CCRC信息安全服務資質評價要求

CCRC信息安全服務資質評價要求分為通用評價要求和專業評價要求各申請企業需按照要求實施自評估經整改合格后方可進行服務資質申請通用評價要求如下

三級評價要求

一法律地位要求

1在中華人民共和國境內注冊的獨立法人組織發展歷程清晰產權關系明確

2遵循國家相關法律法規標準要求無違法違規記錄資信狀況良好

二財務資信要求

組織經營狀況正常建立財務管理制度可為安全服務提供必要的財務支持

三辦公場所要求

擁有長期固定辦公場所和相適應的辦公條件能夠滿足機構設置及其業務需要

四人員能力要求

1組織負責人擁有2年以上信息技術領域管理經歷

2技術負責人具備信息安全服務（與申報類別一致）管理能力經評價合格（與申報類別一致）評價要求見附錄I

3項目負責人項目工程師具備信息安全服務（與申報類別一致）技術能力經評價合格評價要求見附錄I

五業績要求

1從事信息安全服務（與申報類別一致）4個月以上

2（監督審核時）近1年內簽訂并完成至少1個信息安全服務（與申報類別一致）項目

六服務管理要求

1建立并運行人員管理程序識別安全服務人員的服務能力要求明確安全服務人員的崗位職責技術能力要求并通過評價證明其能夠勝任其承擔的職責

2制定服務人員能力培養計劃包括網絡與信息安全相關的技術技能管理意識等內容并執行計劃確保服務人員持續勝任其承3建立并運行文檔管理程序包括組織管理服務過程管理質量管理等內容明確項目產生發布保存傳輸使用（包括交付和內部使用）廢棄等環節的文檔控制

4建立并運行項目管理程序明確服務項目的組織計劃實施風險控制交付等環節的操作規程提供項目風險管理記錄

5建立并運行保密管理程序明確崗位保密責任簽訂保密協議并能夠適時對相關人員進行保密教育

6建立與運行供應商管理程序確保其供應商滿足服務安全要求（僅適用于安全集成安全運維災難備份與恢復方向）

7建立合同管理程序制定統一合同模板按照合同約定實施信息安全服務項目按照客戶要求對于接觸到的客戶敏感信息和知識產權信息予以保護并確保服務方人員了解客戶的相關要求

七服務技術要求

1建立信息安全服務（與申報類別一致）要求的流程并按照流程實施

2制定信息安全服務（與申報類別一致）要求的規范標準并按照規范實施

二級評價要求

申請方可根據條件直接申請或獲得三級資質一年以上可提出二級申請服務管理程序文件需建立發布并運行半年以上

一法律地位要求

1在中華人民共和國境內注冊的獨立法人組織發展歷程清晰產權關系明確

2遵循國家相關法律法規標準要求無違法違規記錄資信狀況良好

二財務資信要求

組織經營狀況正常制定并執行財務管理制度可為服務提供必要的財務支持

三辦公場所要求

擁有長期固定辦公場所和相適應的辦公條件能夠滿足機構設置及其業務需要

四人員能力要求

1組織負責人擁有3年以上信息技術領域管理經歷

2技術負責人具備信息安全服務（與申報類別一致）管理能力經評價合格（與申報類別一

致）評價要求見附錄I

3項目負責人項目工程師具備信息安全服務（與申報類別一致）技術能力經評價合格（與申報類別一致）評價要求見附錄I

五業績要求

1從事信息安全服務（與申報類別一致）3年以上或取得信息安全服務（與申報類別一致）三級資質1年以上

2近三年內簽訂并完成至少6個信息安全服務（與申報類別一致）項目

六服務管理要求

1建立并運行人員管理程序識別安全服務人員的服務能力要求明確安全服務人員的崗位

職責技術能力要求并通過評價證明其能夠勝任其承擔的職責

2制定服務人員能力培養計劃包括網絡與信息安全相關的技術管理意識等內容并執

行計劃確保服務人員持續勝任其承擔的職責

3建立并運行文檔管理程序包括組織管理服務過程管理質量管理等內容明確產生

發布保存傳輸使用（包括交付和內部使用）廢棄等環節的文檔控制配備檔案室

及高安全性的文件服務器

4建立并運行項目管理程序明確服務項目的組織計劃實施風險控制交付等環節的

操作規程

5建立并運行保密管理程序明確崗位保密責任簽訂保密協議并能夠適時對相關人員進

行保密教育

6建立與運行供應商管理程序明確供應和（或）外程中的風險對供應商和（或）承包方的服務基本資格服務過程控制服務質量服務交付等進行識別確保其供應商或承包方滿足服務安全要求（僅適用于安全集成安全運維災難備份與恢復方向工業控制系統安全方向）

