信息安全服务资质认定(CCRC)
[参考官网:中国网络安全审查技术与认证中心 http://www.isccc.gov.cn]
中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是依据国家《网络安全法》和国家有关强制性产品认证、网络安全管理法规,负责实施网络安全审查和认证的专门机构。
中国网络安全审查技术与认证中心为国家市场监督管理总局直属事业单位,系第三方公正机构和法人实体。其职能为:承担网络安全审查技术与方法研究;开展网络安全认证评价及相关标准技术和方法研究;承担网络安全审查人员和网络安全认证人员技术培训工作;在批准的工作范围按照认证基本规范和认证规则开展认证工作;受理认证委托、实施评价、做出认证决定,颁发认证证书;负责认证后的跟踪检查和相应认证标志使用的监督;受理有关的认证投诉、申诉工作;依法暂停、注销和撤销认证证书;对认证及认证有关的检测、检查、评价人员进行认证标准、程序及相关要求的培训;对提供信息安全服务的机构、人员进行资质注册和培训;依据法律、法规及授权从事相关认证工作。在业务上接受中共中央网络安全和信息化委员会办公室指导。
信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源情况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的安全服务资质进行评价。目前,中国网络安全审查技术与认证中心开展的信息安全服务认证包括:安全集成、安全运维、软件安全开发、风险评估、应急处理、网络安全审计、灾难备份与恢复、等方向。
申请基本条件
(1)具有组织法律证明文件,如营业执照及年检证明,组织机构代码证书,相关资质文件等有效文件。
(2)依据CCRC-ISV-C01:2021《信息安全服务规范》建立并运行了信息安全服务项目管理规范;
(3)具有符合CCRC-ISV-C01:2021《信息安全服务规范》要求的信息安全服务队伍;
(4)组织近一年内未受到主管部门行政处罚。
(1)安全风险评估
对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害进行识别、分析和评价的过程。
(2)系统安全集成
按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行集成的行为或活动。
(3)系统安全运维
从面向业务的运维服务出发,依据安全需求对信息系统进行安全运维准备、安全运维实施,并对实施安全运维服务的有效性进行评审,从而进行持续性改进,全过程、全生命周期地为信息系统运行提供安全保障的过程。
(4)安全应急处理
为应对信息系统运行过程中突发/重大信息安全事件的发生所做的准备,在事件发生时,按照既定的程序对事件进行处理,以及在事件发生后所采取措施的过程。
(5) 软件安全开发
为解决软件产品的漏洞问题,而将安全活动集成到系统开发和软件质量保证活动中,在软件开发的每个关键点嵌入安全要素,通过安全需求分析、安全设计、安全编码、安全测试等专业手段,解决各阶段可能出现的安全问题,有效减少软件产品潜在的漏洞数量提高软件产品安全质量的活动。
(6) 网络安全审计
网络安全审计是指网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经济性进行检查、监督,通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件的活动。
(7) 信息系统灾难备份与恢复
将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的过程。
注:信息系统灾难备份与恢复分为资源服务类(A 类)、技术服务类(B 类)两个类别。
资源服务类(A 类),指灾难备份资源服务提供方需具备灾备中心场地资源、基础设施、运维管理等能力。技术服务类(B 类),指灾难备份技术服务提供方实施灾备技术服务时具备灾备方案设计、系统建设与管理、预案制定与演练等能力。
以下为《信息安全服务规范》的部分要求:
1. 适用范围
本规范规定了信息安全服务提供者(以下简称服务提供者)在提供服务时应具备的服务安全通用要求和专业服务能力要求。
本规范可作为第三方认证机构对服务提供者的评价依据,也可作为服务提供者开展自我评价的依据,同时,可为政府及有关社会组织选择服务提供者提供参考。
2. 规范性引用文件
本规范未引用其他标准和文件。
3. 术语与定义
3.1. 信息安全服务
由供应商、组织机构或人员执行的一个安全过程或任务。
(ISO/IEC TR 15443-1:2005《信息技术 安全技术 信息技术安全保障框架 第一部分:总揽和框架》)
4. 通用评价要求
通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维、网络安全审计等类别的信息安全服务认证评价,均分为三个级别,其中一级最高。
4.1. 三级评价要求
4.1.1. 法律地位要求
a) 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
4.1.2. 财务资信要求
组织经营状况正常,建立财务管理制度,可为安全服务提供必要的财务支持。
4.1.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.1.4. 人员能力要求
a) 组织负责人拥有2年以上信息技术领域管理经历。
b) 技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致)。
c) 项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格。
4.1.5. 业绩要求
a) 从事信息安全服务(与申报类别一致)6个月以上。
b) 近1年内签订并完成至少1个信息安全服务(与申报类别一致)项目。
4.1.6. 服务管理要求
a) 建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。
b) 制定服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。
c) 建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确项目产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。
d) 建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程,提供项目风险管理记录。
e) 建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。
f) 建立与运行供应商管理程序,确保其供应商满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向)。
g) 建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
4.1.7. 服务技术要求
a) 建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。
b) 制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。
