CCRC信息安全服務(wù)資質(zhì)評價要求

CCRC信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則，對提供信息安全服務(wù)機(jī)構(gòu)的信息安全服務(wù)資質(zhì)進(jìn)行評價。目前開設(shè)的認(rèn)證方向有安全集成、安全運(yùn)維、軟件安全開發(fā)、應(yīng)急處理、風(fēng)險評估、災(zāi)難備份與恢復(fù)、網(wǎng)絡(luò)安全審計。

信息安全服務(wù)資質(zhì)的評價要求包括兩個方面：通用評價要求和專業(yè)評價要求。其中，通用評價要求適用于各個類別的信息安全服務(wù)認(rèn)證評價，而專業(yè)評價要求則是針對具體類別設(shè)定的。評價要求均分為三個級別，其中三級最低，一級最高。一、通用評價要求

1 辦公場所要求

擁有長期固定辦公場所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。

2 人員能力要求

技術(shù)負(fù)責(zé)人應(yīng)具備與申報類別一致的信息安全服務(wù)管理能力；項(xiàng)目負(fù)責(zé)人、項(xiàng)目工程師應(yīng)具備與申報類別一致的信息安全服務(wù)技術(shù)能力。

3 業(yè)績要求

三級：

a)從事信息安全服務(wù)6個月以上。

b) 近3年內(nèi)簽訂并完成至少1個信息安全服務(wù)項(xiàng)目。

二級：

a) 從事信息安全服務(wù)3年以上，或取得信息安全服務(wù)三級1年以上。

b) 近3年內(nèi)簽訂并完成至少6個信息安全服務(wù)項(xiàng)目。

一級：

a) 從事信息安全服務(wù)5年以上，或取得信息安全服務(wù)二級1年以上。

b) 近3年內(nèi)簽訂并完成至少10個信息安全服務(wù)項(xiàng)目。

4服務(wù)管理要求

a) 建立并運(yùn)行文檔管理程序，包括組織管理、服務(wù)過程管理、質(zhì)量管理等內(nèi)容，明確項(xiàng)目產(chǎn)生、發(fā)布、保存、傳輸、使用（包括交付和內(nèi)部使用）、廢棄等環(huán)節(jié)的文檔控制。

b) 建立并運(yùn)行項(xiàng)目管理程序，明確服務(wù)項(xiàng)目的組織、計劃、實(shí)施、風(fēng)險控制、交付等環(huán)節(jié)的操作規(guī)程，提供項(xiàng)目風(fēng)險管理記錄。

c) 建立并運(yùn)行保密管理程序，明確崗位保密責(zé)任，簽訂保密協(xié)議，并能夠適時對相關(guān)人員進(jìn)行保密教育。

d) 建立與運(yùn)行供應(yīng)商管理程序，確保其供應(yīng)商滿足服務(wù)安全要求（僅適用于安全集成、安全運(yùn)維、災(zāi)難備份與恢復(fù)方向）。

5 技術(shù)工具要求

應(yīng)配備承擔(dān)信息安全服務(wù)所需的安全、可信的軟硬件工具和設(shè)備。

認(rèn)證一級的單位，關(guān)鍵軟硬件工具和設(shè)備的安全性應(yīng)獲得第三方評價或者證明。

6 服務(wù)技術(shù)要求

建立和制定信息安全服務(wù)所需的流程和規(guī)范，并遵照實(shí)施。

二、主要方向?qū)I(yè)評價要求

在信息安全服務(wù)資質(zhì)的多個認(rèn)證方向中，以安全集成、安全運(yùn)維、風(fēng)險評估、軟件安全開發(fā)等方向認(rèn)證企業(yè)數(shù)量較多。

信息系統(tǒng)安全集成服務(wù)

安全運(yùn)維服務(wù)

信息安全風(fēng)險評估服務(wù)

軟件安全開發(fā)服務(wù)