一、什么是信息安全服务资质？

信息安全服务资质是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、技术能力等方面的要求。

由供应商、组织机构或人员执行的一个安全过程或任务。

IS0/IEC TR 15443-1:2005《信息技术安全技术信息技术安全保障框架第--部分:总揽和框架》

1、信息安全风险评估

对特定威胁利用单个或--组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的过程。

2、信息安全应急处理

为应对信息系统运行过程中突发/重大信息安全事件的发生所做的准备，在事件发生时，按照既定的程序对事件进行处理，以及在事件发生后所采取措施的过程。

3、信息系统安全集成

按照信息系统建设的安全需求，采用信息系统安全工程的方法和理论，将安全单元、产品部件进行集成的行为或活动。

4、信息系统灾难备份与恢复

将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份，并在灾难发生时，将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的过程。

注:信息系统灾难备份与恢复分为资源服务类(A类)、技术服务类(B类)两个类别。

资源服务类(A类)，指灾难备份资源服务提供方需具备灾备中心场地资源、基础设施、运维管理等能力。

技术服务类(B 类)，指灾难备份技术服务提供方实施灾备技术服务时具备灾备方案设计、系统建设与管理、预案制定与演练等能力。

5、软件安全开发

为解决软件产品的漏洞问题，而将安全活动集成到系统开发和软件质量保证活动中，在软件开发的每个关键点嵌入安全要素，通过安全需求分析、安全设计、安全编码、安全测试等专业手段，解决各阶段可能出现的安全问题，有效减少软件产品潜在的漏洞数量提高软件产品安全质量的活动。

6、信息系统安全运维

从面向业务的运维服务出发，依据安全需求对信息系统进行安全运维准备、安全运维实施，并对实施安全运维服务的有效性进行评审，从而进行持续性改进，全过程、全生命周期地为信息系统运行提供安全保障的过程。

7、网络安全审计

网络安全审计是指网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经济性进行检查、监督，通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件的活动。

信息安全服务资质的级别划分为一级、二级、三级共三个级别，其中三级最低,一级最高二级可以直接申请，一级需要从二级提升。

二、CCRC 审核概述

文件审核应根据申请组织提交的申请材料及自评估表进行评审，确保满足认证依据的要求。

文件审核应确认申请组织是否针对所涉及的所有认证规范条款进行了自我评价并提供了充足的证据证明其满足认证规范的要求，内容包括但不限于:

（1）提供的基本信息，包括法律地位、财务、办公场所、人员能力、业绩等;

（2）服务管理制度文件的发布时间，确认是否满足运行时间;

（3）服务管理制度文件的内容是否满足认证规范的要求:

（4）服务管理制度文件的覆盖范围是否与申请的范围保持一致:

（5）提供的制度文件执行证据是否充分;

（6）提供的证据是否能够证明其技术能力。

现场审核包含申请组织办公现场及其服务实施现场。一级和二级项目在文件审核通过后，实施现场审核。三级项目根据文件审核结论经中心复核后，必要时实施现场审核。

现场审核应根据文件审核的结果，对文件审核中查阅的证据材料进行现场验证，必要时重新抽样，现场审核内容包括但不限于:

（1）对客户的法律地位、财务资信、办公场所、人员能力等多个方面进行现场验证;

（2）对客户的服务管理执行情况进行现场验证;

（3）对客户的服务技术能力进行跟踪验证，包括已结束项目的和正在执行项目。验证方式包括但不限于:文件和记录查阅、人员访谈、现场核查等。

三、CCRC评估流程

（1）认证申请及受理

（2）文件审核

（3）现场审核

（4）结果评价与决定

（5）获证后监督

四、CCRC基本要求标准

相关标签：