信息安全服务资质认证实施规则

1.适用范围

信息安全服务资质认证是依据国家认证认可法律法规、相关技术标准和规范，对信息安全服务提供者的资质进行评价的合格评定活动。本规则规定了信息安全服务提供者（以下简称服务提供者）应具备的通用评价要求、专业评价要求以及认证机构开展服务资质认证的程序。本规则可用于第三方机构对服务提供者进行资信和能力评价，可作为服务提供者开展自我评价的依据，并可为政府及有关社会组织选择服务提供者提供依据。

2.规范性引用文件

下列文件中的条款通过本文件引用而成为本文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文件，然而，鼓励根据本文件达成协议的各方研究可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本文件。

CNCA/CTS 0052-2007《信息安全服务资质认证技术规范》

YDT1799-2008《网络与信息安全应急处理服务资质评估方法》

ISCCC-SV-002:2010《信息安全风险评估服务资质认证实施规则》

ISCCC-SV-003:2014《信息系统安全集成服务资质认证实施规则》

ISCCC-SV-004:2012《信息系统灾难备份与恢复服务资质认证实施规则》

GB/T 5271.8-2001《信息技术词汇第8部分：安全》中的术语和定义适用于本标准。

3.术语与定义

3.1. 信息安全服务

由供应商、组织机构或人员执行的一个安全过程或任务。（ISO/IEC TR 15443-1:2005《信息技术安全技术信息技术安全保障框架第一部分：总揽和框架》）

3.2. 信息安全服务资质

信息安全服务资质是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、技术能力等方面的要求。

3.3. 信息安全风险评估

运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以求防范和化解信息安全风险，或将风险控制在可接受的水平。

3.4. 信息安全应急处理

制定应急处理计划，组织实施演练，并在出现网络与信息系统安全事故时，及时实施应急处理ISCCC-SV-001:2015 信息安全服务资质认证实施规则计划的过程。

3.5. 信息系统安全集成

在从事网络系统、应用系统、安防系统、建筑智能化系统的集成过程中，所进行的安全需求界定、安全设计、安全实施、安全保障等活动。

3.6. 信息系统灾难备份与恢复

将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份，并在灾难发生时，将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动，分为资源服务类（A 类）、技术服务类（B 类）两个类别。

3.7. 软件安全开发

通过对软件开发过程的控制，将开发的软件存在的风险控制在可接受的水平。

3.8. 信息系统安全运维

通过技术设施安全评估，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理人员进行信息系统的安全运维工作，以发现并修复信息系统中所存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用后及时加以响应。

4.通用评价要求

通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维等类别的信息安全服务认证评价，均分为三个级别，其中一级最高。

