(一)CCRC简介
CCRC指中国网络安全审核技术与认证中心的简称,于2006年由中央机构编制委员会办公室批准成立,为国家市场监督管理总局直属正司局级事业单位,是信息安全服务资质的认证审核机构
(二)信息安全服务资质简介
信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。 信息安全服务资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。共分8个不同的方向,分别是:安全集成、安全运维、应急处理、风险评估、灾难备份与恢复、安全软件开发、网络安全审计、工业控制系统安全。申请方可根据自身业务需求来申请对应方向的。
(三)信息系统安全运维服务资质简介
通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。安全运维资质认证是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。安全运维服务资质级别是衡量服务提供方的安全运维服务资格和能力的尺度。
二、各级别详细要求
基本要求三级基本要求
1.1. 法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历
程清晰,产权关系明确。
1.2. 财务资信要求
近 3 年经营状况良好,财务数据真实可信,应提供
在中华人民共和国境内登记注册的会计师事
务所出具的近 3 年财务审计报告。
1.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满
足机构设置及其业务需要。
1.4. 人员素质与资质要求
a) 组织负责人拥有2年以上信息技术领域管理经
历。
b) 技术负责人获得信息安全相关专业硕士及以上学
位或电子信息技术类中级职称,且从事信
息安全技术工作2年以上。
c) 财务负责人具有财务系列初级以上职称。
d) 从事信息安全服务人员10名以上。
e) 拥有信息安全专业认证(与申报类别一致)人员
2名以上。
f) 拥有项目管理资格证书人员1名以上。
1.5. 业绩要求
a) 从事信息安全服务(与申报类别一致)1年以上。
b) 近3年内签订并完成至少1个信息安全服务(与
申报类别一致)项目。
1.6. 服务管理要求
a) 遵循国家相关法律法规、标准要求,无违法违规
记录,资信状况良好。
b) 建立人员管理程序和能力考核指标;制定业务和
技能培训计划,定期对相关人员开展培训
和考核。
c) 建立文档控制程序,明确文档管理职责,任命管
二级基本要求
2.1. 法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历
程清晰,产权关系明确。
2.2. 财务资信要求
近 3 年经营状况良好,财务数据真实可信,应提供
在中华人民共和国境内登记注册的会计师事务所出
具的近 3 年财务审计报告。
2.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满
足机构设置及其业务需要。
2.4. 人员素质与资质要求
a) 组织负责人拥有3年以上信息技术领域管理经
历。
b) 技术负责人应获得信息安全相关专业硕士及以上
学位或电子信息技术类中级职称,且从事信息安全技
术工作5年以上。
c) 财务负责人具有财务系列中级以上职称。
d) 从事信息安全服务人员30名以上。
e) 拥有信息安全专业认证(与申报类别一致)人员
6名以上。
f) 拥有项目管理资格证书人员2名以上。
2.5. 技术工具要求
a) 具备独立的测试环境及必要的软、硬件设备,用
于技术培训和模拟测试。
b) 具备承担信息安全服务(与申报类别一致)项目
所需的安全工具,并对工具进行管理和版
本控制。
2.6. 业绩要求
a) 从事信息安全服务(与申报类别一致)3年以上,
或取得信息安全服务(与申报类别一致)三级资质1
年以上。
b) 近三年内签订并完成至少6个信息安全服务项目
一级基本要求
1.1. 申请条件
取得信息安全服务(与申报类别一致)二级资质 1 年
以上。(行业领头企业除外)
