CCRC-ISV-C01：2018信息安全服务规范

信息安全服务资质认证技术规范Technical Specifications of Certificationfor Qualification of Information Security Service Provider(备案稿)目录前言 (3)1 范围 (4)2 规范性引用文件 (4)3 术语和缩略语 (4)3.1 术语 (4)3.2 缩略语 (5)4 认证具体要求 (5)4.1 基本资格 (6)4.1.1 独立法人 (6)4.1.2 法律要求 (6)4.2 基本能力 (6)4.2.1 资产与规模 (6)4.2.2 人员素质与构成 (6)4.2.3 设备、设施与环境 (6)4.2.4 业绩 (7)4.3 信息安全服务管理过程 (7)4.3.1 建立并实施服务管理体系 (7)4.3.2 服务等级管理 (7)4.3.3 保密管理 (8)4.3.4 服务报告 (8)4.3.5 服务连续性及可用性管理 (8)4.3.6 信息安全服务的预算及财务管理 (8)4.3.7 容量管理 (8)4.3.8 信息安全管理 (9)4.3.9 业务关系管理过程 (9)4.3.10 供方管理 (9)4.3.11 事故管理 (10)4.3.12 问题管理 (10)4.3.13 项目风险管理 (10)4.3.14 配置管理 (10)4.3.15 变更管理 (11)4.3.16 发布管理 (11)5 信息安全服务类型与资质评定原则 (11)5.1 信息安全服务的类型 (11)5.2 信息安全服务资质的评判原则 (11)2前言本技术规范是信息安全服务资质认证技术规范。

本技术规范根据我国信息安全服务管理的现状，并参考了相关技术规范而制定。

本技术规范由中国信息安全认证中心（ISCCC）提出并归口。

本技术规范起草单位：中国信息安全认证中心。

3本技术规范适用于认证机构对提供信息安全服务的组织进行信息安全服务资质的评估，也可作为信息安全服务的需方对服务组织的选择依据；或作为国家主管部门对评估对象进行管理和检查的技术规范。

文件编码：CCRC-ISV-C01:2018信息安全服务规范2018-05-25发布 2018-06-01实施中国网络安全审查技术与认证中心发布目录1. 适用范围 (1)2. 规范性引用文件 (1)3. 术语与定义 (1)3.1. 信息安全服务 (1)3.2. 信息安全风险评估 (1)3.3. 信息安全应急处理 (1)3.4. 信息系统安全集成 (1)3.5. 信息系统灾难备份与恢复 (1)3.6. 软件安全开发 (2)3.7. 信息系统安全运维 (2)3.8. 网络安全审计 .................................................................................. 错误!未定义书签。

3.9. 工业控制系统安全 (2)4. 通用评价要求 (2)4.1. 三级评价要求 (2)4.1.1. 法律地位要求 (2)4.1.2. 财务资信要求 (2)4.1.3. 办公场所要求 (2)4.1.4. 人员能力要求 (3)4.1.5. 业绩要求 (3)4.1.6. 服务管理要求 (3)4.1.7. 服务技术要求 (3)4.2. 二级评价要求 (3)4.2.1. 法律地位要求 (4)4.2.2. 财务资信要求 (4)4.2.3. 办公场所要求 (4)4.2.4. 人员能力要求 (4)4.2.5. 业绩要求 (4)4.2.6. 服务管理要求 (4)4.2.7. 技术工具要求 (5)4.2.8. 服务技术要求 (5)4.3. 一级评价要求 (5)4.3.1. 法律地位要求 (5)4.3.2. 财务资信要求 (5)4.3.3. 办公场所要求 (5)4.3.4. 人员素质与资质要求 (6)4.3.5. 业绩要求 (6)4.3.6. 服务管理要求 (6)4.3.7. 技术工具要求 (7)4.3.8. 服务技术要求 (7)5. 专业评价要求 (7)5.1. 风险评估服务资质专业评价要求 (7)5.2. 安全集成服务资质专业评价要求 (7)5.3. 应急处理服务资质专业评价要求 (7)5.4. 灾难备份与恢复服务资质专业评价要求 (7)5.5. 软件安全开发服务资质专业评价要求 (7)5.6. 安全运维服务资质专业评价要求 (7)5.7. 网络安全审计服务资质专业评价要求 (7)5.8. 工业控制系统安全服务资质专业评价要求 (7)附录A（规范性附录）：信息安全风险评估服务资质专业评价要求 (8)附录B（规范性附录）：信息系统安全集成服务资质专业评价要求 (11)附录C（规范性附录）：信息安全应急处理服务资质专业评价要求 (14)附录D（规范性附录）：信息系统灾难备份与恢复服务资质专业评价要求 (18)附录E（规范性附录）：软件安全开发服务资质专业评价要求 (22)附录F（规范性附录）：安全运维服务资质专业评价要求 (26)附录G（规范性附录）：网络安全审计服务资质专业评价要求 (29)附录H（规范性附录）：工业控制系统安全服务资质专业评价要求 (35)附录I：信息安全服务人员能力要求 (41)附录J: 参考文献 (64)1.适用范围本规范规定了信息安全服务提供者（以下简称服务提供者）在提供服务时应具备的服务安全通用要求和专业服务能力要求。

