应急处理服务资质认证要求有哪些

信息系统安全服务资质（CCRC）是公司整体服务能力的综合资质认证咨询，信息系统安全服务资质下设安全集成、安全运维、应急处理、风险评估、灾害备份与恢复、软件安全开发、网络安全审计和工业控制系统安全八大分类分级认证咨询。目前只有中国网络安全审查技术与认证咨询中心（CCRC，原中国信息安全认证咨询中心）一家机构才能审批的资质证书。CRCC是单位质检总局直属事业单位，经中央编制委员会批准成立，由单位认证咨询认可监督管理委员会批准，可依据相关标准开展对信息安全服务资质分类分级的认证咨询工作。在业务上接受中共中央网络安全和信息化委员会办公室指导。

信息安全服务资质申请流程

合作初期阶段：由苏州瑞之捷信息科技有限公司老师提供IT资质咨询培训并达成合作

认证咨询咨询阶段：由苏州瑞之捷咨询老师到企业进行iso三体系认证编制、整理、指导、培训

认证咨询审核阶段：由认证咨询机构派出的审核员，到企业现场审核（目前三级不需要现场审核）

信息系统安全服务资质（CCRC）是公司整体服务能力的综合资质认证咨询，信息系统安全服务资质下设安全集成、安全运维、应急处理、风险评估、灾害备份与恢复、软件安全开发、网络安全审计和工业控制系统安全八大分类分级认证咨询。目前只有中国网络安全审查技术与认证咨询中心（CCRC，原中国信息安全认证咨询中心）一家机构才能审批的资质证书。CRCC是单位质检总局直属事业单位，经中央编制委员会批准成立，由单位认证咨询认可监督管理委员会批准，可依据相关标准开展对信息安全服务资质分类分级的认证咨询工作。在业务上接受中共中央网络安全和信息化委员会办公室指导。

信息安全服务资质申请流程

合作初期阶段：由武汉好地科技公司老师提供IT资质咨询培训并达成合作

认证咨询咨询阶段：由武汉好地科技公司咨询老师到企业进行iso三体系认证编制、整理、指导、培训

认证咨询审核阶段：由认证咨询机构派出的审核员，到企业现场审核（目前三级不需要现场审核）

信息安全服务资质----主要是两家机构在发

一家是中国信息安全认证咨询中心----有风险评估、安全集成、应急响应等

一家是中国信息安全测评中心----有安全工程类，信息安全服务资质

这个东西没有必要找代理去申请，找1-2个人认真按照要求准备材料，多和机构沟通沟通，问题一般不是很大

信息安全服务资质。目前有中国网络安全审查技术与认定中心和中国信息安全测评中心发证，前者发证较多。共有有八个分项：安全集成服务资质认证咨询、安全运维服务资质认证咨询、风险评估服务资质认证咨询、应急处理服务资质认证咨询、软件安全开发服务资质认证咨询、灾难备份与恢复服务资质认证咨询、工业控制安全服务资质认证咨询、网络安全审计服务资质认证咨询。最常见的是安全集成和软件安全开发服务资质认证咨询。

其是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证咨询是依据单位法律法规、单位标准、行业标准和技术规范，按照认证咨询基本规范及认证咨询规则，对提供信息安全服务机构的信息安全服务资质进行评价。

应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。（用1799概述里面一段一句的内容）

风险评估服务是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以求防范和化解信息安全风险，或将风险控制在可接受的水平。

通过对信息安全服务分类分级的资质认证咨询，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证咨询过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

信息安全服务资质是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质进行评价。

应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。（用1799概述里面一段一句的内容）

风险评估服务是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以求防范和化解信息安全风险，或将风险控制在可接受的水平。

通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

一、中心性质及概况

中国信息安全认证中心为国家质检总局直属事业单位。

中心简称为信息认证中心；英文全称：China Information Security Certification Center;英文缩写：ISCCC。

中心的质量方针是：客观公正，科学规范，优质高效。

二、中心主要业务

依据国家信息安全管理的法律法规、《认证认可条例》及实施规则，在指定的业务范围内，对信息安全产品实施认证，并开展信息安全有关的管理体系认证和人员培训、技术研发等工作。具体包括：

1、在信息安全领域开展产品、管理体系等认证工作；

2、对认证及与认证有关的检测、检查、评价人员进行认证标准、程序及相关要求的培训；

3、对提供信息安全服务的机构、人员进行资质培训、注册；

4、开展信息安全认证、检测技术研究工作；

5、依据法律、法规及授权从事其他相关工作。

质量方针

编辑

客观公正，科学规范，优质高效

主要职责

编辑

1、在国家认证认可监督管理委员会（以下简称国家认监委）批准的业务范围内，开展认证工作；

2、开展信息安全认证相关标准和检测技术、评价方法研发工作，为建立和完善信息安全认证制度提供技术支持；

3、在批准的业务范围内，开展认证人员培训工作。开展信息安全技术培训工作；

4、依据法律、法规及授权开展涉及信息技术安全领域的相关工作；

5、承担对本中心委托检测和检查机构的监督与管理工作；

6、依据国家法律、法规及授权开展信息安全相关领域的国际合作与交流活动；

7、承办总局和国家认监委交办的其他事项。 [1]

