CCRC认证简介

        一、基本概念

信息安全服务资质是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质进行评价。

通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

二、资质类别

资质认证共分为 8 个类别（每个类别的资质级别分为 1-3 级，1 级最高，3 级最低）

1、信息安全风险评估：至少完成一个风险评估项目，系统用户数量大于 1000，具有对管理和技术上的漏洞具有识别能力，具备跟踪漏洞的能力。

2、信息安全应急处理：针对准备、检测、抑制、根除、恢复、总结六个阶段的过程进行评估。

3、信息系统安全集成：针对于安全集成的集成准备、方案设计、建设实施、安全保证四个维度过程进行评价。

4、信息系统灾难备份与恢复：提供灾难备份与恢复资源服务为资源服务类（A 类），提供灾难备份与恢复系统设计、实施技术服务类（B 类）。

5、软件安全开发：针对准备、需求、设计、编码、测试、验收、维保七个过程来进行评估。

6、信息系统安全运维：针对服务准备、服务设计、服务实施、服务报告四个阶段进行评估。

7、网络安全审计：对安全审计机构对被审计的信息系统的安全性、可靠性进行检查监督。

8、工业控制系统安全：针对可用性和业务连续性，提升功能安全、物理安全和信息安全保障。涉及工业控制系统的设计、建设、运维和各个阶段。