信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平和技术能力,信息安全服务资质认证是根据国家法律法规、国家标准、行业标准和技术规范,以及基本认证规范和认证规则,对信息安全服务提供商的信息安全服务资质进行评估。通过信息安全服务分类分级资质认证,可以权威、客观、公正地评价信息安全服务提供者的基本资质、管理能力、技术能力和服务过程能力,证明其服务能力,满足社会对服务选择的需求。
信息安全服务资质是市场上通行的服务资质认证的统称,目前发证量最多、应用最广、业内认可度较高的发证机构是中国网络安全审查技术与认证中心(英文缩写为:CCRC),本机构是根据《国家网络安全法》及国家相关强制性产品认证和网络安全管理规定,负责实施网络安全审查认证的处级机构,在业务上接受中央网络信息办公室的指导。该机构颁发的信息安全服务资质证书在业内俗称CCRC信息安全服务资质,分为三级:一级、二级和三级,其中一级最高,三级最低。
证书有效期为三年,需要在获证之日起12-18月内进行一次监督审核。
CCRC安全服务资质的认证标准
中国网络安全审查技术与认证中心(CCRC)对服务资质认证规范及实施规则进行了修订,于2021年10月15日发布了2021版CCRC-ISV-C01:2021《信息安全服务规范》、CCRC-ISV-R01:2021《信息安全服务资质认证实施规则》,并从发布之日起正式实施。自当日起,CCRC启动按照新版认证实施规则的认证申请受理工作,不再按照旧版认证规则受理申请。
CCRC安全服务资质分类
安全集成
安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。
安全运维
信息系统安全运维服务是指通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通知,安全事件响应和信息安全运维咨询。
风险评估
通过系统分析网络和信息系统面临的威胁及其脆弱性,评估安全事件一旦发生可能造成的危害,提出有针对性的防护对策和安全整改措施,抵御威胁,防范和消除信息安全风险,或将风险控制在可接受的水平。
应急处理
制定应急计划,以便对影响网络和信息系统安全的安全事件做出及时响应,并在安全事件发生后对其进行识别、记录、分类和处理,直至受影响的业务恢复正常运营的过程。
安全开发
将开发软件的风险控制在可接受的水平。软件安全开发资质认证是对软件开发人员的基本资质、管理能力、技术能力和软件安全过程能力的评估。安全软件开发服务资格级别是对服务提供商的软件安全开发服务资格和能力的衡量。
灾难备份与恢复
灾难备份与恢复是为备份信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运营管理能力,并在发生灾害时将其恢复到正常运营状态而设计和提供的活动,并将支持的业务功能从灾难导致的异常状态恢复到可接受状态。
网络安全审计
网络安全审计机构对被审计单位计算机信息系统的安全性、可靠性和经济性进行检查和监督,通过获取审计证据并对其进行客观评估,开展系统的、独立的和有文件记录的活动。
5、资质申报流程
准备阶段
咨询师根据资料收集企业基本数据和项目资料,包括但不限于公司简介、信息安全人员名单、简历及相关证件、近三年财务审计报告、办公用房租赁合同、项目合同、验收报告、相应发票、项目工艺文件等,顾问指导企业编制资质申请材料。周期约为一个月。
审核阶段
申报企业按照CCRC开具的收费单缴纳审核费并上传付款凭证,CCRC受理资质评估申请,之后进行审核方案策划,并将审核任务分配到对应审核员,审核员依据评审方案对申请企业进行审核。现阶段三级审核为远程审核,二级和一级审核为现场审核。周期1-4个月不等。
整改阶段
对于申请人和咨询顾问在整改和审核过程中产生的不符合项,必要时上传或提交评审和整改过程材料或整改证据。工作量和工作周期取决于审计阶段的审计结果,通常约为一周。
出证阶段
CCRC进行资料完备性审查,做出认证决定,制作证书并进行证书发放。大概需要2周的时间。
6、基础申报条件
三级
申报条件
1.企业成立满半年以上
2.近三个月为6人以上缴纳社保
3.申报类别的安全项目不少于1个
4.CISAW证书申报类别2人或年审前培训
5.组织负责人拥有2年以上信息技术领域管理经历
二级
申报条件
1.企业成立满三年或三级证书满一年
2.近三个月为20人以上缴纳社保
3.申报类别的安全项目6个及以上
4.CISAW证书申报类别6人或年审前培训
5.组织负责人拥有3年以上信息技术领域管理经历
6.通过ISO27001或20000,覆盖范围含信息安全服务
一级
申报条件
1.企业成立满三年且二级证书满一年
2.近三个月社保30人及以上
3.申报类别的安全项目10个及以上
4.CISAW证书申报类别10人或年审前培训
5.组织负责人拥有4年以上信息技术领域管理经历
6.通过ISO27001或ISO20000,覆盖范围包含信息安全服务