CCRC信息安全服务认证条件及办理流程
CCRC信息安全服务分成一级、二级和三级，一级最大，三级最少。

安全集成、安全运维、应急处置、风险评价、容灾与修复、安全性开发软件、网络信息安全审计、电力监控系统安全性等八个方向。

申请人可以根据自己的业务流程必须申请对应的具体指导。

一、CCRC认证带来的好处
（1）是第三方机构证实企业能力的重要依据；
（2）它是家庭需求者挑选的前提，能通过提升企业需求者对综合服务平台服务提供者的认可;
（3）标准管理和技术，提升顾客满意度；
（4）扩张本身业务水平范畴，获得更多业务岗位;
二、有效期限是多少天
证书有效期一年，一年发布一次。

对具有组织发展趋势开展管理监督内部结构审计，每一年必须展开分析一次（不得超过12个月）。

针对中国初次登记注册的机构，必须在12个月内进行了现场监管审计。

三、CCRC认证标准
中国商务部三级评定研究目标管理规范本公司能够创立最少4个月，而且起码有10名从业社会经济基本生活保障企业工作的职工（最少1名有着6年工作员工作经验的本科毕业生，起码2名有着3年工作发展工作经验的本科或4年工作中社会经验大专，最好计算机软件有关教育专业）2人需通过参加外部资源学习培训以获得相对应的方向CISAW资格证书;第一次申请必须在近3年之内签定并进行最少存有一个重要新项目，本年度核查必须在一年内签定并进行最少对于一个工程项目;营业执照范围最少包含申请业务水平范畴方位或互联网技术革新服务项目、技术服务等。

ccrc评估认证人员要求摘要：一、CCRC 评估认证简介RC 的定义和作用RC 评估认证的重要性二、评估认证人员的基本要求1.具备相关领域的专业知识和技能2.良好的职业道德和素养3.丰富的实践经验和业绩三、具体要求1.教育背景和资质2.工作经验3.专业培训和认证4.语言能力5.法律法规知识四、持续学习和提高1.行业动态和标准的跟踪2.参加专业培训和研讨会3.分享经验和提升自身能力正文：CCRC（中国网络安全审查技术中心）评估认证是我国网络安全领域的一项重要制度，旨在确保网络安全产品、服务和管理体系符合国家相关法律法规和技术标准，为网络安全提供有力保障。

