CCRC信息安全服务资质三级的要求有哪些？

您好！CCRC信息安全服务资质（原名“信息系统安全服务资质”）是中国网络安全审查技术与认证中心颁发的认证。三级是该项资质的起始级别（一级Zui高，三级Zui低），主要面向能够独立实施信息安全服务，具备基本服务管理体系和技术能力的组织。

以下是CCRC信息安全服务资质三级（以“安全集成服务”为例，其他服务类别要求结构相似）的核心要求概览：

一、 通用基本要求（所有类别均需满足）

1. 法律地位：在中华人民共和国境内注册的独立法人组织，无外资背景或已满足国家相关外资管理要求。

2. 资信要求：

· 经营状况正常，无严重失信记录。

· 近三年无重大违法违规行为。

3. 基本能力：

· 拥有长期固定的办公场所和相适应的办公条件。

· 建立了与所申请服务类别相关的服务流程和规章制度。

二、 服务管理能力要求（三级侧重“已建立”）

1. 服务管理体系：

· 已建立基本的服务管理体系和人员管理制度。

· 已制定与服务相关的文件（如服务规范、实施方案模板、作业指导书等）。

· 有基本的客户服务与投诉处理机制。

2. 服务技术能力：

· 已配备与所申请服务类别相关的工具、设备或平台。

· 已建立基本的技术管理和知识库。

3. 服务过程能力：

· 能够按照既定的流程和规范执行服务项目。

· 能够对服务过程进行记录和归档。

4. 服务保障能力：

· 具备一定的资源配置和保障能力，能完成合同承诺的服务。

· 有基本的风险管理机制。

三、 服务技术能力要求（以安全集成为例）

1. 人员能力：

· 技术负责人：应具有信息安全服务（或相关专业）的管理或技术工作经历。

· 项目负责人/工程师：至少有一定数量的项目人员具有信息安全相关专业学历或职业资格（如CISP、软考等）。

2. 业绩要求：

· 近三年内至少完成过一定数量（如通常要求至少1-2个）与所申请服务类别相关的成功案例。

· 需要提供完整的项目合同、验收报告等证明材料。

3. 工具/设备：具备与安全集成服务相关的漏洞扫描、渗透测试、安全配置核查等基础工具或设备。

四、 特定服务类别要求

CCRC分为多个服务类别，三级要求会根据类别有所侧重：

· 安全集成服务

· 安全运维服务

· 风险评估服务

· 软件安全开发服务

· 应急处理服务

· 灾难备份与恢复服务

· 工业控制安全服务

· 网络安全审计服务

· 数据安全服务

申请时需根据具体类别满足相应的特定要求。

五、 申请与认证流程概要

1. 选择类别：确定要申请的服务资质类别。

2. 自我评估：对照官方发布的《信息安全服务规范》和申请指南进行差距分析。

3. 准备材料：包括但不限于：

· 营业执照、简介、组织结构图。

· 服务管理体系文件。

· 人员资质证书、社保证明。

· 项目案例合同、验收报告、技术文档。

· 工具设备清单、采购发票等。

4. 提交申请：向CCRC或其授权的审核机构提交申请材料。

5. 文档审核与现场审核：审核机构将进行文件审查和现场审核（查看办公环境、访谈人员、查阅项目原始记录等）。

6. 认证决定：CCRC根据审核报告做出是否颁发证书的决定。

7. 监督审核：证书有效期为3年，期间每年需进行一次监督审核。

重要提示

· 官方依据：Zui准确、Zui详细的要求，请务必以中国网络安全审查技术与认证中心（CCRC） 发布的Zui新版《信息安全服务规范》和相应的《申请指南》为准。

· 逐级提升：三级是起点，认证过程中建立的体系和积累的业绩，是未来升级到二级、一级的基础。

· 咨询机构：很多企业会选择专业的咨询机构进行辅导，以提高效率和通过率。

公司主营业务：专业从事军方资质、实验室认证、IT类资质、各类管理体系认证、产品认证、建工资质认定、高新企业及涉密、测绘、安防等资质认定，生产许可证、特种设备许可证及各类管理培训