信息安全服務(wù)資質(zhì)是信息安全服務(wù)機(jī)構(gòu)提供安全服務(wù)的一種資格，包括法律地位、資源狀況、管理水平和技術(shù)能力，信息安全服務(wù)資質(zhì)認(rèn)證是根據(jù)國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，以及基本認(rèn)證規(guī)范和認(rèn)證規(guī)則，對信息安全服務(wù)提供商的信息安全服務(wù)資質(zhì)進(jìn)行評估。通過信息安全服務(wù)分類分級資質(zhì)認(rèn)證，可以權(quán)威、客觀、公正地評價(jià)信息安全服務(wù)提供者的基本資質(zhì)、管理能力、技術(shù)能力和服務(wù)過程能力，證明其服務(wù)能力，滿足社會對服務(wù)選擇的需求。

信息安全服務(wù)資質(zhì)是市場上通行的服務(wù)資質(zhì)認(rèn)證的統(tǒng)稱，目前發(fā)證量最多、應(yīng)用最廣、業(yè)內(nèi)認(rèn)可度較高的發(fā)證機(jī)構(gòu)是中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（英文縮寫為：CCRC），本機(jī)構(gòu)是根據(jù)《國家網(wǎng)絡(luò)安全法》及國家相關(guān)強(qiáng)制性產(chǎn)品認(rèn)證和網(wǎng)絡(luò)安全管理規(guī)定，負(fù)責(zé)實(shí)施網(wǎng)絡(luò)安全審查認(rèn)證的處級機(jī)構(gòu)，在業(yè)務(wù)上接受中央網(wǎng)絡(luò)信息辦公室的指導(dǎo)。該機(jī)構(gòu)頒發(fā)的信息安全服務(wù)資質(zhì)證書在業(yè)內(nèi)俗稱CCRC信息安全服務(wù)資質(zhì)，分為三級：一級、二級和三級，其中一級最高，三級最低。

證書有效期為三年，需要在獲證之日起12-18月內(nèi)進(jìn)行一次監(jiān)督審核。

CCRC安全服務(wù)資質(zhì)的認(rèn)證標(biāo)準(zhǔn) 

中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（CCRC）對服務(wù)資質(zhì)認(rèn)證規(guī)范及實(shí)施規(guī)則進(jìn)行了修訂，于2021年10月15日發(fā)布了2021版CCRC-ISV-C01:2021《信息安全服務(wù)規(guī)范》、CCRC-ISV-R01:2021《信息安全服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》，并從發(fā)布之日起正式實(shí)施。自當(dāng)日起，CCRC啟動按照新版認(rèn)證實(shí)施規(guī)則的認(rèn)證申請受理工作，不再按照舊版認(rèn)證規(guī)則受理申請。

CCRC安全服務(wù)資質(zhì)分類 

安全集成

安全集成服務(wù)是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證的活動。

安全運(yùn)維

信息系統(tǒng)安全運(yùn)維服務(wù)是指通過技術(shù)設(shè)施安全評估、技術(shù)設(shè)施安全加固、安全漏洞補(bǔ)丁通知，安全事件響應(yīng)和信息安全運(yùn)維咨詢。

風(fēng)險(xiǎn)評估

通過系統(tǒng)分析網(wǎng)絡(luò)和信息系統(tǒng)面臨的威脅及其脆弱性，評估安全事件一旦發(fā)生可能造成的危害，提出有針對性的防護(hù)對策和安全整改措施，抵御威脅，防范和消除信息安全風(fēng)險(xiǎn)，或?qū)L(fēng)險(xiǎn)控制在可接受的水平。

應(yīng)急處理

       制定應(yīng)急計(jì)劃，以便對影響網(wǎng)絡(luò)和信息系統(tǒng)安全的安全事件做出及時(shí)響應(yīng)，并在安全事件發(fā)生后對其進(jìn)行識別、記錄、分類和處理，直至受影響的業(yè)務(wù)恢復(fù)正常運(yùn)營的過程。

安全開發(fā)