为了保证CCRC 评估认证的质量和权威性，评估认证人员需要满足一定的要求。

首先，评估认证人员应具备相关领域的专业知识和技能。

这意味着他们需要了解网络安全的基本原理、技术和应用，掌握网络安全产品、服务和管理体系的相关标准和要求，以及熟悉评估认证过程和方法。

只有具备这些基本条件，评估认证人员才能准确地评估网络安全风险，提出针对性的改进措施。

其次，评估认证人员需要具备良好的职业道德和素养。

评估认证过程可能会涉及企业敏感信息，评估认证人员需要严格保守秘密，维护企业和用户的利益。

此外，他们还需要遵循公正、公平、公开的原则，确保评估认证结果的客观性和权威性。

再者，评估认证人员应具备丰富的实践经验和业绩。

实践经验可以帮助评估认证人员更好地理解网络安全问题，并为解决实际问题提供有力支持。

同时，良好的业绩记录可以证明评估认证人员的能力和水平，为企业和用户树立信心。

具体来说，评估认证人员需要具备一定的学历背景和资质。

通常要求具备本科及以上学历，专业方向为网络安全、信息工程等。

此外，评估认证人员还需要具备一定的工作经验，如具备3 年以上的网络安全相关工作经验，参与过至少2 个网络安全评估认证项目。

评估认证人员还需要参加专业培训和获得相关认证。

这有助于提高他们的专业素养，了解最新的技术和标准，为评估认证工作提供有力支持。

文件编码：CCRC-ISV-C01:2018信息安全服务规范2018-05-25发布 2018-06-01实施中国网络安全审查技术与认证中心发布目录1. 适用范围 (1)2. 规范性引用文件 (1)3. 术语与定义 (1)3.1. 信息安全服务 (1)3.2. 信息安全风险评估 (1)3.3. 信息安全应急处理 (1)3.4. 信息系统安全集成 (1)3.5. 信息系统灾难备份与恢复 (1)3.6. 软件安全开发 (2)3.7. 信息系统安全运维 (2)3.8. 网络安全审计 .................................................................................. 错误!未定义书签。

3.9. 工业控制系统安全 (2)4. 通用评价要求 (2)4.1. 三级评价要求 (2)4.1.1. 法律地位要求 (2)4.1.2. 财务资信要求 (2)4.1.3. 办公场所要求 (2)4.1.4. 人员能力要求 (3)4.1.5. 业绩要求 (3)4.1.6. 服务管理要求 (3)4.1.7. 服务技术要求 (3)4.2. 二级评价要求 (3)4.2.1. 法律地位要求 (4)4.2.2. 财务资信要求 (4)4.2.3. 办公场所要求 (4)4.2.4. 人员能力要求 (4)4.2.5. 业绩要求 (4)4.2.6. 服务管理要求 (4)4.2.7. 技术工具要求 (5)4.2.8. 服务技术要求 (5)4.3. 一级评价要求 (5)4.3.1. 法律地位要求 (5)4.3.2. 财务资信要求 (5)4.3.3. 办公场所要求 (5)4.3.4. 人员素质与资质要求 (6)4.3.5. 业绩要求 (6)4.3.6. 服务管理要求 (6)4.3.7. 技术工具要求 (7)4.3.8. 服务技术要求 (7)5. 专业评价要求 (7)5.1. 风险评估服务资质专业评价要求 (7)5.2. 安全集成服务资质专业评价要求 (7)5.3. 应急处理服务资质专业评价要求 (7)5.4. 灾难备份与恢复服务资质专业评价要求 (7)5.5. 软件安全开发服务资质专业评价要求 (7)5.6. 安全运维服务资质专业评价要求 (7)5.7. 网络安全审计服务资质专业评价要求 (7)5.8. 工业控制系统安全服务资质专业评价要求 (7)附录A（规范性附录）：信息安全风险评估服务资质专业评价要求 (8)附录B（规范性附录）：信息系统安全集成服务资质专业评价要求 (11)附录C（规范性附录）：信息安全应急处理服务资质专业评价要求 (14)附录D（规范性附录）：信息系统灾难备份与恢复服务资质专业评价要求 (18)附录E（规范性附录）：软件安全开发服务资质专业评价要求 (22)附录F（规范性附录）：安全运维服务资质专业评价要求 (26)附录G（规范性附录）：网络安全审计服务资质专业评价要求 (29)附录H（规范性附录）：工业控制系统安全服务资质专业评价要求 (35)附录I：信息安全服务人员能力要求 (41)附录J: 参考文献 (64)1.适用范围本规范规定了信息安全服务提供者（以下简称服务提供者）在提供服务时应具备的服务安全通用要求和专业服务能力要求。