1.2. 法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历
程清晰,产权关系明确。
1.3. 财务资信要求
近 3 年经营状况良好,财务数据真实可信,应提供
在中华人民共和国境内登记注册的会计师事
务所出具的近 3 年财务审计报告。
1.4. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满
足机构设置及其业务需要。
1.5. 人员素质与资质要求
a) 组织负责人拥有4年以上信息技术领域管理经
历。
b) 技术负责人应获得信息安全相关专业硕士及以上
学位或电子信息技术类高级职称,且从事信息安全技
术工作8年以上。
c) 财务负责人拥有财务系列高级职称,或取得中级
职称8年以上。
d) 从事信息安全技术服务人员50名以上。
e) 拥有信息安全专业认证人员(与申报类别一致)
10名以上。
f) 拥有项目管理资格证书人员5名以上。
1.6. 技术工具要求
a) 具备独立的测试环境及必要的软、硬件设备,用
于技术培训和模拟测试。
b) 具备承担信息安全服务(与申报类别一致)项目
所需的安全工具,如漏洞扫描工具、渗透测试工具、
协议分析仪等。
1.7. 业绩要求
理人员,确保项目文档资料妥善保管。
d) 建立项目管理制度,并按照制度执行。
e) 提供资源,确保信息安全服务项目的实施。
1.7. 服务合同要求
a) 了解客户及所处的行业对信息安全服务的特定要求。
b) 确定信息安全服务范围。
c) 应签订信息安全服务合同或协议。
1.8. 服务安全要求
a) 满足法律法规对服务安全的要求。
b) 满足与客户签订服务合同中的安全要求。
c) 制定保密管理制度,明确岗位保密责任。
d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员
了解客户的相关要求。
e) 与相关人员签订保密协议,并进行保密教育。
f) 确保其供应商满足上述服务安全要求。
1.9. 服务技术要求
a) 建立信息安全服务(与申报类别一致)流程。
b) 制定信息安全服务(与申报类别一致)规范并按照规范实施。(与申报类别一致)。
2.7. 服务管理要求
运维安全审计a) 遵循国家相关法律法规、标准要求,无违法违规
记录,资信状况良好。
b) 建立项目管理制度,并按照制度执行。
c) 参照国际或国内标准,建立业务范围覆盖信息安
全服务的质量管理体系,并有效运行。
d) 参照国际或国家标准,建立业务范围覆盖信息安
全服务的信息安全管理体系或信息技术服务管理体
系,并有效运行。
e) 提供资源,确保信息安全服务项目的实施。
2.8. 服务合同要求
a) 了解客户及所处的行业对信息安全服务的特定要
求。
b) 确定信息安全服务范围。
c) 应签订信息安全服务合同或协议。
d) 合同应明确信息安全服务的行为规范。
2.9. 服务安全要求
a) 满足法律法规对服务安全的要求。
b) 满足与客户签订服务合同中的安全要求。
c) 制定保密管理制度,明确岗位保密责任。
d) 按照客户要求,对于接触到的客户敏感信息和知
识产权信息予以保护,并确保服务方人员了解客户的
相关要求。
e) 与相关人员签订保密协议,并进行保密教育。
f) 确保其供应商满足上述服务安全要求。
2.10. 服务技术要求
a) 建立信息安全服务(与申报类别一致)流程。
b) 制定信息安全服务(与申报类别一致)规范并按
照规范实施。
a) 从事信息安全服务(与申报类别一致)5年以上。
b) 近三年内至少签订并完成10个信息安全服务项
目(与申报类别一致)。
1.8. 服务管理要求
a) 遵循国家相关法律法规、标准要求,无违法违规
记录,资信状况良好。
b) 建立项目管理制度,并按照制度执行。
c) 参照国际、国内标准,建立业务范围覆盖信息安
全服务的质量管理体系,并提供有效运行的相关证
明。
d) 参照国际、国家标准,建立业务范围覆盖信息安
全服务的信息安全管理体系或信息技术服务管理体
系,并提供有效运行的相关证明。
e) 提供足够资源,确保信息安全服务项目的实施。
1.9. 服务合同要求
a) 了解客户及所处的行业对信息安全服务的特定要
求。