4.1. 三级评价要求

4.1.1. 法律地位要求

在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。

4.1.2. 财务资信要求

近 3 年经营状况良好，财务数据真实可信，应提供在中华人民共和国境内登记注册的会计师事务所出具的近 3 年财务审计报告。

4.1.3. 办公场所要求

拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。

4.1.4. 人员素质与资质要求

a) 组织负责人拥有2年以上信息技术领域管理经历。

b) 技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称，且从事信

息安全技术工作2年以上。

c) 财务负责人具有财务系列初级以上职称。

d) 从事信息安全服务人员10名以上。

e) 拥有信息安全专业认证（与申报类别一致）人员2名以上。

f) 拥有项目管理资格证书人员1名以上。

4.1.5. 业绩要求

a) 从事信息安全服务（与申报类别一致）1年以上。

b) 近3年内签订并完成至少1个信息安全服务（与申报类别一致）项目。

4.1.6. 服务管理要求

a) 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。

b) 建立人员管理程序和能力考核指标；制定业务和技能培训计划，定期对相关人员开展培训

和考核。

c) 建立文档控制程序，明确文档管理职责，任命管理人员，确保项目文档资料妥善保管。

d) 建立项目管理制度，并按照制度执行。

e) 提供资源，确保信息安全服务项目的实施。

4.1.7. 服务合同要求

a) 了解客户及所处的行业对信息安全服务的特定要求。

b) 确定信息安全服务范围。

c) 应签订信息安全服务合同或协议。

4.1.8. 服务安全要求

a) 满足法律法规对服务安全的要求。

b) 满足与客户签订服务合同中的安全要求。

c) 制定保密管理制度，明确岗位保密责任。

d) 按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员

了解客户的相关要求。

e) 与相关人员签订保密协议，并进行保密教育。

f) 确保其供应商满足上述服务安全要求。

4.1.9. 服务技术要求

a) 建立信息安全服务（与申报类别一致）流程。

b) 制定信息安全服务（与申报类别一致）规范并按照规范实施。

4.2. 二级评价要求

4.2.1. 法律地位要求

在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。

4.2.2. 财务资信要求

近 3 年经营状况良好，财务数据真实可信，应提供在中华人民共和国境内登记注册的会计师事务所出具的近 3 年财务审计报告。

4.2.3. 办公场所要求

拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。

4.2.4. 人员素质与资质要求

a) 组织负责人拥有3年以上信息技术领域管理经历。

b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称，且从事

信息安全技术工作5年以上。

c) 财务负责人具有财务系列中级以上职称。

d) 从事信息安全服务人员30名以上。

e) 拥有信息安全专业认证（与申报类别一致）人员6名以上。

f) 拥有项目管理资格证书人员2名以上。

4.2.5. 技术工具要求

a) 具备独立的测试环境及必要的软、硬件设备，用于技术培训和模拟测试。

b) 具备承担信息安全服务（与申报类别一致）项目所需的安全工具，并对工具进行管理和版

本控制。

4.2.6. 业绩要求

a) 从事信息安全服务（与申报类别一致）3年以上，或取得信息安全服务（与申报类别一致）三级资质1年以上。

b) 近三年内签订并完成至少6个信息安全服务项目（与申报类别一致）。

4.2.7. 服务管理要求

a) 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。

b) 建立项目管理制度，并按照制度执行。

c) 参照国际或国内标准，建立业务范围覆盖信息安全服务的质量管理体系，并有效运行。

d) 参照国际或国家标准，建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服

务管理体系，并有效运行。

e) 提供资源，确保信息安全服务项目的实施。

4.2.8. 服务合同要求

a) 了解客户及所处的行业对信息安全服务的特定要求。

b) 确定信息安全服务范围。

c) 应签订信息安全服务合同或协议。

d) 合同应明确信息安全服务的行为规范。

4.2.9. 服务安全要求

a) 满足法律法规对服务安全的要求。

b) 满足与客户签订服务合同中的安全要求。

c) 制定保密管理制度，明确岗位保密责任。

d) 按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员

了解客户的相关要求。

e) 与相关人员签订保密协议，并进行保密教育。

f) 确保其供应商满足上述服务安全要求。

4.2.10. 服务技术要求

a) 建立信息安全服务（与申报类别一致）流程。