4.2. 二级评价要求
申请方可根据条件直接申请,或获得三级一年以上可提出二级申请,服务管理程序文件需建立、发布并运行半年以上。
4.2.1. 法律地位要求
a) 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
4.2.2. 财务资信要求
组织经营状况正常,制定并执行财务管理制度,可为服务提供必要的财务支持。
4.2.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.2.4. 人员能力要求
a) 组织负责人拥有3年以上信息技术领域管理经历。
b) 技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致)。
c) 项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与申报类别一致)。
4.2.5. 业绩要求
a) 从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)三级1年以上。
b) 近3年内签订并完成至少6个信息安全服务(与申报类别一致)项目。
4.2.6. 服务管理要求
a)建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。
b)制定服务人员能力培养计划,包括网络与信息安全相关的技术、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。
c)建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。配备档案室及高安全性的文件服务器。
d)建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程。
e)建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。
f)建立与运行供应商管理程序,明确供应和(或)外包过程中的风险,对供应商和(或)承包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向)。
g)建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
h)参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的质量管理体系,并有效运行半年以上。
i)参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的信息安全管理体系或信息技术服务管理体系,并有效运行半年以上。
4.2.7. 技术工具要求
a)具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b)具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版本控制。
4.2.8. 服务技术要求
a)建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。
b)制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。
4.3. 一级评价要求
申请方可根据条件直接申请,或获得二级一年以上可提出相同类别的一级申请,且服务管理程序文件需建立、发布并运行一年以上。
4.3.1. 法律地位要求
a)在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b)遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
4.3.2. 财务资信要求
组织经营状况正常,具有财务管理制度,可为服务提供必要的财务支持。
4.3.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
4.3.4. 人员素质与要求
a)组织负责人拥有4年以上信息技术领域管理经历。
b)技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致)。
c)项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与申报类别一致)。
4.3.5. 业绩要求
a)从事信息安全服务(与申报类别一致)5年以上。
b)近3年内签订并完成至少10个信息安全服务(与申报类别一致)项目。
4.3.6. 服务管理要求
a)建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。
b)制定服务人员能力培养计划,包括网络与信息安全相关的技术、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。
c)建立并运行文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的控制。配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理。
d)建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程。
e)建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。
f)建立与运行供应商管理程序,明确供应商和(或)外包过程中的风险,对供应商和(或)承包方的服务基本资格、人员、服务过程控制、服务质量、服务交付、服务安全性等进行识
别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向)。
g)建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
h)参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的质量管理体系,并有效运行一年以上。
i)参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的信息安全管理体系或信息技术服务管理体系,并有效运行一年以上。
j)建立信息安全服务目录,签订服务级别协议。
4.3.7. 技术工具要求
a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版本控制。
4.3.8. 服务技术要求
a) 建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。
b) 制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。
5. 专业评价要求
5.1. 风险评估服务专业评价要求
5.2. 安全集成服务专业评价要求
5.3. 应急处理服务专业评价要求
5.4. 灾难备份与恢复服务专业评价要求
5.5. 软件安全开发服务专业评价要求
5.6. 安全运维服务专业评价要求
5.7. 网络安全审计服务专业评价要求
(由于专业要求部分内容较多,在此不一一列举,详细要求可查阅《信息安全服务规范》)
(备注:以上内容仅供参考,如未详尽或有更新,均以具体官方发布为准。)