b) 确定信息安全服务范围。
c) 应签订信息安全服务合同或协议。
d) 合同应明确信息安全服务的行为规范。
e) 合同应明确信息安全服务的安全要求。
1.10. 服务安全要求
a) 满足法律法规对服务安全的要求。
b) 满足与客户签订服务合同中的安全要求。
c) 制定保密管理制度,明确岗位保密责任。
d) 按照客户要求,对于接触到的客户敏感信息和知
识产权信息予以保护,并确保服务方人员了解客户的
相关要求。
e) 与相关人员签订保密协议,并进行保密教育。
f) 确保其供应商满足上述服务安全要求。
1.11. 服务技术要求
a) 建立信息安全服务(与申报类别一致)流程。
b) 制定信息安全服务(与申报类别一致)规范,并
按照规范实施
类别要求安全运维服务资质专业评价要求针对服务准备、服务
实施、监视评审、持续改进四个阶段进行,具体分级
要求如下:
F1 三级要求
F1.1准备阶段
F1.1.1需求调研与分析
a) 采集客户对信息系统运维服务时间的需求。
b) 进行信息系统运维预算,定义运维服务。
c) 与客户进行沟通,达成共识并形成记录。
F1.1.2运维服务设计
a) 制定安全运维服务目录,包括但不限于:初始服
务、安全设备运维、日常巡检服务、健康检查、安全
事件审计。
b) 对信息系统相关的IT资产进行识别。
c) 对安全设备进行日常维护及监控,并记录硬件故
障。
d) 提供安全设备、业务系统的健康检查服务,并约
定服务方式、检查频次和检查内容。
e) 采集系统配置、流量信息、系统状态等安全信息。
f) 收集与分析网络及安全设备、服务器、操作系统、
网络应用的日志。
F1.1.3运维服务导入
a) 收集与建立配置管理数据库,确保配置项目的机
密性、完整性、可用性。
b) 专业人员负责安全管理的接口。
c) 建立服务目录。
d) 建立事件响应和解决的机制,有基本的安全运维
报告模式。
F1.1.4明确服务协议特殊要求
a) 明确安全事件处理与应急响应流程,包括但不限
于:安全事件的分类、安全事件上报流程、安全事件
处理流程、安全事件的事后处理。
F2 二级要求
组织申报二级资质,除满足三级资质的所有条件外,
还需满足以下要求。
F2.1运维服务准备阶段
F2.1.1需求调研与分析
a) 根据评估目标和范围,对安全运维对象中包含的
信息系统,组织的资产进行分类。
b) 识别与分析信息系统运维过程中的历史数据,提
出系统运维的保障策略和解决方案。
c) 分析客户对信息系统安全服务的需求和类型。
d) 收集与分析信息系统的可用性指标,明确可用性
指标的类型。
e) 分析以往服务的数据,提取出来未来可自动化的
服务。
F2.1.2运维服务设计
a) 对信息安全事件进行统计与分析;
b) 编写安全运维服务目录,包括但不限于:运维监
控与分析、终端安全监控、合规性运维。
c) 建立信息系统安全运维的问题管理程序。
d) 建立知识管理程序及初步形成知识库。
e) 编制信息系统的可用性计划,监控可用性事件,
报告可用性执行,指导可用性的改进。
f) 形成信息安全管理的组织架构,组织结构的构成
要素与安全运维活动角相对应。
F2.1.3运维服务导入
采用流程化管理方法,基于安全事件处理流程、安全
培训服务流程、渗透测试流程进行标准化的信息系统
安全运维工作。
F2.1.4明确服务协议特殊要求
a) 建立信息系统安全主动管理机制;
b) 签订信息系统安全运维服务级别协议,承诺信息
系统核心指标。
F3一级要求
组织申报一级资质,除满足二级资质的所有条件外,
还需满足以下要求。
F3.1运维服务准备阶段
a) 内部团队之间的安全运营级别协议应和与安全运
维第三方之间的的服务级别设计保持一致。
b) 安全组织中要设定安全领导小组;在采用外包模
式的情况下,执行组还应包含安全运维服务供应商参
与运维的人员。
c) 采用基于PDCA的管理模型,从策划,实施,监视
与评审和持续改进进行体系化的信息系统安全运维
服务。
d) 建立安全运维可视化视图。
F3.1.1需求调研与分析
a) 基于信息系统安全的生命周期,建立信息系统安
全运维的整体策略。
b) 基于客户、业务的价值体现,形成安全运维的整
体视图。
F3.1.2运维服务设计
