CCRC信息安全服务资质的认证标准是什么？

评价维度

核心标准

法律地位

中国大陆独立法人，营业执照/法人证书有效；无经营异常、严重违法失信记录；经营范围含信息安全服务相关表述

财务资信

经营正常，财务管理制度规范，可提供稳定财务支持；近3年无重大财务风险

办公场所

长期固定办公场所，适配业务与机构设置需求

人员基础

组织负责人、技术负责人具备对应管理/技术能力；持证人员为本企业在职员工（社保核查），严禁证书挂靠

管理体系

建立ISO27001信息安全管理体系并有效运行≥6个月，认证范围覆盖申报类别；可补充ISO20000、ISO22301等体系

技术装备

配备与申报类别匹配的专业工具（如漏洞扫描器、防火墙、运维管理平台等），具备开展对应服务的技术能力

合规记录

近3年无重大安全事故、行政处罚及违法违规记录

核心指标

三级资质

二级资质

一级资质

成立时间

注册满6个月

注册满3年或持三级满1年

注册满5年或持二级满2年

社保人数

近3个月≥10人

近3个月≥20人

近3个月≥50人

持证人员

≥3名CISAW/CISP（对应申报类别）

≥5名（含1名CISAW/CISP-A认证）

≥8名（半数为认证）

负责人经验

组织负责人≥2年信息技术管理经历；技术负责人具备对应服务管理能力

组织负责人≥3年信息技术管理经历；技术负责人具备对应服务管理能力

组织负责人≥5年信息安全领域管理经验；技术负责人具备对应服务管理能力

业绩要求

从事对应服务满6个月，近1年完成≥1个项目

从事对应服务满3年（或持三级满1年），近3年完成≥6个项目

从事对应服务满5年（或持二级满2年），近3年完成≥10个项目

服务类别

专项核心标准

安全集成

具备方案设计、产品整合与实施能力；掌握等保建设、安全加固技术，可交付整体安全方案

安全运维

具备长期系统安全运行保障能力；掌握漏洞管理、安全事件响应技术，可提供等保合规运维服务

风险评估

具备风险识别、评估与整改建议能力；掌握等保测评、专项风险评估技术，可出具专业评估报告

应急处理

具备安全事件响应、溯源与恢复能力；掌握勒索病毒处置、数据泄露应急技术，可提供快速应急服务

软件安全开发

具备SDL全流程安全管控能力；掌握代码审计、开发安全技术，可提供软件安全开发服务

网络安全审计

具备独立审查网络与系统安全合规性能力；掌握合规审计、安全评估技术，可出具合规审计报告

工业控制系统安全

具备工控环境风险防护与安全加固能力；掌握工控安全技术，可提供电力、制造等行业工控安全服务

灾难备份与恢复

具备数据与业务连续性保障方案设计与实施能力；掌握灾备建设、业务连续性规划技术，可提供灾备服务