ccrc信息安全风险评估认证证书CCRC信息安全风险评估认证证书是一项针对信息系统安全特别是为我国金融信息系统安全而进行的第三方评估认证的证书。

该认证证书是由中国互联网金融协会(CCFC)颁发，它基于我国金融信息系统安全风险评估体系和相关的标准进行评估和认证。

第一步是对系统进行安全评估。

在进行评估时，评估机构会先了解系统的整体设计和架构，包括系统的主要功能、应用程序、技术支持等方面。

评估人员还会对系统的网络拓扑结构、数据库、服务器、应用程序接口（API）等进行审核，评估其安全性。

第二步是评估系统的安全管理。

这是指评估人员会评估系统的管理控制流程、安全策略、安全人员等，检验公司的安全运维流程是否合理，员工的安全意识是否到位。

第三步是评估系统的安全控制。

控制是指评估人员会评估系统的身份验证和访问控制机制、日志和审计机制、加密和口令管理等，确认其是否符合金融信息系统的安全控制标准。

最后，根据评估结果，评估机构会出具一份CCRC信息安全风险评估认证证书，证明该系统已经通过了第三方的测试和评估，可以有效保护用户的信息安全。

此外，评估机构通常会给出评估报告，评估报告描述了系统中存在的漏洞和缺陷，并提出了改进方案，帮助企业进一步加强信息安全保障。

总之，CCRC信息安全风险评估认证证书是保障信息系统安全的有效手段。

企业在获得该证书后可以展示自己对用户数据保护的承诺，并且表明信息安全管理有一定的能力和水平。

同时，该证书能够帮助企业及时发现和化解可能存在的安全隐患和风险，进一步提升企业的安全水平和用户信任度。

因此，在信息安全日益受到关注的今天，企业需要加强对信息安全管理的重视并提升其安全保障能力。

在此过程中，CCRC信息安全风险评估认证证书可以成为企业的信誉保证，提高企业的市场竞争力和运营效率。

一体化认证实施规则CCRC-MS-001:2018中国网络安全审查技术与认证中心目录1.适用范围 (2)2.认证依据 (2)3.术语和定义 (2)3.1.自评价 (2)3.2.现场审核 (2)3.3.远程审核 (2)3.4.现场见证（验证） (3)3.5.特殊审核 (3)4.审核类别和审核方式 (3)5.审核人员及审核组要求 (3)6.认证信息公开 (3)7.认证程序 (4)7.1.初次认证 (4)7.2.监督审核 (8)7.3.再认证 (11)7.4.特殊审核 (11)7.5.暂停、撤消认证或缩小认证范围 (11)8.认证证书 (12)8.1.证书有效期 (12)8.2.证书内容 (12)8.3.证书编号 (13)8.4.对获证组织正确宣传认证结果的控制 (13)9.对获证组织的信息通报要求及响应 (13)1.适用范围本规则用于规范中国信息安全认证中心（简称中心）的一体化管理认证活动，一体化认证涉及信息安全管理体系、信息技术服务管理体系、业务连续性管理体系、质量管理体系、工程建设施工企业质量管理体系、数据中心服务能力成熟度和个人信息安全管理体系。

2.认证依据信息安全管理体系认证以国家标准GB/T22080-2016《信息技术 安全技术 信息安全管理体系 要求》为认证依据。

信息技术服务管理体系认证以国家标准ISO/IEC20000-1:2011《信息技术 服务管理 服务管理体系 要求》为认证依据。

业务连续性管理体系认证以国家标准GB/T 30146—2013《公共安全 业务连续性管理体系 要求》为认证依据。

质量管理体系认证以国家标准GB/T 19001-2016《质量管理体系 要求》为认证依据。

工程建设施工企业质量管理体系认证以国家标准GB/T 19001-2016《质量管理体系 要求》和GB/T50430-2007《工程建设施工企业质量管理规范》为认证依据金融行业支付机构质量管理体系认证以国家标准GB/T 19001-2016《质量管理体系 要求》和CCRC-MS-C01：2018《金融行业支付机构质量管理体系 要求》为认证依据 数据中心服务能力成熟度认证以国家标准GB/T33136-2016《信息技术服务 数据中心服务能力成熟度模型》为认证依据。

【知识文章格式样例】标题：深度探讨CCRC信息安全服务资质及灾备模板在当今信息爆炸的时代，信息安全已成为各行各业关注的焦点。

而作为CCRC（信用评级机构）来说，信息安全服务的资质和灾备模板更是至关重要。

在本文中，我们将从多个角度深度探讨CCRC信息安全服务资质以及灾备模板，并共享个人观点和理解。

1. CCRC信息安全服务资质的重要性CCRC作为信用评级机构，每天都需要处理大量的敏感客户信息，包括企业财务报表、个人信用记录等。

信息安全服务的资质就显得格外重要。

只有拥有相关资质的CCRC才能更好地保障客户信息的安全，避免数据被泄露、篡改或损坏，从而确保信用评级工作的准确性和公正性。

2. CCRC信息安全服务资质的标准CCRC信息安全服务资质的标准一般包括网络安全、数据加密、风险管理等多个方面。

其中，网络安全涉及到防火墙设置、入侵检测、恶意代码防范等措施；数据加密则需要采用符合国家标准的加密算法，确保数据在传输和存储过程中不被窃取；而风险管理则需要建立健全的风险评估和应急预案流程，及时应对可能出现的安全风险。

