ISCCC改名CCRC认证介绍及要求
ISCCC/CCRC信息安全服务资质
一、 CCRC认证简介
信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。目前,该资质共划分为:安全集成服务资质、安全运维服务资质、风险评估服务资质、应急处理服务资质、软件安全开发服务资质、灾难备份与恢复服务资质、工业控制安全服务资质、网络安全审计服务资质8个分项资质证书。每个分项划分为CCRC三级、二级、一级三个等级,其中三级最低、一级最高。
二、 CCRC基本条件
1. CCRC三级评价要求
1.1. 法律地位要求
a) 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
1.2. 财务资信要求
近 3 年经营状况良好,财务数据真实可信,能够提供本单位出具的近3 年财务报表(加盖单位公章)。
1.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
1.4. 人员能力要求
a) 组织负责人拥有2年以上信息技术领域管理经历。
b) 技术负责人具备信息安全服务(与申报类别一致)管理能力,经考核合格(与申报类别一致)或通过专业认证,考核要求见附录G。
c) 项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经考核合格或通过专业认证,考核要求见附录G。
1.5. 业绩要求
a) 从事信息安全服务(与申报类别一致)4个月以上。
b) 近3年内签订并完成至少1个信息安全服务(与申报类别一致)项目。
1.6. 服务管理要求
a) 建立并运行人员管理程序,明确能力考核指标并制定业务和技能培训计划,定期对相关人员开展培训和考核。
b) 建立文档控制程序,明确文档管理职责,任命管理人员,并按照制度执行。
c) 建立项目管理制度,明确项目管理职责,任命管理人员,并按照制度执行风险管理。制度执行风险管理。
d) 建立并运行保密管理制度,明确岗位保密责任。能够定期对相关人员进行保密教育,并签订保密协议。
e) 建立供应商管理制度,确保其供应商满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向)。
f) 建立合同管理制度,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
1.7. 服务技术要求
a) 建立信息安全服务(与申报类别一致)流程,并按照流程实施。
b) 制定信息安全服务(与申报类别一致)规范,并按照规范实施。
2. 二级评价要求
申请方可根据条件直接申请,或获得三级资质一年以上可提出二级申请,服务管理程序文件需建立并运行半年以上。
2.1. 法律地位要求
a) 在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
b) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
2.2. 财务资信要求
近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3 年财务审计报告。
2.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
2.4. 人员能力要求
a) 组织负责人拥有3年以上信息技术领域管理经历。
b) 技术负责人具备信息安全服务(与申报类别一致)管理能力,经考核合格或通过(与申报类别一致)专业认证,考核要求见附录G。
c) 项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经考核合格或通过(与申报类别一致)专业认证,考核要求见附录G。
2.5. 业绩要求
a) 从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)三级资质1年以上,可提出相同类别的二级申请。
b) 近三年内签订并完成至少6个信息安全服务(与申报类别一致)项目。
2.6. 服务管理要求
a) 建立并运行人员管理程序,明确能力考核指标并制定业务和技能培训计划,定期对相关人员开展培训和考核。
b) 建立文档控制制度,明确文档管理职责,任命管理人员,并按照制度执行。
c) 建立项目管理制度,明确项目管理职责,任命管理人员,并按照制度执行风险管理。
d) 建立并运行保密管理制度,明确岗位保密责任。能够定期对相关人员进行保密教育,并签订保密协议。
e) 建立供应商管理制度,确保其供应商满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向)。
f) 建立合同管理制度,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
g) 了解客户及所处的行业对信息安全服务的特定要求,确定信息安全服务范围。
h) 参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的质量管理体系,并有效运行半年以上。
i) 参照国际或国内标准,建立业务范围覆盖信息安全服务(与申报类别一致)的信息安全管理体系或信息技术服务管理体系,并有效运行半年以上。
2.7. 技术工具要求
a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版本控制。
2.8. 服务技术要求
a) 建立信息安全服务(与申报类别一致)流程,并按照流程实施。
b) 制定信息安全服务(与申报类别一致)规范,并按照规范实施。
三、 CCRC申请周期及费用明细
注:
1. 每个分项都需要培训对应分项的信息安全保障人员,三级需要2个人,二级需要6个人,每名人员培训费用为7880元;
2. 该资质一共分为8个分项,若同时申报多个分项,咨询服务费和官方评审费都会有相应的折扣,具体视情况而定。