b) 制定信息安全服务（与申报类别一致）规范并按照规范实施。

4.3. 一级评价要求

4.3.1. 申请条件

取得信息安全服务（与申报类别一致）二级资质 1 年以上。（行业领头企业除外）

4.3.2. 法律地位要求

在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。

4.3.3. 财务资信要求

近 3 年经营状况良好，财务数据真实可信，应提供在中华人民共和国境内登记注册的会计师事务所出具的近 3 年财务审计报告。

4.3.4. 办公场所要求

拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。

4.3.5. 人员素质与资质要求

a) 组织负责人拥有4年以上信息技术领域管理经历。

b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称，且从事

信息安全技术工作8年以上。

c) 财务负责人拥有财务系列高级职称，或取得中级职称8年以上。

d) 从事信息安全技术服务人员50名以上。

e) 拥有信息安全专业认证人员（与申报类别一致）10名以上。

f) 拥有项目管理资格证书人员5名以上。

4.3.6. 技术工具要求

a) 具备独立的测试环境及必要的软、硬件设备，用于技术培训和模拟测试。

b) 具备承担信息安全服务（与申报类别一致）项目所需的安全工具，如漏洞扫描工具、渗透

测试工具、协议分析仪等。

4.3.7. 业绩要求

a) 从事信息安全服务（与申报类别一致）5年以上。

b) 近三年内至少签订并完成10个信息安全服务项目（与申报类别一致）。

4.3.8. 服务管理要求

a) 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。

b) 建立项目管理制度，并按照制度执行。

c) 参照国际、国内标准，建立业务范围覆盖信息安全服务的质量管理体系，并提供有效运行

的相关证明。

d) 参照国际、国家标准，建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服

务管理体系，并提供有效运行的相关证明。

e) 提供足够资源，确保信息安全服务项目的实施。

4.3.9. 服务合同要求

a) 了解客户及所处的行业对信息安全服务的特定要求。

b) 确定信息安全服务范围。

c) 应签订信息安全服务合同或协议。

d) 合同应明确信息安全服务的行为规范。

e) 合同应明确信息安全服务的安全要求。

4.3.10. 服务安全要求

a) 满足法律法规对服务安全的要求。

b) 满足与客户签订服务合同中的安全要求。

c) 制定保密管理制度，明确岗位保密责任。

d) 按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员

了解客户的相关要求。

e) 与相关人员签订保密协议，并进行保密教育。

f) 确保其供应商满足上述服务安全要求。

4.3.11. 服务技术要求

a) 建立信息安全服务（与申报类别一致）流程。

b) 制定信息安全服务（与申报类别一致）规范，并按照规范实施。

5.专业评价要求

5.1. 风险评估服务资质专业评价要求

风险评估服务资质专业评价要求参见附录A。

5.2. 安全集成服务资质专业评价要求

安全集成服务资质专业评价要求参见附录 B。

5.3. 应急处理服务资质专业评价要求

应急处理服务资质专业评价要求参见附录C。

5.4. 灾难备份与恢复服务资质专业评价要求

灾难备份与恢复服务资质专业评价要求参见附录D。

5.5. 软件安全开发服务资质专业评价要求

软件安全开发服务资质专业评价要求参见附录E。

5.6. 安全运维服务资质专业评价要求

安全运维服务资质专业评价要求参见附录F。

6.认证程序

6.1. 自评估

组织在中国信息安全认证中心网站下载《信息安全服务自评估表》，并实施自主评估。

6.2. 认证申请

组织依据信息安全服务资质认证程序、认证实施规则中相关要求，确定申请服务资质类别，并填写《信息安全服务资质认证申请书》。组织向中国信息安全认证中心或其指定机构提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。

6.3. 申请材料评审

中心依据认证程序和相关标准要求，对申请组织提交的认证相关材料进行评审，并确定申报级别和资质类别，签订认证合同。

6.4. 现场评审

认证机构组成评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。特别，对申请一级资质认证的组织，必要时选择申请组织的客户进行项目实施现场见证。

6.5. 认证决定

认证决定委员会由3名以上（含3名）奇数认证决定人员组成，做出认证决定。

6.6. 证书颁发

对于符合认证要求的申请组织，颁发认证证书，并予以公示。

6.7. 证后监督

6.7.1. 证后监督频次和方式

对获证组织实施监督，每年度（不超过12个月）进行一次监督评审。

当获证组织发生重大变更、事故或客户投诉时，可增加现场监督评审的频次。

6.7.2. 证后监督内容

监督评审除包括初次评审的内容外，还应对上一次审核中提出的观察项所采取纠正/预防措施进行验证。还应包括获证企业变更情况、对其投诉处理情况，以及认证证书及认证标识的使用情况等。

