近年來，我國信息化和信息安全保障工作的不斷深化，以應急處理、風險評估、災難恢復、系統(tǒng)測評、安全運維、安全審計、安全培訓和安全咨詢等為主要內容的信息安全服務在信息安全保障中的作用日益突出。加強和規(guī)范信息安全服務資質管理已成為信息安全管理的重要基礎性工作。

CCRC信息安全服務資質是市場上通行的服務資質認證的統(tǒng)稱，目前發(fā)證量最多、應用最廣、業(yè)內認可度較高的發(fā)證機構是中國網絡安全審查技術與認證中心（英文縮寫為：CCRC；曾用名：ISCCC），該機構是是依據(jù)《國家網絡安全法》和國家有關強制性產品認證、網絡安全管理法規(guī)，負責實施網絡安全審查和認證的正司局級事業(yè)單位，在業(yè)務上接受中央網信辦指導。

對特定類別的信息安全服務，有具體的評價標準。例如，信息安全應急處理服務資質認證的依據(jù)是《網絡與信息安全應急處理服務資質評估方法》（YD/T 1799-2008），信息安全風險評估服務資質認證的依據(jù)是《信息安全技術 信息安全風險評估規(guī)范》（GB/T 20984-2007）與《信息安全風險評估服務資質認證實施規(guī)則》(ISCCC-SV-002)。

認證模式:初次認證+獲證后監(jiān)督

認證級別

信息安全服務認證級別分為一級、二級、三級，其中一級為最高級別。企業(yè)首次最高可以申請二級。

認證基本環(huán)節(jié)

1) 認證申請及受理 

2) 文件審核

3) 現(xiàn)場審核 

4) 結果評價與決定 

5) 獲證后監(jiān)督

CCRC安全服務資質分類

該資質共7個單項（2021年11月份由8個調整為7個），具體分類如下：

信息系統(tǒng)安全集成

01安全集成服務是指從事計算機應用系統(tǒng)工程和網絡系統(tǒng)工程的安全需求界定、安全設計、建設實施、安全保證的活動。

信息系統(tǒng)安全運維

02信息系統(tǒng)安全運維服務是指通過技術設施安全評估，技術設施安全加固，安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢，協(xié)助組織的信息系統(tǒng)管理人員進行信息系統(tǒng)的安全運維的工作。

信息安全風險評估

03通過系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和安全整改措施，防范和消除信息安全風險，或將風險控制在可接受的水平。

信息安全應急處理

04通過制定應急計劃使得影響網絡與信息系統(tǒng)安全的安全事件能夠得到及時響應，并在安全事件一旦發(fā)生后進行標識、記錄、分類和處理，直到受影響的業(yè)務恢復正常運行的過程。

信息安全風險評估

05將開發(fā)的軟件存在的風險控制在可接受的水平。軟件安全開發(fā)資質認證是對軟件開發(fā)方的基本資格、管理能力、技術能力和軟件安全過程能力等方面進行評價。安全軟件開發(fā)服務資質級別是衡量服務提供方的軟件安全開發(fā)服務資格和能力的尺度。

信息系統(tǒng)災難備份與恢復

06將信息系統(tǒng)的數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網絡系統(tǒng)、基礎設施、專業(yè)技術支持能力和運行管理能力進行備份，并在災難發(fā)生時，將其恢復到可正常運行狀態(tài)，使支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài)，而設計和提供的活動。

網絡安全審計

07網絡安全審計機構對被審計方所屬的計算機信息系統(tǒng)的安全性、可靠性和經濟性進行檢查、監(jiān)督，通過獲取審計證據(jù)并對其進行客觀評價所開展的系統(tǒng)的、獨立的、形成文件的活動。

資質申報流程

▲CCRC三級初次認證流程（以三級為例）

準備階段 

· 企業(yè)根據(jù)自身實際情況確定需要申請的服務資質類型。

非現(xiàn)場審核及商務階段

*此階段工作應在三周內完成，

如需要企業(yè)補充材料，應在五周內完成

· 項目管理人員指派審核組長，協(xié)調審查員組建審核組；

· 審核組對申請企業(yè)提交的材料進行非現(xiàn)場審核，判斷機構目前提供的信息安全服務管理和技術能力是否符合信息安全服務規(guī)范的要求。

（符合要求的，審核組長在通知項目管理人員向申請單位發(fā)出受理通知書，編寫非現(xiàn)場審核報告，將審核材料提交中心進行認證決策；不符合要求的，審核組長通知企業(yè)重新提交補充材料，并對補充材料進行審核。）

認證決定階段

（此階段工作應在兩周內完成）

· 中心認證決定人員對審核組長提交的審核材料進行認證決定；如認證決定通過，則通知項目管理人員進行制證；如認證決定不通過，則通知企業(yè)不通過原因。

制證階段

（此階段工作應在一周內完成） 

· 項目管理人員制作證書，并郵寄給申請組織。

（注：申請三級信息安全服務資質的組織，無論是否提交已實施完成并通過驗收的信息安全服務項目案例，只要通過認證決定，在第一次現(xiàn)場監(jiān)督審核時，必須提供在該年度實施完成并通過驗收的信息安全服務項目案例。）