將開發(fā)軟件的風(fēng)險(xiǎn)控制在可接受的水平。軟件安全開發(fā)資質(zhì)認(rèn)證是對軟件開發(fā)人員的基本資質(zhì)、管理能力、技術(shù)能力和軟件安全過程能力的評估。安全軟件開發(fā)服務(wù)資格級別是對服務(wù)提供商的軟件安全開發(fā)服務(wù)資格和能力的衡量。

災(zāi)難備份與恢復(fù)

災(zāi)難備份與恢復(fù)是為備份信息系統(tǒng)的數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運(yùn)營管理能力，并在發(fā)生災(zāi)害時(shí)將其恢復(fù)到正常運(yùn)營狀態(tài)而設(shè)計(jì)和提供的活動，并將支持的業(yè)務(wù)功能從災(zāi)難導(dǎo)致的異常狀態(tài)恢復(fù)到可接受狀態(tài)。

網(wǎng)絡(luò)安全審計(jì)

網(wǎng)絡(luò)安全審計(jì)機(jī)構(gòu)對被審計(jì)單位計(jì)算機(jī)信息系統(tǒng)的安全性、可靠性和經(jīng)濟(jì)性進(jìn)行檢查和監(jiān)督，通過獲取審計(jì)證據(jù)并對其進(jìn)行客觀評估，開展系統(tǒng)的、獨(dú)立的和有文件記錄的活動。

5、資質(zhì)申報(bào)流程 

準(zhǔn)備階段

咨詢師根據(jù)資料收集企業(yè)基本數(shù)據(jù)和項(xiàng)目資料，包括但不限于公司簡介、信息安全人員名單、簡歷及相關(guān)證件、近三年財(cái)務(wù)審計(jì)報(bào)告、辦公用房租賃合同、項(xiàng)目合同、驗(yàn)收報(bào)告、相應(yīng)發(fā)票、項(xiàng)目工藝文件等，顧問指導(dǎo)企業(yè)編制資質(zhì)申請材料。周期約為一個月。

審核階段

申報(bào)企業(yè)按照CCRC開具的收費(fèi)單繳納審核費(fèi)并上傳付款憑證，CCRC受理資質(zhì)評估申請，之后進(jìn)行審核方案策劃，并將審核任務(wù)分配到對應(yīng)審核員，審核員依據(jù)評審方案對申請企業(yè)進(jìn)行審核。現(xiàn)階段三級審核為遠(yuǎn)程審核，二級和一級審核為現(xiàn)場審核。周期1-4個月不等。

整改階段

對于申請人和咨詢顧問在整改和審核過程中產(chǎn)生的不符合項(xiàng)，必要時(shí)上傳或提交評審和整改過程材料或整改證據(jù)。工作量和工作周期取決于審計(jì)階段的審計(jì)結(jié)果，通常約為一周。

出證階段

CCRC進(jìn)行資料完備性審查，做出認(rèn)證決定，制作證書并進(jìn)行證書發(fā)放。大概需要2周的時(shí)間。

6、基礎(chǔ)申報(bào)條件

三級

申報(bào)條件

1.企業(yè)成立滿半年以上

2.近三個月為6人以上繳納社保

3.申報(bào)類別的安全項(xiàng)目不少于1個

4.CISAW證書申報(bào)類別2人或年審前培訓(xùn)

5.組織負(fù)責(zé)人擁有2年以上信息技術(shù)領(lǐng)域管理經(jīng)歷

二級

申報(bào)條件

1.企業(yè)成立滿三年或三級證書滿一年

2.近三個月為20人以上繳納社保

3.申報(bào)類別的安全項(xiàng)目6個及以上

4.CISAW證書申報(bào)類別6人或年審前培訓(xùn)

5.組織負(fù)責(zé)人擁有3年以上信息技術(shù)領(lǐng)域管理經(jīng)歷

6.通過ISO27001或20000，覆蓋范圍含信息安全服務(wù)

一級

申報(bào)條件

1.企業(yè)成立滿三年且二級證書滿一年

2.近三個月社保30人及以上

3.申報(bào)類別的安全項(xiàng)目10個及以上

4.CISAW證書申報(bào)類別10人或年審前培訓(xùn)

5.組織負(fù)責(zé)人擁有4年以上信息技術(shù)領(lǐng)域管理經(jīng)歷

6.通過ISO27001或ISO20000，覆蓋范圍包含信息安全服務(wù)