6.7.3. 证后监督结论

对于通过监督评审的获证组织，做出维持认证证书有效的决定；否则，暂停或撤销其认证证书。

6.7.4. 信息通报

为确保获证组织的安全服务能力持续有效，获证组织应建立信息通报渠道，及时报告以下信息：

a) 组织机构变更信息；

b) 安全事故、客户投诉信息；

c) 其他重要信息。

6.8. 认证证书管理

6.8.1. 证书有效期

获证组织如持续满足标准要求，且通过年度监督评审，可保持证书有效。

6.8.2. 暂停认证证书

获证组织有下列情形之一，认证机构应暂停其认证证书：

a) 未按规定接受监督评审；

b) 违规使用认证证书，且未造成不良影响；ISCCC-SV-001:2015 信息安全服务资质认证实施规则

c) 监督评审有严重不符合项；

d) 其他需要暂停证书的情况。

证书暂停时间一般为三个月。在证书暂停期间，组织可提出恢复证书的申请，并经认证机构审核、批准后方可使用证书。

6.8.3. 撤销认证证书

获证组织有下列情形之一，应撤销其认证证书：

a) 证书暂停期间，未在规定时间内完成整改并通过验证；

b) 违规使用认证证书，造成不良影响；

c) 获证组织出现严重责任事故、被投诉且经核实，影响其继续有效提供服务；

d) 其他需要撤销证书的情况。

认证证书撤销后，获证组织应交回认证证书，中心予以公示。

6.8.4. 注销认证证书

获证组织因自身原因不再维持证书，可提出注销认证证书的申请，中心应及时给予注销。

认证证书注销后，获证组织应交回认证证书，中心予以公示。

6.8.5. 证书变更

证书变更如只涉及地址、资金或法定代表人的变更，获证组织需递交变更申请，经书面审核批准后，中心可更换其证书并收回原证书。如获证组织发生除以上外的重大调整，应向中心提出变更申请，并提供相关材料。中心需进行现场验证，并做出认证决定。

信息安全服务资质认证实施规则相关推荐

信息安全服务资质认证简介
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理.风险评估.灾难恢复.系统测评.安全运维.安全审计.安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出.加强和规范信息 ...
关于CCRC信息安全服务资质认证概念
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理.风险评估.灾难恢复.系统测评.安全运维.安全审计.安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出.加强和规范信息 ...
CCRC信息安全服务资质认证流程知识点汇总
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理.风险评估.灾难恢复.系统测评.安全运维.安全审计.安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出.加强和规范信息 ...
CCRC信息安全服务资质认证证书如何申请？
1.CCRC信息安全服务资质认证什么? CCRC信息安全服务资质认证证书是信息安全服务机构提供安全服务的一种资格,包括法律地位.资源状况.管理水平. 技术能力等方面的要求.目的是为了加强和规范信息安全 ...
信息安全服务资质认证CCRC证书‖中国网络安全审查技术与认证中心
随着CCRC信息安全服务资质持证企业的增加,很多企业看着自己的同行纷纷获的CCRC证书,自身也想进行申报,但由于之前没有做过了解,像个无头苍蝇一样,所以对该资质申报的条件要求.申报的好处又不是那么清楚 ...
CCRC信息安全服务资质认证涨价了？最新规定已发布，重点已经给你们划好了~
CCRC认证证书新规,请各单位或企业负责人知悉: 1.单位或企业申报资质通过审核后,如需要申请纸质版证书请在进入认证阶段的时,将贵单位或贵司签字盖章的申请书(新申请)或回执单(监督)寄给中国网络安全审 ...
ccrc信息安全服务资质认证
ccrc信息安全服务资质近几年比较火,持证企业高达一万多家.那么企业到底要不要去认证这个ccrc呢,认证ccrc有哪些好处作用呢,该怎么做认证呢?智达鑫业小编今天为大家梳理了信息安全服务资质认证全攻略 ...
CCRC信息安全服务资质认证条件
CCRC信息安全服务资质认证条件 1.法律地位 a)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确. b)遵循国家相关法律法规.标准要求,无违法违规记录,资信状况良好. 2.财务资 ...
CCRC信息安全服务资质认证各分项有哪些？
1.信息系统安全集成服务资质认证信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度.资质级别分为一级.二级.三级共三个级别,其中一级最高,三级最低.安全集成服务提供方的服务能力主要从以下四个 ...

信息安全服务资质认证实施规则

信息安全服务资质认证实施规则相关推荐

最新文章

热门文章