7建立合同管理程序制定統一合同模板按照合同約定實施信息安全服務項目按照客戶要求對于接觸到的客戶敏感信息和知識產權信息予以保護并確保服務方人員了解客戶的相關要求

8參照國際或國內標準建立業務范圍覆蓋信息安全服務（與申報類別一致）的質量管理體系并有效運行半年以上

9參照國際或國內標準建立業務范圍覆蓋信息安全服務（與申報類別一致）的信息安全管理體系或信息技術服務管理體系并有效運行半年以上

七技術工具要求

1具備獨立的測試環境及必要的軟硬件設備用于技術培訓和模擬測試

2具備承擔信息安全服務（與申報類別一致）項目所需的安全工具并對工具進行管理和版

本控制

八服務技術要求

1建立信息安全服務（與申報類別一致）要求的流程并按照流程實施

2制定信息安全服務（與申報類別一致）要求的規范標準并按照規范實施

一級評價要求

申請方須獲得二級資質一年以上可提出相同類別的一級申請且服務管理程序文件需建立發布并運行一年以上

一法律地位要求

1在中華人民共和國境內注冊的獨立法人組織發展歷程清晰產權關系明確

2遵循國家相關法律法規標準要求無違法違規記錄資信狀況良好

二財務資信要求

組織經營狀況正常具有財務管理制度可為服務提供必要的財務支持

三辦公場所要求

擁有長期固定辦公場所和相適應的辦公條件能夠滿足機構設置及其業務需要

四人員素質與資質要求

1組織負責人擁有4年以上信息技術領域管理經歷

2技術負責人具備信息安全服務（與申報類別一致）管理能力經評價合格（與申報類別一致）評價要求見附錄I

3項目負責人項目工程師具備信息安全服務（與申報類別一致）技術能力經評價合格（與申報類別一致）評價要求見附錄I

五業績要求

1從事信息安全服務（與申報類別一致）5年以上

2近三年內簽訂并完成至少10個信息安全服務（與申報類別一致）項目

六服務管理要求

1建立并運行人員管理程序識別安全服務人員的服務能力要求明確安全服務人員的崗位職責技術能力要求并通過評價證明其能夠勝任其承擔的職責

2制定服務人員能力培養計劃包括網絡與信息安全相關的技術管理意識等內容并執行計劃確保服務人員持續勝任其承擔的職責

3建立并運行文檔管理程序包括組織管理服務過程管理質量管理等內容明確產生發布保存傳輸使用（包括交付和內部使用）廢棄等環節的控制配備檔案室及高安全性的文件服務器至少近兩年的項目在文件管理系統中進行管理

4建立并運行項目管理程序明確服務項目的組織計劃實施風險控制交付等環節的操作規程

5建立并運行保密管理程序明確崗位保密責任簽訂保密協議并能夠適時對相關人員進行保密教育

6建立與運行供應商管理程序明確供應商和（或）外程中的風險對供應商和（或）承包方的服務基本資格人員服務過程控制服務質量服務交付服務安全性等進行識別確保其供應商或承包方滿足服務安全要求（僅適用于安全集成安全運維災難備份與恢復工業控制系統安全方向）

7建立合同管理程序制定統一合同模板按照合同約定實施信息安全服務項目按照客戶要求對于接觸到的客戶敏感信息和知識產權信息予以保護并確保服務方人員了解客戶的相關要求

8參照國際或國內標準建立業務范圍覆蓋信息安全服務（與申報類別一致）的質量管理體系并有效運行一年以上

9參照國際或國內標準建立業務范圍覆蓋信息安全服務（與申報類別一致）的信息安全管理體系或信息技術服務管理體系并有效運行一年以上

10建立信息安全服務目錄簽訂服務級別協議

七技術工具要求

1具備獨立的測試環境及必要的軟硬件設備用于技術培訓和模擬測試

2具備承擔信息安全服務（與申報類別一致）項目所需的安全工具并對工具進行管理和版本控制

八服務技術要求

1建立信息安全服務（與申報類別一致）要求的流程并按照流程實施

2制定信息安全服務（與申報類別一致）要求的規范標準并按照規范實施

專業能力評價需參考《CCRC-ISV-C01:2018信息安全服務規范》進行評估