a) 编制安全运维项目作业指导书。
b) 建设实施过程中应关注信息系统的功能、性能和
安全性方面要求。
c) 改造过程中应制定测试计划及回退措施。
d) 编写安全运维服务目录,包括但不限于:安全通
告及漏洞分析、应急响应服务。
F3.1.3运维服务导入
a) 基于渗透测试流程管理进行标准化的信息系统安
全运维工作。
b) 编制信息安全产品和工具定制开发计划。
F3.1.4明确服务协议的特殊要求
a) 建立信息系统安全运维服务级别管理程序,签订
服务级别协议。
b) 明确安全运维方式,包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。 F1.2运维服务实施阶段 a) 实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。 b) 实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、 升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。 c) 实施日常巡检服务:完成安全设备监控;病毒监测、查杀及网络防病毒维护,并有相关记录。 d) 实施健康检查服务:完成安全设备、业务系统的健康检查服务。 e) 实施安全事件审计服务:完成网络及安全设备日志、服务器、操作系统、网络应用的日志、并且进行记录。 f) 组建运维服务台职能,培养服务台人员的专业能力。 g) 建立事件管理程序和信息安全服务请求管理程序。 F1.3运维监视评审阶段
a) 应定期收集与分析安全运维报告的数据,包括但不限于:异常报告及时率、异常漏报率、维护作业计
划的及时完成率、故障隐患发现率、异常主动发现率、
问题解决率、漏洞扫描覆盖率、加固设备覆盖率、安
全补丁安装及时率、安全事件次数。
b) 对运维实现情况进行监视测量,未能实现的目标
应采取纠正预防措施。
c) 建立与分析客户满意度调查。
F1.4运维持续改进阶段
a) 应在运维过程和监视过程中识别改进项目,制定
持续改进计划,包括但不限于对改进机会
的评估标准。 c) 建立问题管理程序。 d) 建立信息系统安全的配置库及关联关系信息。 F2.2运维服务实施阶段
a) 实施运维监控与分析并形成记录。 b) 进行合规性运维。 F2.3运维监视评审阶段 F2.3.1内审 按照计划的时间间隔执行内部审核,满足既定标准要求、安全运维服务需求和客户所提出的SMS 要求,并有效实施和维护。 F2.3.2管理评审 a) 定期回顾安全运维服务,确保其持续适用和有效。 b) 管理评审输入至少包括但不限于:客户反馈、服务和流程的执行情况和符合性、当前和预测资源水平、纠正措施的进展情况、可能影响安全运维服务的变更、改进机会。 F2.4运维持续改进阶段 a) 改进机会应划分优先级,策划被批准的改进机会。 b) 改进活动应进行管理,包括但不限于:设定改进目标、确保批准的改进活动被实施、报告被实施的改进计划。 b) 建立信息系统应急事件响应机制和恢复保障。 c) 对客户满意度进行趋势分析。
d) 建立应急响应和灾难恢复机制,形成业务连续性计划。
F3.2运维服务实施阶段
a) 实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告
b) 实施应急响应服务:制定应急响应预案,对应急事件及时响应,并对应急进行演练,形成相关记录 c) 建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
d) 制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
F3.3运维监视评审阶段
a) 形成体系化的审核机制及企业文化。
b) 体系化的服务监视管理,形成审核机制。 c) 定期评审客户对安全运维服务的满意度。 F3.4运维持续改进阶段
a) 持续服务改进,形成持续服务改进文化和意识。
b) 基于运维服务的缺陷,提出改进策略和方案。 c) 分析运维服务的数据并进行服务预测。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议