3. 灾备模板在CCRC中的应用灾备模板在CCRC中扮演着重要的角色。

在遭遇自然灾害、人为破坏或系统故障等不可预测事件时，灾备模板能够帮助CCRC快速恢复业务，避免因意外事件而导致的重大损失。

灾备模板的建立和不断更新是CCRC信息安全服务中不可或缺的一环。

4. 个人观点和理解作为一名从事信息安全服务多年的专家，我深知CCRC信息安全服务资质和灾备模板的重要性。

在我的实践中，我发现只有不断提升资质标准和完善灾备模板，CCRC才能更好地应对各类信息安全风险，保障客户利益，并在激烈的市场竞争中立于不败之地。

总结CCRC信息安全服务资质及灾备模板对于保障客户信息安全和业务连续性至关重要。

CCRC应该高度重视信息安全服务的资质标准，不断完善灾备模板，以应对日益复杂和严峻的信息安全挑战，确保信用评级工作的可靠性和稳定性。

ccrc评审报告
CCRC（Cybersecurity Categorization and Risk Evaluation）评审报告是针对组织的信息系统进行网络安全分类和风险评估的报告。

该报告旨在评估组织的网络安全状况，识别潜在的安全风险，并提供相应的建议和措施，以帮助组织提高网络安全水平。

CCRC评审报告通常包括以下内容：
1.引言：介绍报告的目的、背景和范围。

2.组织概述：简要介绍组织的基本情况，包括组织结构、业务领域、信息系统等。

3.网络安全分类：根据组织的业务需求和安全风险，将信息系统划分为不同的安全类别，以便进行有针对性的管理和保护。

4.风险评估：对组织的网络安全状况进行全面的风险评估，包括资产、脆弱性、威胁等方面的分析。

同时，根据风险评估结果，确定组织面临的主要安全风险和隐患。

5.建议和措施：针对风险评估结果，提出相应的建议和措施，以帮助组织提高网络安全水平。

这些建议和措施可能涉及技术、管理、人员等多个方面。

6.结论：总结报告的主要观点和建议，强调组织在网络
安全方面的优势和不足，并提出下一步的改进方向。

CCRC评审报告的目的是帮助组织了解自身的网络安全状况，发现潜在的安全风险，并提供相应的解决方案。

通过该报告，组织可以更好地了解自身的网络安全状况，制定相应的管理措施和技术手段，以保障信息系统的安全稳定运行。

ICS 03. 120. 20 A 00标准T/CAS 375—20XX网络平安效劳机构等级评定标准Grade assessment specificationof cyber secur i ty serv i ce i nst i tut i ons（征求意见稿）20XX-09-25 发布20XX-09-25 实施中国标准化协会(CAS)是组织开展国内、国际标准化活动的全国性社会团体。

制定中国标准化协会标准(以下简称：中国标协标准)，满足企业需要，推动企业标准化工作，是中国标准化协会的工作内容之一。

中国境内的团体和个人，均可提出制、修订中国标协标准的建议并参与有关工作中国标协标准按《中国标准化协会标准管理方法》进行制定和管理。

中国标协标准草案经向社会公开征求意见，并得到参加审定会议的75%以上的专家、成员的投票赞同，方可作为中国标协标准予以发布。

在本文件实施过程中，如发现需要修改或补充之处，请将意见和有关资料寄给中国标准化协会以便修订时参考。

目次刖言....................................................................................... I 引言......................................................................................... I 1范围....................................................................................... 1 2标准性引用文件............................................................................. 1 3术语和定义................................................................................. 1 4网络平安效劳类型........................................................................... 2 5评定原那么与流程........................................................................... 4 6效劳机构等级划分........................................................................... 4 7根本能力要求............................................................................... 5 附录A评定流程 (11)附录B平安咨询效劳 (12)附录C信息系统平安集成效劳 (15)附录D信息系统平安运维效劳 (21)附录E监测预警效劳 (26)附录F应急响应效劳 (29)附录G软件平安效劳 (34)附录H工业控制系统平安效劳 (41)附录I数据平安效劳 (44)附录J信息平安风险评估效劳 (48)附录K云计算平安效劳 (52)附录L信息系统平安审计效劳 (62)附录M渗透测试效劳 (67)参考文献 (72)本文件按照GB/T 1. 1-202X《标准化工作导那么第1局部：标准化文件的结构和起草规那么》的规定起草。