业务

编辑

强制性产品认证

2001年12月，国家质检总局发布了《强制性产品认证管理规定》，以强制性产品认证制度替代原来的进口

商品安全质量许可制度和电工产品安全认证制度。中国强制性产品认证简称CCC认证或3C认证。是一种法定的强制性安全认证制度，也是国际上广泛采用的保护消费者权益、维护消费者人身财产安全的基本做法。在实施强制性产品认证的产品范围中，无线局域网产品和信息安全产品的指定认证机构为中国信息安全认证中心。 信息安全管理体系

病毒破坏、黑客攻击、系统瘫痪、员工失误和恶意破坏、商业间谍等，越来越多的信息安全问题成为威胁组织生存和发展的重要的安全隐患。基于最新国际标准ISO/IEC27001:2005的信息安全管理体系（Information Security Management System, ISMS）是目前国际上先进的信息安全解决方案，正在被越来越多的组织所采用。它运用PDCA过程方法和133项信息安全控制措施来帮助组织解决信息安全问题，实现信息安全目标。ISMS认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段，它将帮助组织节约信息安全成本，增强客户、合作伙伴等相关方的信心和信任，提高组织的公众形象和竞争力。

ISO/IEC 27001标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。ISO/IEC 27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

ISO/IEC 27001认证能为组织带来如下收益：
1.使组织获得最佳的信息安全运行方式；
2.保证组织业务的安全；
3.降低组织业务风险、避免组织损失；
4.保持组织核心竞争优势；
5.提供组织业务活动中的信誉；
6.增强组织竞争力；
7.满足客户要求；
8.保证组织业务的可持续发展；
9.使组织更加符合法律法规的要求。

服务资质认证

中国信息安全认证中心是国家认证认可监督管理委员会批准的一家可以从事信息安全服务资质认证的机构

（详见CNCA-R-2007-138《认证机构批准书》）。在国认可函[2007]150号《关于批准中国信息安全认证中心从事信息安全服务资质认证和培训试点工作的批复》中明确了中心是作为开展信息安全服务资质认证业务的试点单位。同时，中心也获得了中国合格评定国家认可委员会的认可，证书编号：No. CNAS CO66-V。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的安全服务资质进行评价。认证标准：开展信息安全服务资质认证的依据是国家法律法规、国家标准、行业标准和技术规范。目前中国信息安全认证中心开展了信息安全应急处理资质认证业务，依据标准是YD/T 1799-2008《网络与信息安全应急处理服务资质评估方法》。

YD/T 1799-2008《网络与信息安全应急处理服务资质评估方法》是根据我国网络与信息安全应急处理服务管理的需求，同时考虑到国内网络与信息安全应急处理服务提供商的实际情况，参考YD/T 1621-2007《网络与信息安全服务资质评估准则》、《计算机信息系统集成资质管理办法》等文件和相关国际国内标准制定而成。该标准的评估对象是为信息系统所有者提供网络与信息安全应急处理服务的组织。

网络与信息安全应急处理服务是保障业务连续性的重要手段之一，它涵盖了在安全事件发生后为了维持和恢复关键的应用所进行的系列活动。网络与信息安全应急处理服务资质等级是衡量服务提供方应急处理服务资格和能力的尺度。资质等级分为三级，一级最高，三级最低。

网络与信息安全应急处理服务资质评估是对网络与信息安全应急处理服务提供方的资格状况、经济实力、技术能力和实施应急服务过程能力等方面的具体衡量和评价。该标准规定了为信息系统所有者提供网络与信息安全应急处理服务的组织应具备的服务资质要求，以及对提供网络与信息安全应急处理服务的组织进行评估的方法。该标准适用于第三方评估机构对提供网络与信息安全应急处理服务的组织进行网络与信息安全应急处理服务资质评估，可作为信息系统所有者选择提供网络与信息安全应急处理服务组织的依据，可以作为有关主管部门对提供网络与信息安全应急处理服务的组织进行管理的技术性规范，可供认证机构认证提供网络与信息安全应急处理服务的组织时参考，也可为提供网络与信息安全应急处理服务的组织改进自身能力提供指导。

YD/T 1621-2007《网络与信息安全服务资质评估准则》规定为电信运营企业提供网络与信息安全服务的组织应具备的网络与信息安全服务资质要求，适用于为电信运营企业提供网络与信息安全服务的组织进行网络与信息安全服务资质评估，可以作为国家有关主管部门对网络与信息安全服务的组织进行管理、检查的技术性规范，也可为网络与信息安全服务的组织改进自身能力的指导。该标准涉及到了信息安全咨询服务、信息安全工程服务、信息安全培训服务、信息安全运行支持服务。

内设机构

编辑

中心内设10个处室，分别为办公室、综合业务处、产品认证处、体系认证处、服务认证处、培训处、质量监督处、科技与国际处、人事处、财务处，设立党委办公室，与办公室合署办公。

法律法规

编辑

法律和行政法规

国务院办公厅关于加强认证认可工作的通知

中华人民共和国计量法实施细则

中华人民共和国标准化法实施条例

中华人民共和国进出口商品检验法实施条例

中华人民共和国认证认可条例

中华人民共和国计量法

部门规章

强制性产品认证标志管理办法

认证咨询机构管理办法

认证培训机构管理办法

强制性产品认证机构、检查机构和实验室管理办法

认证证书和认证标志管理办法

认证及认证培训、咨询人员管理办法

行政规范文件

认证技术规范管理办法

强制性产品认证检查员管理办法

认证认可申诉、投诉处理办法