业社保参保人数不少于10人,连续缴纳社保不少于3个月,其中本科毕业满6年左右(最好是计算机相关专业)不少于1人;
(4)申请企业需要提供至少1个对应方向且在近1年内签订并完工的项目合同,并给出该项目的验收报告、发票及银行回单;
(5)需求分析、服务级别协议SLA、安全运维服务方案、服务实施记录、运维服务报告等。
六、签发机构
中国网络安全审查技术与认证中心(英文缩写为CCRC)。于2006年由中央机构编制委员会办公室批准成立,为国家市场监督管理总局直属正司局级事业单位。依据《网络安全法》《网络安全审查办法》及国家有关强制性产品认证法律法规,承担网络安全审查技术支撑和认证工作;在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训等工作。颁发服务资质认证工作是中国网络安全审查技术与认证中心的核心业务之一。
七、认证流程
资料提供:企业提供符合要求的完工项目合同、验收报告、发票及项目文档等;
材料编写:根据企业提供的相关文档,编写认证申请材料;
认证申请:材料编写完成并确认后,提交认证申请;
中心受理:认证中心对提交的文件进行初次审核并受理;
流程审核:认证中心安排审核现场审核/远程审核进程。
不符合整改:企业关闭不符合项;
通过与制证:审核完成后证书出证并认监委官网公示;
获证后监督:获证后的12-18月内进行监督审核。
八、年审维护
信息系统安全集成服务资质证书有效期为 3 年。证书有效性通过获证后监督维持。
自获证后12-18个月内至少进行1次监督审核。当获证企业持有多张证书时,应以最早的获证日期发起监督审核,其他证书合并审核。
在证书有效期届满前至少 3 个月提交换证申请。认证证书有效期内且最后一次监督审核结果合格的,换发新证书;获证组织在证书有效期届满时未提出换证申请的,其证书到期后失效。
