信息安全服務(wù)資質(zhì)是信息安全服務(wù)機構(gòu)提供安全服務(wù)的一種資格，包括法律地位、資源狀況、管理水平和技術(shù)能力，信息安全服務(wù)資質(zhì)認證是根據(jù)國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，以及基本認證規(guī)范和認證規(guī)則，對信息安全服務(wù)提供商的信息安全服務(wù)資質(zhì)進行評估。通過信息安全服務(wù)分類分級資質(zhì)認證，可以權(quán)威、客觀、公正地評價信息安全服務(wù)提供者的基本資質(zhì)、管理能力、技術(shù)能力和服務(wù)過程能力，證明其服務(wù)能力，滿足社會對服務(wù)選擇的需求。

信息安全服務(wù)資質(zhì)是市場上通行的服務(wù)資質(zhì)認證的統(tǒng)稱，目前發(fā)證量最多、應(yīng)用最廣、業(yè)內(nèi)認可度較高的發(fā)證機構(gòu)是中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心（英文縮寫為：CCRC），本機構(gòu)是根據(jù)《國家網(wǎng)絡(luò)安全法》及國家相關(guān)強制性產(chǎn)品認證和網(wǎng)絡(luò)安全管理規(guī)定，負責(zé)實施網(wǎng)絡(luò)安全審查認證的處級機構(gòu)，在業(yè)務(wù)上接受中央網(wǎng)絡(luò)信息辦公室的指導(dǎo)。

CCRC信息安全服務(wù)資質(zhì)，分為三個級別，分別是：一級、二級和三級，其中一級最高，三級最低。

證書有效期為三年，需要在獲證之日起12個月內(nèi)進行一次監(jiān)督審核。

CCRC安全服務(wù)資質(zhì)分類有哪些？

安全集成服務(wù)是指從事計算機應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計、建設(shè)實施、安全保證的活動。

2、安全運維

信息系統(tǒng)安全運維服務(wù)是指通過技術(shù)設(shè)施安全評估、技術(shù)設(shè)施安全加固、安全漏洞補丁通知，安全事件響應(yīng)和信息安全運維咨詢。

3、風(fēng)險評估

通過系統(tǒng)分析網(wǎng)絡(luò)和信息系統(tǒng)面臨的威脅及其脆弱性，評估安全事件一旦發(fā)生可能造成的危害，提出有針對性的防護對策和安全整改措施，抵御威脅，防范和消除信息安全風(fēng)險，或?qū)L(fēng)險控制在可接受的水平。

4、應(yīng)急處理

制定應(yīng)急計劃，以便對影響網(wǎng)絡(luò)和信息系統(tǒng)安全的安全事件做出及時響應(yīng)，并在安全事件發(fā)生后對其進行識別、記錄、分類和處理，直至受影響的業(yè)務(wù)恢復(fù)正常運營的過程。

5、安全開發(fā)

將開發(fā)軟件的風(fēng)險控制在可接受的水平。軟件安全開發(fā)資質(zhì)認證是對軟件開發(fā)人員的基本資質(zhì)、管理能力、技術(shù)能力和軟件安全過程能力的評估。安全軟件開發(fā)服務(wù)資格級別是對服務(wù)提供商的軟件安全開發(fā)服務(wù)資格和能力的衡量。

6、災(zāi)難備份與恢復(fù)

災(zāi)難備份與恢復(fù)是為備份信息系統(tǒng)的數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運營管理能力，并在發(fā)生災(zāi)害時將其恢復(fù)到正常運營狀態(tài)而設(shè)計和提供的活動，并將支持的業(yè)務(wù)功能從災(zāi)難導(dǎo)致的異常狀態(tài)恢復(fù)到可接受狀態(tài)。

7、網(wǎng)絡(luò)安全審計

網(wǎng)絡(luò)安全審計機構(gòu)對被審計單位計算機信息系統(tǒng)的安全性、可靠性和經(jīng)濟性進行檢查和監(jiān)督，通過獲取審計證據(jù)并對其進行客觀評估，開展系統(tǒng)的、獨立的和有文件記錄的活動。

（1）準(zhǔn)備階段

咨詢師根據(jù)資料收集企業(yè)基本數(shù)據(jù)和項目資料，包括但不限于公司簡介、信息安全人員名單、簡歷及相關(guān)證件、近三年財務(wù)審計報告、辦公用房租賃合同、項目合同、驗收報告、相應(yīng)發(fā)票、項目工藝文件等，顧問指導(dǎo)企業(yè)編制資質(zhì)申請材料。周期約為一個月。

（2）審核階段

申報企業(yè)按照CCRC開具的收費單繳納審核費并上傳付款憑證，CCRC受理資質(zhì)評估申請，之后進行審核方案策劃，并將審核任務(wù)分配到對應(yīng)審核員，審核員依據(jù)評審方案對申請企業(yè)進行審核。現(xiàn)階段三級審核為遠程審核，二級和一級審核為現(xiàn)場審核。周期1-4個月不等。

（3）整改階段

對于申請人和咨詢顧問在整改和審核過程中產(chǎn)生的不符合項，必要時上傳或提交評審和整改過程材料或整改證據(jù)。工作量和工作周期取決于審計階段的審計結(jié)果，通常約為一周。

（4）出證階段

CCRC進行資料完備性審查，做出認證決定，制作證書并進行證書發(fā)放。大概需要2周的時間。

1.服務(wù)滿6個月

2.近三個月為6人以上繳納社保

3.申報類別的安全項目不少于1個對應(yīng)的合同、發(fā)票、驗收報告

4.CISAW證書申報類別2人或計算機相關(guān)專業(yè)人員2人

5.組織負責(zé)人擁有2年以上信息技術(shù)領(lǐng)域管理經(jīng)歷

1.服務(wù)滿三年或三級證書滿一年

2.近三個月為20人以上繳納社保

3.申報類別的安全項目6個及以上對應(yīng)的合同、發(fā)票、驗收報告

4.CISAW證書申報類別6人或計算機相關(guān)專業(yè)人員6人

5.組織負責(zé)人擁有3年以上信息技術(shù)領(lǐng)域管理經(jīng)歷

6.通過ISO27001或20000，覆蓋范圍含信息安全服務(wù)

1.服務(wù)滿五年且二級證書滿一年

2.近三個月社保30人及以上

3.申報類別的安全項目10個及以上對應(yīng)的合同、發(fā)票、驗收報告

4.CISAW證書申報類別10人或計算機相關(guān)專業(yè)人員10人

5.組織負責(zé)人擁有4年以上信息技術(shù)領(lǐng)域管理經(jīng)歷

6.通過ISO27001或ISO20000，覆蓋范圍包含信息安全服務(wù)

CCRC資質(zhì)認證對企業(yè)的優(yōu)勢是什么？

可以為企業(yè)提高市場競爭力；

規(guī)范企業(yè)的技術(shù)能力、管理能力；

降低企業(yè)的運營風(fēng)險；減少企業(yè)的經(jīng)營成本；

拓寬企業(yè)的業(yè)務(wù)范圍，獲得更多業(yè)務(wù)機會。