CCRC信息安全服務資質評價要求

CCRC信息安全服務資質認證是依據(jù)國家法律法規(guī)、國家標準、行業(yè)標準和技術規(guī)范，按照認證基本規(guī)范及認證規(guī)則，對提供信息安全服務機構的信息安全服務資質進行評價。目前開設的認證方向有安全集成、安全運維、軟件安全開發(fā)、應急處理、風險評估、災難備份與恢復、網(wǎng)絡安全審計。

信息安全服務資質的評價要求包括兩個方面：通用評價要求和專業(yè)評價要求。其中，通用評價要求適用于各個類別的信息安全服務認證評價，而專業(yè)評價要求則是針對具體類別設定的。評價要求均分為三個級別，其中三級最低，一級最高。一、通用評價要求

1 辦公場所要求

擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構設置及其業(yè)務需要。

2 人員能力要求

技術負責人應具備與申報類別一致的信息安全服務管理能力；項目負責人、項目工程師應具備與申報類別一致的信息安全服務技術能力。

3 業(yè)績要求

三級：

a)從事信息安全服務6個月以上。

b) 近3年內(nèi)簽訂并完成至少1個信息安全服務項目。

二級：

a) 從事信息安全服務3年以上，或取得信息安全服務三級1年以上。

b) 近3年內(nèi)簽訂并完成至少6個信息安全服務項目。

一級：

a) 從事信息安全服務5年以上，或取得信息安全服務二級1年以上。

b) 近3年內(nèi)簽訂并完成至少10個信息安全服務項目。

4服務管理要求

a) 建立并運行文檔管理程序，包括組織管理、服務過程管理、質量管理等內(nèi)容，明確項目產(chǎn)生、發(fā)布、保存、傳輸、使用（包括交付和內(nèi)部使用）、廢棄等環(huán)節(jié)的文檔控制。

b) 建立并運行項目管理程序，明確服務項目的組織、計劃、實施、風險控制、交付等環(huán)節(jié)的操作規(guī)程，提供項目風險管理記錄。

c) 建立并運行保密管理程序，明確崗位保密責任，簽訂保密協(xié)議，并能夠適時對相關人員進行保密教育。

d) 建立與運行供應商管理程序，確保其供應商滿足服務安全要求（僅適用于安全集成、安全運維、災難備份與恢復方向）。

5 技術工具要求

應配備承擔信息安全服務所需的安全、可信的軟硬件工具和設備。

認證一級的單位，關鍵軟硬件工具和設備的安全性應獲得第三方評價或者證明。

6 服務技術要求

建立和制定信息安全服務所需的流程和規(guī)范，并遵照實施。

二、主要方向專業(yè)評價要求

在信息安全服務資質的多個認證方向中，以安全集成、安全運維、風險評估、軟件安全開發(fā)等方向認證企業(yè)數(shù)量較多。

信息系統(tǒng)安全集成服務

安全運維服務

信息安全風險評估服務

軟件安全開發(fā)服務