CCRC信息安全服务资质
资质申报方案
一、信息安全服务资质简介
信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。
通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
信息安全服务资质分为安全集成服务资质、安全运维服务资质、软件安全开发服务资质、风险评估服务资质、应急处理服务资质、灾难备份与恢复服务资质等八个认证方向,资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。
信息安全服务资质认证的基本环节:
u 认证申请与受理;
u 文档审核;
u 现场审核;
u 认证决定;
u 年度监督审核
二、认证机构
信息安全服务资质认证机构为中国网络安全审查技术与认证中心(CCRC),是经中央编制委员会批准成立,负责实施信息安全认证的专门机构,为国家质检总局直属事业单位。
三、信息安全服务资质认证类别
Ø 安全集成服务资质认证
信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。
申请资质要求:公司实际从事系统集成业务,有已完工系统集成项目,并且在系统集成各个业务环节中充分考虑信息安全保证因素,形成过程记录文档。
例如在需求分析阶段应准确识别和综合分析系统的安全需求,提出系统安全保障策略和建议;设计方案应满足系统安全性要求;系统测试阶段应对系统信息安全性进行测试;公司应根据国家标准制定项目安全保障阶段控制程序文件,以及保密制度、文档控制程序、业务规范流程等制度文件,按照其执行并留有记录。
Ø 安全运维服务资质认证
通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。
申请资质要求:公司实际从事运维业务,有已完工运维项目,并且在运维各个业务环节中充分考虑信息安全保证因素,形成过程记录文档。
例如公司应根据国家标准制定系统集成业务相关制度规范,并且在制度规范中明确各个阶段信息安全保障要求,按照制度规范执行并留有记录;分析系统在信息安全方面存在的脆弱性及威胁,针对其进行监控及检查;对系统出现的安全事件进行分析,并提出改进策略。
Ø 软件安全开发服务资质认证
软件安全开发服务资质是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。安全软件开发服务资质级别是衡量服务提供方的软件开发安全服务资格和能力的尺度。
申请资质要求:公司实际从事软件开发业务,有已完工软件开发项目,并且在软件开发各个业务环节中充分考虑信息安全保证因素,形成过程记录文档。
例如在需求分析阶段应识别和分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求;软件设计方案应明确包含安全功能要求;公司应根据国家标准制定软件开发的业务相关制度规范,并且在制度规范中明确各个阶段信息安全保障要求,按照制度规范执行并留有记录。
Ø 风险评估服务资质认证
信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平,为网络和信息安全保障提供科学依据。
申请资质要求:公司实际从事风险评估业务,有已完工风险评估项目,并且在风险评估合同各个业务环节中充分考虑信息安全保证因素,形成过程记录文档。
例如应严格按照风险评估评估项目业务标准开展风险评估业务;公司应根据国家标准制定风险评估的业务相关制度规范,并且在制度规范中明确各个阶段信息安全保障要求,按照制度规范执行并留有记录。
Ø 应急处理服务资质
信息安全应急处理服务是通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应,并在安全事件一旦发生后进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。应急处理服务是保障业务连续性的重要手段之一,它涵盖了在安全事件发生后为了维持和恢复关键业务所进行的系列活动。
申请资质要求:公司实际从事应急处理业务,有已完工应急处理项目,并且在应急处理各个业务环节中充分考虑信息安全保证因素,形成过程记录文档。
例如公司应具备处理一般信息安全事件的能力。(参考GB/Z20985-2007 《信息安全事件分类分级指南》);公司应根据国家标准制定应急处理的业务相关制度规范,并且在制度规范中明确各个阶段信息安全保障要求,按照制度规范执行并留有记录。
Ø 灾难备份与恢复服务资质
信息系统灾难备份与恢复服务是将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计和提供的活动。
申请资质要求:公司实际从事灾难备份与恢复业务,有已完工灾难备份与恢复项目,并且在灾难备份与恢复各个业务环节中充分考虑信息安全保证因素,形成过程记录文档。
四、认证咨询流程
1、咨询公司与企业初步沟通,判断其是否具备认证条件;
2、认证企业与咨询公司签订认证咨询合同并支付首付款;
3、咨询师进驻认证企业并对企业相关人员进行培训,介绍信息安全服务资质申报流程、标准要求、申报工作内容等;
4、咨询师对企业运营管理情况、业务开展情况进行调研,帮助企业梳理业务流程并纠正业务开展中存在的问题;
5、咨询师确认上报的项目,协助企业整理、制作申请资料(管理资料及项目资料),代企业向认证机构递交认证申请及相关申请资料;
6、认证机构对企业的认证申请资料进行文件审核;
7、认证申请资料通过文件审定后,认证机构与企业签署认证合同,企业向认证机构支付认证费用,并安排现场审核计划;
8、认证机构审核员对企业进行现场审核;
9、审核员开具现场审核不符合事项,咨询公司协助企业整改后通过审核;
10、认证机构颁发认证证书。
以上流程中每个环节均由咨询公司协调、指导,咨询公司负责与认证机构及审核员沟通、协调认证事项。
五、认证标准
通用标准:
标准 | 三级 | 二级 | 一级 |
成立年限 | 1年 | 3年或取得三级1年以上 | 5年 |
办公场所 | 拥有长期固定办公场所和相适应的办公条件 |
组织负责人 | 拥有2年以上信息技术领域管理经历 | 拥有3年以上信息技术领域管理经历 | 拥有4年以上信息技术领域管理经历 |
技术负责人 | 具有信息安全相关专业硕士及以上学位或电子信息技术类中级职称 |
从事信息安全技术工作2年以上 | 从事信息安全技术工作5年以上 | 从事信息安全技术工作8年以上 |
财务负责人 | 具有财务系列初级职称 | 具有财务系列中级职称 | 高级或取得中级8年以上职称 |
从事信息安全服务人员人数要求 | 10名以上 | 30名以上 | 50名以上 |
拥有信息安全专业认证人员数量 | 2名以上 | 6名以上 | 10名以上 |
拥有项目管理资格证书人员数量 | 1名以上 | 2名以上 | 5名以上 |
技术工具要求 | 无 | 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试 |
无 | 具备承担信息安全服务项目所需的安全工具 |
无 | 无 | 具备承担信息安全服务项目所需的安全工具,如漏洞扫描工具、渗透测试工具、协议分析仪等 |
业绩要求 | 从事信息安全服务至少1年 | 从事信息安全服务至少3年或取得三级1年以上 | 从事信息安全服务至少5年 |
近3年内签订并完成至少1个信息安全服务项目 | 近3年内签订并完成至少6个信息安全服务项目 | 近3年内签订并完成至少10个信息安全服务项目 |
管理体系要求 | 无 | 建立业务范围覆盖信息安全服务的质量管理体系 |
无 | 建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系 |
说明:
1、信息安全专业认证人员:通过中国网络安全审查技术与认证中心组织的信息安全保障人员认证考试。
六、认证周期及有效期
1、预计周期4-6个月,需要企业预计安排技术部、行政部人员配合认证。
2、证书有效期3年,拿到证书后12-18个月监督审核,预计一个持证周期共需要一次初审、一次监督。
七、服务承诺
如企业未通过认证,退还所有咨询服务费。
八、费用明细
CCRC 信息安全服务资质-三级 | 认证审核费 | 咨询服务费 | 安全人员培训及注册费 | 其他费用 |
软件安全开发; 安全运维; 安全集成: 风险评估; 应急处理 | 18000元/方向 | 40000元/方向 | 每方向需要安全人员培训+注册费:7880元*2人 | 红包预估2千/老师 |
